Fexyn
Fexyn

Sözlük

Active probing nedir

Sansürcülerin şüpheli proxy sunucularına kendi probe'larını gönderip sunucunun VPN olup olmadığını doğruladıkları, sonra yanıta göre engelledikleri sansür tekniği.

Active probing bir sansür-tespit tekniğidir. Trafiği sadece pasif olarak analiz etmek yerine (deep packet inspection ve entropi analizi bunu yapar), sansürcünün altyapısı şüpheli proxy sunucularına bağlanır ve sunucunun yanıtını meşru bir servisin döndüreceğiyle karşılaştırır. Yanıt farklıysa IP engel listesine eklenir.

Çin'in Great Firewall'ı bunu en az 2012'den beri yapıyor. İran, Rusya ve Pakistan değişen seviyelerde benzer yetenekler dağıttı.

Active probing nasıl çalışır

Sansürcünün altyapısı proxy olabilecek bir bağlantı gördüğünde — trafik desenleri, IP itibarı veya diğer pasif sinyallere göre — aynı hedefe kendi bağlantısını gönderir, çoğu zaman dakikalar içinde:

  1. Sansürcü, residential kullanıcıdan IP 1.2.3.4 portu 443'e bağlantı görür.
  2. Sansürcünün altyapısı kendisi 1.2.3.4:443'e bağlanır.
  3. Altyapı, meşru bir web servisinin işleyeceği bir istek gönderir (TLS ClientHello, HTTP/1.1 GET vb.).
  4. Yanıtı kaydeder.
  5. Yanıt, meşru bir servisin döndüreceğiyle karşılaştırılır.

Şüpheli sunucu gerçek servisle tutarsız bir şey döndürürse — yanlış sertifika zinciri, yanlış HTTP yanıt başlıkları, yanlış sunucu yazılım parmak izi, belirli probe türlerine yanıt yok — IP sansürcünün engel listesine eklenir.

Active probing neyi yakalar

Birkaç proxy kategorisi:

Trojan dağıtımları. Trojan gerçek TLS handshake yapar ama kendi-verilmiş sertifika kullanır (Let's Encrypt veya self-signed). Active prober sertifikayı iddia edilen domain için Certificate Transparency kayıtlarıyla karşılaştırır. Sertifika CT'nin o domain hakkında söylediğiyle eşleşmiyorsa sunucu işaretlenir.

Bilinen proxy yazılımı çalıştıran sunucular. Birçok proxy implementasyonu standart olmayan isteklerle probe edildiğinde tespit edilebilir HTTP yanıt desenlerine sahip. Shadowsocks, V2Ray ve daha eski implementasyonlar bu şekilde yakalandı.

Gerçek web servisleri gibi yanıt vermeyen sunucular. Gerçek bir web sunucusu geçersiz isteklere hata sayfası döndürür veya HTTP'yi HTTPS'e yönlendirir veya spesifik başlıklara sahip. Bu davranışları implement etmeyen proxy'ler dikkat çeker.

Doğrulanmamış prober'ları otomatik kesen sunucular. Şüpheli sunucu doğrulamayan bağlantıları hemen kapatırsa, bu kendi başına sunucunun doğrulanmış istemciler beklediğine dair bir sinyal — yani bir proxy.

VLESS Reality active probing'i nasıl yener

VLESS Reality + Vision flow yapısal olarak active probing'e dirençlidir. Hile: Reality sunucusuna doğrulanmamış bir bağlantı geldiğinde, sunucu bağlantıyı kamuflaj olduğu gerçek public siteye şeffaf proxy'ler.

Akış:

  1. Active prober Reality sunucusuna bağlanır.
  2. Prober doğrulanmamış (shortId veya X25519 anahtarına sahip değil).
  3. Reality sunucusu prober'ın bağlantısını mesela microsoft.com'a şeffaf proxy'ler.
  4. Prober gerçek Microsoft sunucusundan yanıt alır.
  5. Sertifika gerçek. Başlıklar gerçek. Davranış gerçek.
  6. Tespit edilecek tutarsızlık yok çünkü yanıt gerçek Microsoft yanıtı.

Reality istemcisini gerçek bir Microsoft kullanıcısından ayıran tek şey TLS key-share extension'ının içine gizlenmiş şifreli shortId — active prober için görünmez. Active probing'in işaretleyecek bir şeyi yok.

Reality'ye karşı hâlâ ne işe yarar

Active probing katı anlamda — bağlan, yanıtı karşılaştır — Reality'yi yakalamaz. İki bitişik saldırı kısmi tehdit olarak kalıyor:

IP itibarı analizi. Bir residential IP'nin Microsoft'a da proxy'lenen belirli bir VPS'e tekrar tekrar uzun ömürlü TLS bağlantıları açtığını fark etmek ve bu deseni şüpheli olarak ele almak. Bu bazı Reality dağıtımlarını yakalar ama ölçekte işletmesi pahalı ve yanlış pozitif üretir.

Davranışsal trafik analizi. Saatlerce yüksek throughput'ta sürekli Microsoft bağlantıları üreten bir kullanıcı, tipik Microsoft kullanıcı davranışıyla eşleşmeyen davranışsal desen. Bu tür analiz önemli işlem gücü gerektirir ve birçok yanlış pozitif üretir, bu yüzden henüz ölçekte dağıtılmadı.

2026'da aktif-DPI piyasalarındaki çoğu kullanıcı için Reality + Vision artı makul IP-havuz hijyeni yeterli. Doğru dağıtılmış Reality'ye karşı tespit oranı topluluk raporlarına göre %5'in altında.

Active probing genel olarak neden zor yenilir

Sansürcüler oyunun kurallarını koyar. Sansürcü neyin "meşru" servis olduğuna ve neyin olmadığına karar verir. Meşru bir servisi mükemmel taklit etmeyen herhangi bir proxy, onu ayıran bir sinyal taşır. Active probing'i tamamen yenmenin tek yolu, doğrulanmamış herhangi bir istek için meşru bir servis OLMAK — Reality bunu gerçek siteye şeffaf proxy'leyerek yapıyor.

Bu da WireGuard veya OpenVPN üzerine inşa edilmiş "obfuscation" yaklaşımlarının sofistike active probing'i atlatamamasının nedeni. Trafiği HTTPS'e benzer yapıyorlar ama sunucunun active probing'e yanıtı gerçek bir web servisinin yanıtı değil. Wrapper pasif bakışı geçer; active probe'u geçemez.

Fexyn'i 7 gün ücretsiz dene — Stealth (VLESS Reality + Vision) her planda; kamuflaj host'a gerçek HTTPS'ten yapısal olarak ayırt edilemez olarak active probing'i yener.

İlgili terimler

Fexyn'i 7 gün ücretsiz dene

Windows uygulaması Beta'da mevcut. WireGuard, VLESS Reality ve OpenVPN — tarama geçmişi, DNS sorgusu veya trafik içeriği logları tutulmaz.

Fiyatlandırma
Active probing nedir | Fexyn VPN