Zurück zum Blog

Die VLESS+Reality-Handshake-Spezifikation entschlüsselt | Die Evolution der Zensurresistenz jenseits von VMess

Übersicht

In den letzten Jahren haben staatliche Zensursysteme wie die Great Firewall (GFW) durch die Kombination aus Deep Packet Inspection (DPI) und auf maschinellem Lernen basierender Verkehrsmusteranalyse ihre Fähigkeit drastisch verbessert, „VPN-artigen Verkehr" auch im verschlüsselten Zustand anhand statistischer Merkmale zu identifizieren. Bislang dominierende Protokolle wie VMess und OpenVPN sind unter solch fortgeschrittener Inspektion zunehmend von Verbindungsblockaden und Drosselungen betroffen, sodass die Zeit nach einer neuen Generation von Protokolldesigns ruft.

Dieser Artikel erläutert, wie sich das Protokoll VLESS+XTLS-Reality an dieses Zensurumfeld anpasst, und schlüsselt es auf der Ebene der internen Handshake-Spezifikation auf. Wir ordnen schrittweise die Unterschiede in der Designphilosophie gegenüber VMess, den Mechanismus der TLS-Mimikry-Technologie, die Reality verwendet, und das tatsächliche Verhalten unter realen Zensurbedingungen ein und decken dabei sowohl den technischen Hintergrund als auch die Implementierungs-Highlights ab. Wer das Design des neuesten von Vless eingesetzten Protokolls versteht, erkennt, warum VLESS+Reality derzeit als eine der zensurresistentesten verfügbaren Optionen gilt.

Warum VPN-Technologie heute wichtig ist

Das Verständnis der VLESS+Reality-Handshake-Spezifikation ist nicht nur eine Frage technischer Neugier — es wirkt sich unmittelbar auf die Stabilität in der realen Nutzung aus. Die wichtigsten Designunterschiede, die man verstehen sollte, sind:

• Während VMess ein proprietäres verschlüsseltes Framing verwendete, das sich für moderne DPI inzwischen leicht identifizieren lässt, lagert VLESS die Verschlüsselung an die äußere TLS-Schicht aus und gleicht das Verkehrsmuster vollständig dem von TLS an
• Die für herkömmliche TLS-basierte VPNs zwingende „Beschaffung einer eigenen Domain und Einrichtung eines TLS-Zertifikats" entfällt, was Betriebskosten und Zugriffsspuren gleichzeitig reduziert
• Der Verkehrsfingerabdruck des von Reality nachgeahmten SNI (z. B. www.microsoft.com) wird so präzise nachgebildet, dass er sich nicht von einem echten TLS-Handshake unterscheiden lässt
• Eine Tarnung über CDN (etwa Cloudflare) wird überflüssig, sodass die Privatsphäre durch direkte Verbindungen, die nicht von den Verkehrslogs des CDN-Anbieters abhängen, verbessert wird
• Die Verbindungsauthentifizierung per ShortID erlaubt es dem Server, legitime Nutzer schnell von Zensur-Sonden zu unterscheiden und unautorisierte Verbindungen sofort zu trennen

Während VMess versuchte, „eigenen verschlüsselten Verkehr" zu erzeugen, und dabei letztlich charakteristische Verkehrsmerkmale zurückließ, verfolgt VLESS+Reality den Ansatz, „legitimen TLS-Verkehr zu leihen", um beim Zensor einen Zustand des „Nichtunterscheidens" herzustellen. Genau dieser Wechsel der Designphilosophie ist der Grund, warum VLESS+Reality in den letzten zwei Jahren in strengen Zensurumgebungen wie China, Iran und Russland als „nahezu einzige stabile Option" bewertet wird.

Vorgehensweise

Schritt 1: Die Handshake-Unterschiede zwischen VMess und VLESS+Reality erfassen

Bei VMess sendet der Client nach dem Aufbau der TCP-Verbindung Befehle, Zeitstempel und Verschlüsselungsschlüssel-Informationen in einem proprietären Header-Format. Dieser Header behält statistische Merkmale, die ein Zensor erlernen kann (Verteilung der Header-Länge, Entropie, Größe der initialen Pakete usw.), und ist daher zum Ziel aktueller DPI geworden. Bei VLESS+Reality sendet der Client hingegen eine ganz gewöhnliche TLS-ClientHello-Nachricht und gibt in deren SNI-Erweiterung einen „legitimen Sitenamen" (z. B. www.apple.com, www.microsoft.com) an. Der Server liefert auf das empfangene SNI eine echte TLS-Antwort zurück und schaltet die Verbindung nur dann intern auf eine VLESS-Sitzung um, wenn die ShortID einem legitimen Nutzer gehört. Aus Sicht des Zensors sieht das Ganze ausschließlich nach einer „legitimen TLS-Verbindung zu Apple/Microsoft" aus.

