Продолжаем тему VPN (завтра ведь 01.04). Теперь нужно разобраться, как работают скрытые протоколы VPN, но для этого нужно немного понять, как устроен Интернет.
ИНТЕРНЕТ-ТРАФИК
Все в Интернете (пользователи и серверы) общаются по правилам, которые все должны соблюдать, называются они - транспортные протоколы.
⬖ TCP - надежный грузовик, стабильно доставляющий данные. Если что-то потерялось в пути - отправит заново. Работает медленнее, зато без потерь. На нем построены веб-сайты (HTTP), почта и большая часть привычного Интернета.
⬖ UDP - мото-курьер, быстрый, но необязательный: кинул пакет и поехал дальше, потери не важны. Хорош для видеозвонков и онлайн-игр, где скорость важнее, чем доставка каждого бита.
⬖ TLS - это криптоброня, которая надевается на TCP. Когда ты видишь адрес https:// и замочек - это значит, что между тобой и сайтом работает TLS-шифрование. Провайдер же видит, что бронированный грузовик едет к серверу http://google.com/, но не может заглянуть внутрь. Абсолютное большинство современного веб-трафика - это TCP + TLS, то есть HTTPS.
⬖ QUIC / HTTP/3 - новый транспорт от Google, берет все лучшее от TCP/UDP/TLS. YouTube, Google, и все больше крупных сервисов уже работают на нем.
Еще одно понятие, без которого будет непонятно - порт. Представим, что компьютер в сети это здание, а порт - это номер ворот, куда заезжает транспорт. За воротами 443 сидит HTTPS, 80 - старый незащищённый HTTP, за 25 - почта. Что за кем закреплено - решает международная организация IANA (Internet Assigned Numbers Authority), это вроде "кадастра" Интернета. Номера 0-1023 закреплены за основными протоколами ещё с 80-х годов. Короче, весь мир договорился использовать определенные циферки, чтобы знать в какие ворота стучаться. Пакет данных направляется не просто "к серверу", а к конкретному порту. Провайдер видит, в какие ворота ты стучишься, и по их номеру может догадаться, чем ты занимаешься.
Почему это важно для понимания VPN? Потому что ваш провайдер и та самая железка от ФСБ (ТСПУ) видят ваш трафик как транспорт с определенной точкой назначения (айтишники так говорят "транспортный уровень"). Они не могут прочитать содержимое, но могут определить его вид.
ОБЫЧНЫЕ VPN-ПРОТОКОЛЫ
Их трафик отличается от обычного (использующего транспортные протоколы). Быстрые и надежные, но отчетливо видимые провайдеру сети (и ТСПУ).
⬖ WireGuard - использует UDP со своим собственным форматом пакетов и это проблема - не похоже ни на TLS/QUIC, ни на другой "обычный трафик" и как итог - легко определяем.
⬖ OpenVPN - ветеран среди VPN-протоколов. Многофункционален: умеет работать и через UDP, и через TCP/443 (тот же порт, что у HTTPS), но также легко обнаруживается.
⬖ IKEv2 - работает на фиксированных портах UDP 500/4500, что делает его легкой мишенью: заблокировал пользователю два порта - убил весь IKEv2.
СКРЫТЫЕ VPN-ПРОТОКОЛЫ
А вот эти ребята не палятся и мимикрируют под обычные потоки данных (транспортные протоколы). Для провайдера и ФСБ, их трафик неотличим от обычного серфинга.
⬖ VLESS-REALITY - маскируется под HTTPS (TCP + TLS). Причем не абстрактно, а весьма конкретно - VPN-сервер притворяется реальным сайтом (условный http://google.com/). При поступлении правильного запроса - открывается VPN-тоннель. При попытке анализа трафика (так делает ТСПУ) - VPN-сервер делает вид, что он http://google.com/, показывая настоящие документы (сертификат подлинности). Заблокировать можно, только заблокировав Google целиком.
⬖ Hysteria 2 - маскируется под HTTP/3 (UDP + QUIC), со своим уникальным алгоритмом Brutal, который не снижает скорость при потере пакетов. Цензура часто не блокирует подозрительный трафик, а замедляет его. Обычный TCP выдает в таких условиях черепашью скорость, а Hysteria - нет. Она держится на заданной скорости, компенсируя потери повторными отправками.
Кстати, многие VPN-провайдеры создают "собственные" протоколы - которые, как правило, лишь модификации существующих. Поэтому если увидите VPN протокол "SUPER_PUPER_VPN_PROTOCOL", то в лучшем случае это апгрейд, а возможно просто ребрендинг.
#VPN #база
