Voltar ao blog

Decifrando a especificação do handshake do VLESS+Reality | A evolução da resistência à censura vista pelas diferenças em relação ao VMess

Visão geral

Nos últimos anos, sistemas de censura em escala nacional, como o Grande Firewall (GFW), aumentaram consideravelmente sua precisão para identificar «tráfego que parece VPN» com base em características estatísticas, mesmo em comunicações criptografadas, ao combinarem inspeção profunda de pacotes (DPI) com análise de padrões de comunicação por aprendizado de máquina. Os protocolos VMess e OpenVPN, antes predominantes, têm sido cada vez mais alvo de bloqueio de conexão e limitação de velocidade diante dessa inspeção avançada, exigindo o surgimento de protocolos de nova geração.

Neste artigo, explicamos, no nível da especificação interna do handshake, como o protocolo VLESS+XTLS-Reality se adapta a esse ambiente de censura. Organizamos passo a passo as diferenças filosóficas de design em relação ao VMess, o mecanismo de mimetismo TLS adotado pelo Reality e o comportamento real em ambientes censurados, com o respectivo contexto técnico e os pontos relevantes da implementação. Compreender o design do protocolo mais recente adotado pelo Vless ajuda a entender por que o VLESS+Reality é hoje considerado uma das opções com maior resistência à censura.

Por que Tecnologia VPN é importante hoje

Compreender a especificação do handshake do VLESS+Reality não se limita a um interesse técnico: está diretamente ligado à estabilidade em cenários reais de uso. Os principais pontos para captar as diferenças de design são os seguintes.

• Enquanto o framing criptográfico proprietário do VMess se tornou facilmente identificável pelo DPI moderno, o VLESS delega a criptografia à camada TLS externa, fazendo com que o padrão de comunicação se assemelhe completamente ao do TLS
• Elimina-se a necessidade de «adquirir um domínio próprio e configurar um certificado TLS», antes obrigatória nas VPNs baseadas em TLS, reduzindo simultaneamente os custos operacionais e os rastros de acesso
• O Reality reproduz a impressão digital da comunicação de SNIs imitados (por exemplo, www.microsoft.com) com precisão indistinguível de um handshake TLS autêntico
• Como deixa de ser necessário o disfarce via CDN (como Cloudflare), a conexão direta melhora a privacidade sem depender dos registros de tráfego do provedor de CDN
• A autenticação de conexões via ShortID permite ao servidor distinguir rapidamente entre usuários legítimos e sondas da censura, encerrando de imediato conexões indevidas

Enquanto o VMess buscava criar «comunicações criptografadas de forma proprietária» e acabava deixando características de tráfego peculiares, o VLESS+Reality adota a abordagem de «tomar emprestada uma comunicação TLS legítima», gerando um estado «indistinguível» para a censura. Essa mudança filosófica de design é o motivo pelo qual, nos últimos dois anos, o VLESS+Reality tem sido avaliado como «praticamente a única opção estável» em ambientes de censura rigorosa como China, Irã e Rússia.

Como abordá-lo

Passo 1: Compreender as diferenças de handshake entre VMess e VLESS+Reality

No VMess, depois de estabelecida a conexão TCP, o cliente envia informações de comando, timestamp e chaves de criptografia em um formato de cabeçalho proprietário. Essa cabeçalho deixa características estatísticas que a censura pode aprender (distribuição de comprimento de cabeçalho, entropia, tamanho do pacote inicial etc.), tornando-se alvo do DPI moderno. Já no VLESS+Reality, o cliente envia uma mensagem TLS ClientHello comum, em cuja extensão SNI se indica «o nome de um site legítimo» (por exemplo, www.apple.com ou www.microsoft.com). O servidor responde com uma resposta TLS autêntica para o SNI recebido e, se o ShortID for de um usuário legítimo, redireciona internamente a conexão para uma sessão VLESS. Para a censura, só se vê uma «conexão TLS legítima para Apple/Microsoft».

