"Рабочий" способ обхода детекта vless

0zd0 · March 25, 2026, 4:25pm

тест релевантен, но если у него не было PQC, а поведение трафика улучшилось (как я понял), то причина только в фокусе DPI на что-то определенное в TLS. Старая версия может шлет как-то по-другому, фрагментирует, пихает все сразу или наоборот делает короткий пакет

Можно попробовать определить разницу через Wireshark. Проверить, как там вообще пакеты делятся и т.д. Может это вообще это из-за HTTP/3 по умолчанию

0ka · March 25, 2026, 4:35pm

Всмысле улучшилось?

0zd0 · March 25, 2026, 4:37pm

ну человек пишет, что у него в старой версии хрома rate limit не триггерит. Я же правильно понимаю вообще всю эту ситуацию?

0ka · March 25, 2026, 4:39pm

Да тут другие писали что разный fingerprint на влессе дает разный результат, какие-то блочит, какие-то нет

Quqas · March 25, 2026, 4:45pm

ну так я и писал
тут вообще в каждом пакете новый фингерпринт как я понимаю (с флагом)
именно этоимхо и дурит тест т.е. чебурнил

осталось прикрутить к vless

или для начала запретом(видимо тока вторым) сэмулировать

но я х.з. как

0zd0 · March 25, 2026, 4:56pm

это ненадолго и на уровне zapret. Отпечаток фиксированный, но хром шлет гибридом несколько алгоритмов для совместимости, многие сайты могут не поддерживать PQC

openssl s_client -connect "[2a02:e00:ffec:4b8::1]:443" -servername ntc.party -brief -groups X25519MLKEM768:X25519
Connecting to 2a02:e00:ffec:4b8::1
CONNECTION ESTABLISHED
Protocol version: TLSv1.3
Ciphersuite: TLS_AES_256_GCM_SHA384
Peer certificate: CN=ntc.party
Hash used: SHA256
Signature type: ecdsa_secp256r1_sha256
Verification: OK
Peer Temp Key: X25519, 253 bits

drexample · March 25, 2026, 5:18pm

Т.е. применять xhttp более чистый и верный способ? Просто заинтересован, т.к. сидел на vision сейчас и куча друзей на моем сервере вчера потеряли коннект. Большинство при чем из сибири.

TesterTi · March 25, 2026, 5:22pm

с появлением CRQC можно будет расшифровать весь зашифрованный трафик, перехваченный и сохранённый в предыдущие годы (то есть сейчас). Записью и сохранением зашифрованного трафика сейчас занимаются хостинг-провайдеры, операторы мобильной связи, интернет-провайдеры и спецслужбы (стратегия harvest now, decrypt later).

Кибер лучше не отключать)

antialt · March 25, 2026, 5:24pm

а ру-прокладка не помогает?

0zd0 · March 25, 2026, 5:24pm

он включен по умолчанию в хроме (и через флаги не нашел отключение). Осталось еще серверы в интернете обновить под это…

0zd0 · March 25, 2026, 5:25pm

как раз к ру-прокладке применялась такая блокировка

Dreaght · March 25, 2026, 5:34pm

grpc транспорт тоже вроде как работает из-за встроенного мультиплексирования

Quqas · March 25, 2026, 5:38pm

именно поэтому считаю что vless внутри эрэфии попытка микроскопом забивать гвозди

дуболомные l2tp и даже wg вовнутре рашки ходят без всяких “регистраций и смс”

в случае хостингов х.з. - тут грамотный файрволл нужен - от сканеров. не дропать а реджектить будто и нет тут ничего на порте

0zd0 · March 25, 2026, 5:39pm

Иммитация PQC хрома с фоллэком:

openssl s_client -connect habr.com:443 -brief -groups X25519MLKEM768:X25519
Connecting to 178.248.237.68
CONNECTION ESTABLISHED
Protocol version: TLSv1.3
Ciphersuite: TLS_AES_128_GCM_SHA256
Peer certificate: CN=*.habr.com
Hash used: SHA256
Signature type: ecdsa_secp256r1_sha256
Verification: OK
Peer Temp Key: X25519, 253 bits

TCP-сегментация ClientHello на 2 пакета:

21:31:31.441462 IP (tos 0x2,ECT(0), ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 1280)
    172.16.0.2.58771 > 178.248.237.68.443: Flags [.], cksum 0xb005 (correct), seq 1:1229, ack 1, win 2054, options [nop,nop,TS val 84813515 ecr 2221348075], length 1228
21:31:31.441605 IP (tos 0x2,ECT(0), ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 315)
    172.16.0.2.58771 > 178.248.237.68.443: Flags [P.], cksum 0x3a11 (correct), seq 1229:1492, ack 1, win 2054, options [nop,nop,TS val 84813515 ecr 2221348075], length 263

Отключенный PQC:

openssl s_client -connect habr.com:443 -brief -groups X25519
Connecting to 178.248.237.68
CONNECTION ESTABLISHED
Protocol version: TLSv1.3
Ciphersuite: TLS_AES_128_GCM_SHA256
Peer certificate: CN=*.habr.com
Hash used: SHA256
Signature type: ecdsa_secp256r1_sha256
Verification: OK
Peer Temp Key: X25519, 253 bits

один пакет:

21:32:11.641462 IP (tos 0x2,ECT(0), ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 357)
    172.16.0.2.58937 > 178.248.237.68.443: Flags [P.], cksum 0x96a6 (correct), seq 1:306, ack 1, win 2054, options [nop,nop,TS val 814264249 ecr 2221388273], length 305

Но у хрома еще есть вероятность примешивания всякого мусора с расширениями

Могут ли эти rate limit блокировки быть просто захлебывающимся DPI от усиленного анализа TLS по сегмантам? Все-таки это жоще, чем один пакет. Помню в такие времена у меня проседал трафик без VPN по скорости вне зависимости ни от чего

0zd0 · March 25, 2026, 5:44pm

а вот тут тонкая грань, могут по протоколам легко вычислять хостящиеся VPN на ру-облаках, которые уже по политике это запрещают. VLESS все-таки иммитирует сайт и РКНу надо это как-то подтвердить, перед тем как отправить запрос хостеру

VladV · March 25, 2026, 5:56pm

Не только на vless. Trojan, naive - везде, где много соединений (смартфон) блочится. У меня на nekobox на мобильном инете с любым отпечатком, кроме “пусто” ловится блокировка.

0ka · March 25, 2026, 5:58pm

блочится не влесс или троян, а TLS. naive использует quic на сколько я помню, а он блочится не должен, проверьте ещё раз

Dreaght · March 25, 2026, 6:01pm

В QUIC TLS тоже встроен, но Naive имеет встроенное за счёт HTTP/2-3 мультиплексирование. Поэтому думаю и не триггерит оно блок.

VladV · March 25, 2026, 6:01pm

Я же это и пишу, блочится, где много tls соединений. Не правильно помните. Naive не quic.

VladV · March 25, 2026, 6:02pm

Трегерит Naive блок тоже.