Разбор методов детекции, которые работают прямо сейчас. JA3/JA4-отпечатки, поведенческий анализ и архитектура XHTTP, которая закрывает именно эти дыры.
Если твой VLESS+Reality сервер лёг в последние месяцы — ты не один. В сообществах фиксируют волны блокировок, которые раньше не достигали хорошо настроенных Reality-серверов. Мой собственный лёг в январе — и я несколько дней был уверен что дело в конфиге, пока не полез глубже. Дело было не в конфиге.
Сначала про то, как устроен наш противник
ТСПУ работает не как один монолитный фильтр. Это несколько последовательных слоёв проверки, каждый дороже предыдущего по вычислительным ресурсам. Архитектура разумная: зачем гонять весь трафик через ML-классификатор, если можно отсеять 80% на первом байте за микросекунды.
Слой 1: сигнатурный анализ. Первые 16–32 байта пакета сверяются с базой известных паттернов. Чистый Shadowsocks умирает здесь: его первый байт статистически отличается от TLS. OpenVPN — то же самое, характерное рукопожатие, 16 байт, блокировка. VLESS с нормальным TLS эту проверку проходит, первые байты идентичны обычному HTTPS.
Слой 2: TLS-fingerprinting. JA3 — хэш из параметров TLS ClientHello: список cipher suites, расширения, поддерживаемые elliptic curves, форматы точек. Всё конкатенируется и хэшируется в MD5:
JA3 = MD5(SSLVersion, Ciphers, Extensions, EllipticCurves, EllipticCurvePointFormats)
Реальный Chrome 120 на Windows 11 имеет конкретный хэш. Если прокси-клиент использует собственную TLS-библиотеку — его хэш будет другим. Не «похожим на нехороший» — просто другим, и этого достаточно.
JA4 — более новая версия от FoxIO (2023). Менее чувствителен к порядку расширений, устойчивее к рандомизации. Промышленные DPI-системы переходят именно на него.
Слой 3: активное зондирование. Система отправляет к серверу разведчика: пробует HTTP, HTTPS, разные версии TLS. Легитимный сайт отвечает нормально — проходит. Не отвечает или отвечает нетипично — блокировка.
Слой 4: поведенческий анализ. Самый дорогой. Анализируется не содержимое пакетов, а их поведение во времени. Reality проигрывает именно здесь.
JA3/JA4: почему fingerprint: chrome — это не опция, это необходимость
Чтобы понять масштаб проблемы — небольшой эксперимент.
Зайди на scrapfly.io/web-scraping-tools/ja3-fingerprint из обычного Chrome и запомни хэш. Потом подключись через Xray без параметра fingerprint и зайди снова. Хэши будут разными.
Xray без fingerprint: chrome использует стандартную Go-библиотеку crypto/tls. У неё другой набор cipher suites, другой порядок расширений. JA3-хэш Go-клиента хорошо известен и внесён в базы детекции — не потому что кто-то специально охотился на Xray, просто нестандартные TLS-стеки все попадают в базу автоматически.
С "fingerprint": "chrome" Xray использует uTLS — библиотеку, которая копирует ClientHello настоящего браузера побайтно. Это не «похоже на Chrome» — это Chrome.
Нюанс: с 2024 года браузеры начали рандомизировать порядок TLS-расширений, что снизило уникальность JA3 для идентификации конкретной версии браузера. Но для детекции «это не браузер вообще» — работает по-прежнему. Кастомный TLS-стек виден независимо от рандомизации.
Reality: что она закрывала и почему этого стало мало
Reality появилась как ответ на проблему сертификатов. Даже с fingerprint: chrome — TLS-сессия завершается на твоём сервере. DPI делает активное зондирование, получает сертификат, смотрит на ASN — и видит что это не iCloud.
Решение было радикальным: TLS-сессия буквально завершается на реальном сервере Apple или Microsoft. Клиент делает настоящее рукопожатие с настоящим icloud.com, получает настоящий сертификат Apple, верифицированный через реальную цепочку CA. Данные туннеля вшиваются уже в установленную сессию.
С точки зрения первых трёх слоёв детекции: идеальный TLS к Apple. JA3 совпадает. Сертификат настоящий. Активное зондирование возвращает нормальный ответ. В 2022–2023 это работало почти без исключений.
В 2025 году в СПбПУ была защищена работа по детекции XTLS-Reality. Мето��ы там описаны академически, но они перекликаются с тем, что фиксируют пользователи на практике.
Три вектора, которые там разбираются:
GREASE-анализ. GREASE — механизм Chrome для проверки совместимости TLS-серверов: браузер вставляет случайные «мусорные» расширения в ClientHello. Xray с fingerprint: chrome это имитирует — но паттерн имитации не всегда совпадает с тем, что генерирует текущая версия Chrome. Здесь я честно не знаю насколько глубоко ТСПУ сейчас смотрит именно на GREASE — возможно это пока исследовательский вектор, а не боевой. Но в работе он описан.
IP/ASN несоответствие. Если SNI говорит «iCloud», но IP сервера принадлежит датскому хостинг-провайдеру — аномалия видна сразу. Apple держит серверы в конкретных ASN. Хостинг на Hetzner с sni: icloud.com — детектируемо.
Поведение после рукопожатия. Реальное iCloud-соединение от iPhone имеет характерный паттерн: конкретные API-эндпоинты, характерные тайминги, специфичные заголовки. VLESS-туннель с произвольным трафиком ведёт себя иначе: постоянный двунаправленный поток без пауз, нетипичные размеры пакетов, никаких iCloud API-запросов.
Глава, которую обычно не пишут :-)
Рукопожатие у Reality идеальное. Детекция идёт не по нему.
Reality маскирует установку соединения, но не маскирует то, что по этому соединению передаётся после. VLESS-туннель с активными пользователями генерирует трафик-профиль, который с реальным iCloud не имеет ничего общего. Нейросеть, обученная на реальном трафике Apple-сервисов, видит это быстро.
Серверы с высокой нагрузкой падают быстрее не потому что их «нашли» — а потому что трафик-профиль слишком аномальный для заявленного SNI.
XHTTP
XHTTP — транспортный протокол в Xray-core поверх HTTP/2 или HTTP/3. Похоже на WebSocket+TLS, архитектурно — другое.
WebSocket умер по конкретной причине: соединение начинается с HTTP Upgrade, после чего переходит в постоянный двунаправленный поток без характерных HTTP запрос-ответных пар. Этот паттерн детектируется давно и надёжно.
XHTTP разделяет восходящий и нисходящий трафик на отдельные HTTP-транзакции. Каждая транзакция — обычная HTTP-пара с нормальными заголовками и нормальным временем жизни. Статистически неотличимо от браузера, загружающего контент.
Плюс xPaddingBytes — случайный паддинг к пакетам для нормализации их размеров. Классификатор, обученный на распределении размеров пакетов, видит «нормальный» HTTP.
Три режима XHTTP
packet-up — много коротких HTTP-запросов клиент→сервер, одно соединение сервер→клиент. Работает через любой CDN и Nginx. Небольшой оверхед. Стартовый выбор по умолчанию.
stream-up — одно долгоживущее соединение в каждую сторону. Быстрее, но не проходит через все CDN и реверс-прокси. Для прямого соединения без CDN.
stream-one — единое соединение для обоих направлений. Медленнее, но единственный режим совместимый с XTLS-Vision.
auto — клиент выбирает сам. Разумно если не знаешь точно.
Nginx для stream-one требует конкретных директив:
location /your-path/ { grpc_pass unix:/dev/shm/xrxh.socket; grpc_set_header X-Forwarded-For $proxy_add_x_forwarded_for; grpc_read_timeout 315s; grpc_send_timeout 315s; }
XHTTP и Reality не конкурируют
Это самое частое заблуждение в статьях на тему. Reality закрывает детекцию на уровне TLS-рукопожатия и активного зондирования. XHTTP закрывает детекцию на уровне поведения соединения после рукопожатия. Это разные слои, не одна задача.
При использовании XHTTP с Reality автоматически выбирается stream-one, если не указать режим явно.
Полные рабочие конфиги
Критически важная деталь перед использованием: XHTTP в активной разработке. Версии Xray на клиенте и сервере обязаны совпадать. Несовпадение даёт либо глюки, либо полную неработоспособность без понятных ошибок. Это не «желательно» — это условие работоспособности.
Генерируем ключи для Reality:
xray x25519 # Выводит: Private key и Public key # Сохраняем оба
Серверный конфиг (VLESS + XHTTP + Reality):
{ "inbounds": [{ "port": 443, "protocol": "vless", "settings": { "clients": [{ "id": "your-uuid-here" }], "decryption": "none" }, "streamSettings": { "network": "xhttp", "security": "reality", "realitySettings": { "show": false, "dest": "www.microsoft.com:443", "xver": 0, "serverNames": ["www.microsoft.com"], "privateKey": "<PRIVATE_KEY>", "shortIds": ["<SHORT_ID>"] }, "xhttpSettings": { "path": "/api/v1/data", "mode": "auto", "extra": { "xPaddingBytes": "100-1000" } } }, "sniffing": { "enabled": true, "destOverride": ["http", "tls", "quic"] } }] }
Клиентский конфиг:
{ "outbounds": [{ "protocol": "vless", "settings": { "vnext": [{ "address": "your.domain.com", "port": 443, "users": [{ "id": "your-uuid-here", "encryption": "none" }] }] }, "streamSettings": { "network": "xhttp", "security": "reality", "realitySettings": { "serverName": "www.microsoft.com", "fingerprint": "chrome", "shortId": "<SHORT_ID>", "publicKey": "<PUBLIC_KEY>" }, "xhttpSettings": { "path": "/api/v1/data", "mode": "auto", "extra": { "xPaddingBytes": "100-1000" } } } }] }
Вариант с XTLS-Vision (stream-one + Vision):
// Сервер — clients добавляем flow "clients": [{ "id": "your-uuid-here", "flow": "xtls-rprx-vision" }] // xhttpSettings меняем mode "xhttpSettings": { "path": "/api/v1/data", "mode": "stream-one" }
// Клиент — users добавляем flow "users": [{ "id": "your-uuid-here", "encryption": "none", "flow": "xtls-rprx-vision" }]
Про выбор SNI-донора
Правило одно: реальный сервис с высоким трафиком в том же регионе, где стоит сервер. Хорошие доноры для Европы (и российских пользователей): github.com (стабильный, хорошо известный Microsoft Azure, никаких российских серверов с 2022 года), www.twitch.tv (высокий трафик, AWS, отсутствие российских PoP) ну и microsoft.com остаётся хорошим кандидатом: тот же большой трафик и глобальный CDN с PoP везде. Apple.com это плохой донор несмотря на репутацию: Apple держит IP в собственных ASN, несоответствие между сертификатом и ASN хостинга заметно сразу. Любой мелкий сайт — по той же причине.
Как проверить что всё работает
JA3-проверка: подключись через прокси и зайди на scrapfly.io/web-scraping-tools/ja3-fingerprint. Отпечаток должен совпадать с обычным Chrome без прокси.
Активное зондирование: с другого IP сделай прямой curl:
curl -v https://your.domain.com \ --resolve your.domain.com:443:<YOUR_IP>
Должен получить нормальный HTTP-ответ, не TLS-ошибку.
