Wat is DPI (Deep Packet Inspection) en hoe versla je het
DPI, oftewel Deep Packet Inspection, is een filtertechniek die de inhoud en patronen van netwerkverkeer onderzoekt in plaats van alleen de bron en bestemming. Censoren gebruiken het om VPN's te identificeren en te blokkeren, en daarom vermommen moderne protocollen hun verkeer om langs inspectie te glippen.
Wat Deep Packet Inspection betekent
Gewone netwerkfiltering controleert alleen pakketheaders, zoals het adres op een envelop. DPI opent de envelop en inspecteert de payload, metadata en timing. Hierdoor kunnen firewalls specifieke applicaties en protocollen herkennen aan hun signaturen, zelfs wanneer de gegevens versleuteld zijn, op basis van hoe de verbinding wordt opgezet en zich gedraagt.
Hoe firewalls DPI gebruiken om VPN's te blokkeren
VPN-protocollen hebben herkenbare handshakes en pakketgroottes. Een DPI-systeem kan deze signaturen matchen en de verbinding in realtime laten vallen of afknijpen. Nationale firewalls gebruiken ook actieve probing, waarbij ze testverkeer naar een verdachte server sturen om te bevestigen dat het een proxy is voordat ze hem op een blokkeerlijst zetten. Dit maakt naïeve VPN's makkelijk te betrappen.
Waarom versleuteling alleen niet genoeg is
Versleuteling verbergt de inhoud van je verkeer maar niet de vorm ervan. DPI kan nog steeds zien dat een stroom op een VPN-tunnel lijkt in plaats van een webpagina, op basis van pakkettiming, groottes en de TLS-handshake. Om DPI te verslaan moet een protocol niet alleen gegevens versleutelen maar ook de hele verbinding legitiem laten lijken.
Hoe Reality en verhulling DPI verslaan
Verhulling hervormt verkeer zodat het normaal HTTPS nabootst en verwijdert de verraderlijke VPN-signatuur. VLESS Reality gaat hierin verder: het voert een echte TLS-handshake uit met het certificaat van een echte, populaire website. Voor een DPI-systeem is de verbinding niet te onderscheiden van een gewone bezoeker die die site bereikt, dus er is niets verdachts om te blokkeren.
TLS-nabootsing en onopgemerkt blijven
Omdat DPI steeds vaker de TLS-handshake zelf van een vingerafdruk voorziet, bootsen effectieve tools de exacte vingerafdruk van een echte browser na met technieken zoals uTLS. Dit zorgt ervoor dat de handshake overeenkomt met wat een censor verwacht te zien bij legitiem verkeer. Gecombineerd met verhulling houdt het verbindingen stabiel in omgevingen waar basale VPN's snel worden gedetecteerd en afgesneden.
Veepen gebruikt VLESS Reality en uTLS-vingerafdrukken specifiek om onzichtbaar te blijven voor DPI-systemen op Android en Android TV. Eén tik verbindt je, en @veepen_vpn deelt updates wanneer netwerken hun filters aanscherpen.