فنی·۲۱ خرداد ۱۴۰۵·9 دقیقه مطالعه

AmneziaWG در برابر WireGuard: شاخهٔ استلث چه چیزی را عوض می‌کند

زبان: English العربية Deutsch Español Français हिन्दी Bahasa Indonesia Italiano 日本語 한국어 Polski Português Русский ไทย Türkçe Українська Tiếng Việt 简体中文繁體中文

WireGuard بحث پروتکل‌های مدرن را با کوچک‌بودن، سریع‌بودن و — به بهترین معنا — کسل‌کننده‌بودن برد. اما هرگز برای پنهان‌شدن طراحی نشده بود. روی شبکه‌هایی که از بازرسی عمیق بسته برای یافتن ترافیک VPN استفاده می‌کنند، WireGuard ساده یکی از آسان‌ترین پروتکل‌ها برای شناسایی است — و AmneziaWG پروژه‌ای است که هدفش دقیقاً رفع همین مشکل بود، بدون آنکه چیزهایی را که WireGuard خوب انجام می‌دهد کنار بگذارد.

پاسخ کوتاه: AmneziaWG یک شاخهٔ متن‌باز از WireGuard است که رمزنگاری و سرعت را نگه می‌دارد اما دست‌دادن (handshake) قابل‌تشخیص پروتکل را تغییرقیافه می‌دهد — با بسته‌های زائد، لایی‌گذاری (padding) تصادفی و بایت‌های هدر بازنویسی‌شده — تا بازرسی عمیق بسته نتواند آن را با امضای WireGuard مطابقت دهد. همان تونل در زیر، اما با شبحی متفاوت روی سیم.

نکات کلیدی

AmneziaWG یعنی WireGuard به‌علاوهٔ یک لایهٔ مبهم‌سازی. رمزگذاری، مدل کلید و کارایی عملاً دست‌نخورده‌اند.
WireGuard ساده یک دست‌دادن ثابت و قابل‌اثرانگشت‌گیری دارد — سانسورگرها از همین راه آن را بدون رمزگشایی هیچ‌چیز مسدود می‌کنند.
AmneziaWG این اثرانگشت را می‌شکند: بسته‌های زائد پیش از دست‌دادن، لایی‌گذاری تصادفی روی آن، و مقادیر هدرِ تصادفی‌شده.
این یک نوش‌دارو نیست. نشانی‌های سرورِ مسدودشده، ممنوعیت UDP و دیوارهای آتشِ فهرست‌سفید به‌هرحال جلویش را می‌گیرند.
روی یک شبکهٔ معمولی چیز اضافه‌ای برایتان نمی‌خرد. جایی اهمیت دارد که شبکه فعالانه به‌دنبال پروتکل‌های VPN می‌گردد.

چرا WireGuard ساده به‌راحتی مسدود می‌شود

یک سانسورگر برای مسدودکردن یک VPN لازم نیست رمزگذاری را بشکند. فقط باید پروتکل را بشناسد، و WireGuard این کار را آسان می‌کند چون دست‌دادنش هر بار یکسان به‌نظر می‌رسد. نخستین بستهٔ هر نشست WireGuard یک پیام UDP با اندازهٔ دقیقاً ۱۴۸ بایت است، و چهار بایت نخستش یک فیلد نوع‌پیام است که همیشه ۱ و سپس سه صفر می‌خوانَد. پاسخ سرور دقیقاً ۹۲ بایت، نوع ۲ است. در هر پیاده‌سازی، هر اتصال، همه‌جا.

این نظم برای مهندسان فوق‌العاده است و برای هرکس پشت یک دیوار آتش ملی فلاکت‌بار. سخت‌افزار بازرسی این شکل را الگو‌مطابقت می‌کند — اندازه‌های ثابت، بایت‌های نوعِ ثابت، ریتم تبادل — و اتصال را پیش از آنکه برپایی تونل تمام شود می‌اندازد. هرچه درون است رمزشده می‌ماند؛ بیرون، بازی را لو می‌دهد.

این یک از قلم‌افتادگی نیست. پروژهٔ WireGuard مبهم‌سازی ترافیک را صراحتاً یک «هدفِ نه» اعلام می‌کند: قرار است پروتکل کمینه و قابل‌بازرسی بماند، و تغییرقیافه به لایه‌هایی که رویش ساخته می‌شوند واگذار شود. سال‌ها همین یک شکاف باقی گذاشت، چون کشورهایی که سخت‌ترین فیلتر را می‌کنند — در مقالهٔ چگونه ایران، روسیه و چین VPN‌ها را مسدود می‌کنند این را مرور می‌کنیم — امضای WireGuard را زود به فیلترهایشان افزودند.

