حریم خصوصی·۱۸ خرداد ۱۴۰۵·9 دقیقه مطالعه

چطور VPN سانسور را دور می‌زند (و کجا نمی‌تواند)

زبان: English العربية Deutsch Español Français हिन्दी Bahasa Indonesia Italiano 日本語 한국어 Polski Português Русский ไทย Türkçe Українська Tiếng Việt 简体中文繁體中文

سانسور اینترنت در چند سال اخیر بسیار دقیق‌تر شده است، و این پرسش که آیا VPN هنوز آن را دور می‌زند یک پاسخ یک‌کلمه‌ای ندارد. بستگی دارد به اینکه مسدودسازی چگونه انجام می‌شود، و اینکه VPN برای پنهان‌ماندن چه می‌کند.

پاسخ کوتاه: یک VPN با پیچیدن ترافیک شما در رمزنگاری و عبوردادن آن از سروری بیرون از شبکهٔ سانسورشده، از بیشتر سانسورها عبور می‌کند؛ به‌طوری‌که صافی (فیلتر) نمی‌تواند ببیند چه می‌خوانید یا ترافیک به کجا می‌رود. این روش در برابر مسدودسازی‌های معمولی کار می‌کند. اما در برابر بازرسی عمیق بستهٔ امروزی، خودِ VPN می‌تواند به چیزی تبدیل شود که مسدود می‌شود.

نکات کلیدی

یک VPN مقصد و محتوای ترافیک شما را از دید شبکه پنهان می‌کند و همین، مسدودسازی مبتنی بر IP، دستکاری DNS و فیلتر کلمات کلیدی را خنثی می‌کند.
بازرسی عمیق بسته (DPI) محتوای رمزشدهٔ شما را نمی‌خواند؛ بلکه شکل ترافیک را اثرانگشت می‌گیرد تا حدس بزند که اصلاً از VPN استفاده می‌کنید.
هرجا DPI تهاجمی باشد، پروتکل‌های استاندارد VPN را می‌توان شناسایی و کند یا مسدود کرد؛ به همین دلیل حالت‌های مبهم‌سازی (obfuscation) و «استلث» وجود دارند.
هیچ VPN یک راه عبور تضمینی نیست. در سنگین‌ترین شبکه‌های فیلترشده، این یک هدف متحرک است و داشتن بیش از یک ابزار مهم‌تر از هر اپلیکیشن واحدی است.

پاسخ کوتاه

ترافیک خام اینترنت‌تان را مثل یک کارت‌پستال تصور کنید: هرکس آن را جابه‌جا می‌کند می‌تواند نشانی و متن را بخواند. یک شبکهٔ سانسورگر در میانه می‌نشیند و از تحویل کارت‌پستال‌هایی که به مقصدهای معیّن نشانی شده‌اند یا حاوی کلمات معیّن‌اند سر باز می‌زند. یک VPN آن کارت‌پستال را داخل یک پاکت دربستهٔ مات می‌گذارد و آن را به یک نشانی مورد اعتماد می‌فرستد — سرور VPN — که سپس از طرف شما آن را پیش می‌فرستد. شبکه هنوز می‌بیند که شما یک پاکت فرستادید، اما نه اینکه در نهایت به کجا می‌رود و نه اینکه درونش چیست.

همین یک تغییر، رایج‌ترین شکل‌های سانسور را یکجا خنثی می‌کند. پیچیدگی — و دلیل اینکه این نوشته از یک جمله بلندتر است — این است که خودِ پاکت یک شکل قابل‌تشخیص دارد، و این همان چیزی است که سانسور مدرن یاد گرفته به‌دنبالش بگردد.