Поведенческий профиль: через несколько недель работы посмотри на трафик-статистику сервера. Если входящий и исходящий примерно равны при обычном браузинге — аномалия. У реального веб-сервера исходящий трафик сильно превышает входящий.
Сравнение подходов в 2026-м
Параметр |
VLESS + Reality |
VLESS + XHTTP |
VLESS + XHTTP + Reality |
|---|---|---|---|
TLS-отпечаток |
Идеальный |
Хороший (uTLS) |
Идеальный |
Активное зондирование |
Выдерживает |
Выдерживает |
Выдерживает |
Поведенческий анализ |
Уязвим при нагрузке |
Устойчив |
Устойчив |
Работа через CDN |
Нет |
Да (packet-up) |
Частично |
Совместимость с Vision |
Да |
Только stream-one |
Только stream-one |
Сложность настройки |
Средняя |
Средняя |
Выше средней |
Устойчивость 2026 |
Снижается |
Растёт |
Лучшая из доступных |
*мнение автора
Конфиги выше. Удачи.
¹ Автор данной статьи использовал для её написания зарубежный браузер, зарубежный процессор и протокол TLS, разработанный в США. Все упомянутые инструменты предназначены исключительно для изучения сетевых технологий в образовательных целях. Любое совпадение с реальным обходом блокировок случайно и не является целью публикации.
Если есть идеи для разбора, нашёл ошибку в конфиге
или хочешь предложить тему — пиши на
aleksandr@murzin.digital. Отвечаю.
Комментарии (241)
ky0
12.03.2026 16:05Ещё немного - и получится Openconnect с камуфляжем.
Все эти ухищрения либо уже, либо в ближайшем будущем будут побеждены тупым зарезанием всех европейских хостингов. Берите VPS в ближневосточных странах.
wadeg
12.03.2026 16:05Да, но тогда зарежут сразу же и их, и даже белорусские. И что тогда брать?
nikhotmsk
12.03.2026 16:05Надо сделать свой старлинк
NoobKoder
12.03.2026 16:05ну старлинк это ладно, а вот бить отраженным радиосигналом за бугор, это уже посильно
Honeynok
12.03.2026 16:05Все эти решения и технологическая борьба - на ближайшие полгода максимум. Так что любое решение это просто отсрочка неизбежного)
anonym0use
12.03.2026 16:05через полгода интернет отключат совсем ?
Honeynok
12.03.2026 16:05Ну, очевидно, тотальные белые списки уже впринципе ничем диковинным не являются, (они уже есть), а там порезать обходы для десятка процентов населения и все. Ну а потом чисто по нуждам крупного бизнеса примут решение о физическом отключении, скриньте, как говорится
Termich
12.03.2026 16:05Так оно и сейчас зарезано, все прекрасно работает через мосты, ни что не мешает в будущем поменять одну ноду на другую в другом регионе
m0xf
12.03.2026 16:05А в итоге всё сводится к тупому блокированию TLS в сторону крупных хостингов, если домен не в белом списке.
0ka
12.03.2026 16:05Да, в статье абсолютный бред, отвечаю здесь т.к. мой коммент далеко затерялся
https://habr.com/ru/articles/1009542/comments/#comment_29660622
Ranlod
12.03.2026 16:05ИИ содержащий продукт
Формулировки очень странные
cyberscoper Автор
12.03.2026 16:05Формулировки очень странные
Будьте конкретнее, пожалуйста. Просто вкинуть — не лучшее.
Destructive
12.03.2026 16:05Нейросетевые картинки, которые выглядят вроде прилично, но если начинаешь всматриваться, то понимаешь, что там местами явный треш. Например, правый нижний угол третьей картинки имеет надпись "Scale: 1 unit = 10 mm". К чему это? Почему год 2024? К чему там символ компаса? И таких пустых "деталей" полным полно.
Заголовки для каждого абзаца, так люди не пишут!
Пример из текста
XHTTP: архитектура, которая решает эту проблему
XHTTP — транспортный протокол в Xray-core, построенный поверх HTTP/2 или HTTP/3. На первый взгляд похоже на старый WebSocket+TLS. Архитектурно — принципиально другое.
Почему WebSocket умер.
WebSocket-соединение начинается с HTTP Upgrade запроса, после которого переходит в постоянный двунаправленный поток. Этот паттерн (HTTP Upgrade + бесконечный поток без характерных HTTP запрос-ответных пар) детектируется давно и надёжно.
Что делает XHTTP иначе.
XHTTP разделяет восходящий и нисходящий трафик на отдельные HTTP-транзакции. Каждая транзакция — это обычная HTTP-пара запрос-ответ с нормальными заголовками, нормальным временем жизни. Статистически это неотличимо от браузера, загружающего контент с веб-сервера.
3. Абсолютно бесполезные комментарии в фрагментах с кодом.
Да и в целом вся статья читается неестественно, в ней будто отсутствует жизнь.
А противнее всего, когда "авторы" подобных статей начинают в комментариях мазаться.
Жаль минус влепить не могу...
atomlib
12.03.2026 16:05Будьте конкретнее, пожалуйста.
Зря вы это сказали.
Поскольку никто нормально комментарии не читает, придётся сразу оговориться: мне всё равно, кто и как писал текст. Мне не нравится исключительно сам машинный стиль, а не факт, насколько автоматизированным был процесс написания.
Если кому-то удаcтся добиться на выходе из ChatGPT красивого текста, то я за этого человека буду искренне счастлив и не буду возражать читать подобное. К сожалению, писанина у машин всегда максимально отвратительная.
Это не предупреждение из разряда «желательно» - это обязательное условие.
это не опция, это необходимость
Это не «похоже на Chrome» — это Chrome.
они не конкурируют, они комбинируются
Противопоставление вида «это не X, это Y».
А вот тут просто каша из нескольких приёмов, характерных для языковых моделей. Темп, повторы, тире — всё машинное:
Рукопожатие идеальное. Детекция идёт не по нему. Детекция идёт по поведению соединения после него — и здесь Reality ничего не делает.
Большие языковые модели считают, что повторы — это очень красиво. Вообще, переиспользование структур языка — частая проблема БЯМ. В одной из прошлогодних работ (arXiv:2504.09373) был такой вывод: «we find that LLMs often reuse discourse structures (more so than humans) across samples, even when content differs». Там речь шла про повторы в повествовании вообще, не про слова, но мне кажется это связанным.
Больше повторов слов:
Реальное iCloud-соединение от реального iPhone или Mac имеет характерный паттерн запросов: конкретные API-эндпоинты, конкретные заголовки, конкретные тайминги.
Каждая транзакция — это обычная HTTP-пара запрос-ответ с нормальными заголовками, нормальным временем жизни.
Повторы и противопоставления в одном флаконе:
Reality закрывает детекцию на уровне TLS-рукопожатия и активного зондирования. XHTTP закрывает детекцию на уровне поведения соединения после рукопожатия.
Она маскирует установку соединения, но не маскирует то, что по этому соединению передаётся.
Детекция идёт не по нему. Детекция идёт по поведению соединения после него
Другая проблема — ненужные тире, которые вставляются абсолютно без повода:
Что конкретно изменилось, как это устроено на уровне алгоритмов — и почему XHTTP сейчас выглядит как правильный следующий шаг.
DPI-система делает активное зондирование, получает сертификат, смотрит на ASN и IP-адрес сертификата — и видит что это не iCloud и не Spotify.
Но для детекции «это не браузер вообще» — JA3 по-прежнему работает отлично.
Иногда куда лучше бы смотрелась запятая вместо тире:
Именно здесь Reality начинает проигрывать — и к этому мы вернёмся.
JA3-хэш Go-клиента хорошо известен — он встречается в базах детекции.
Не потому что их «нашли» — а потому что их трафик-профиль слишком аномальный.
Из-за подобных тире текст читается с каким-то придыханием, будто от избытка чувств перевести дух не удаётся. Но откуда здесь взяться эмоциям? Хотя тема животрепещущая, текст технический.
Не знаю, как называются вот такие конструкции в кавычках, но в машинной писанине они везде:
Это не «похоже на Chrome» — это Chrome.
Но для детекции «это не браузер вообще» — JA3 по-прежнему работает отлично.
Не «похожим на нехороший» — просто другим, и это уже аномалия.
Также БЯМ используют кавычки при малейшем оттенке переносного смысла. Видимо, их обучали на образцах литературного русского, но тонкости языка они уловить не в состоянии:
Реальный Chrome вставляет случайные «мусорные» расширения в ClientHello.
видит «нормальный» HTTP-трафик.
Наконец, приём, который меня выбешивает: два–три однотипных односложных предложения, рублёный ритм. Почему это случается, понять легко: дробим фразу, и сказанное будет выглядеть мощнее — дёшево и сердито.
Выбор очевидный. Конфиги выше. Удачи.
Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе.
Рукопожатие идеальное. Детекция идёт не по нему. Детекция идёт по поведению соединения после него — и здесь Reality ничего не делает.
А вот заголовки в разумных пределах мне наоборот нравятся. Не вижу ничего дурного в том, что есть выделение полужирным. Разве что здесь не так много написано, чтобы была необходимость разбавить простыню текста форматированием.
Отредактировано: Вижу, что пока писал этот комментарий, вы уже убрали многие из этих примеров из текста.
Hadis
12.03.2026 16:05Наконец, приём, который меня выбешивает: два–три однотипных односложных предложения, рублёный ритм. Почему это случается, понять легко: дробим фразу, и сказанное будет выглядеть мощнее — дёшево и сердито.
Выбор очевидный. Конфиги выше. Удачи.
Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе.
Рукопожатие идеальное. Детекция идёт не по нему. Детекция идёт по поведению соединения после него — и здесь Reality ничего не делает.
Как же я с вами согласен, это просто невыносимо отвратительно.
В виде текста такие сообщения воспринимаются как пассивная агрессия, как принуждение к вниманию после каждого слова, которое будто как короткий удар.
Ну а если в жизни какой-то человек будет общаться со мной в таком стиле, то у меня он произведёт только впечатление человека либо с повреждениями мозга, либо с низким уровнем интеллекта в целом, для которого общение сложными предложениями является непосильной задачей, и он буквально вынужден выдавать информацию минимальными порциями.
maxim_ge
12.03.2026 16:05Интересный разбор, даже попросил "машину" (кавычки, да) написать опус на заданную тему: DPI: Обнаружение и Маскировка Туннелей.
Машинная самокритика:
feelamee
12.03.2026 16:05Если кому-то удаcтся добиться на выходе из ChatGPT красивого текста
а вы уверены что люди могут написать красиво?
Не вижу смысла докапываться до "это ИИ" "это человек". Важно что написано, а не как.А половина ваших претензий... для меня вообще не машинный стиль, а то как я сам бы написал.
Короче, вместо того чтобы обсудить содержание, обсуждаем форму, и оцениваем качество тоже по форме...
