VLESS Reality VPN trafiğini sansürcülere nasıl görünmez
VLESS Reality nedir ve nasıl çalışır? Her VPN protokolünün bir fingerprint'i var. WireGuard'ın handshake başlatması her zaman tam 148 byte sabit bir yapıyla. OpenVPN'in kontrol kanalı analiz altında apaçık zamanlama paternlerine sahip. Özellikle sansür direnci için tasarlanmış Shadowsocks bile, DPI sistemlerinin "normal HTTPS değil" olarak işaretleyebileceği ölçülebilir yüksek entropili trafik üretir.
Şifreleme içeriği korur. VPN kullandığın gerçeğini gizlemek için hiçbir şey yapmaz.
2023 başında Xray-core v1.8.0'da yayımlanan VLESS Reality tamamen farklı bir yaklaşım benimsiyor. Trafiği şifreleyip sansürcülerin sarıcıyı tanımlayamayacağını ummak yerine, VPN bağlantılarını sıradan HTTPS gezinmesiyle aynı yapar. Benzer değil. Aynı. Bağlantının sunduğu TLS sertifikası gerçek, gerçek sertifika otoritesi tarafından, gerçek bir web sitesi için verilmiş.
İşte bu nasıl çalışır, neden bloklanması zor ve almak için neyi feda ediyorsun.
Tespit problemi
Bir deep packet inspection sistemi hangi protokolü çalıştırdığını bilmek için trafiğini şifre çözmesine gerek yok. Sadece paternleri tanıması gerekiyor.
WireGuard en kolay örnek. Handshake başlatma mesajı 1-byte tip alanı, 3 byte ayrılmış sıfır, 4-byte gönderici dizini ve 32-byte şifrelenmemiş ephemeral anahtarla başlar. Bu yapı asla değişmez. Rusya'nın TSPU'su (Tehditlere Karşı Mücadele Teknik Sistemleri) WireGuard'ı bu paterni ilk pakette eşleştirerek neredeyse %100 doğrulukla tespit edebilir.
OpenVPN tespit etmek biraz daha zor ama çok daha değil. TLS handshake'inin ayırt edici zamanlaması var ve kontrol kanalı tanınabilir çerçeveleme formatı kullanır. Çin'in Great Firewall'u onu yıllardır güvenilir şekilde blokluyor.
Daha zor problem entropi analizi. Tamamen şifreli trafik (tanınabilir yapısı olmayan rastgele byte'lar) aslında şüpheli görünür. Normal HTTPS trafiğinin spesifik istatistiksel profili var: öngörülebilir sertifika zincirleriyle TLS handshake, ardından karakteristik kayıt boyutlarıyla şifreli uygulama verisi. Shadowsocks bağlantısı ilk paketten itibaren yüksek-entropili byte akışı. İstatistiksel sınıflandırıcıya o fark apaçık.
Bu temel zorluk. Şifreleme verini okunamaz yapar, ama trafiğin kendisinin hâlâ bir şekli var. Sansürcüler verini okumak zorunda değil. Sadece o şekli tanımak zorunda.
Geleneksel obfuscation neden başarısız olur
Reality var olmadan önce sansür-direnç topluluğu bu probleme birkaç trafik-obfuscation yaklaşımı denedi.
obfs4 trafiği rastgele gürültü gibi görünmek için tasarlanmış katmana sarar. Bir süre çalıştı. Sonra Çin ve İran herhangi bir bilinen protokole uymayan yüksek-entropili akışları işaretleyen sınıflandırıcılar dağıttı. Trafik HTTP, HTTPS, DNS veya başka bir yaygın protokole benzemiyorsa bloklanır veya throttle edilir. Her şey yapılandırılmışken rastgele gürültü aslında oldukça ayırt edici.
Shadowsocks aynı entropi problemini yaşadı. AEAD varyantları işleri iyileştirdi, ama temel sorun kaldı: trafik meşru bir şeye benzemiyor. Çinli DPI sistemleri standart TLS handshake'in yokluğunu yüksek-entropili payload'larla birleştirerek Shadowsocks bağlantılarını bloklamaya başladı.
Domain fronting (trafiği bir domain'e CDN üzerinden gönderme ki bu başka bir domain'e yönlendirir) Google, Amazon ve Cloudflare 2018-2020 arasında hepsi kapatana kadar iyi çalıştı. CDN sağlayıcıların uygulamayı tolere etmesine güveniyordu. Durdular.
Trojan bir iyileştirmeydi. Aslında TLS handshake yaparak ve yetkisiz bağlantılara gerçek bir web sitesi sunarak HTTPS'i taklit eder. Ama Trojan kendi yapılandırılmış TLS sertifikası kullanır, bu sertifika zincirinin gerçek bir web sitesinin sunacağından farklı olduğu anlamına gelir. Sunucunun sertifikasını bilinen sertifika şeffaflık loglarına karşı karşılaştıran aktif prober tutarsızlığı yakalayabilir.