سانسور اینترنت واقعاً چطور کار می‌کند

سانسور در سطح ملی و شبکه یک تکنیک واحد نیست؛ مجموعه‌ای از تکنیک‌هاست که معمولاً روی‌هم لایه می‌شوند:

مسدودسازی نشانی IP. ساده‌ترین روش: انداختن همهٔ ترافیک به‌سوی و از فهرستی از نشانی‌های سرور. ارزان، کند و خشن، و به‌راحتی با رسیدن به همان محتوا از نشانی دیگر قابل دورزدن.
دستکاری DNS. وقتی دستگاه شما می‌پرسد «نشانی این سایت چیست؟»، شبکه دروغ می‌گوید — پاسخ نادرست می‌دهد یا هیچ. بخش بزرگی از مسدودسازی روزمره همین است، و به همین خاطر هم آسان‌ترین لایه برای عبور است.
فیلتر SNI. حتی روی یک اتصال رمزشدهٔ HTTPS، نخستین دست‌دادن (handshake) معمولاً نام سایتی را که می‌بینید به‌صورت متن ساده فاش می‌کند (همان Server Name Indication). فیلترها آن نام را می‌خوانند و اتصال به دامنه‌های ممنوع را قطع می‌کنند و بقیه را رها می‌کنند.
فیلتر کلمات کلیدی و محتوا. روی ترافیک رمزنشده، شبکه می‌تواند به‌دنبال کلمات یا عبارت‌های ممنوع بگردد و بر همان اساس مسدود یا ثبت کند.
کندسازی (throttling). به‌جای مسدودسازی کامل، شبکه یک سرویس را تا حد غیرقابل‌استفاده‌شدن کند می‌کند. این روش قابل‌انکار است — چیزی «مسدود» نشده — و علیه کل پلتفرم‌ها به‌کار رفته است.
بازرسی عمیق بسته. پیچیده‌ترین لایه، و همان چیزی که VPN واقعاً باید با آن دست‌وپنجه نرم کند. در ادامه بیشتر دربارهٔ آن می‌گوییم.

تونل رمزشدهٔ یک VPN چهار مورد نخست را بی‌سروصدا حل می‌کند. شبکه نمی‌تواند روی ترافیکی که نمی‌خواند فیلتر SNI یا کلمات کلیدی اعمال کند، و نمی‌تواند درخواست DNS‌ای را که داخل تونل اتفاق می‌افتد دستکاری کند. اگر می‌خواهید سازوکار خودِ تونل را بدانید، در اینکه تونل VPN چیست و چگونه کار می‌کند آن را شرح داده‌ایم.

بازرسی عمیق بسته چیست

بازرسی عمیق بسته (DPI) تکنیکی است که اصلاً سانسورِ یک VPN را ممکن می‌کند. نام آن کمی گمراه‌کننده است: در برابر ترافیک رمزشده، DPI محتوای بسته‌های شما را نمی‌خواند، چون نمی‌تواند. آنچه بازرسی می‌کند هرچیزی است که پیرامون محتواست — فراداده و الگوی آماری اتصال.

هر پروتکل یک‌جور لهجه دارد. یک دست‌دادن استاندارد VPN اندازهٔ بسته‌ها، زمان‌بندی و الگوهای بایتی مشخصی دارد که با مرور وب معمولی فرق می‌کند. سامانه‌های DPI آموزش دیده‌اند که این لهجه‌ها را بشناسند. آن‌ها در عمل می‌پرسند: آیا این اتصال شبیه VPN است، هرچند نمی‌توانم آن را بخوانم؟ وقتی پاسخ آری باشد، سامانه می‌تواند اتصال را کند کند، آن را ریست کند، یا سرور مقصد را به فهرست سیاه بیفزاید — همهٔ این‌ها بدون آنکه هرگز چیزی را رمزگشایی کند.

سامانه‌های جدیدتر یک گام جلوتر می‌روند با کاوش فعال (active probing). پس از دیدن یک اتصال مشکوک، خودشان ترافیک آزمایشی به سرور مقصد می‌فرستند تا ببینند چطور پاسخ می‌دهد. اگر سرور مثل یک VPN شناخته‌شده پاسخ دهد، مسدود می‌شود. برخی دیوارهای آتش ملی به همین شیوه سرورهای VPN را ظرف چند دقیقه پس از آنلاین‌شدن کشف و خاموش می‌کنند.

VPN چطور از آن عبور می‌کند

با همهٔ این‌ها، VPN چگونه هنوز در شبکه‌های سانسورشده کار می‌کند؟ به دو شیوه، که روی‌هم می‌نشینند.