0ka
12.03.2026 16:05Статья абсолютный бред, ничего общего с реальностью, в другом комменте написал почему
https://habr.com/ru/articles/1009542/comments/#comment_29660622
maertor
12.03.2026 16:05Да, представьте, люди умеют красивые тексты! За примерами можете обратиться к художественной литературе. Но только не надо передёргивать и брать в качестве примера какую-нибудь посредственную Донцову. И даже человек, не являющийся настоящим писателем, а просто грамотный образованный специалист способен создать внятный красивый текст. Я просто привел вам яркий пример с книгами. А так все упирается в вашу грамотность. Если образование низкое, то человек идет к ИИ. И получает соответствующий некрасивый результат
feelamee
12.03.2026 16:05За примерами можете обратиться к художественной литературе
Сегодня читал Азимова. И у него как раз встречаются повторения, что комментатор выше определил как "машинный стиль"
Да, представьте, люди умеют красивые тексты!
Да, ладно. А теперь подумайте, будет ли кто-то выписывать целую тираду если человек напишет в "машинном стиле" - вряд ли. Мой комментарий к тому что и человек и ИИ присущ "машинный стиль", но факт его наличия используют для доказательства что статья написана ИИ -> дискредитации статьи т.к. она написана ИИ (не конкретно @atomlib, я про настроения в общем).
atomlib
12.03.2026 16:05Короче, вместо того чтобы обсудить содержание, обсуждаем форму
Это возмутительно: вы меня обвиняете в том, чем сами занимаетесь. Такое впечатление, что мой комментарий вы не читали, зато обсуждаете выхваченные из контекста заявления.
обсуждаем форму, и оцениваем качество тоже по форме
Автор буквально попросил об этом неопределённый круг лиц. Когда его спросили, почему такие странные формулировки, он ответил: «Будьте конкретнее, пожалуйста». Вот я и отреагировал. Почему вы общение выстраиваете так, что собеседник вынужден оправдываться за свои действия?
Не вижу смысла докапываться до "это ИИ" "это человек".
Буквально это и пишу в комментарии, на который вы отвечали: меня не интересует, кто писал. Специально вынес это в отдельное предупреждение повыше, потому что каждый раз одни и те же вопросы. Засим у меня следует длинный список раздражающих машинных оборотов. Кто и как их добавил, меня не интересует.
а вы уверены что люди могут написать красиво?
Люди пишут по-другому, без этих машинных уродств.
Чем вам вообще человеческий стиль не нравится? Или вы из числа тех, кто его стесняется?
Могу привести презабавнейший пример: человек написал неплохой текст, но затем пропустил его через большую языковую модель с просьбой обработать. Вообще-то оригинальный черновик выглядит неплохо, там достаточно только поправить пунктуацию и орфографию. Но вместо этого автор поста вывел у себя в блоге раздутый машинный слоп.
А половина ваших претензий... для меня вообще не машинный стиль
Если не очевидно: проблема в частоте этих перечисленных приёмов. Внезапно огромная доля текстов в Интернете начала строиться на конструкциях вида «это не X, это Y», там характерные повторы, употребляются ненужные тире и так далее. Первые раз двадцать это терпимо, потом начинаешь тосковать.
feelamee
12.03.2026 16:05Мое последнее предложение не было направлено конкретно вам. Скорее мои ощущения на общие настроения по этой теме. Так что извиняюсь, если приняли на свой счет.
Если не очевидно: проблема в частоте этих перечисленных приёмов
Это не очевидно. Вы сказали что статья была отредактирована после вашего коммента. Возможно поэтому мне и не бросилось ничего в глаза при прочтении.
Чем вам вообще человеческий стиль не нравится? Или вы из числа тех, кто его стесняется?
Отнюдь, просто то что вы называете "машинным стилем" для меня обычный человеческий текст. Я имею ввиду - если это плохо написано, то и человек так же пишет. Короче, это на тему качества текста в общем, а ИИ тут не причем.
PS. Заметил что вы редактор. Возможно у вас есть биас на эту тему. Наверняка вам в тексте намного легче угадываются паттерны, которые вы описали в прошлом комменте. Мне, как обычному читателю, это все не так очевидно.
2medic
12.03.2026 16:05Наконец, приём, который меня выбешивает: два–три однотипных односложных предложения, рублёный ритм.
Ну вот. А я как раз с нулевых такой приём на своих форумах отрабатываю. Заметил, что не любят у нас сложносочинённые предложения. А уж если предложения сложноподчинённые, то читатели зачастую вообще понять не могут, что здесь с чем сочетается. Поэтому стал писать коротенечко. Рублено.
maertor
12.03.2026 16:05Опять же, машина с этим приемом передергивает, потому что у нее нет понимания, как взвешенно с ним работать. В данном случае мы имеем дело с абсурдно коротким построением фраз из двух слов на протяжении нескольких десятков раз. Вряд ли вы будете так делать, если не хотите выбесить своих читателей. Ваш собственный текст, как и в вашем же комментарии, будет варьировать темп и длину предложений; пусть они и остаются не слишком длинными, но все равно имеют куда более разнообразный вид
atomlib
12.03.2026 16:05Насколько я вас понял, вы говорите именно про общее членение предложений. Напротив, большие языковые модели обожают контраст. У них нечаянно получаются перегруженные предложения, где за одной основой идёт другая, раздувая объём — будто неаккуратно переводился текст с английского, без раздумий, а не пора ли разбить оригинальную структуру на пару новых предложений, что для хорошего перевода вполне допустимо, пусть это на самом деле и не перевод. А затем пауза. Мысль, две, три. Эти внезапные коротыши.
maertor
12.03.2026 16:05Ну и в качестве вишенки на торте: когда статью пишет русскоязычный человек, то он обращается к аудитории на вы. Тыкают только ИИ, потому что общаются с тобой лично. А большой текст от живого человека не логично делать столь личным
gotch
12.03.2026 16:05Должен получить нормальный HTTP-ответ, не TLS-ошибку.
И постоянное обращение на "ты". Эти два оборота - типичны для нейросетей.
Gansterito
12.03.2026 16:05apple.com— Apple держит IP в своих ASN, несоответствие сразу заметноНе совсем так. У Apple есть кеши (https://cache.edge.apple/), типа как Google Global Cache, ставятся на сети операторов, работают на IP операторов.
dmitrik4321
12.03.2026 16:05Не осуждаю, статья годная, но нейросети подводят. Текст предполагаю что chatgpt писал (он любит эппл и спотифай, это палит). Ну и картинки. Автор, не ленись делать схемы, если будет твоя, на русском, без косяков ии, будет сильно лучше.
0ka
12.03.2026 16:05Статья абсолютный бред, описал это в другом комменте, но т.к. он далеко, то пишу здесь
https://habr.com/ru/articles/1009542/comments/#comment_29660622
Kenya-West
12.03.2026 16:05Хорошая статья, спасибо за ликбез!
По существу есть вопросы:
Что по самоворовству (self-steal/steal from yourself/steal oneself)? Зачем притворяться крупным сайтом, если можно просто накатить сгенеренную нейронкой статику на свой домен? Не понял смысла. В 2022-2023 самоворовство своего домена было рекомендуемым способом работы;
Получу ли я мгновенный профит, честно и качественно мигрировав на xHTTP, если я нахожусь в "расстрельном списке" AS? Я ведь не могу поручиться, что все клиенты в пределах /24 будут соблюдать все гайдлайны по настройке решений... А пока ДВ сильно не жалуется, так что мотивации бежать впереди порновоза нет...
Что по скорости? Где-то слышал, что xHTTP предлагает в два раза ниже пропускную способность по сравнению с VLESS/XTLS-Reality/TCP.
Crixetro
12.03.2026 16:05ходят слухи, что есть "белые списки" sni, которые не попадают под 16-24 кб блоки европейских хостингов (не путать с БС на мобильном интернете, где только рф сайты). То есть профит возможен.
если на вашей AS 16-24 кб блок - нет, не поможет. разве что слухи про БС sni правдивы.
В использовании разницы не замечаю, по цифрам VLESS/xhttp/packet-up тоже не сильно отличается от Raw-Reality
eskars
12.03.2026 16:05разве что слухи про БС sni правдивы.
Правдивы. Мой хостер один из первых отлетел в 16кб еще в прошлом году - с определенными sni блокировки нет.
keplergk104
12.03.2026 16:05А все началось с того что ..."она утонула" (ц)
normal
12.03.2026 16:05чуть раньше был вполне симптоматичный рязанский сахар)
nevervhudo
12.03.2026 16:05Если всё же не опираться на ту документалку Березовского, полностью игнорирующую сравнение рязанского случая с остальными произошедшими, можно получить другие выводы. Всё ещё отличающиеся от официальной версии, но не такие кошмарные.
arielf
12.03.2026 16:05Всё началось с фальсифицированных выборов в 1995 и операции "преемник". Ежели уж совсем честно.
Arlekcangp
12.03.2026 16:05А чего так поздно? В 93-м государственный преступник, предатель и террорист Ельцин (таково моё мнение, т к официально он всё ещё не осуждён) расстрелял из танков и разогнал Верховный Совет. А в 91-м этот же преступник завершил развал СССР, подписав ещё с тремя такими же незаконное соглашение. А до этого в 91-м другой предатель, Горбачёв, и ещё несколько его сподвижников организовали не законный референдум, продавив решение через верховный совет и затем, когда большинство людей высказалось за сохранение Союза, интерпретировали это как то, что Союз должен стать конфедерацией, опять же не законно и вопреки воли большинства. (Якобы это "демократия" так должна восторжествовать...)
К чему я это? Так что вы теперь то распериживались про какие-то там выборы в 95-м ? (Если хотите знать, 95-й в России никто не помнит. Все, кто тогда жил,помнят 91-й, некоторые 93-й и многие 98-й, когда предатель Ельцин отрёкся от власти) Почему именно в 95-м ? Тогда лично вам на хвост наступили? Ну если да, то моё мнение против вашего: Мне вот как раз таки 91-й не нравится, давайте про него говорить, а?
Neikist
12.03.2026 16:05Если вам 91 не нравится - это значит что вы за СССР и за цензуру. О чем тогда с вами говорить?
TsarS
12.03.2026 16:05Ну классика же
Скрытый текст
КАК ТОЛЬКО умер Ленин (1924), оказалось, что второй человек в партии, товарищ Троцкий — предатель. Каменев, Зиновьев, Бухарин и Сталин свергли Троцкого и изгнали из СССР (1927).
Но через пару лет оказалось, что Каменев, Зиновьев и Бухарин тоже враги и вредители. Тогда доблестный товарищ Генрих Ягода их арестовал (1936).
Чуть позже Ягоду как вражеского агента арестовал Ежов (1937).
Но через пару лет оказалось, что и Ежов не товарищ, а обычный предатель и вражеский агент. И Ежова арестовал Берия (1938).
После смерти Сталина (1953), все поняли, что и Берия тоже предатель.
Тогда Жуков арестовал Берию (1953).
Но вскоре Хрущев узнал, что Жуков враг и заговорщик. И сослал Жукова на Урал.
А чуть позже вскрылось что и Сталин–то был врагом, вредителем и предателем (1956). А вместе с ним и большая часть политбюро.
Тогда Сталина вынесли из мавзолея, а Политбюро и примкнувшего к ним Шепилова разогнали честные партийцы во главе с Хрущевым (1957).
Прошло несколько лет и выяснилось, что Хрущев был волюнтаристом, проходимцем, авантюристом и врагом.
Тогда Брежнев отправил Хрущева на пенсию (1964). После смерти Брежнева, выяснилось, что и он был вредителем и причиной застоя (1964-82).