Bu araçlar arasındaki patern: gerçekten normal trafik olmadan normal trafiği yaklaştırmaya çalışırlar. Yeterli analiz verildiğinde yaklaştırma her zaman bozulur.
RPRX (XTLS projesinin yaratıcısı) sorunu net şekilde özetledi: SNI beyaz liste sansürü Reality'den önce tüm TLS-tabanlı dolaşım araçlarını belirli bölgelerde bir gecede kullanılamaz hale getirmişti. Sansürcü sadece bilinen meşru TLS sunucularına bağlantılara izin vermeye karar verirse, kendi sertifikasını kullanan herhangi bir araç ölmüştür.
Reality gerçekte nasıl çalışır
Reality TLS handshake'i yaklaştırmaz. Gerçek bir tane yapar.
İşte adım adım bağlantı akışı:
Adım 1: İstemci ClientHello gönderir. İstemcin TLS 1.3 handshake başlatır. Server Name Indication (SNI) alanı www.microsoft.com gibi gerçek, popüler bir web sitesinin hostname'ini içerir. İstemci uTLS kütüphanesini kullanarak gerçek bir tarayıcının (Chrome 120, Firefox, Safari, neyi yapılandırırsan) tam TLS fingerprint'ini kopyalar. ClientHello, o tarayıcının göndereceğine byte-byte aynı.
Adım 2: Sunucu ClientHello'yu alır. Reality sunucusu önceden paylaşılan shortId'yi kontrol eder ve istemciyi X25519 anahtar anlaşmasıyla doğrular. Bu kimlik doğrulama herhangi bir gözlemciye opak alanlar içinde, TLS handshake'inin anahtar paylaşım uzantısında gizli olarak gerçekleşir.
Adım 3: Sunucu gerçek kamuflaj sitesiyle iletişim kurar. Reality sunucusu gerçek www.microsoft.com'a (veya kamuflaj hedefi olarak yapılandırdığın domain'e) kendi TLS bağlantısını açar. Microsoft'un sunucularıyla meşru bir TLS handshake yapar.
Adım 4: Sunucu gerçek sertifikayı iletir. Microsoft'un döndürdüğü sertifika zinciri istemcine geri iletilir. Bu gerçek bir CA tarafından imzalanmış, gerçek bir domain için gerçek bir sertifika. Tespit edecek bir şey yok çünkü sahte bir şey yok.
Adım 5: Kimlik doğrulanmış istemciler tunelendirilir. İstemci adım 2'de shortId ve X25519 kimlik doğrulamasını geçtiyse sunucu VLESS tünelini kurar. VPN trafiği microsoft.com ile normal HTTPS oturumu gibi görünenin içinde akar.
Adım 6: Kimlik doğrulanmamış bağlantılar iletilir. Birisi (sansürcünün aktif prober'ı, araştırmacı, herhangi biri) geçerli kimlik bilgisi olmadan bağlanırsa, sunucu bağlantısını şeffaf olarak gerçek microsoft.com'a proxy'ler. Gerçek içerik görürler. Gerçek başlıklar. Gerçek davranış. Sunucuyu meşru reverse proxy'den ayıracak bir şey yok.
Bu, her önceki yaklaşımdan kilit fark. Sertifika gerçek. Arkasındaki web sitesi gerçek. TLS fingerprint gerçek tarayıcıyla eşleşir. Tüm zincirde tespit edilebilir yalan yok.
Aktif probing direnci
Sansürcüler trafiği sadece pasif olarak analiz etmez. Şüpheli sunucuları aktif olarak prob ederler.
Çin'in Great Firewall'u en az 2012'den beri bunu yapıyor. Proxy olabilecek bir bağlantı tespit ettiğinde, istemcinin handshake'ini yeniden oynatır veya sunucuya kendi prob'unu gönderir. Sunucu meşru bir servisten farklı şekilde yanıt verirse bloklanır.
Trojan sunucularının sonunda tespit edilme şekli bu. Bir prober bağlanır, kimlik doğrulamaz ve sunucu genel bir web sayfası döndürür. Ama TLS sertifikası sertifika şeffaflık loglarının o domain'in sahip olması gerektiğini söylediğiyle eşleşmez. Veya HTTP yanıt başlıkları o web sunucu yazılımının gerçek dağıtımından ince şekilde farklıdır. Küçük tutarsızlıklar, ama yeterli.
Reality aktif probing'i tamamen yener. Bir prober Reality sunucusuna geçerli kimlik bilgisi olmadan bağlandığında gerçek kamuflaj sitesine iletilir. Yanıt simülasyon değil. microsoft.com'un KENDİSİ, şeffaf proxy üzerinden sunulan. Aynı sertifika. Aynı başlıklar. Aynı davranış. Aynı içerik.