Passo 2: Entender o funcionamento do SNI Proxying e do ShortID

O SNI Proxying, tecnologia central do Reality, é um mecanismo no qual o servidor VPN finge ser «um proxy reverso para o host SNI legítimo». Se a censura enviar uma sondagem ativa (uma tentativa simulada de conexão para verificar a legitimidade), o servidor encaminha a conexão para o destino SNI real (por exemplo, o verdadeiro www.apple.com) e devolve uma resposta TLS autêntica. Assim, a censura conclui que «este servidor é, de fato, um mirror legítimo do Apple.com». Apenas quando se conecta um cliente VLESS legítimo, com um ShortID, o servidor inicia internamente a sessão VPN. O ShortID é um identificador curto de cerca de 8 bytes, embutido em um campo específico das extensões TLS e indistinguível do tráfego TLS comum visto de fora. No painel de administração do Vless é possível emitir e invalidar ShortIDs dinamicamente, possibilitando o corte imediato em caso de vazamento.

Passo 3: Medições reais em ambientes censurados e seleção de configuração recomendada

Verificar a superioridade teórica do VLESS+Reality em ambientes reais exige testes de conexão a partir de múltiplos ambientes censurados (China, Irã, Rússia etc.). O Vless opera nós de validação distribuídos em cada país e monitora continuamente a resistência do protocolo frente às atualizações mais recentes do DPI. Como configuração recomendada para os usuários, sugerimos especificar no SNI domínios de grandes empresas dificilmente bloqueados no país-alvo, como www.microsoft.com ou www.apple.com, e rotacionar o ShortID com frequência aproximada de uma vez por mês. Aplicativos clientes como o Hiddify permitem aplicar essas configurações com um toque, evitando falhas na evasão da censura por erros de configuração. Para escolher uma rota com boa qualidade de linha, é prático usar, no painel de administração do Vless, a funcionalidade de «ranking de velocidade de rotas» e selecionar automaticamente o nó com tempo de resposta mais rápido a partir da localização atual.

Resumo

P: Se já estou usando o VMess, é necessário migrar para o VLESS+Reality?

R: Depende do ambiente de uso. Em locais sem censura, como o Japão, o VMess é funcional sem problemas, mas, se houver previsão de viagens ou transferências para ambientes censurados como China, Irã ou Oriente Médio, recomendamos fortemente migrar para o VLESS+Reality. No Vless é possível alternar o protocolo dentro do mesmo contrato, com um toque no aplicativo Hiddify.

P: O VLESS+Reality também é eficaz em ambientes de censura fora do GFW (Irã, Rússia, Oriente Médio)?

R: Os sistemas de censura de cada país evoluem de forma independente, mas a filosofia de design de mimetismo total do handshake TLS é eficaz contra o DPI em geral. Em medições reais, o Irã mantém uma censura tão rigorosa quanto a da China, enquanto a Rússia tende a ser comparativamente mais branda. O Vless atualiza as configurações padrão refletindo as tendências mais recentes de censura em cada país, de modo que o ajuste ideal é aplicado sem que o usuário precise se preocupar.

P: Qual é o nível de sobrecarga de desempenho do VLESS+Reality?

R: O VLESS, por delegar a criptografia à camada TLS externa em um design simples, tem sobrecarga de protocolo menor do que a do VMess. Em medições reais, na maioria dos casos é possível manter de 85% a 95% da velocidade original da linha, sem problemas práticos em usos de alta largura de banda como streaming e videoconferência. O processamento de mimetismo SNI do Reality ocorre apenas durante o handshake inicial e não afeta a velocidade de comunicação após a conexão.

Compreender a especificação do handshake do VLESS+Reality é conhecimento fundamental para escolher rotas de comunicação estáveis nos ambientes de censura atuais. Com um design uma geração à frente do VMess, materializa-se um novo paradigma de «mimetismo TLS total» que dificulta de raiz a identificação pela censura. O Vless oferece uma prova gratuita de 2 dias durante a qual você pode experimentar comunicações reais com VLESS+Reality. Convidamos você a testar seu funcionamento em ambientes reais desde a fase de verificação prévia à viagem ou de avaliação técnica.