Потом было еще двое, которых никто и запомнить-то не успел (1982-85).
Но тут пришел к власти молодой, энергичный Горбачев. И оказалось, что вся партия была партией вредителей и врагов, но он–то сейчас все исправит.Тут–то СССР и развалился (1991).
А Горбачев оказался врагом и предателем.
Вы ознакомились с кратким курсом истории КПСС. (с)
arielf
12.03.2026 16:05Именно. Хороших не было. Но всё же Хрущёв и Горбачёв совершили больше хорошего, чем плохого.
schteinbrenner
12.03.2026 16:05Xray очень радует) Настроил на vps, клиент на своё пк и тут же MTProto для телеги, чтобы с других устройств пользоваться) Всё летает, всё замечательно... Но какого чёрта я этим должен заниматься вообще?
zbot
12.03.2026 16:05Но какого чёрта я этим должен заниматься вообще?
очевидно-же - государство заботится о развитии компьютерной и политической граммотности населения. Раньше население приходило с работы и под пивас просто играло в игрушки общаясь по дискорду, теперь вот надо сначала прокинуть тоннель чтобы дискорд заработал (а то и сама игрушка запустилась) опять-же переодически изучать что нового в мире блокировок случилось, тоннель перенастроить, как работает ТСПУ почитать, ркн поругать, свое мнение о политиках высказать, а там уже и снова на работу пора :-)
Negat1v9
12.03.2026 16:05А а почему никто не упоминает про протокол OUTLINE, он вроде как работает.
У меня один сервер с чистым зарубежным IP уже почти год живет с развернутым outline, больше 1 TB траффика в месяц, больше 10 человек - все стабильно. Мб протокол плохой не знаю точно.
Если что, в основном подключения из Москвы.zbot
12.03.2026 16:05имхо запусти grok и задай ему такой промп - дай сравнение протокол OUTLINE с reality + tcp и reality + xhttp
Negat1v9
12.03.2026 16:05Вы видимо не поняли. У меня развернут чистый outline через Outline Manager
Посмотрел более точную статистику: 320 дней работает сервер уже.
K0Jlya9
12.03.2026 16:05У меня обычный ваиргард работает, и на проводных провайдерах, и на мобильном(федеральном). При этом было время когда его глушили и приходилось переходить на амнезию итп.
Arhammon
12.03.2026 16:05Аутлайн работает, но не всегда, бывает ТСПУ его блочит и при установке соединения и в процессе. Скорее удивительно что работает, по идее можно было 100500 раз уже кинуть в черный список. Вероятно в реальности Неуловимый Джо просто никому не нужен, что-то сделали, отчитались что заблокировали и сойдет. В следующий раз еще что-нибудь сделают и за что-нибудь отчитаются...
gaussssss
12.03.2026 16:05У меня он наглухо умер года два назад, с тех пор не проверял, мог и заработать. Так например раньше носки жестко блочились, а теперь vless не але, а носки идеально работают.
Z55
12.03.2026 16:05А а почему никто не упоминает про протокол OUTLINE, он вроде как работает.
Видимо зависит от местной ТСПУ. У меня с одинм оператором не работает WG, со вторым не работает OUTLINE. А вот xray работает везде.
b1ack4x
12.03.2026 16:05А разве правила не централизованно рассылаются? Эти коробочки - это же не под управлением местного прова, а конечные устройства, программируемые известно окуда.
Z55
12.03.2026 16:05Я не знаю деталей устройства этого вредительства. Но наблюдения говорят о том, что какие-то различия есть. У кого-то работает вообще всё, как и раньше. У кого-то ничего. У кого-то часть. Видимо есть какие-то кастомизации.
sloww
12.03.2026 16:05Нюансы вашей конкретно сети, outline не работает уже второй год на мобильном и год на большинстве проводных провайдеров, это простейший shadowsocks который детектится мгновенно.
Master_Yoda_810
12.03.2026 16:05Вариант В: ничего не делать.
Лучший вариант. Решать проблемы надо по мере возникновения, так как условия меняются.
MiracleUsr
12.03.2026 16:05В вопросе обхода блокировок это самая плохая и опасная тактика из вообще существующих.
Master_Yoda_810
12.03.2026 16:05И в чем именно заключается опасность???
MountainGoat
12.03.2026 16:05В ситуации, когда, чтобы поднять тоннель, нужно иметь работающий тоннель.
Master_Yoda_810
12.03.2026 16:05Это если введут доступ по белым спискам? Во-первых, маловероятно (много головняка, мало пользы). Во-вторых, в таком случае и работающий тоннель перестанет работать.
Больше похоже на способ борьбы с тревожностью. Успокаивающее ощущение контроля, но не более того.
tequier0
12.03.2026 16:05Это на случай, когда твой тоннель научится детектить ТСПУ, а для доступа к инфе о новых способах обхода нужен этот самый тоннель.
Barnaby
12.03.2026 16:05Всегда можно поднять сокс через ssh, если вам даже ssh блочат то вы уже ничего не настроите :)
MiracleUsr
12.03.2026 16:05Сокс-через-ссх уже до многих хостеров режется/замедляется при превышении определенных объемов трафика.
kinitko
12.03.2026 16:05Ждем полноценной работы смартфонов со Starlinkами.
zbot
12.03.2026 16:05старлинк бесплатным не будет, а вариантов проводить оплаты зарубежных сервисов не так уж и много.
Да и законодательно запретять как его использование так и смартфоны его поддерживающие еще до того как он заработает.
Mr_Zavod
12.03.2026 16:05Устройство размером со смартфон ещё нужно идентифицировать как поддерживающее старлинк
Или придётся запрещать в страну ввоз вообще всех устройств размером с ладонь
Можно сразу сказать, что старлинк не работает в РФ
Ну так в глубине страны не работает, а на границе работает
Граница Казахстана и Финляндии - тысячи километров
Удачи отследить каждое
Arhammon
12.03.2026 16:05Зачем всех? Забылись уже кейсы фермеров покупавших трекеры для коров... Примут парочку на выходе из ПВЗ и желающих пользоваться кратно поубавиться...
ManulVRN
12.03.2026 16:05Вот-вот, приравняют к шпионскому оборудованию или как оно там официально обозначается в статье УК и привет.
Aelliari
12.03.2026 16:05Там с той стороны будет блок, сейчас спутники с Direct-To-Cell работают только с телефонами у которых стоит сим-карта мобильного оператора-партнера (донора частот). Телефоны «как-бы» в роуминге. Но мне неизвестно работает ли оно за пределами «домашней» страны оператора-партнера
Maxim_Q
12.03.2026 16:05Подскажите кто использовал какие программы для VLESS + XHTTP + REALITY на сервере, на Android и на iPhone? Какие серверные части и клиентские наиболее стабильные и надежные?
Kenya-West
12.03.2026 16:05Это тянет на серию статей, так как есть ядра, спектр ими решаемых задач, обертки на них, клиентов так вообще десятки... Есть панели, каждая под свои задачи созданная, у каждой своя экосистема и т. д. Всё это ставится скриптами, вручную, Docker, не Docker, из GitHub, из магазина... Без пол-литра так и не расскажешь хотя бы 20% из них.
Crixetro
12.03.2026 16:05Сервер - родной xray-core базированная база. Минус - нужны базовые навыки linux консоли для настройки, и надо редактировать текстовые конфиги, где потерял запятую/скобочку и все, ничего не работает. Еще есть панели вроде 3x-ui, устанавливается скриптом, всё визуально красиво. Удобная вещь для личного использования. Тяжелая артиллерия - Remnawave, куча настроек, визуальный редактор конфигов, исправляющий за тобой опечатки, много много всего еще. Но это решение скорее для заработка на vpn/proxy. Много ресурсов жрет, сложна в настройке. По клиентам - смотрите кто регулярно обновляется, список рекомендованных в репозитории xray-core
SanCHEESE
12.03.2026 16:05Да можно без базовых навыков, но для начала надо настроить доступ (например через outline) к chatgpt/gemini/claude cli (qwencli не пробовал), оплатить какой то из них и уже промптами, кидаясь ссылками на хабр, просить настроить по ssh
Barnaby
12.03.2026 16:05А можно просто поставить Amnezia и она сама все настроит через ssh.
PS: Да и подписки не нужны, уж на настройку бесплатного лимита хватит.
Hint
12.03.2026 16:05По факту есть 3 комбайна (с поддержкой разных протоколов): xray, sing-box, mihomo. Они же используются внутри клиентов. Самый популярный сейчас - xray (так сложилось). VLESS + XHTTP + REALITY - вот это родное именно для xray, все остальные переносят реализацию к себе. Поэтому для vless лучше всего использовать xray (поэтому и самый популярный). Для iOS самый лучший клиент - Shadowrocket (поддерживает почти все популярные протоколы). На Android можно использовать оригинальный клиент sing-box с нативным json-конфигом (или же что-то из мира xray).
Но на самом деле и кроме самого модного vless протоколов хватает. Например, NaïveProxy.
Tippy-Tip
12.03.2026 16:05Вот уж что-что, а нативный sing-box под Android я выкинул сразу – ему зачем-то нужен доступ к камере и геолокации. Чтобы избежать обвинений в криворукости/скачивании "левого" apk заявляю, что устанавливал его из F-Droid. На мобиле сижу пока на амнезии, но подумываю уйти на Happ.
0ka
12.03.2026 16:05у меня они отклонены и всё работает. гео на сколько я знаю нужна для определения типа сети "wifi/симка", камера для сканирования qr кодов
Tippy-Tip
12.03.2026 16:05Камера-то понятно, что для сканирования qr-кодов. Вопрос к геолокации. Почему-то другим приложениям такого класса геолокация не нужна, а синг-боксу – вынь да положь (хотя, да, её можно запретить).
Diverso
12.03.2026 16:05Ну как будто элементарнейшая логика подсказывает, что эти "приложения такого класса" не умеют в роутинг по wifi ssid, что умеет синг-бокс. Потому что андроид для получения wifi ssid требует
ACCESS_FINE_LOCATION.
Master_Yoda_810
12.03.2026 16:05Тут была статья как установить x-ray на сервер и настроить. Там же и приложение указано. v2Raytun вроде (но это не точно). Надо поискать просто.
SanCHEESE
12.03.2026 16:05прила не оч, не работает с настройкой autoxray.sh, вероятно из-за несовпадения xray core version
SanCHEESE
12.03.2026 16:05на хабре была статья (она чуть ниже) по автонастройке через autoxray.sh,
ну надо некоторые телодвижения сделать:
1. зарегать бесплатный сабдомен, аля mememe.mooo.com, настроить редирект на свой впс
2. развернуть outline на нем, чтобы что-то из топовых моделей работало в cli
3. купить собстна подписку на chatgpt или claude
4. запросами в cli просить сконфигурить впс по ssh (ток чтоб сначала доступ по ключу был, затем уже менять порт и перед закрытием порта 22 просить, чтоб проверило работоспособность порта 5667, а то заблокирует доступ вобще и будет мертвый инстанс), настроить autoxray (кинуть ссылку на статью), сгенерить статик страничку в руте сайта (как тут написано)
4. Если надо gemini, то вот статья https://habr.com/ru/articles/992380/
5. гитхаб все еще может определять ваш реальный ip, надо прописать xbox dns (я так же убрал гугловские днс и оставил только 1.1.1.1) в серверном конфиге xray и ходить на гитхаб через варп тоже (я заморочился, копилот не работал)
все телодвижения я делал чисто промптами - типа писал "сделай как в статье, вот тебе ip ремоут хоста, логинься по ssh по ключу, ну или паролем (рекомендуется перейти на ключ)"
связка autoxray+happ (ios android mac) работает хорошо
gotch
12.03.2026 16:05На iPhone топ - ShadowRocket.
