什么是 VPN 混淆?混淆服务器如何击败 DPI
VPN 混淆通过将连接伪装成普通的互联网流量,来隐藏你正在使用 VPN 这一事实。混淆服务器不会呈现出可识别的 VPN 握手,而是让你的数据看起来像普通的 HTTPS,这样深度包检测就无法将其标记并封锁。
混淆究竟意味着什么
混淆是指对 VPN 流量进行打乱或包装,使其不再带有可识别的特征。普通的 VPN 数据包具有防火墙能够察觉的模式。混淆会重塑这类流量,使其看起来像日常的网页浏览,从而让它得以穿过那些原本会拒绝任何被识别为 VPN 的流量的网络。
DPI 如何检测并封锁 VPN
深度包检测(DPI)不仅关注流量的目的地,还会查看流量内部的内容。它通过对握手过程、数据包大小和时序进行指纹识别,来辨认 OpenVPN 或 WireGuard 等 VPN 协议。一旦某种模式与已知的 VPN 匹配,防火墙就会限速或丢弃该连接。混淆的存在正是为了去除这些暴露身份的指纹特征。
将流量伪装成普通 HTTPS
最有效的混淆能让 VPN 流量与你用于网上银行或购物的 HTTPS 无法区分。由于封锁所有 HTTPS 会让整个互联网瘫痪,审查者无法对其进行全面过滤。通过借助 443 端口上真实的 TLS 会话来传输,混淆流量便融入了海量日常加密网页请求的庞大流量之中。
混淆服务器的作用
混淆服务器是配置了额外掩饰层的 VPN 节点,这一层通常被称为打乱模式或隐身模式。它们在你的流量离开设备之前加上伪装,并在流量到达时将其剥离。许多服务商将这些作为特殊服务器提供,供你在限制严格的地区选用,不过与标准连接相比,它们可能会带来轻微的额外开销。
Reality 和 VLESS 等现代方案
更新的方法比简单的打乱更进一步。VLESS 搭配 Reality 会借用某个真实、热门网站的 TLS 证书,因此检测看到的是与一个受信任站点之间的合法握手。既没有可供检测的伪造证书,也没有可供指纹识别的独立混淆插件,这使它成为当今最难封锁的流量之一。
Veepen 基于 V2Ray/Xray 内核构建,开箱即用地内置了 VLESS Reality 混淆。在 Android 或 Android TV 上安装 Veepen,从 @veepen_vpn 导入一份配置,一键连接,即可获得看起来就像普通 HTTPS 的流量。