すべてのガイド

DPI(Deep Packet Inspection)とは何か、そしてその破り方

DPI(Deep Packet Inspection)とは、送信元と宛先だけでなく、ネットワーク通信の内容やパターンを調べるフィルタリング技術です。検閲側はこれを使ってVPNを識別・ブロックします。だからこそ最新のプロトコルは、検査をすり抜けるために通信を偽装するのです。

Deep Packet Inspectionが意味するもの

通常のネットワークフィルタリングは、封筒に書かれた宛名のように、パケットのヘッダーしか確認しません。DPIは封筒を開けて、中身のペイロード、メタデータ、タイミングを検査します。これにより、データが暗号化されていても、接続の確立方法や振る舞いに基づいて、ファイアウォールは特定のアプリケーションやプロトコルをその特徴(シグネチャ)から認識できます。

ファイアウォールがDPIでVPNをブロックする仕組み

VPNプロトコルには識別可能なハンドシェイクやパケットサイズがあります。DPIシステムはこれらのシグネチャを照合し、リアルタイムで接続を破棄したり速度を落としたりできます。国家規模のファイアウォールはアクティブプロービングも用い、疑わしいサーバーにテスト通信を送ってプロキシであることを確認してからブロックリストに追加します。これにより、単純なVPNは簡単に見つかってしまいます。

暗号化だけでは不十分な理由

暗号化は通信の中身を隠しますが、その形は隠せません。DPIはパケットのタイミングやサイズ、TLSハンドシェイクに基づいて、あるフローがウェブページではなくVPNトンネルのように見えることを依然として見抜けます。DPIを打ち破るには、プロトコルはデータを暗号化するだけでなく、接続全体を正当なものに見せる必要があります。

Realityと難読化がDPIを打ち破る仕組み

難読化は通信の形を変えて通常のHTTPSを模倣し、VPN特有のシグネチャを取り除きます。VLESS Realityはさらに踏み込み、実在する人気ウェブサイトの証明書を使って本物のTLSハンドシェイクを行います。DPIシステムにとって、その接続はそのサイトを訪れる普通の訪問者と見分けがつかないため、ブロックすべき不審な点が何もないのです。

TLS偽装と検出されない状態を保つこと

DPIはますますTLSハンドシェイクそのものをフィンガープリント化するため、効果的なツールはuTLSのような技術を使って本物のブラウザのフィンガープリントを正確に模倣します。これにより、ハンドシェイクは検閲側が正当な通信に期待するものと一致します。難読化と組み合わせることで、基本的なVPNがすぐに検出・遮断されるような環境でも接続を安定させられます。

Veepenは、Android・Android TV上でDPIシステムに検出されないよう、VLESS RealityとuTLSフィンガープリントを特に用いています。ワンタップで接続でき、ネットワークがフィルタを強化した際には@veepen_vpnが最新情報をお届けします。