На Android рабочих xHTTP вижу только в vRayNG, а Nekobox (sing-box) и Hiddify не могут.
Hint
12.03.2026 16:05Регулярно появляются такие сгенерированные статьи про vless, которые собирают кучу плюсов. При чем половина текст - бред.
Подключись через свой прокси и зайди на scrapfly.io/web-scraping-tools/ja3-fingerprint. Отпечаток должен совпадать с обычным Chrome без прокси.
С чего вдруг этот сайт что-то напишет про мой прокси, если вся магия будет между мной и прокси, а между прокси и конечным сайтом будет обычный трафик моего браузера.
Или раздел про хорошие доноры или плохие доноры:
microsoft.com на Hetzner - "хороший", "любой мелкий сайт icloud.com" на Hetzner - "плохой". Где в этом тексте логика?
Но плюсов будет много...
Vindicar
12.03.2026 16:05Вот действительно. То "всёпропало, VLESS уже зарезали, ставьте Макс", то более тонко, с парочкой вредных советов. Невольно задашься вопросом, а не засланный ли казачок?
maxwolf
12.03.2026 16:05А "Реальное iCloud-соединение от реального iPhone или Mac имеет характерный паттерн запросов: конкретные API-эндпоинты, конкретные заголовки, конкретные тайминги"? Какие endpoints и заголовки, если все данные зашифрованы? Какие тайминги на мобильной сети?
Аналогично про "XHTTP разделяет восходящий и нисходящий трафик на отдельные HTTP-транзакции. Каждая транзакция — это обычная HTTP-пара запрос-ответ" и далее везде...
Нет, я, наверное, могу предположить, что придумали авторы XHTTP, прочитав нейрослоповский пересказ, скомбинированный с таким же переводом, но, читая подобные статьи, хочется прояснения темы от того, кто в ней реально разобрался, вместо ещё большего запутывания...
igor_burenkov
12.03.2026 16:05Да, про тайминг мне тоже непонятно, и сам я склоняюсь к вашей версии: всё зашифровано, и баста. Из статьи дельно на самом деле только две вещи: асимметрия объёма входящего-исходящего траффика и наблюдаемость паттерна долгоживущих соединений. Я сам долго, со скажем так, бытовым бэкграундом пытался понять суть xHTTP, и с моей колокольни и моих наблюдений за реальным сервером вижу следующее: во-первых, в режиме xHTTP клиент реально пишет много в логи, как он там какие-то запросы отправил по пути на сервере, указанному в параметре path. Я настраивал этот конфиг сервера за щитом Cloudflare, полагаю, эта механика нужна, чтобы сам CF не подозревал в трафике прокси - они вроде относительно недавно запретили хостить не-их прокси на их инфраструктуре. А по поводу разделения восходящего-нисходящего трафика, там есть специальная опция в настройке соединения, которая позволяет указать клиенту, что трафик он будет принимать с другого сервера (или хотя бы с ipv6 выхода сервера, вместо ipv4 входа, к примеру). То есть эдакое простое, но, кажется, на текущий момент довольно эффективное решение проблемы асимметричности трафика: ТСПУ надо теперь следить не за одним соединением, как по нему шурует трафик туда-сюда, а сразу за всеми соединениями пользователя, и сопоставлять время установления восходящего и нисходящего соединений (а ещё разработчики xray в статье, описывающей протокол, обещали ещё и добавить искусственный рассинхрон во времени и установления этих соединений)
MiracleUsr
12.03.2026 16:05С чего вдруг этот сайт что-то напишет про мой прокси, если вся магия будет между мной и прокси, а между прокси и конечным сайтом будет обычный трафик моего браузера.
Вот с этого момента в статье тоже кекнул. Автор либо вообще ничего не понимает в том что пишет, либо решил что нормально кормить читателей
нейроблевомвыхлопом нейронки даже без элементарной проверки того, что она написала.
00Kirill00
12.03.2026 16:05Чтобы реально проверить отпечаток своего туннеля, нужно дампить трафик на собственном сервере через tcpdump или wireshark, а не ходить по левым сайтам
Alexinthecold
12.03.2026 16:05>«Reality решила это радикально: TLS-сессия буквально завершается на реальном сервере Apple или Microsoft. Клиент делает настоящее рукопожатие с настоящим icloud.com. Получает настоящий сертификат Apple, верифицированный через реальную цепочку CA. После завершения рукопожатия данные туннеля вшиваются в уже установленную сессию.»
Это же технически просто невозможно нет? TLS 1.3 не так работает же
Когда клиент и настоящий icloud.com делают полноценный handshake, они генерируют симметричные ключи шифрования (AEAD — AES-GCM или ChaCha). Эти ключи знает только клиент и Apple. Xray-сервер в этот момент — просто труба, он ничего не видит и не может расшифровать ни байта.
если ты попытаешься «вшить» свои VLESS-пакеты в уже зашифрованный поток то любая такая правка сразу ломает MAC или AEAD-тег.
На деле с риалити там как я помню не так работает.
Клиент шлёт ClientHello с правильным shortId. В поле Session ID (которое в TLS 1.3 почти не используется, но Xray его хитро переиспользует) он запихивает версию + timestamp + короткий id. Сервер смотрит: — shortId совпадает с тем, что в конфиге? — версия нормальная? — время не просрочено? Если да — сервер сам завершает handshake, генерирует свой временный сертификат на лету (подписанный твоим x25519 ключом). Клиент проверяет его только по pinned publicKey, а не по цепочке Apple. И дальше весь трафик уже между клиентом и твоим сервером. Если shortId кривой (то есть это пробер от ТСПУ или обычный curl) — сервер вообще не отвечает сам.
Он просто прозрачно прокидывает весь TCP-поток на настоящий microsoft.com:443. Пробер получает реальный сертификат, реальный ответ и спокойно уходит. Вот почему Reality так хорошо держит активное зондирование.Ещё пару моментов по статье, которые уже устарели:
Конфиги с Vision теперь не работают как в статье. С января 2026 VLESS без flow считается deprecated. Если использовать Vision + XHTTP — обязательно нужно включить VLESS Encryption. Делаешь ./xray vlessenc, получаешь ключи: decryption на сервер (вместо "none"), encryption на клиент. Без этого будет предупреждение, а скоро возможно вообще перестанет работать.
поправьте ели что-то не так написал)
MountainGoat
12.03.2026 16:05Не подскажете, почему такой прикол может быть: человек настраивает Reality через 3x-ui или как его там. Если липовый домен написан google.com - всё отлично работает. Если любой другой менее известный - коннект есть, данных нету. microsoft.com вроде не пробовали.
MiracleUsr
12.03.2026 16:05Хостер в серых списках, Поэтому до него работают только определенные белосписочные SNI
Quqas
12.03.2026 16:05как теория - сойдёт
на практике трата хоть 1 рубля в добавок к тарифу провайдера неприемлема из корыстных побуждений а главное оставляет куда более явственный след - случись что, и скорее не если а когда плешивый режим дойдёт до физического отлова
поэтому ирл ещё не исчерпаны бесплатные методы. т.е. vless это попытка гвозди забивать микроскопом. банальный wg при достаточно простой обфускации продолжает работать даже с казалось бы наперечёт известными endpoint протона
MiracleUsr
12.03.2026 16:05банальный wg при достаточно простой обфускации продолжает работать
Отучаемся говорить за всех, если в вашем регионе у вашего провайдера работает - это не значит что работает и у остальных.
K0Jlya9
12.03.2026 16:05Как ТСПУ реагирует на ssh соединения? Там есть одновременно всё, и постоянно висящие сессии с мониторингом итп, и взрывные нагрузки с передачей файлов, причем разных, отдельных дампов баз и архивов, бекапов от рестика, рклона и рсинка, удаленный рабочий стол итп. Они что реально всё это наглухо перекроют из за возможности пустить там еще и сокс прокси?
ky0
12.03.2026 16:05SSH шейпят по скорости, как только видят существенный трафик в обе стороны. Скачать файл ещё туда-сюда, но не больше.
K0Jlya9
12.03.2026 16:05И что они думают что можно так просто взять и перекрыть путь для бекапов, пипол схавает?
nidalee
12.03.2026 16:05Схавает конечно. Повышение пенсионного возраста же схавал. А трясущиеся за бекапы по SSH вообще все влезут в один автозак.
dobrobobrrobot
12.03.2026 16:05пипл за 4 года схавал такие вещи, что на их фоне невозможность "скачать бекап по SSH" выглядит как-то не очень страшной
uneasy
12.03.2026 16:05Зачем бекапить за границу? Бекапьте на российские скрепные серверы. Разрешат только самое важное, типа github, чтобы IT в стране окончательно не накрылся, а в остальной вражеский интернет вам не надо, там одна бездуховность :)
maxwolf
12.03.2026 16:05Я уже столкнулся с 16К-баном на ssh-соединении. Вот буквально, заходишь, запускаешь top, и после первой же перерисовки экрана сессия замирает. На одном провайдере устойчиво наблюдалось, на другом - устойчиво нет. Сейчас попустило, "но осадочек остался"...
Zachelovek
12.03.2026 16:05Как ТСПУ реагирует на ssh соединения? Там есть одновременно всё, и постоянно висящие сессии с мониторингом итп, и взрывные нагрузки с передачей файлов
Уже достаточно давно сильно обрезают стоит только лишь начать "подозрительно шевелиться".
Если вы вдруг не сталкивались и у вас при этом ещё и пролезают файлы, бэкапы, дампы, и прочее безобразие, то я бы назвал это уже практически парадоксальным.
0ka
12.03.2026 16:05Тспу на всех моих провайдерах (да и у друзей тоже) имеют ssh в белом списке протоколов, т.е. на 16кб блокнутых хостингах SSH работает без проблем (и в режиме прокси тоже)
ki11j0y
12.03.2026 16:05Я конечно не эксперт, но xtls-rprx-vision надёжно работает только с tcp, других вариантов нет, прочитал, подумал интересно как, проверил всю документацию даже перевод с китайского использовал и там нет ни чего про xhttp xtls-rprx-vision. Как вы проверили эту информацию?
Alexinthecold
12.03.2026 16:05Нужно vless encryption включить.
https://github.com/XTLS/Xray-core/discussions/5568
По крайней мере у меня вроде как завелось все.
>rprx argued that TLS encryption alone is insecure and vulnerable to snooping by MITM or CDNs. Therefore, he believes encryption should be mandatory. However, to balance performance, he also recommended enabling flow, which avoids secondary encryption for TLS 1.3.Therefore, the solution is to enable both encryption and flow.
Вопрос знатокам- насколько реально это работает?
