Что такое VMess и VLESS
VMess и VLESS — прокси-протоколы, разработанные в рамках проекта V2Ray (Project V) для обхода интернет-цензуры. Они спроектированы для маскировки прокси-трафика под обычный HTTPS, что делает их устойчивыми к DPI (Deep Packet Inspection).
VMess (V2Ray Mess) — первый протокол V2Ray. Включает шифрование и аутентификацию на уровне протокола.
VLESS — облегчённая версия VMess. Убрано встроенное шифрование (делегировано TLS), что снижает overhead и повышает производительность.
Почему нужны новые протоколы
Проблема с классическими прокси
SOCKS5 — протокол не шифрован. DPI легко определяет SOCKS5-трафик по handshake.
HTTP CONNECT — метод CONNECT виден в открытом виде. Легко обнаруживается.
OpenVPN — имеет характерные паттерны трафика, определяемые DPI.
Shadowsocks — был эффективен, но GFW (Great Firewall of China) научился определять его через active probing и traffic analysis.
Решение V2Ray
V2Ray спроектировал протоколы, которые:
- Не имеют характерных паттернов (выглядят как обычный HTTPS)
- Устойчивы к active probing
- Поддерживают множество транспортов (WebSocket, gRPC, HTTP/2)
- Маскируют прокси-трафик внутри легитимного TLS-соединения
VMess подробно
Принцип работы
VMess использует UUID-based аутентификацию и симметричное шифрование. Каждый запрос включает:
- Аутентификация — 16-байт hash от UUID + timestamp. Сервер проверяет UUID из своего списка.
- Шифрование заголовка — AES-128-CFB шифрование метаданных запроса.
- Шифрование данных — AES-128-GCM или ChaCha20-Poly1305 для payload.
Защита от replay attacks
VMess включает timestamp в аутентификационный заголовок. Сервер отклоняет запросы с устаревшим timestamp (окно 120 секунд) и запоминает обработанные ID для предотвращения replay.
Недостатки VMess
- Двойное шифрование (VMess + TLS) создаёт лишний overhead
- Уязвимость к active probing при неправильной настройке
- Сложная реализация протокола
VLESS подробно
Отличия от VMess
VLESS убирает встроенное шифрование, оставляя только аутентификацию по UUID. Шифрование полностью делегируется внешнему уровню (TLS/XTLS).
Преимущества:
- Меньше overhead (нет двойного шифрования)
- Выше производительность
- Проще реализация
- Лучше совместимость с современными TLS-библиотеками
XTLS (Xray TLS)
XTLS — оптимизированная версия TLS, разработанная для Xray-core. При передаче TLS-трафика (HTTPS-запросы клиента) XTLS избегает повторного шифрования, пропуская уже зашифрованные данные напрямую.
Это даёт:
- Снижение CPU-нагрузки на 50-70%
- Увеличение пропускной способности
- Неотличимость от обычного TLS-трафика
VLESS + Reality
Reality — новый механизм маскировки, который позволяет прокси-серверу «притворяться» существующим реальным сайтом (например, microsoft.com). Когда DPI проверяет сервер — он видит настоящий TLS-сертификат и контент реального сайта.
Транспорты
VMess и VLESS поддерживают множество транспортов:
| Транспорт | Описание | Маскировка |
|---|---|---|
| TCP | Прямое TCP-соединение | Минимальная |
| WebSocket | Через WebSocket поверх HTTPS | Выглядит как WebSocket-приложение |
| gRPC | Через gRPC поверх HTTP/2 | Выглядит как gRPC API |
| HTTP/2 | Через HTTP/2 stream | Выглядит как HTTP/2 трафик |
| QUIC | Через QUIC/HTTP3 | Выглядит как QUIC-трафик |
| mKCP | UDP-транспорт, маскировка под различные UDP-протоколы | Можно замаскировать под FaceTime, WireGuard |
VLESS vs VMess vs Shadowsocks vs SOCKS5
| Параметр | VLESS | VMess | Shadowsocks | SOCKS5 |
|---|---|---|---|---|
| Шифрование | Делегировано TLS | Встроенное | Встроенное | Нет |
| Обход DPI | Отличный | Хороший | Средний | Нет |
| Active probing | Устойчив (Reality) | Средне | Уязвим | Уязвим |
| Производительность | Высокая (XTLS) | Средняя | Хорошая | Высокая |
| Настройка | Сложная | Сложная | Средняя | Простая |
| Совместимость | Xray, V2Ray | V2Ray, Xray | Широкая | Универсальная |
Клиенты и серверы
Серверные реализации
Xray-core — основная реализация с поддержкой VLESS, VMess, XTLS, Reality. Наиболее актуальная.
V2Ray-core — оригинальная реализация. Поддерживает VMess и VLESS (без XTLS).
Sing-box — универсальная прокси-платформа с поддержкой всех протоколов.
Клиенты
| Платформа | Клиенты |
|---|---|
| Windows | V2rayN, Nekoray, Clash Verge |
| macOS | V2rayU, ClashX, Surge |
| Linux | V2rayA, Nekoray |
| Android | V2rayNG, SagerNet, NekoBox |
| iOS | Shadowrocket, Quantumult X, Surge |
Практическое применение
Обход цензуры
Основное назначение — обход GFW и других DPI-систем. VLESS+Reality+XTLS считается наиболее устойчивой комбинацией на данный момент.
Корпоративный VPN
Маскировка VPN-трафика под HTTPS для обхода ограничений корпоративных файрволов.
Прокси-инфраструктура
VLESS/VMess могут использоваться как транспортный уровень для прокси-сервисов, обеспечивая шифрование и маскировку.
Заключение
VLESS и VMess — передовые прокси-протоколы, спроектированные для обхода DPI. VLESS с XTLS и Reality предлагает лучшую на данный момент комбинацию производительности, безопасности и устойчивости к обнаружению. Для обхода интернет-цензуры (Китай, Иран, Россия) эти протоколы стали стандартом де-факто.