پروتکل VMess در V2Ray؛ از ساختار رمزنگاری تا دلایل کنار رفتنش

اگر تا به حال نام V2Ray به گوش‌تان خورده باشد، احتمالاً با اولین پروتکل اختصاصی آن یعنی VMess هم برخورد کرده‌اید. برای پاسخ به این پرسش که VMess چیست، باید کمی به عقب برگردیم؛ به زمانی که ابزارهای عبور از سانسور تنها بر رمزنگاری ساده تکیه داشتند و به‌سادگی شناسایی می‌شدند. VMess با معرفی یک سازوکار احراز هویت مبتنی بر شناسه یکتا و رمزنگاری سفارشی، تلاش کرد ترافیک را چنان درهم بپیچد که از نگاه سامانه‌های بازرسی عبور کند. در این مقاله ساختار درونی این پروتکل، نقش UUID، نقاط قوت و ضعف آن و این‌که چرا نسخه‌های جدید V2Ray به‌تدریج از آن فاصله گرفته‌اند را به زبانی دقیق اما روان بررسی می‌کنیم.

VMess دقیقاً چیست و از کجا آمد؟

VMess یک پروتکل لایه‌ی کاربردی است که در سال ۲۰۱۵ به‌عنوان قلب پروژه‌ی V2Ray طراحی شد. هدف سازندگان این بود که جایگزینی برای پروتکل‌های قدیمی‌تر مانند Shadowsocks بسازند؛ پروتکلی که نه‌تنها داده را رمزنگاری کند، بلکه خودِ ارتباط را هم پنهان نگه دارد. نام آن از ترکیب «V2Ray» و «Message» گرفته شده و به ساختار پیام‌محورش اشاره دارد.

تفاوت بنیادین VMess با نسل قبل در این بود که هر بسته‌ی ارتباطی شامل یک امضای زمان‌دار و یک شناسه‌ی کاربری منحصربه‌فرد می‌شد. به‌بیان ساده، سرور تنها زمانی پاسخ می‌داد که مطمئن می‌شد درخواست از یک کاربر معتبر و در بازه‌ی زمانی درست رسیده است. این رویکرد باعث شد VMess برای سال‌ها به استانداردِ عملیِ ابزارهای دور زدن فیلترینگ تبدیل شود و اکوسیستمی بزرگ از کلاینت‌ها حول آن شکل بگیرد.

نقش UUID؛ کلید هویت در VMess

ستون فقرات احراز هویت در VMess یک UUID (شناسه‌ی یکتای جهانی) است؛ رشته‌ای ۱۲۸ بیتی که معمولاً به شکل پنج بخش جداشده با خط تیره نمایش داده می‌شود، مثل b831381d-6324-4d53-ad4f-8cda48b30811. این شناسه نقش نام کاربری و رمز عبور را هم‌زمان بازی می‌کند و باید روی سرور و کلاینت کاملاً یکسان باشد.

سازوکار کار به این صورت است که کلاینت با استفاده از UUID و زمان جاری یک کد احراز هویت می‌سازد و آن را در ابتدای هر اتصال می‌فرستد. سرور همان محاسبه را انجام می‌دهد و اگر نتیجه مطابقت داشت، ارتباط را می‌پذیرد:

• یکتایی: احتمال تولید دو UUID یکسان عملاً صفر است، بنابراین هر کاربر هویتی جداگانه دارد.
• وابستگی به زمان: کدهای احراز هویت تنها در یک پنجره‌ی زمانی کوتاه (به‌طور پیش‌فرض حدود ۹۰ ثانیه) معتبرند تا حملات بازپخش دشوار شود.
• بدون انتقال رمز: خودِ UUID هرگز به‌صورت خام روی شبکه فرستاده نمی‌شود؛ تنها مقدارِ مشتق‌شده از آن منتقل می‌گردد.

به همین دلیل همگام بودن ساعت سرور و دستگاه کاربر اهمیت زیادی دارد؛ اختلاف زمانی چند دقیقه‌ای می‌تواند اتصال را به‌کلی ناممکن کند.

