Русский
English
Українська
Deutsch
Español
VLESS та VMess Протоколи Проксі
Що таке VMess та VLESS
VMess та VLESS — це протоколи проксі, розроблені в рамках проєкту V2Ray (Project V) для обходу інтернет-цензури. Вони призначені для маскування проксі-трафіку під звичайний HTTPS, що робить їх стійкими до DPI (Deep Packet Inspection – глибокої перевірки пакетів).
VMess (V2Ray Mess) — це перший протокол V2Ray. Він включає шифрування та автентифікацію на рівні протоколу.
VLESS — це полегшена версія VMess. Вона видаляє вбудоване шифрування (делеговане TLS), що зменшує накладні витрати та покращує продуктивність.
Чому потрібні нові протоколи
Проблема з класичними проксі
SOCKS5 — Протокол нешифрований. DPI легко ідентифікує трафік SOCKS5 за його рукостисканням.
HTTP CONNECT — Метод CONNECT видно у відкритому тексті. Легко виявляється.
OpenVPN — Має характерні шаблони трафіку, які ідентифікуються DPI.
Shadowsocks — Був ефективним, але GFW (Великий Китайський Фаєрвол) навчився виявляти його за допомогою активного зондування та аналізу трафіку.
Рішення V2Ray
V2Ray розробив протоколи, які:
- Не мають характерних шаблонів (виглядають як звичайний HTTPS)
- Стійкі до активного зондування
- Підтримують кілька транспортів (WebSocket, gRPC, HTTP/2)
- Маскують проксі-трафік у легітимному TLS-з'єднанні
VMess детально
Як це працює
VMess використовує автентифікацію на основі UUID та симетричне шифрування. Кожен запит включає:
- Автентифікація — 16-байтовий хеш UUID + мітка часу. Сервер перевіряє UUID за своїм списком.
- Шифрування заголовка — Шифрування AES-128-CFB метаданих запиту.
- Шифрування даних — AES-128-GCM або ChaCha20-Poly1305 для корисного навантаження.
Захист від атак повторного відтворення
VMess включає мітку часу в заголовок автентифікації. Сервер відхиляє запити із застарілою міткою часу (вікно 120 секунд) і запам'ятовує оброблені ідентифікатори, щоб запобігти повторному відтворенню.
Недоліки VMess
- Подвійне шифрування (VMess + TLS) створює непотрібні накладні витрати
- Вразливість до активного зондування у разі неправильної конфігурації
- Складна реалізація протоколу
VLESS детально
Відмінності від VMess
VLESS видаляє вбудоване шифрування, зберігаючи лише автентифікацію на основі UUID. Шифрування повністю делегується зовнішньому рівню (TLS/XTLS).
Переваги:
- Менші накладні витрати (без подвійного шифрування)
- Вища продуктивність
- Простіша реалізація
- Краща сумісність із сучасними бібліотеками TLS
XTLS (Xray TLS)
XTLS — це оптимізована версія TLS, розроблена для Xray-core. При передачі TLS-трафіку (HTTPS-запитів клієнта) XTLS уникає повторного шифрування, передаючи вже зашифровані дані безпосередньо.
Це забезпечує:
- Зменшення навантаження на процесор на 50-70%
- Збільшену пропускну здатність
- Нерозрізненість від звичайного TLS-трафіку
VLESS + Reality
Reality — це новий механізм обфускації, який дозволяє проксі-серверу "видавати себе" за існуючий реальний вебсайт (наприклад, microsoft.com). Коли DPI перевіряє сервер, він бачить справжній TLS-сертифікат та вміст реального вебсайту.
Транспорти
VMess та VLESS підтримують кілька транспортів:
| Транспорт | Опис | Обфускація |
|---|---|---|
| TCP | Пряме TCP-з'єднання | Мінімальна |
| WebSocket | Через WebSocket поверх HTTPS | Виглядає як WebSocket-додаток |
| gRPC | Через gRPC поверх HTTP/2 | Виглядає як gRPC API |
| HTTP/2 | Через потік HTTP/2 | Виглядає як HTTP/2 трафік |
| QUIC | Через QUIC/HTTP3 | Виглядає як QUIC трафік |
| mKCP | UDP-транспорт, обфускація під різні UDP-протоколи | Може маскуватися під FaceTime, WireGuard |
VLESS проти VMess проти Shadowsocks проти SOCKS5
| Параметр | VLESS | VMess | Shadowsocks | SOCKS5 |
|---|---|---|---|---|
| Шифрування | Делеговано TLS | Вбудоване | Вбудоване | Відсутнє |
| Обхід DPI | Відмінний | Хороший | Помірний | Відсутній |
| Активне зондування | Стійкий (Reality) | Помірний | Вразливий | Вразливий |
| Продуктивність | Висока (XTLS) | Помірна | Хороша | Висока |
| Конфігурація | Складна | Складна | Помірна | Проста |
| Сумісність | Xray, V2Ray | V2Ray, Xray | Широка | Універсальна |
Клієнти та сервери
Реалізації серверів
Xray-core — Основна реалізація, що підтримує VLESS, VMess, XTLS, Reality. Найбільш актуальна.
V2Ray-core — Оригінальна реалізація. Підтримує VMess та VLESS (без XTLS).
Sing-box — Універсальна проксі-платформа з підтримкою всіх протоколів.
Клієнти
| Платформа | Клієнти |
|---|---|
| Windows | V2rayN, Nekoray, Clash Verge |
| macOS | V2rayU, ClashX, Surge |
| Linux | V2rayA, Nekoray |
| Android | V2rayNG, SagerNet, NekoBox |
| iOS | Shadowrocket, Quantumult X, Surge |
Практичне застосування
Обхід цензури
Основна мета — обхід GFW та інших систем DPI. VLESS+Reality+XTLS наразі вважається найбільш стійкою комбінацією.
Корпоративний VPN
Обфускація VPN-трафіку під HTTPS для обходу обмежень корпоративного фаєрволу.
Проксі-інфраструктура
VLESS/VMess можуть використовуватися як транспортний рівень для проксі-сервісів, забезпечуючи шифрування та обфускацію.
Висновок
VLESS та VMess — це передові проксі-протоколи, розроблені для обходу DPI. VLESS з XTLS та Reality наразі пропонує найкраще поєднання продуктивності, безпеки та стійкості до виявлення. Для обходу інтернет-цензури (Китай, Іран, Росія) ці протоколи стали де-факто стандартом.