AmneziaWG یکی از پاسخ‌ها به این شکاف است.

AmneziaWG چه چیزی را عوض می‌کند

AmneziaWG از تیم پشت Amnezia می‌آید، یک جعبه‌ابزار متن‌باز برای VPN‌های خودمیزبان، و آسان‌ترین راه فهمیدنش این است که آن را WireGuardی تصور کنید که لباس مبدل پوشیده. این شاخه مجموعه‌ای از پارامترهای پیکربندی می‌افزاید که شکلِ اتصال را دقیقاً در همان لحظه‌هایی که سامانه‌های بازرسی تماشا می‌کنند بازآرایی می‌کند:

اول بسته‌های زائد (پارامترهای Jc، Jmin، Jmax). پیش از دست‌دادن واقعی، کلاینت رگباری از بسته‌های تصادفیِ بی‌معنا با اندازه‌های متغیر می‌فرستد. دیگر گفت‌وگو با یک پیام مرتب ۱۴۸ بایتی باز نمی‌شود.
لایی‌گذاری تصادفی (S1، S2). به آغاز و پاسخِ دست‌دادن بایت‌های اضافهٔ تصادفی چسبانده می‌شود، تا اندازهٔ بسته‌ها دیگر با امضای شناخته‌شده مطابقت نکند.
هدرهای بازنویسی‌شده (H1 تا H4). آن چهار مقدارِ ثابتِ نوع‌پیام که هر بستهٔ WireGuard را برچسب می‌زنند با مقادیری جایگزین می‌شوند که هر دو سر از پیش روی آن توافق کرده‌اند. آن ۱، ۲، ۳، ۴ِ لودهنده هرگز روی سیم ظاهر نمی‌شود.

نسخه‌های جدیدتر این ایده را جلوتر می‌برند. نسخهٔ ۱.۵ بسته‌های آغازینِ ویژه‌ای افزود که نخستین بایت‌های پروتکل‌های دیگر را تقلید می‌کنند، و خط ۲.۰ که در ۲۰۲۶ پس از آن آمد در همان جهت ادامه می‌دهد — هدف از «شبیه WireGuard نباش» به «شبیه چیزی بی‌خطر باش» جابه‌جا می‌شود.

دو نکته در عمل اهمیت دارند. هر دو سر باید همان مقادیر پارامتر را به اشتراک بگذارند: این یک لباس مبدلِ هماهنگ است که در فایل پیکربندی حمل می‌شود، نه چیزی که کلاینت فی‌البداهه بسازد. و با صفرکردن هر پارامتر مبهم‌سازی، AmneziaWG به WireGuardِ ساده حرف می‌زند — که نشانتان می‌دهد آن لایهٔ افزوده واقعاً چقدر نازک و جراحی‌گونه است.

چه چیزی ثابت می‌ماند

زیر لباس مبدل، پروتکل دست‌نخورده است. ریاضیاتِ دست‌دادن، رمزهای مدرن، تبادل کلید — همه مستقیماً از WireGuard به ارث رسیده‌اند نه بازاختراع‌شده. این انتخاب درستی است: مبهم‌سازی جدید ارزان است که خراب درآید و درستش کنی، حال آنکه رمزنگاری جدید فاجعه‌بار است که خراب درآید. شاخه‌ای که فقط پوشش را عوض می‌کند، هستهٔ کوچک و به‌شدت بازبینی‌شدهٔ WireGuard را نگه می‌دارد.

کارایی هم پابرجا می‌ماند. بسته‌های زائد هنگام آغاز اتصال کمی دادهٔ اضافه می‌افزایند، و پس از آن تونل ترافیک را همان‌طور که WireGuard جابه‌جا می‌کند جابه‌جا می‌کند. اگر برایتان مهم است که پروتکل‌های اصلی از نظر سرعت و باتری چطور با هم مقایسه می‌شوند، آن مقایسه را در WireGuard در برابر OpenVPN و IKEv2 انجام داده‌ایم — و AmneziaWG در ستون WireGuard می‌نشیند، نه کنار گزینه‌های قدیمی‌تر و سنگین‌تر.

