چرا پروتکل‌های مبتنی بر TLS سخت‌تر فیلتر می‌شوند؟

Q: تفاوت اصلی Reality و Trojan در چیست؟

هر دو ترافیک را شبیه HTTPS میکنند، اما Trojan به دامنه و گواهی TLS اختصاصی شما نیاز دارد، در حالی که Reality خود را پشت یک دامنهی معتبر شخص ثالث پنهان میکند و نیازی به گواهی و دامنهی اختصاصی ندارد. همین موضوع Reality را در برابر کاوش فعال مقاومتر میکند.

Q: آیا پروتکلهای TLSمحور سرعت اتصال را کم میکنند؟

رمزنگاری TLS سربار بسیار کمی دارد و روی اتصالهای امروزی تقریباً محسوس نیست. عامل اصلی سرعت، کیفیت آی پی، مسیر شبکه و پهنای باند سرور است، نه خود پروتکل TLS.

Q: برای انتخاب پروتکل مناسب چه باید کنم؟

اگر اولویت شما حداکثر پایداری در برابر فیلترینگ است، پروتکلهای TLSمحور مانند Reality و Trojan گزینهی نخست هستند. برای کاربریهای سادهتر یا دستگاههای خاص، WireGuard یا L2TP هم میتوانند مناسب باشند. راهنمای آموزش اتصال نتباز به شما در این انتخاب کمک میکند.

اگر تا به حال از خود پرسیده‌اید چرا برخی اتصال‌ها هفته‌ها پایدار می‌مانند و برخی دیگر در عرض چند ساعت قطع می‌شوند، پاسخ تا حد زیادی در یک عبارت نهفته است: پروتکل TLS. پروتکل‌هایی که ترافیک خود را در قالب یک ارتباط استاندارد و رمزنگاری‌شده‌ی وب پنهان می‌کنند، برای سامانه‌های فیلترینگ تقریباً از یک بازدید عادی از یک فروشگاه اینترنتی یا یک بانک آنلاین قابل تفکیک نیستند. در این مقاله به زبان فنی اما روان توضیح می‌دهیم که TLS دقیقاً چیست، چرا شبیه‌سازی ترافیک HTTPS کار شناسایی را برای فیلترشکن‌شناس‌ها سخت می‌کند، و چرا پروتکل‌هایی مانند Trojan و Reality به استاندارد طلایی پایداری تبدیل شده‌اند.

TLS چیست و چرا کلید ماجراست؟

TLS مخفف Transport Layer Security است؛ همان لایه‌ی امنیتی که پشت هر آدرس https:// در مرورگر شما کار می‌کند. هر بار که وارد ایمیل، درگاه بانکی یا یک شبکه‌ی اجتماعی می‌شوید، داده‌های شما داخل یک تونل TLS رمزنگاری می‌شوند تا هیچ واسطه‌ای نتواند محتوای آن را بخواند. نکته‌ی کلیدی اینجاست: حجم عظیمی از ترافیک سالم و قانونی اینترنت امروز روی TLS جریان دارد.

به همین دلیل وقتی یک پروتکل عبور از فیلترینگ خود را در قالب همان TLS بسته‌بندی می‌کند، عملاً خود را در میان میلیون‌ها اتصال بی‌خطر پنهان می‌کند. سامانه‌ی فیلترینگ نمی‌تواند صرفاً «هر چیزی که شبیه TLS است» را مسدود کند، چون این کار به معنای از کار انداختن بانک‌داری اینترنتی، خرید آنلاین و سرویس‌های ضروری برای کل کاربران است. این هزینه‌ی سیاسی و اقتصادی بالا، همان سپری است که پروتکل‌های TLS‌محور پشت آن سنگر می‌گیرند.

DPI چگونه ترافیک را شناسایی می‌کند؟

برای درک مقاومت TLS باید بدانیم دشمن چطور کار می‌کند. ابزار اصلی فیلترینگ هوشمند، بازرسی عمیق بسته‌ها یا DPI (Deep Packet Inspection) است. DPI به جای آنکه فقط به مقصد بسته‌ها نگاه کند، محتوای آن‌ها را تحلیل می‌کند تا «امضای» پروتکل‌های شناخته‌شده را پیدا کند. سازوکار DPI معمولاً بر چند پایه استوار است:

امضای پروتکل (Fingerprint): هر پروتکل الگوی شروع ارتباط (handshake) و ساختار بسته‌های خاص خود را دارد که مثل اثر انگشت قابل تشخیص است.
تحلیل آماری ترافیک: اندازه‌ی بسته‌ها، فاصله‌ی زمانی میان آن‌ها و الگوی ارسال و دریافت می‌تواند یک تونل را لو بدهد، حتی اگر محتوا رمزنگاری شده باشد.
کاوش فعال (Active Probing): سامانه پس از دیدن یک اتصال مشکوک، خودش یک درخواست به آن سرور می‌فرستد تا ببیند آیا مثل یک سرور واقعی پاسخ می‌دهد یا رفتار یک پروکسی مخفی را نشان می‌دهد.

