Обфускация трафика: как VPN маскируется под обычный сайт

Что такое обфускация

Обфускация — это маскировка. Любой VPN шифрует ваши данные, но сам факт «здесь работает VPN» может быть заметен по характерным признакам соединения. Обфускация убирает эти признаки: трафик упаковывается так, чтобы внешне он не отличался от обычного HTTPS-запроса к сайту. Содержимое и без того зашифровано — задача обфускации в другом: скрыть не что вы передаёте, а то, что вы вообще пользуетесь VPN.

Зачем она нужна

Дело в системах фильтрации. Провайдеры и операторы используют глубокий анализ трафика (DPI) — он смотрит не только куда идёт соединение, но и как оно устроено. У старых VPN-протоколов рукопожатие (первые пакеты при установке связи) имеет узнаваемый «почерк», и DPI вычисляет его за доли секунды, после чего соединение режется или замедляется.

Обфускация лишает DPI этой зацепки. Если VPN-трафик неотличим от тысяч обычных HTTPS-сессий вокруг, заблокировать его точечно почти невозможно — пришлось бы рубить весь интернет. Поэтому обфускация стала ключевым инструментом обхода интернет-цензуры.

Как маскировка работает у Reality

Протокол VLESS с технологией Reality — самый наглядный пример. При подключении он использует SNI-камуфляж: в открытой части рукопожатия (поле SNI, имя сайта) указывается адрес реального популярного сайта, например крупного зарубежного сервиса. Для DPI это выглядит как честный заход именно туда.

• Рукопожатие повторяет настоящее TLS-соединение с реальным сайтом.
• Нет отдельного «своего» сертификата, который мог бы выдать VPN.
• Если кто-то попытается проверить адрес, он увидит обычный рабочий сайт, а не VPN-сервер.

Подробный разбор механики — в материале что такое Reality.

А что с Hysteria2

Hysteria2 идёт другим путём. Он построен на QUIC поверх UDP — том же транспорте, что использует современный веб (HTTP/3) для быстрых сайтов и видео. Его трафик растворяется в массе обычных QUIC-соединений и выглядит как заурядная загрузка контента по HTTPS. Бонус — UDP-основа отлично держит скорость на мобильных сетях с потерями пакетов. Сравнение подходов есть в обзоре протоколов VLESS, VMess и Trojan.

Чем это отличается от старых протоколов

Раньше схема была простой: «VPN-сервер по своему адресу, узнаваемое рукопожатие». Старые протоколы вроде классического OpenVPN или WireGuard сами по себе честно сообщают о себе — их можно опознать по структуре первых пакетов, даже не зная содержимого. Об этом подробнее в обзоре протоколов VPN.

• Старый подход: отдельный сертификат, характерный «почерк» — DPI ловит и блокирует.
• Современный подход: трафик прячется под реальный сайт — DPI не за что зацепиться.

Коротко

• Обфускация — маскировка VPN-трафика под обычный HTTPS, чтобы скрыть сам факт VPN.
• Нужна против DPI: без узнаваемого «почерка» соединение нечем заблокировать точечно.
• Reality прячется за реальный сайт через SNI-камуфляж, Hysteria2 — в потоке QUIC.
• В отличие от старых протоколов, такое соединение неотличимо от обычного веб-трафика.
• SplashVPN построен на Reality и Hysteria2 — маскировка включена по умолчанию, а первые 3 дня бесплатны.