AmneziaWG کجا هنوز می‌بازد

مبهم‌سازی هزینهٔ مسدودکردن شما را بالا می‌برد. مسدودسازی را ناممکن نمی‌کند، و یک مقایسهٔ صادقانه باید بگوید لباس مبدل کجا کمک نمی‌کند:

نشانی‌های مسدودشده. اگر سانسورگر پیش‌تر IP سرور شما را در فهرست سیاه گذاشته باشد، دیگر مهم نیست بسته‌هایتان چه شکلی‌اند. تغییرقیافه فیلترهای پروتکل را شکست می‌دهد، نه فهرست‌های نشانی را.
ممنوعیت و کندسازی UDP. برخی شبکه‌ها ترافیک UDPِ ناآشنا را یکجا می‌اندازند یا خفه می‌کنند. AmneziaWG هنوز UDP است؛ روی آن شبکه‌ها، تونل‌هایی که خود را به شکل ترافیک وب معمولی روی TCP درمی‌آورند دست بالا را می‌گیرند.
دیوارهای آتشِ فهرست‌سفید. سخت‌گیرترین شبکه‌ها منطق را وارونه می‌کنند: فقط پروتکل‌های شناخته‌شده عبور می‌کنند. آنجا، ترافیکی که شبیه هیچ‌چیز است خودش مشکوک است، و جریان‌های ناشناختهٔ پرآنتروپی از روی اصول انداخته می‌شوند. شبیه نوفه‌بودن در برابر فهرست سیاه کمک می‌کند و در برابر فهرست سفید ضرر می‌زند.
مسابقهٔ تسلیحاتی. سانسورگرها زمان‌بندی جریان، الگوهای اندازهٔ بسته در طول زمان، و واکنش یک سرورِ مشکوک هنگام تحریک را هم اندازه می‌گیرند. هر طرح مبهم‌سازی یک هدف متحرک است، و به همین دلیل پروژه‌های جدی پیوسته نسخه‌های تازه عرضه می‌کنند.

قاب‌بندی واقع‌بینانه: AmneziaWG روی شبکه‌هایی که با امضای پروتکل فیلتر می‌کنند مسدودکردن شما را پرهزینه می‌کند. جایی که مسدودسازی با نشانی، با لایهٔ انتقال، یا با فهرست سفید کار می‌کند، به حرکت‌های دیگری نیاز دارید — کل این چشم‌انداز را در چطور VPN سانسور را دور می‌زند ترسیم می‌کنیم.

آیا واقعاً به مبهم‌سازی VPN نیاز دارید؟

پرسشی که پیش از دست‌بردن به سراغ هر VPNِ مبهم‌شده ارزش پرسیدن دارد: آیا مشکل شما واقعاً مسدودسازی پروتکل است؟ روی یک اتصال خانگی در بیشتر کشورها، WireGuard ساده به‌خوبی وصل می‌شود، و مبهم‌سازی بدون افزودن حریم خصوصی فقط اجزای متحرک اضافه می‌کند — رمزگذاری در هر دو حالت یکسان است. آزمونِ صادقانه ساده است: اگر یک VPN استاندارد روی شبکهٔ شما قابل‌اعتماد وصل می‌شود، به لباس مبدل نیازی ندارید.

مبهم‌سازی در موقعیت‌های مشخصی نان خود را درمی‌آورد: دیوارهای آتش ملی که پروتکل‌های VPN را اثرانگشت می‌گیرند، ISP‌هایی که ترافیک شناخته‌شدهٔ VPN را کند می‌کنند، و برخی شبکه‌های شرکتی، دانشگاهی یا هتلی که از روی سیاست تونل‌ها را مسدود می‌کنند. اگر یکی از این‌ها هفتهٔ شما را توصیف می‌کند، بقیهٔ این مقایسه برای شماست. اگر نه، انتخاب پروتکل — که در مقایسهٔ اصلی‌مان پوشش داده‌ایم — مهم‌تر از تغییرقیافه است.

AmneziaWG روی iPhone

اپ‌های رسمی AmneziaWG وجود دارند، از جمله یک کلاینت iOS. اگر سروری اجاره کنید و آن را با ابزارهای Amnezia راه بیندازید، می‌توانید یک پیکربندی حاملِ پارامترهای مبهم‌سازی را وارد کنید و کار تمام است. برای کسانی که با مدیریت یک سرور و هماهنگ‌نگه‌داشتن پارامترها راحت‌اند، این مسیر واقعاً خوبی است — و مقایسهٔ Shadowsocks در برابر VPN ما گزینه‌های پروکسی‌شکل را در همان روحیهٔ خودمیزبانی پوشش می‌دهد.