پروتکل‌های قدیمی‌تر اغلب به یکی از این سه روش لو می‌رفتند. هنر پروتکل‌های نسل جدید این است که هر سه نقطه‌ضعف را همزمان پوشش می‌دهند.

Trojan؛ پنهان‌شدن در دل یک وب‌سایت واقعی

پروتکل Trojan از یک ایده‌ی ساده اما هوشمندانه زاده شد: به جای ساختن یک پروتکل عجیب و قابل تشخیص، چرا خود را دقیقاً شبیه ترافیک HTTPS عادی نکنیم؟ در Trojan، اتصال شما یک TLS handshake کاملاً استاندارد و معتبر برقرار می‌کند، درست مثل وقتی که یک وب‌سایت معمولی را باز می‌کنید. گواهی امنیتی واقعی، نام دامنه‌ی واقعی و رفتار شبکه‌ای واقعی، همه سر جای خود هستند.

زیبایی کار آنجاست که اگر یک سامانه‌ی فیلترینگ بخواهد Active Probing انجام دهد و خودش به سرور سر بزند، با یک وب‌سایت واقعی روبه‌رو می‌شود؛ مثلاً یک صفحه‌ی فرود ساده یا یک سایت شخصی. تنها کسی که کلید و رمز عبور درست را در همان handshake ارائه دهد، به تونل واقعی هدایت می‌شود و بقیه فقط همان سایت بی‌خطر را می‌بینند. به این ترتیب Trojan هم امضای پروتکل و هم کاوش فعال را خنثی می‌کند.

Reality؛ گام بعدی در پنهان‌سازی ترافیک

پروتکل Reality که در خانواده‌ی Xray معرفی شد، یک سطح بالاتر از Trojan ایستاده است. ضعف ظریف روش‌های قبلی این بود که شما به یک گواهی TLS معتبر برای دامنه‌ی خودتان نیاز داشتید و همین گواهی، در صورت بررسی دقیق، می‌توانست نشانه‌ای از مصنوعی‌بودن سرویس بدهد. Reality این مشکل را به شکلی هوشمندانه حل می‌کند.

ایده‌ی محوری Reality این است که در لحظه‌ی دست‌دادن، خود را پشت یک دامنه‌ی واقعی و معتبر شخص ثالث (مثلاً یک سایت بزرگ و شناخته‌شده‌ی جهانی) پنهان می‌کند. ترافیک شما به‌گونه‌ای نمایش داده می‌شود که انگار واقعاً در حال گفت‌وگو با همان مقصد معتبر است و گواهی همان سایت معتبر دیده می‌شود. مزایای این رویکرد عبارت‌اند از:

بی‌نیازی از گواهی و دامنه‌ی اختصاصی: دیگر لازم نیست دامنه بخرید و گواهی TLS تنظیم کنید، که خود نقطه‌ی ضعف را حذف می‌کند.
مقاومت در برابر کاوش فعال: اگر سامانه‌ی فیلترینگ به سرور سر بزند، عملاً به همان سایت معتبر هدایت می‌شود و چیز مشکوکی نمی‌بیند.
عدم نشت اطلاعات handshake: برخلاف روش‌های قدیمی، حتی جزئیات فنی دست‌دادن هم با یک سایت واقعی هماهنگ است.

همین ترکیب باعث شده Reality یکی از پایدارترین گزینه‌ها برای آی پی ثابت باشد. اگر به دنبال یک اتصال باثبات با همین فناوری هستید، می‌توانید پلن‌های آی پی ثابت نت‌باز را بررسی کنید.