ساختار بسته و رمزنگاری VMess

برای درک عمیق‌تر از این‌که چرا رمزنگاری VMess در زمان خود پیشرو بود، باید نگاهی به آناتومی یک بسته بیندازیم. هر درخواست VMess از دو بخش اصلی تشکیل می‌شود: یک سرآیند (Header) رمزنگاری‌شده و بدنه‌ی داده.

سرآیند حاوی اطلاعاتی مانند نسخه‌ی پروتکل، دستور (مثلاً اتصال TCP یا UDP)، آدرس مقصد، پورت و مهم‌تر از همه کلید و IV (بردار اولیه) رمزنگاری بدنه است. این سرآیند با کلیدی که از UUID مشتق می‌شود محافظت می‌گردد. بدنه‌ی داده سپس با الگوریتم‌هایی مانند AES-128-GCM یا ChaCha20-Poly1305 رمز می‌شود که هر دو از نوع رمزنگاری احرازشده (AEAD) هستند و علاوه بر محرمانگی، یکپارچگی داده را هم تضمین می‌کنند.

نکته‌ی کلیدی این است که VMess هیچ الگوی ثابت و قابل‌تشخیصی در ابتدای ارتباط ندارد؛ از دید یک ناظر بیرونی، ترافیک شبیه جریانی از داده‌های تصادفی به نظر می‌رسد. همین ویژگی، شناسایی مبتنی بر امضا را برای سامانه‌های فیلترینگ سخت می‌کرد. در نسخه‌های جدیدتر، VMess به حالت AEAD کامل ارتقا یافت تا ضعف‌های نسخه‌ی قدیمی‌تر که از هش MD5 استفاده می‌کرد برطرف شود.

ترکیب با لایه‌های انتقال و استتار ترافیک

قدرت واقعی VMess زمانی آشکار می‌شود که آن را با لایه‌های انتقال مختلف ترکیب کنیم. VMess خودش فقط بخش احراز هویت و رمزنگاری را بر عهده دارد و می‌تواند روی بستری از پروتکل‌های گوناگون سوار شود:

• TCP خام: ساده‌ترین حالت، مناسب برای شبکه‌های کم‌فشار.
• WebSocket: ترافیک را شبیه یک ارتباط وب معمولی می‌کند و امکان عبور از پشت CDN را فراهم می‌سازد.
• mKCP: برای کاهش تأخیر و بهبود تجربه در شبکه‌های پرافت.
• HTTP/2 و gRPC: گزینه‌هایی مدرن‌تر که ترافیک را در قالب پروتکل‌های پرکاربرد پنهان می‌کنند.

افزودن یک لایه‌ی TLS روی این انتقال‌ها باعث می‌شود ارتباط از بیرون دقیقاً مانند یک بازدید عادی از یک سایت HTTPS دیده شود. همین انعطاف، VMess را به ابزاری چندمنظوره تبدیل کرد. البته باید توجه داشت که پایداری نهایی یک اتصال بیش از پروتکل، به کیفیت زیرساخت و آی پی پشت آن وابسته است؛ به همین دلیل بسیاری از کاربران ترجیح می‌دهند به‌جای سرورهای اشتراکی شلوغ، از یک پلن‌های آی پی ثابت اختصاصی استفاده کنند تا کیفیت و پایداری ارتباط تضمین شود.

مزایا و محدودیت‌های VMess

مانند هر فناوری دیگری، VMess هم نقاط قوت و ضعف خاص خود را دارد. شناخت این‌ها به انتخاب آگاهانه کمک می‌کند.

مزایا:

• احراز هویت قوی و مبتنی بر UUID که جعل هویت را دشوار می‌کند.
• رمزنگاری احرازشده (AEAD) برای تضمین محرمانگی و یکپارچگی.
• انعطاف بالا در ترکیب با انواع لایه‌های انتقال و استتار TLS.
• اکوسیستم بزرگ و پشتیبانی گسترده در کلاینت‌های مختلف.