بیشتر مردم نمی‌خواهند برای خواندن اینترنت زیرساخت اداره کنند، و نباید مجبور باشند. جایگزین عملی، VPNی است که اپش مبهم‌سازی را برای شما اعمال می‌کند و هر دو سر را همان ارائه‌دهنده مدیریت می‌کند.

Snap VPN همین‌طور ساخته شده. خود تونل WireGuard است، و روی آن تکنیک‌های مبهم‌سازی خودمان را اعمال می‌کنیم و اتصال را چنان شکل می‌دهیم که امضای کتابیِ یک VPN را به سامانه‌های بازرسی عرضه نکند. ما عمداً جزئیات سطح‌سیم را بیرون از مستنداتمان نگه می‌داریم — لباس‌های مبدلِ منتشرشده نخستین چیزی هستند که به فیلترها افزوده می‌شوند — اما اصل همان است که AmneziaWG اثبات می‌کند: مهندسی WireGuard را نگه دار، آنچه را شبکه می‌بیند عوض کن. چیزی برای پیکربندی نیست و حسابی برای ساختن نیست.

پرسش‌های پرتکرار

آیا AmneziaWG همان WireGuard است؟ یک شاخه است. رمزنگاری و رفتار تونل از آنِ WireGuard است؛ آنچه عوض می‌شود این است که بسته‌ها روی سیم چه شکلی‌اند — بسته‌های زائد، لایی‌گذاری و هدرهای تصادفی‌شده جای امضای قابل‌تشخیص را می‌گیرند. با صفرکردن آن پارامترها، مثل WireGuardِ استاندارد رفتار می‌کند.

آیا AmneziaWG از WireGuard کندتر است؟ نه به‌طور معنادار. مبهم‌سازی هنگام برپایی اتصال مقدار کمی داده می‌افزاید، و سرعت در حالت پایدار همتراز با WireGuardِ ساده است — رمزگذاری‌ای که کار اصلی را انجام می‌دهد یکسان است.

آیا DPI هنوز می‌تواند AmneziaWG را تشخیص دهد؟ می‌تواند تلاش کند، و گاهی موفق می‌شود. مبهم‌سازی مطابقت آسانِ امضا را برمی‌دارد، اما سانسورگرها هنوز می‌توانند نشانی‌های سرور را مسدود کنند، UDP را کند کنند، یا ترافیکی را که اصلاً نمی‌توانند طبقه‌بندی کنند علامت بزنند. آن را یک حرکت قوی در یک مسابقهٔ تسلیحاتیِ جاری بدانید، نه مصونیت.

آیا AmneziaWG روی iPhone کار می‌کند؟ بله — یک اپ رسمی iOS هست، و پارامترهای مبهم‌سازی پیکربندی شما باید دقیقاً با سرور بخواند. اگر ترجیح می‌دهید خودتان آن را مدیریت نکنید، جایگزین، یک اپ VPN با مبهم‌سازی توکار است.

جمع‌بندی

WireGuard به‌راحتی مسدود می‌شود چون دست‌دادنش همه‌جا یکسان به‌نظر می‌رسد؛ رمزگذاری محتوا را پنهان می‌کند، نه طرح‌کلی پروتکل را.
AmneziaWG رمزنگاری و سرعت WireGuard را نگه می‌دارد و دقیقاً همان بخش‌هایی را که سامانه‌های بازرسی روی آن مطابقت می‌کنند تصادفی می‌کند.
در برابر فیلترهای پروتکل می‌بَرَد؛ بر فهرست‌های سیاهِ IP، ممنوعیت UDP یا دیوارهای آتشِ فهرست‌سفید غلبه نمی‌کند.
خودمیزبانی آن روی iPhone از طریق اپ رسمی کار می‌کند. مسیر کم‌زحمت، یک VPN است که مبهم‌سازی را به‌عنوان بخشی از محصول عرضه می‌کند.

اگر سرعت WireGuard را با مبهم‌سازیِ از‌پیش‌حل‌شده می‌خواهید — بدون سروری برای اجاره، بدون پارامتری برای هماهنگ‌کردن، بدون حساب و بدون لاگ ترافیک — Snap VPN روی App Store است.

Daniel Brooks

Networking & protocols writer