Sansürcünün "microsoft.com'u ziyaret eden bir kullanıcı" ile "microsoft.com'a proxy'leyen bir Reality sunucusu" arasında ayrım yapması gerekirdi. Dışarıdan bunlar aynı. TLS oturumu aynı görünür. HTTP yanıtları aynı. IP adresi farklı olan tek şey ve microsoft.com'a reverse proxy barındıran bir IP adresi doğası gereği şüpheli değil.
Vision flow ve TLS-in-TLS
Reality'nin de ele aldığı daha incelikli bir tespit vektörü var. TLS tüneli içinde VPN çalıştırdığında, şifreli VPN trafiği kendi TLS handshake'lerini içerir (ziyaret ettiğin her HTTPS web sitesi bir tane oluşturur). Bu TLS-in-TLS paterni oluşturur: içerik şifreli olsa bile trafik analizi yoluyla görünür şekilde başka TLS kayıtları içeren TLS kayıtları.
XTLS Vision flow (xtls-rprx-vision) bunu ortadan kaldırır. TLS trafiğini çift şifrelemek yerine, Vision iç payload'un zaten TLS-korumalı olduğunu tespit eder ve minimum sarıcıyla geçirir. Dış TLS katmanı kimlik doğrulama ve çerçevelemeyi yönetir; iç TLS verisi gereksiz şifreleme olmadan akar.
USENIX makalesi Vision'ın tasarım hedeflerine ulaştığını doğruladı. VLESS+Vision bağlantısının trafik paterni kamuflaj sitesine doğrudan HTTPS bağlantısından istatistiksel olarak ayırt edilemez.
Bu önemli çünkü trafik analizi (paket boyutlarına, zamanlamaya ve hiçbir şeyi şifre çözmeden paternlere bakmak) Reality'ye karşı kalan en mantıklı saldırı. Vision o boşluğu kapatır.
Bloklamayı zorlaştıran şey
VLESS Reality'yi bloklamak için sansürcünün şunlardan birini yapması gerekir:
Kamuflaj domain'ini tamamen blokla. Reality microsoft.com'u taklit etmek üzere yapılandırılmışsa, sansürcünün microsoft.com'u bloklaması gerekir. Veya google.com'u. Veya operatörlerin seçtiği başka domain'leri. Büyük bulut ve verimlilik servislerini bloklamak büyük ekonomik maliyetlere sahip. Çin bazı servisler için o maliyeti kabul etti, ama Çin bile microsoft.com'u bloklamadı.
TLS handshake'inde X25519 kimlik doğrulamasını tespit et. Bu bilgi anahtar paylaşım uzantısında taşınır, TLS 1.3'te şifrelidir. TLS handshake'inin kendisini kırmadan kimlik doğrulama görünmez.
Reality sunucularını IP itibarıyla tanımla. Bu aslında sansürcülerin şu ana kadar bulduğu en etkili yaklaşım. Rusya'nın TSPU'su belirli davranışsal paternlere uyan bağlantılar alan VPS IP adreslerini işaretlemeye başladı: residential IP'lerden iyi-bilinen sitelere de proxy'leyen VPS IP'lere bağlantılar. Bu Reality'nin kendisini tespit etmiyor. Etrafındaki altyapı paternlerini tespit ediyor. Düzgün yapılandırılmış VLESS Reality için tespit oranı Şubat 2026 topluluk raporlarına göre hâlâ %5 altında.
Trafik zamanlama analizi. VPN trafiği normal web gezinmesinden farklı zamanlama özelliklerine sahip. Reality üzerinden video yayını yapan kullanıcı, microsoft.com'a tipik HTTPS gezinme paternleriyle eşleşmeyen sürekli, yüksek-throughput akışları üretir. Bu gerçek bir zayıflık, sofistike analiz gerektirir ve birçok yanlış pozitif üretir.
İran Reality bloklamayı araştırıyor (Xray-core deposunda GitHub issue #3269'da tartışıldı). Şu ana kadar güvenilir tespit yöntemi dağıtılmadı. Rusya'nın IP itibar puanlama yaklaşımı en başarılı, ama bağlantıların küçük bir kesimini yakalar ve sürekli manuel ayar gerektirir.
Tradeoff'lar
Fexyn'de VLESS Reality'yi WireGuard ve OpenVPN ile birlikte üretimde çalıştırıyoruz. Ücretsiz öğle yemeği gibi davranmayacağız. Gerçek maliyetler var.
Gecikme. Reality bağlantısı WireGuard'a kıyasla yaklaşık 100 ms gecikme ekler. Kamuflaj sitesiyle ekstra TLS handshake, X25519 kimlik doğrulama ve proxy katmanı hepsi zaman alır. Genel gezinme için bu zar zor fark edilir. Oyun veya gerçek zamanlı ses için hissedersin.