چرا فیلترینگ نمی‌تواند به‌سادگی TLS را ببندد؟

تا اینجا روشن شد که پروتکل‌های TLS‌محور خود را شبیه ترافیک عادی می‌کنند. اما چرا سامانه‌ی فیلترینگ نمی‌تواند با یک تصمیم قاطع جلوی آن‌ها را بگیرد؟ پاسخ در یک معادله‌ی هزینه و فایده نهفته است:

تفکیک‌ناپذیری: ترافیک Reality و Trojan از نظر آماری و ساختاری از یک بازدید واقعی HTTPS تقریباً غیرقابل‌تفکیک است. مسدودکردن آن یعنی پذیرش خطای زیاد و قطع سرویس‌های واقعی.
هزینه‌ی جانبی بالا: مسدودسازی گسترده‌ی TLS باعث اختلال در بانک، تجارت الکترونیک و خدمات دولتی می‌شود؛ آسیبی که معمولاً قابل‌قبول نیست.
هدف‌گیری دشوار: چون Reality پشت دامنه‌های معتبر پنهان می‌شود، فیلترینگ برای مسدودکردن آن باید همان سایت‌های معتبر را قربانی کند.

به بیان ساده، پروتکل‌های TLS‌محور فیلترینگ را در یک دوراهی قرار می‌دهند: یا ترافیک ما را آزاد بگذار، یا بخش بزرگی از اینترنت سالم را هم با ما قربانی کن. همین منطق، علت اصلی پایداری بالای این خانواده از پروتکل‌هاست.

آیا TLS‌محور بودن همیشه کافی است؟

هرچند پروتکل‌های TLS‌محور مقاومت چشمگیری دارند، مهم است که با واقع‌بینی به آن‌ها نگاه کنیم. هیچ راهکاری ابدی و صددرصدی نیست و پایداری به عوامل دیگری هم بستگی دارد:

کیفیت آی پی و مسیر شبکه: یک پروتکل عالی روی یک آی پی بی‌کیفیت یا سوخته، نتیجه‌ی خوبی نمی‌دهد. آی پی ثابت اختصاصی و تمیز نقش تعیین‌کننده‌ای دارد.
پیکربندی درست: انتخاب دامنه‌ی پوششی مناسب و تنظیمات صحیح، تفاوت میان یک اتصال پایدار و یک اتصال شکننده است.
تنوع پروتکل: داشتن گزینه‌های متنوع مانند WireGuard، L2TP و OpenVPN در کنار پروتکل‌های TLS‌محور، انعطاف لازم را برای شرایط مختلف فراهم می‌کند.

در نت‌باز تلاش شده این عوامل کنار هم قرار بگیرند تا بیشترین پایداری حاصل شود. برای راه‌اندازی گام‌به‌گام و انتخاب پروتکل مناسب دستگاه خود، می‌توانید از آموزش اتصال کمک بگیرید.

پرسش‌های متداول

تفاوت اصلی Reality و Trojan در چیست؟

هر دو ترافیک را شبیه HTTPS می‌کنند، اما Trojan به دامنه و گواهی TLS اختصاصی شما نیاز دارد، در حالی که Reality خود را پشت یک دامنه‌ی معتبر شخص ثالث پنهان می‌کند و نیازی به گواهی و دامنه‌ی اختصاصی ندارد. همین موضوع Reality را در برابر کاوش فعال مقاوم‌تر می‌کند.

آیا پروتکل‌های TLS‌محور سرعت اتصال را کم می‌کنند؟

رمزنگاری TLS سربار بسیار کمی دارد و روی اتصال‌های امروزی تقریباً محسوس نیست. عامل اصلی سرعت، کیفیت آی پی، مسیر شبکه و پهنای باند سرور است، نه خود پروتکل TLS.

آیا DPI می‌تواند Reality را شناسایی کند؟

شناسایی Reality بسیار دشوار است، زیرا ترافیک آن از یک بازدید واقعی از یک سایت معتبر تقریباً قابل تفکیک نیست و در برابر کاوش فعال هم مقاوم است. به همین دلیل یکی از پایدارترین گزینه‌های فعلی به شمار می‌رود.

برای انتخاب پروتکل مناسب چه باید کنم؟

اگر اولویت شما حداکثر پایداری در برابر فیلترینگ است، پروتکل‌های TLS‌محور مانند Reality و Trojan گزینه‌ی نخست هستند. برای کاربری‌های ساده‌تر یا دستگاه‌های خاص، WireGuard یا L2TP هم می‌توانند مناسب باشند. راهنمای آموزش اتصال نت‌باز به شما در این انتخاب کمک می‌کند.

چرا پروتکل‌های مبتنی بر TLS در برابر فیلترینگ مقاوم‌ترند؟