@MiracleUsr @0ka можете по этому вопросу проконсультировать?
zarazaexe
12.03.2026 16:05когда то НОРМИСЫ узнают о naiveproxy.... а пока, будут прыгать с одного на другой
MiracleUsr
12.03.2026 16:05Naiveproxy точно так же имеет ряд проблем (в теории позволяющих его детектировать рано или поздно, особенно при стандартных конфигурациях), которые уже давно решены в Xray. Я бы на него уж точно ставку не делал.
zarazaexe
12.03.2026 16:05"в теории позволяющих его детектировать рано или поздно, особенно при стандартных конфигурациях" при стандартных конфигурациях я не спорю, NaiveProxy сложно и долго настраивать, по этому обычные юзеры его и не ставят
а вот VLess при стандартных конфигурациях не работает вообще
0ka
12.03.2026 16:05При желании найдут всех по количеству трафика. Я пользуюсь тем что удобно (ovpn и awg), а naive ничем не удобнее vless, в некоторых моментах даже хуже (congestion control и нагрузка на цп как минимум)
zarazaexe
12.03.2026 16:05да я сам юзаю SS22 потому что его перестали трогать, просто учитвая то как быстро блокируют все протоколы - лучше перейти на Naive proxy и не мучатся с прыжками из протокола в протоколы, а то постоянно у кого то чтото работает,у кого то нет, а NaiveProxy будет работать стабильно без бесконечной перенастройки, ведь любая попытка детектить NaiveProxy - попытка детектить Chrome
а по количеству трафика нас только какой нибудь Nym спасет
runetfreedom
12.03.2026 16:05Не существует ни одного подтвержденного факта блокировки современных маскировочных протоколов, к примеру VLESS+Reality.
Все, что сейчас делается, это ковровые бомбардировки TLS. Это 16кб блокировка, триггер блоки, черные списки хостеров с белым списком SNI и так далее.
Кроме того, что NaiveProxy сам по себе весьма спорный, он не способен решить ни одну из этих проблем.
Alexinthecold
12.03.2026 16:05>юзаю SS22 потому
а почему не просто vless+ encryption? те же самые яйца,но в профиль только современнее) белый шум. нет?
villard
12.03.2026 16:05www.speedtest.net — высокий трафик
Потому и давно уже заблокирован
zakker
12.03.2026 16:05Вот, кстати, да. Это очень похоже на истинную причину блокировки этого сайта. Его было очень удобно использовать в качестве sni донора.
runetfreedom
12.03.2026 16:05Трафик же там не с веб мордой самого speedtest.net, а с одним из тысяч тестовых серверов, большинство которых к самой компании ookla отношения не имеют
0ka
12.03.2026 16:05Нет, спидтест заблокировали предположительно из-за риска хакерских и ддос атак со стороны серверов с софтом ookla, которые установлены у инет провайдеров в РФ
thethee
12.03.2026 16:05Если даже идея ваша. Если нейросетки просто верстают итоговую версию статьи и исправляют опечатки. Вычитывайте пожалуйста
Это не «желательно» — это условие работоспособности.
Дичайший маркер, будто в чатгпт/дипсик зашёл. Очень режет глаз, когда нейронки воду льют, переставляя слова из предыдущего предложения. В предыдущем уже было что версии должны совпадать, иначе ошибки, и тут просто из ниоткуда "пустое" предложение, которое попросту не нужно в тексте.
d3d12
12.03.2026 16:05Единственное нормальное в перспективе ухудшающейся ситуации решение здесь на хабре уже обозвали нейрослопом и выдумками.
0ka
12.03.2026 16:05Подробнее? Ничего непонятно
d3d12
12.03.2026 16:05runetfreedom
12.03.2026 16:05В комментариях достаточно написали о том, почему именно это нейрослоп, не вижу смысла повторяться.
К тому же оно не единственное и уж точно не "нормальное". Это решение - решето.
Во первых как вы объясните необходимость иметь возможность строить туннели между двумя физиками (ШПД <-> ШПД) в условиях когда даже бизнесу палки в колеса вставляют?
Во вторых - ну включили вам белый список, удачи подключиться к своему шлюзу со старлинком
d3d12
12.03.2026 16:05достаточно написали о том, почему именно это нейрослоп, не вижу смысла повторяться.
Не надо повторяться. Я видел рассуждения про нейрослоп, но позвольте мне иметь свое мнение на этот счет.
Во вторых - ну включили вам белый список, удачи подключиться к своему шлюзу со старлинком
Например сам перееду в место установки старлинка.
А вам удачи крутить настройки TLS хендшейка, пытаясь пробиться через белые списки.runetfreedom
12.03.2026 16:05Например сам перееду в место установки старлинка.
А вам удачи крутить настройки TLS хендшейка, пытаясь пробиться через белые списки.И будете точно так же сидеть на пороховой бочке и ожидать когда же они поправят обнаружение локации и он перестанет работать.
Даже если окажется, что такие места реально существуют, то это совсем-совсем не универсальный способ, тем более не для всех.
Если мы окажемся в ситуации когда к этому терминалу нужно будет переезжать, то я предположу, что для большинства, которые готовы тратить деньги и выискивать точки на границе где старлинк все еще работет будет проще эту самую границу перейти и забыть обо всем этом как о страшном сне.
d3d12
12.03.2026 16:05будет проще эту самую границу перейти и забыть обо всем этом как о страшном сне
Это план "А" )
Areso
12.03.2026 16:05эту самую границу перейти и ...
начнется самое интересное. Где и как найти работу? Как открыть счет в банке без работы, без договора аренды, без долговременной визы? Как получить эту самую визу? Поступить в ВУЗ? Ну, можно еще разочек. Найти работу? Ну, успехов в поисках работы с виза спонсорством, когда таких как вы миллион россиян, и 30 миллионов индусов-пакистанцев за забором.
d3d12
12.03.2026 16:05ИТ-никам в этом плане проще, и нужно этим пользоваться. Лично у меня работа полностью удаленная и не связанная с РФ. Для меня смена локации вообще не повлияет на уровень дохода.
В плане виз - да, сложно. Европу и США я сразу вычеркиваю, там последнее время какой то мрак в этом отношении. Но, к счастью, мир не ограничивается этими локациями.
Aldrog
12.03.2026 16:05В плане виз - да, сложно. Европу и США я сразу вычеркиваю
США понятно, а с Европой что не так? Тут сейчас в очень многих странах есть варианты а-ля digital nomad, для которых достаточно подтвердить только наличие дохода. Плюс есть специальные компании, которые удалёнщикам за разумные деньги ведут бухгалтерию и оформляют местное трудоустройство.
d3d12
12.03.2026 16:05Как написал человек выше, начинается - счет в банке (которые россиянам не открывают, а открытые - блокируют), виза, ВНЖ, аренда, которую не дадут без счета и ВНЖ...
Aldrog
12.03.2026 16:05Со счетами в банках нет проблем при наличии контракта с местным работодателем либо европейского ВНЖ. Если работодатель не местный, то и без местного банка можно обойтись.
ВНЖ для удалённой работы, как я уже писал, во многих странах есть.
С арендой вообще не понимаю, какие могут быть проблемы. Разве что оплату наличкой местами постепенно прикрывают, но с иностранного банка ничего не мешает за неё переводить.
P.S. от страны к стране, конечно, всё сильно разнится, вышесказанное точно справедливо для Кипра и Германии, про несколько других стран на уровне слухов знаю, что ситуация похожая.
d3d12
12.03.2026 16:05Даже с ВНЖ блокируют счета, Revolut тут недавно.
Но спасибо за информацию, буду рассматривать эти варианты.
Aldrog
12.03.2026 16:05У меня есть Revolut. Блокировали из-за истёкшего ВНЖ, после отправки фото заявки на продление оперативно разблокировали. Так что история не очень приятная, но и ничего критичного не случилось.
arielf
12.03.2026 16:05У хорошего специалиста этих вопросов нет. Просто будьте ценны своей новой родине. :3
Моя коллега биоинженер 26 лет уехала на стажировку в Японию в 2025. И её уже взяли в аспирантуру в университет мирового уровня. Потому, что она им понравилась. Вот и всё.
tatyana_oz1983
12.03.2026 16:05Когда маскировка идеальна на входе, нейросети смотрят на то, что происходит дальше, и XHTTP с разделением на отдельные транзакции выглядит логичным. Про выбор SNI добавлю - важен не только ASN, но и типы контента.
0ka
12.03.2026 16:05На тспу нет нейросетей
tatyana_oz1983
12.03.2026 16:05Исследования по детекции обходных протоколов ведутся. Термин "нейросети" - скорее упрощение, чем техническая реальность. Основная дискуссия не про инструменты ТСПУ, а про то, что даже идеальная маскировка входа не спасает при аномальном поведении трафика.
00Kirill00
12.03.2026 16:05Выглядит как лютая смесь машинного перевода ридмишек с гитхаба и галлюцинаций нейронки...
Половина инфы про то как Reality завершает сессию на серверах Apple технически неверна в корне
vas1k
12.03.2026 16:05Подброшу промпт переписывания на человеческие языки) От автора блога, где уже хрен отличишь, то есть что-то точно работает:
Короткая версия промта:
Отредактируй текст и убери нейрояз: пафос, канцелярит, «не X, а Y», рубленые фразы, лишние тире, кавычки и слово «это». Сделай текст простым, живым и разговорным.
Длинная версия:
Отредактируй текст ниже и убери из него нейрояз.
Правила редактирования:
Убери пафосные вводные конструкции вроде «в современном мире», «в условиях быстро меняющейся реальности», «на сегодняшний день» и подобные.
Убери негативный параллелизм и псевдодраму:
«не просто…, а…»,
«это не…, это…»,
«не X, а Y».Избавься от рубленых предложений подряд. Текст должен течь естественно, как разговорная речь.
Минимизируй использование длинных тире. Используй их только там, где они действительно нужны.
Убери лишние кавычки. Оставляй кавычки только там, где без них невозможно.
Уменьши количество слова «это». Перепиши фразы так, чтобы текст звучал естественно.
Убери искусственные списки вроде «во-первых, во-вторых, в-третьих», если они не нужны.
Удали канцелярские конструкции:
«данный подход»,
«имеет важное значение»,
«позволяет повысить эффективность».Убери пустые экспертные фразы:
«важно отметить»,
«следует учитывать»,
«таким образом можно сделать вывод».Избавься от гиперобобщений:
«каждый предприниматель»,
«в современном бизнесе»,
«в наше время».Упростить избыточные формулировки. Вместо «эффективная стратегия устойчивого роста» пиши просто и понятно.
Сделай текст живым: добавь разговорную интонацию, естественные переходы и простые формулировки, как если бы автор писал сообщение знакомому.
Сохрани смысл текста, но перепиши его так, чтобы он звучал как человеческий, а не как текст нейросети.
Moog_Prodigy
12.03.2026 16:05Вы чего, большинство таких высеров пишутся простым промптом "напиши статью на Хабр про вот это вот". И пишут обычно люди недалекие, не способные даже задать системный промпт, даже скопировать его откуда-то. И они берут числом, а не умением, вот в этом и беда.
ThingCrimson
12.03.2026 16:05Хорошие правила, надо и свои тексты на них будет проверять. Пункты 9 и 10 со школы ещё засели, когда хотелось себе авторитетности подбавить. А вот типографские тире использовал и буду использовать — не злоупотребляя, разумеется, но где положен M-dash, то он и будет, а не дефис.