محدودیت‌ها:

• سربار محاسباتی: فرایند رمزنگاری و امضای هر بسته به منابع پردازشی بیشتری نیاز دارد و می‌تواند روی دستگاه‌های ضعیف کندی ایجاد کند.
• حساسیت به زمان: ناهماهنگی ساعت دستگاه‌ها به‌سرعت اتصال را قطع می‌کند.
• پیچیدگی پیکربندی: تنظیم درست همه‌ی پارامترها برای کاربران تازه‌کار دشوار است.
• ردپای قابل‌تحلیل: برخی روش‌های پیشرفته‌ی تحلیل ترافیک توانسته‌اند الگوهای آماری VMess را تا حدی تشخیص دهند.

چرا V2Ray به‌سمت VLESS رفت؟

با گذر زمان، توسعه‌دهندگان V2Ray به این نتیجه رسیدند که بخشی از پیچیدگی VMess دیگر ضروری نیست. رمزنگاری داخلی VMess در عمل با لایه‌ی TLS بیرونی هم‌پوشانی پیدا می‌کرد؛ یعنی داده دو بار رمز می‌شد و این یعنی هدر رفتن منابع. از دل همین بازنگری، پروتکل VLESS متولد شد.

VLESS یک نسخه‌ی سبک‌شده است که رمزنگاری داخلی را کنار گذاشته و این وظیفه را کاملاً به TLS می‌سپارد. این تصمیم چند نتیجه‌ی مهم داشت: کاهش سربار پردازشی، حذف وابستگی به همگام‌سازی زمان و سازگاری بهتر با فناوری‌های نوین مانند XTLS و Reality که استتار را به سطح بالاتری می‌برند. به همین دلیل امروز بسیاری از پیکربندی‌های حرفه‌ای به‌جای VMess از VLESS بهره می‌برند.

با این حال، VMess هنوز منسوخ نشده و در بسیاری از سناریوها به‌خوبی کار می‌کند، به‌ویژه جایی که نیاز به رمزنگاری مستقل از لایه‌ی انتقال باشد. اگر قصد دارید این پروتکل‌ها را عملاً تجربه کنید، می‌توانید با مراجعه به صفحه‌ی آموزش اتصال مراحل راه‌اندازی را گام‌به‌گام دنبال کنید و کانفیگ مناسب خود را روی یک آی پی پایدار اجرا کنید.

پرسش‌های متداول

آیا VMess هنوز امن است یا باید سراغ VLESS بروم؟

VMess در نسخه‌ی AEAD همچنان از نظر رمزنگاری امن محسوب می‌شود و برای اغلب کاربران کافی است. اما اگر به دنبال کمترین سربار و بهترین استتار با فناوری‌هایی مثل Reality هستید، VLESS انتخاب به‌روزتری به شمار می‌رود.

چرا اتصال VMess من گاهی برقرار نمی‌شود؟

شایع‌ترین دلیل، ناهماهنگی ساعت دستگاه شما با سرور است. VMess برای احراز هویت به زمان دقیق وابسته است؛ ابتدا ساعت و تاریخ سیستم را روی حالت خودکار تنظیم کنید و سپس دوباره امتحان کنید.

UUID در کانفیگ VMess چه کاری انجام می‌دهد؟

UUID نقش شناسه‌ی یکتای کاربر را دارد و باید روی سرور و کلاینت یکسان باشد. این شناسه پایه‌ی احراز هویت است و در عمل جای نام کاربری و رمز عبور را می‌گیرد؛ بنابراین باید آن را محرمانه نگه دارید.

آیا برای استفاده از VMess به آی پی ثابت نیاز دارم؟

خود پروتکل به آی پی ثابت وابسته نیست، اما داشتن یک آی پی اختصاصی و پایدار، کیفیت، سرعت و دسترس‌پذیری اتصال را به‌مراتب بهبود می‌دهد و از قطعی‌های ناشی از سرورهای اشتراکی شلوغ جلوگیری می‌کند.

تفاوت اصلی VMess و Shadowsocks چیست؟

Shadowsocks سبک‌تر و ساده‌تر است و تنها بر رمزنگاری تکیه دارد، در حالی که VMess با افزودن احراز هویت مبتنی بر UUID و سرآیند پیچیده، شناسایی ترافیک را دشوارتر می‌کند و انعطاف بیشتری در لایه‌های انتقال ارائه می‌دهد.