TCP ek yükü. VLESS Reality TCP üzerinde çalışır. WireGuard UDP üzerinde çalışır. TCP'de head-of-line blocking var: bir paket kaybolursa arkasındaki her şey bekler. Kayıplı ağlarda (mobil bağlantılar, sıkışık Wi-Fi) bu UDP-tabanlı protokollerin önlediği periyodik duraksamalar demek. XHTTP transport modu çoklamayla yardım eder, ama temel TCP sınırlaması kalır.
Yapılandırma karmaşıklığı. WireGuard anahtar çifti ve uç nokta gerektirir. Reality kamuflaj domain'i, shortId, X25519 anahtar çifti, uTLS fingerprint seçimi, transport yapılandırması ve kamuflaj sitesinin doğru çalıştığından emin olmak için dikkatli test gerektirir. Bunu Fexyn'de otomatik yönetiyoruz (istemci tam yapılandırmayı API'mizdan alır), ama self-hosters'ın yönetecek daha çok şeyi var.
Hata ayıklama zorluğu. Bir WireGuard bağlantısı başarısız olduğunda başarısızlık modları basit: yanlış anahtar, yanlış uç nokta, port bloklu. Bir Reality bağlantısı başarısız olduğunda, kamuflaj domain'i, shortId, anahtar çifti, uTLS fingerprint, transport katmanı, sunucudan kamuflaj sitesinin ulaşılabilirliği veya yarım düzine başka şey olabilir. Kamuflaj domain sorunları ortaya çıkan Reality bağlantılarında önemli hata ayıklama zamanı harcadık.
Tüm kamuflaj domain'leri eşit derecede iyi çalışmaz. Kamuflaj sitesinin TLS 1.3 desteklemesi, güvenilir CA'ya zincirleyen sertifikası olması ve sunucundan ulaşılabilir olması gerekir. Bazı domain'ler mükemmel çalışır. Diğerlerinin ince başarısızlıklara sebep olan tuhaflıkları var. Kapsamlı test yaptık ve güvenilir kamuflaj hedefleri setine yerleştik, ama bu gerçek deneme-yanılma çalışması gerektirdi.
Gerçek dünya tespit oranları
Topluluk raporlama ve kendi testimize dayanarak:
| Ülke | WireGuard | OpenVPN | VLESS Reality |
|---|---|---|---|
| Rusya (TSPU) | Anında bloklu | Bloklu/throttle | ~%95 başarı |
| Çin (GFW) | Bloklu | Bloklu | Çalışıyor, periyodik IP blokları |
| İran | Bloklu | Aralıklı | Çalışıyor, aktif araştırma altında |
| Türkmenistan | Bloklu | Bloklu | Sınırlı veri, çalıştığı bildirildi |
Rusya'da ~%5 başarısızlık oranı esas olarak protokol tespitinden değil, IP itibar puanlamadan geliyor. Residential görünümlü IP aralıkları veya kara listede olmayan bulut sağlayıcıları kullanmak başarı oranını %100'e yakın getirir.
Çin'de ana tehdit protokol tespitinden çok IP-tabanlı bloklama. GFW bilinen VPS IP aralıklarının listelerini tutar ve periyodik olarak bloklar. Temiz IP'lerden Reality bağlantıları tutarlı şekilde çalışır.
Ne zaman kullanmalı
Aktif sansürü olmayan bir ülkedeysen WireGuard daha iyi seçim. Daha hızlı, daha basit ve UDP kullanır. Kimse bağlantını bloklamaya çalışmıyorsa Reality'nin tradeoff'larını kabul etmek için bir sebep yok.
Aktif DPI'lı bir ülkede yaşıyorsan veya seyahat ediyorsan (Rusya, Çin, İran, BAE, çoğu diğer) Vision flow ile VLESS Reality gerçekten çalışan protokol. WireGuard handshake'ini bitirmeden bloklanır.
Fexyn ikisini de destekliyor, otomatik protokol rotasyonu ile WireGuard bloklandığında VLESS Reality'ye geçer. Mevcutsa WireGuard'ın hızını ve ihtiyaç duyduğunda Reality'nin sansür direncini alırsın.
VLESS protokolünün kendisini (Reality transport'tan ayrı) anlamak istersen, VLESS detaylı dökümünü yazdık; protokolün mimarisini ve alternatiflerle nasıl karşılaştırıldığını kapsar.
Fexyn'i 7 gün ücretsiz dene — Stealth (Vision flow ile VLESS Reality) her planda dahil. Aktivistler ve hareket organizatörleri tehdit-modeli çerçevelemesi için aktivistler için VPN sayfasını isteyebilir.