0ka
12.03.2026 16:05Статья кажется полностью скопирована из ии чата у которого галюны. Это просто куча бреда про блокировки которых не существует. Кажется автор не сделал ни 1 теста в реальных условиях.
"Зайди на scrapfly.io/web-scraping-tools/ja3-fingerprint из обычного Chrome и запомни хэш. Теперь подключись через Xray без параметра fingerprint и зайди снова. Хэши будут разными" - автор видимо сам не заходил по своим ссылкам, прокси клиент абсолютно никак не влияет на тлс отпечаток браузера, его невозможно изменить без слома шифрования.
"Если предыдущие слои дали неопределённый результат — система отправляет к серверу разведчика. Пробует поговорить на HTTP, HTTPS, разных версиях TLS. Если сервер ведёт себя как легитимный веб-сайт — пропускает. Если не отвечает или отвечает нетипично — блокировка." - ркн уже занимались актив пробингом в прошлом для блокировки whatsapp, но ТСПУ этим не занимается.
"Xray без fingerprint: chrome использует Go-стандартную TLS-библиотеку" - нет, xray по дефолту использует chrome.
"Рукопожатие идеальное. Детекция идёт не по нему. Детекция идёт по поведению соединения после него — и здесь Reality ничего не делает. Она маскирует установку соединения, но не маскирует то, что по этому соединению передаётся. Именно поэтому серверы с высокой нагрузкой и активным использованием падают быстрее" - у ТСПУ тупо нет мощностей для такого анализа, даже блокировок просто по количеству трафика я не видел.
"WebSocket... Этот паттерн (HTTP Upgrade + бесконечный поток без характерных HTTP запрос-ответных пар) детектируется давно и надёжно." - ТСПУ никогда не детектил вебсокет (естественно без шифрования, с шифрованием это невозможно).
"Хорошие доноры - speedtest.net" - кажется автор забыл что спидтест заблокирован в рф... имхо хороший донор - ваш собственный домен, если будете ставить чужие то сделаете хрень которую при желании мгновенно задетектят.
"VLESS+Reality без XHTTP. Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе." - бред, реалити в основном работает, но есть 1 блокировка на ТСПУ которая может мешать: блок множества тлс хендшейков (~6) за короткое время (сибирская блокировка), решается сменой транспорта на GRPC или XHTTP c xmux max_connections:1.
runetfreedom
12.03.2026 16:05"VLESS+Reality без XHTTP. Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе." - бред, реалити в основном работает, но есть 1 блокировка на ТСПУ которая может мешать: блок множества тлс хендшейков (~6) за короткое время (сибирская блокировка), решается сменой транспорта на GRPC или XHTTP c xmux max_connections:1.
Хочется добавить, что это настолько шизоидная блокировка, что так же как и 16кб ломает большую часть нормального интернета. Но она легко обходится способом, указанным выше. При этом ее то включают, то откатывают.
tyderh
12.03.2026 16:05ТСПУ никогда не детектил вебсокет (естественно без шифрования, с шифрованием это невозможно).
С шифрованием это в теории возможно примерно тем же путем, как возможен детект TLS в TLS. При условном GET клиент отправляет запрос, получает на него большой ответ. При использовании вебсокетов клиент сначала отправляет Upgrade (относительно маленький пакет), потом получает небольшой ответ (относительно маленький пакет), и только потом начинает обмениваться данными (+ потенциально опять же детект TLS в TLS)
IgorPie
12.03.2026 16:05можно ж наверное и примитивней подлоги ловить, в ip v4 уж точно.
раз в сутки собирать показание счетчиков вида :
целевой айпи сервера ,
что он выдает (icloud /win update) ,
количество клиенских уникальных айпи с ним соединяющихся.
если айпишек по РФ мало, значит что этот icloud "для меня и мамы"
иитого, публичные квн можно ловить по айпи, частные - по частотному/статистическому анализу.
ну и, в целом построить таблицу на условных 4ккк адресов и оценивать уровень "безопасности" каждого дело нехитрое. с v. 6 вот все сложнее
xFFFF
12.03.2026 16:05Берём бесплатный домен третьего уровня на любом подходящем сервисе, например в Dynu, sslip.
Настраиваем получение TLS-сертификата через Let’s Encrypt.
Настраиваем Lighttpd для отдачи статической HTML-страницы. Старичку сделайте сами, или попросите Чат Гпт.
Настраиваем VLESS в режиме self-steal.
Готово! Ваш VPN-сервер защищён от обнаружения DPI, в том числе с помощью активного зондирования и других методов.
Chris1337
12.03.2026 16:05Ещё бы как-то совместить это с xhttp.
Настройка fullback в 3x-ui есть только с транспортом tcp, который периодически могут блокировать. В таком случае толку от селфстила нет никакой.
0ka
12.03.2026 16:05готово, и ничего против сибирской блокировки (блока после множества тлс хендшейков за короткое время), которую уже постепенно раскатывают на моб сетях в других регионах
вот кстати тестер https://77.223.98.115.nip.io:47443/flood.html и хочу написать статью (на подверженых сетях success зависает на ~12 и все остальные запросы - failed)
xFFFF
12.03.2026 16:05Спокойно проходится этот тест) С ВПН получаю Success: 100, без него - Success: 24, или меньше.
Jban
12.03.2026 16:05Господа, а никто не раздумывал, можно ли пойти от обратного?
В статье мы видим:...несколько последовательных слоёв проверки, каждый дороже предыдущего по вычислительным ресурсам...
А что если допустить существование общедоступного широким массам прогреватора эркаэна? То есть разворачивать такой трафик между точками, который будет выглядеть для этой системы лишь немношк подозрительным, дабы эти самые супердорогие мощности тратились на прогрев
гоевэтой волшебной стоечки с оборудованием. А дальше дело техники, буквально бытовой техники и мобильной электроники, на мощностях которой можно обеспечить нагрузочное тестирование 24/7/365.
Насколько это реализуемо и законно?
Polunochnik
12.03.2026 16:05Есть еще один из вариантов. Метод его воздействия, мгновенно и сразу освобождает трафик от скверны: Требования к установке ТСПУ включают "обеспечение защиты от несанкционированного доступа" . Это признание того, что физическая безопасность — это проблема. В типовой схеме байпас стоит перед всем комплексом. Именно он держит линк оператора . Физическая проверка байпаса на фактор стресса, гарантирует отказ всей душегубской системы.
Loundy
12.03.2026 16:05К статье есть серьёзные вопросы.
Реальное iCloud-соединение от iPhone имеет характерный паттерн: конкретные API-эндпоинты, характерные тайминги, специфичные заголовки. VLESS-туннель с произвольным трафиком ведёт себя иначе: постоянный двунаправленный поток без пауз, нетипичные размеры пакетов, никаких iCloud API-запросов.
Каким образом можно определить API-эндпоинты, если путь, заголовки, параметры и тело запроса зашифрованы и стороннему наблюдателю виден только SNI?
WebSocket умер по конкретной причине: соединение начинается с HTTP Upgrade, после чего переходит в постоянный двунаправленный поток без характерных HTTP запрос-ответных пар. Этот паттерн детектируется давно и надёжно.
Вовсе он и не умер. WS/HTTPUpgrade-транспорт работает до сих пор. А причина его потенциальной уязвимости кроется главным образом в alpn HTTP/1.1, что при использовании CDN может быть подозрительным (по умолчанию они работают по HTTP/2 и HTTP/3, если поддерживается браузером). Подчеркиваю: может быть. Мне неизвестно ни об одном случае блокировки по этому признаку.
XHTTP разделяет восходящий и нисходящий трафик на отдельные HTTP-транзакции
Непонятно, о каких транзакциях идёт речь. Если о HTTP-запросах, то режим stream-one создаёт только один. Если про разделение нисходящего и исходящего потоков, то это работает только при дополнительной настройке.
packet-up— <...> Стартовый выбор по умолчанию.Неправда. По умолчанию сервер принимает все три режима. А поведение клиента зависит от параметров TLS и alpn.
stream-up— <...> Быстрее, но не проходит через все CDN и реверс-прокси. Для прямого соединения без CDN.Первое утверждение противоречит второму. Если некоторые CDN (в том числе самая популярная — Cloudflare) поддерживают этот режим, зачем безапелляционно утверждать, что он предназначен только для прямого соединения?
stream-one— <...> Медленнее, но единственный режим совместимый с XTLS-Vision.Снова неправда. XTLS-Vision поддерживается всеми режимами xHTTP (и другими транспортами) при включении VLESS Encryption. (Но TLS-in-TLS будет устранён только при использовании RAW (TCP)-транспорта с TLS 1.3).
Nginx для stream-one требует конкретных директив: ...
Достаточно
grpc_passВерсии Xray на клиенте и сервере обязаны совпадать. Несовпадение даёт либо глюки, либо полную неработоспособность без понятных ошибок. Это не «желательно» — это условие работоспособности.
Это отнюдь не условие работоспособности. Версии могут быть разными. Более того, насколько мне известно, во VLESS реализован механизм обмена информацией о версиях ядра клиента и сервера и функционал подстраивается под это соотношение. Да, отсутствие некоторых функций на одной стороне может привести к невозможности подключения, но далеко не всегда.
Ну и напоследок про таблицу. Сначала вы пишете про IP/ASN несоответствие, а потом называете связку VLESS + XHTTP + Reality «лучшей из доступных», даже лучше сервера со своим собственным доменом. Хотя в таком случае проблема несоответствия домена IP-адресу сохраняется.
Далее в таблице указано, что xHTTP работает через CDN только в режиме packet-up, что не соответствует действительности: функционально это поддерживается каждым из режимов. Packet-up лишь обеспечивает максимальную совместимость со всеми CDN.
По неизвестной причине TLS-отпечаток в конфигурации VLESS + xHTTP без Reality у вас удостоился лишь звания «хорошего», хотя utls работает одинаково и с ним, и без. Про XTLS-Vision уже писал.
Но самое удивительное, что вы заявляете о частичной поддержке работы через CDN конфигурацией VLESS + XHTTP + Reality. Это исключено. Reality никоим образом не может проходить через CDN, это противоречит принципу его работы.
Складывается ощущение, что ИИ принял самое непосредственное участие в написании этой статьи, потому что человек, который ознакомился с документацией, не допустил бы таких глупых ошибок.
y_u_h
12.03.2026 16:05//OFFTOP
Коллеги, а обсуждается ли где-то противовес ркп в юридическом поле? Ибо понятно, что блохировки ровненько ложатся в подготовленное правовое русло. Как-то его надо менять, поворачивать вспять - такой движ хоть где-то наличествует? Ну, например прировнять доступ в интернет к воздуху, как базовой потребности то есть... Бороться с исполнителем сложно, однажды можно оказаться в кабинете, из которого Колыму видно - это ежу понятно...