Schritt 2: Die Funktionsweise von SNI Proxying und ShortID verstehen

SNI Proxying, die Kerntechnologie von Reality, ist ein Mechanismus, mit dem sich der VPN-Server als „Reverse Proxy zu einem legitimen SNI-Host" tarnt. Wenn der Zensor eine aktive Sonde sendet (einen vorgetäuschten Verbindungsversuch zur Überprüfung der Legitimität), proxyt der Server zum echten SNI-Ziel (z. B. dem realen www.apple.com) und liefert eine echte TLS-Antwort zurück. Daraufhin schließt der Zensor: „Dieser Server ist tatsächlich ein legitimes Spiegelangebot von Apple.com." Nur wenn ein legitimer VLESS-Client mit einer gültigen ShortID eine Verbindung aufbaut, startet der Server intern eine VPN-Sitzung. Die ShortID ist eine kurze Kennung von etwa 8 Bytes, die in ein bestimmtes Feld der TLS-Erweiterungen eingebettet wird und sich für externe Beobachter nicht von gewöhnlichem TLS-Verkehr unterscheidet. In der Verwaltungsoberfläche von Vless lassen sich ShortIDs dynamisch ausstellen und sperren, sodass im Falle eines Lecks eine sofortige Trennung möglich ist.

Schritt 3: Reale Messungen in Zensurumgebungen und Auswahl empfohlener Einstellungen

Um die theoretischen Vorteile von VLESS+Reality in realen Umgebungen zu verifizieren, sind Verbindungstests aus mehreren Zensurumgebungen (China, Iran, Russland usw.) erforderlich. Vless betreibt verteilte Validierungsknoten in diesen Ländern und überwacht kontinuierlich die Resistenz des Protokolls gegenüber den neuesten DPI-Updates. Als empfohlene Konfiguration für reale Nutzer schlagen wir vor, als SNI „www.microsoft.com" oder „www.apple.com" anzugeben — Domains großer Konzerne, die selbst in Zielländern unwahrscheinlich gesperrt werden — und die ShortID etwa einmal pro Monat zu rotieren. Client-Apps wie Hiddifyy lassen diese Einstellungen mit einem einzigen Tipp anwenden und verhindern so Zensurumgehungs-Fehlschläge durch Fehlkonfigurationen. Um eine Route mit guter Leitungsqualität auszuwählen, ist es praktisch, in der Verwaltungsoberfläche von Vless die Funktion „Routen-Geschwindigkeitsranking" zu nutzen, um den Knoten mit der schnellsten Antwort von Ihrem aktuellen Standort automatisch auszuwählen.

Zusammenfassung

F: Wenn ich VMess bereits verwende, muss ich auf VLESS+Reality umsteigen?

A: Das hängt von Ihrer Nutzungsumgebung ab. In Umgebungen ohne Zensur, etwa innerhalb Japans, ist VMess in der Praxis ausreichend; falls jedoch eine Geschäftsreise oder Entsendung in Zensurumgebungen wie China, den Iran oder den Nahen Osten ansteht, empfehlen wir den Umstieg auf VLESS+Reality dringend. Bei Vless ist ein Protokollwechsel innerhalb desselben Vertrags möglich und kann in der Hiddifyy-App mit einem einzigen Tipp vorgenommen werden.

F: Ist VLESS+Reality auch in Zensurumgebungen außerhalb der GFW (Iran, Russland, Naher Osten) wirksam?

A: Die Zensursysteme der einzelnen Länder entwickeln sich zwar eigenständig weiter, doch die Designphilosophie der vollständigen Nachbildung des TLS-Handshakes ist gegen DPI im Allgemeinen wirksam. Realmessungen zufolge ist die Zensur im Iran auf einem Niveau nahe Chinas, während Russland tendenziell etwas milder agiert. Vless aktualisiert seine Standardeinstellungen entsprechend den neuesten Zensurtrends jedes Landes, sodass eine optimale Konfiguration angewendet wird, ohne dass Sie als Nutzer aktiv darauf achten müssten.

F: Wie hoch ist der Performance-Overhead von VLESS+Reality?

A: Da VLESS selbst eine schlanke Architektur besitzt, die die Verschlüsselung an die äußere TLS-Schicht delegiert, ist der Protokoll-Overhead geringer als bei VMess. In Realmessungen lassen sich häufig etwa 85–95 % der ursprünglichen Leitungsgeschwindigkeit halten, sodass auch in bandbreitenintensiven Anwendungsfällen wie Streaming oder Online-Meetings keine praktischen Probleme entstehen. Die SNI-Mimikry-Verarbeitung von Reality findet ausschließlich beim initialen Handshake statt und beeinflusst die Übertragungsgeschwindigkeit nach dem Verbindungsaufbau nicht.

Das Verständnis der VLESS+Reality-Handshake-Spezifikation ist eine wesentliche Grundlage für die Wahl eines stabilen Kommunikationsweges in heutigen Zensurumgebungen. Mit einem Design, das gegenüber VMess eine ganze Generation weiter ist, wird ein neues Paradigma der „vollständigen TLS-Mimikry" verwirklicht, das die Identifikation durch Zensoren grundlegend erschwert. Während der 2-tägigen kostenlosen Testversion von Vless können Sie tatsächliche Kommunikation über VLESS+Reality erleben. Probieren Sie das Verhalten in der realen Umgebung gerne aus — sei es zur Vorab-Verifikation vor der Abreise oder in der Phase der technischen Evaluierung.