Arn984575
12.03.2026 16:05Не знаю, у меня когда VPN забанили, на починку ушло часа три-четыре, и то во многом потому, что я просто не ожидал такого сценария. В целом кажется, что при нынешнем тренде борьбы с обходами власти могут со временем прийти не к бесконечной блокировке VPN, а к модели, где внешний интернет фактически закрыт, а доступ к нему идёт через единый государственный шлюз или VPN по заявке — то есть контролируемый выход во внешний интернет из страны. Но тогда возникает вопрос соответствия такой модели Конституции РФ: например, статье 3, где говорится, что носителем власти является народ, и статье 29 пункту 5, где закрепляется свобода массовой информации и запрет цензуры; поэтому выглядит странно, что решения, которые могут затрагивать эти принципы, принимаются так, будто позиция отдельных органов автоматически равна позиции всего народа.
andrej2k1
12.03.2026 16:05Я дико извиняюсь за оффтопик. В чем автор рисует диаграммы? Мне понравилось.
cyberscoper Автор
12.03.2026 16:05Я использую, https://labs.google/fx/ru/tools/flow
Хороший инструмент в правильных руках — возможно нужна подписка.
joker2k1
12.03.2026 16:05у меня на ростелекоме винда с vless никак не работает (hiddefy, nekoray). А вот мак через shadowrocket - отлично.
Alexinthecold
>Но в 2025 году в Санкт-Петербургском политехническом университете была защищена работа именно по детекции XTLS-Reality.
это не ее на хабре недавно разбирали что там треш?
> нейросеть на стороне РКН
откуда вы это все берете? =)
cyberscoper Автор
Авторы детектировали Reality в лабораторных условиях на собственном трафике, с заранее известными параметрами. В реальных условиях с правильно настроенным Reality и нормальным SNI-донором их метод не работает так как заявлено. Работа скорее академическая аля мы попробовали, чем «вот боевой детектор»
Я использовал её как подтверждение что такие исследования ведутся это правда, статья не открыта в общий доступ - шарить не могу, но имеются и по shadowsocks.
https://elib.spbstu.ru/dl/3/2025/vr/vr25-3961.pdf/en/info
По нейросетям в ТСПУ тут не конкретный факт а общий фон. РКН публично заявлял о планах использовать ML для детекции VPN это есть в СМИ. Плюс есть целый класс коммерческих DPI-движков которые ML используют прямо сейчас тот же R&S PACE 2 от ipoque, который комбинирует kNN, decision tree, CNN и LSTM для классификации зашифрованного трафика в реальном времени, с еженедельными обновлениями сигнатур. Это не гипотеза это продукт который реально продаётся телеком-операторам и встраивается в их инфраструктуру. Использует ли его ТСПУ конкретно не знаю, документов очевидно - нет.
Onito
“Авторы детектировали”. Интересно, эти «авторы», считают что делают что-то хорошее или им просто плевать?
zbot
вероятно они не собираются тут жить.
P.S. либо они придерживаются принципа - «Pire ça va, mieux ça est» при этом мимикрируя под патриотов и добросовестных исполнителей.
RulenBagdasis
Есть большое количество обманутых пропагандой людей, которые считают, что "делают что-то хорошее" и борятся с натой.
Mike_St
и каждый обманутый уж себя-то не считает обманутым, и уверен, что это другие обмануты, а он - нет, но пишет, что "Есть большое количество обманутых пропагандой людей"
MAXH0
Если Вы умеете применять этот тезис в том числе и к себе, то считаем рекурсию свершившейся. Осталось найти ту максиму, которая позволит корректно сформулировать базис рекурсии.
avidhare
Наблюдение обманутого объекта не исключает что наблюдатель не обманут.
Все люди отличаются степенью и направлением, в котором они обмануты.
dshev3
Как там борьба с натой?
Alesh
Не будет своих, из той же наты, за хорошее вознаграждение сделают "что-то хорошее" вообще без каких либо проблем, еще будут гордится, что поучаствовали в изоляции нехороших от интернета. Так чта ..
RulenBagdasis
О, у борцунов с натой пригорело, пошли карму минусить )))
Gansterito
"У них кредиты". Всё покупается за деньги, в том числе лояльность. Человек умеет приспособляться, поэтому любой когнитивный диссонанс со временем рассасывается, задачи становятся интереснее, а там и повышение после ревью, премия за успешную
блокировку Tgвыкатку релиза!vadimk91
Один наш местный бизнесмен (широко известный в узких кругах, поэтому не буду называть его имя) в свое время вывел свой бизнес в Прибалтику и писал на местных форумах такое. что им активно занимались отечественные силовые структуры. И вот вдруг ("а что случилось-то?") его производство возрождается в нашем городке, делает нечто "правильное", а его мнение меняется на 180 градусов.
dartraiden
Было такое оппозиционное издание "Ридовка". И вот, с началом войны оно полностью разворачивается и становится максимально провластным, начинает буквально купаться в деньгах. Итог, правда, печален: главред нынче сидит в СИЗО по обвинению в растрате дохреналлиарда денег.
Sanitir
Стрaнный пример, "издание" это просто вывеска, там не люди переобулись, а:
Однако в 2021 году, после смены редакторского состава Ридовка приобрела явно про-кремлевскую ориентацию (слухи приписывают захват Ридовки Приго.....
dartraiden
Главный редактор с момента основания и до 2025 года не менялся. И в конце 2021 ещё публиковались критические материалы:
Yuriy_krd
Ну... есть некоторая группа людей, которой просто интересно что-либо сделать (и я это поддерживаю), но, при этом, они не задумываются о последствиях (а вот эту сторону я уже не поддерживаю)...
boorrdenis
Авторам с вами детей не крестить же? Полагаю и вам своих с ними.
maertor
Если, конечно, эта статья не фейк от ИИ, то в ней прямо указано, что детекция произошла в рамках исследовательской студенческой работы. А если ты студент курса по защите информации, то это твоя прямая обязанность как специалиста - детектировать защищенные соединения и препятствовать их распространению, нет? В этом свете штампованные мнения в комментариях выше про пропаганду звучат как абсолютный бред
arielf
Нет. Никаких обязанностей у учёного быть не может. Выпускник имеет право решить сам, что ему больше интересно.
Но, если уж говорить про защиту информации, то по моему мнению логичным было бы проектировать новые устойчивые к взлому протоколы, а не помогать блочить уже существующие. Мы же про защиту информации говорим, верно?
kernelMriN
про защиту населения от информации ;)
zakker
не подскажете, как shadowsocks детектится? Там весь траффик с самого первого байта - рандом (первые 32 байта - реальный рандом, а дальше от рандома визуально мало чем отличается). Моё предположение - считают энтропию и если видят рандом - в блок. А может и тупо - неизвестная сигнатура на непойми каком порту за границу - блок.
MiracleUsr
Чаще всего тупо так
nlykl
А почему тогда не блокируют AmneziaWG?
RulenBagdasis
Блокируют.
ZirakZigil
Надо бы уточнить, имели товарищ ввиду конкретно wg от амнезии, или просто так амнезию как таковую записал. Потому что у меня на амнезии OVPN over SS работает и работал.
@nlyklуточните, пожалуйста.
nlykl
Протокол AmneziaWG, который на основе Wireguard.
RulenBagdasis
У меня сама амнезия, развёрнутая на vps с протоколом AmneziaWG работала, а потом перестала. Переключился на XRay, но там тоже то работает, то нет.
MiracleUsr
Во-первых блокируют, во-вторых оно по UDP, а не TCP, там могут быть разные правила фильтрации, а в третьих в AWG2.0 совсем другой метод маскировки
nlykl
Теперь стало понятно. Не рандомные данные, а маскировка под реальный UDP-протокол.
Arlekcangp
Я так понимаю, блокируют только те сервера, которые генерят траффик больше Х гигабайт за период времени. У меня друг и еще несколько человек сидит до сих пор за обычным open VPN и его не блокируют... Но как я понимаю это вопрос времени. Нарастят мощности железа тспу и планка Х гигабайт снизится.
Alexinthecold
>Моё предположение - считают энтропию и если видят рандом - в блок.
так и есть насколько я знаю. "детект" в плане неопознанный белый шум- блок
00Kirill00
Там не только энтропия решает, они смотрят на распределение размеров пакетов в первые секунды жизни сокета, у SS там очень специфичный паттерн
MiracleUsr
в ss-2022 это же поправили вроде, не?
zakker
я изучал подробно вопрос (у меня есть самописный shadowsocks сервер и клиент), экспериментируя с разными длинами пакетов. Выяснил, что сервер тупо не получает самый первый пакет. Т.е. решение о блокировке принимается только на основе содержимого пакета, т.е. по сути фильтр детектит белый шум и не пускает его.
0ka
когда только начали блочить ss на моб сетях, то блочились только соединения внутри которых был https, http/ssh проходили без проблем (я про трафик внутри ss, не про маскировку ss под что-то). у вас вообще любые пакеты не проходят?
zakker
Да, соединение есть (в логи пишет, что соединилось), но далее тишина и отвал по таймауту.
0ka
как же оно соединилось если вы писали что отбрасывается даже 1 пакет?...
zakker
ну syn и ack пакеты не отбрасываются, т.е. tcp соединение устанавливается. А вот первый же пакет с данными от клиента не доходит.
runetfreedom
Я прочитал уже множество таких работ, часть даже подробно комментировал тут и на NTC форуме. Все они сводятся к тому, что автор берет древнюю версию xray с известной уязвимостью, пишет заведомо ошибочную конфигурацию (к примеру VLESS без VISION/XHTTP) с самыми наивными настройками (без мусора, паддингов, мултиплексирования и тд) и что-то там "детектирует" вероятностью процентов в 60-70. Ну то есть запустив такое получится положить весь интернет из-за ложноположительных срабатываний, но не туннели.
Как-то очень наивно думать, что в Китае с их бюджетами не смогли задетектировать, в Иране не смогли задетектировать, а студент магистратуры скриптом на питоне раз и задетектировал.
По планам мы уже начинаем освоение Венеры, ну сразу после Луны
А в реальность сфера ML и тем более AI в стране находится мягко говоря не в лучшем состоянии. Мы заметно отстаем тут, к сожалению. Учитывая смешные по меркам этой индустрии бюджеты и отсутствие базы для этого, рассказы про ML в ТСПУ заставляют только усмехнуться.
Это не говоря о том, что исходя из слитой документации ТСПУ, у модуля фильтрации (EcoFilter) не хватает вычислительных ресурсов даже на анализ QUIC, удачи им запустить там ML модель.
Вообще, чем распространять откровенную дезинформацию, лучше бы рассказали о реальных угрозах вроде 16КБ блокировках, триггер блоках отдельных хостеров и прочие ковровые бомбардировки интернета.
AnGord
Это что то полезное не осиливают. А сделать гадость ближнему и не очень это всегда пожалуйста - в эту сторону мозги всегда работают лучше у определенной категории людей.
Rastler
Практика как раз и показывает, что методы самые актуальные из конца поста. Вы правы.
В результате у Ростелекома практически не работает ничего из "законного", за редким исключением. Так что, описанные в статье методы блокировок далеки от реальности. Но активное "зондирование" освоили в рамках Hetzner.
EspritDeCorps
Спасибо за разъяснение. Тоже скептически отнесся, особенно после очередных заявлений о нейронке, в которые все верят.
maertor
Оттуда же, откуда взят весь текст - от ИИ. Статья написана типичный нейросетевым языком, с типичными оборотами и сокращениями ИИ
edgod
Это не автор берёт, это его llm