نخست همان شیوهٔ بنیادی است که توضیح داده شد: رمزنگاری. چون تونل هم مقصد و هم محتوای ترافیک شما را پنهان می‌کند، کل خانوادهٔ مسدودسازی‌های مبتنی بر نشانی، DNS و محتوا دیگر کاربردی ندارند. برای اکثریت بزرگ شبکه‌های جهان — فیلترهای محل کار، شبکه‌های مدرسه، وای‌فای هتل، و بسیاری از مسدودسازی‌های ملی که به DNS و SNI تکیه دارند — همین تمام ماجراست. VPN کار می‌کند چون سانسورگر چیزی پیچیده‌تر از یک فهرست سیاه نساخته است.

دوم مبهم‌سازی (obfuscation) است، که فقط جایی اهمیت دارد که DPI در میان باشد. مبهم‌سازی یعنی تغییرقیافهٔ ترافیک VPN تا آن لهجهٔ قابل‌تشخیص را نداشته باشد. برخی ابزارها ترافیک را چنان درهم می‌کنند که شبیه نوفهٔ تصادفی شود؛ برخی دیگر آن را چنان می‌پیچند که شبیه HTTPS معمولی به‌نظر برسد — همان پروتکلی که مرور وب عادی را حمل می‌کند — تا مسدودکردنش به‌معنای شکستن اینترنت روزمره باشد. جزئیات در سطح پروتکل فرق دارند و مدام تغییر می‌کنند، چون این یک مسابقهٔ تسلیحاتی است: سانسورگرها اثرانگشت‌هایشان را به‌روز می‌کنند، ابزارهای دورزدن قیافه‌هایشان را، و چرخه تکرار می‌شود. روایت صادقانه این است که مبهم‌سازی زمان و دسترسی می‌خرد، نه یک پیروزی همیشگی.

VPN کجا مسدود می‌شود

ارزش دارد دربارهٔ محدودیت‌ها رک باشیم، چون بخش زیادی از تبلیغات نیست. یک VPN به چند دلیل ممکن است نتواند شما را عبور دهد:

پروتکل اثرانگشت‌گیری می‌شود. دست‌دادن‌های استاندارد WireGuard و OpenVPN به‌خوبی مطالعه شده‌اند. یک سامانهٔ DPI که برای دیدن آن‌ها تنظیم شده می‌تواند اتصال را کند کند یا بیندازد، حتی اگر نتواند آن را بخواند. این رایج‌ترین راه مسدودشدن VPN در مقیاس ملی است.
سرور در فهرست سیاه است. سرورهای VPN تجاری از بازه‌های نشانی شناخته‌شده استفاده می‌کنند. سانسورگرها همان سرویس‌ها را می‌خرند، نشانی‌ها را فهرست می‌کنند و آن‌ها را یکجا مسدود می‌کنند. یک ارائه‌دهنده باید مدام نشانی‌ها را بچرخاند تا در دسترس بماند.
کاوش فعال سرور را پیدا می‌کند. همان‌طور که بالا گفته شد، شبکه سرورهای مشکوک را آزمایش می‌کند و آن‌هایی را که مثل VPN پاسخ می‌دهند مسدود می‌کند.
همه‌چیز به‌صورت پیش‌فرض مسدود است. چند شبکه مدل را کاملاً وارونه می‌کنند: هیچ‌چیز وصل نمی‌شود مگر در فهرست سفید باشد. آنجا پرسش این نیست که آیا VPN شما شناسایی می‌شود، بلکه این است که آیا می‌تواند چیزی مجاز را تقلید کند.

هیچ‌کدام از این‌ها به‌معنای بی‌فایده‌بودن VPN زیر سانسور نیست — اصلاً. به این معناست که پروتکل و مهندسی ارائه‌دهنده اهمیت دارند، و تجربه کمتر «همیشه کار می‌کند» و بیشتر «با تلاش کار می‌کند، و گاهی سرور یا حالت را عوض می‌کنید» است. گروه‌های اندازه‌گیری مستقل مانند OONI ردیابی می‌کنند که کدام ابزارها و پروتکل‌ها کجا مسدود می‌شوند، و تصویر واقعاً ماه‌به‌ماه تغییر می‌کند.

ایران، روسیه و چین در ۲۰۲۶

سه نمونهٔ پربحث، یک مسابقهٔ تسلیحاتی واحد را در مراحل مختلف نشان می‌دهند.

سامانهٔ چین قدیمی‌ترین و پالوده‌ترین است. دستکاری DNS، فیلتر SNI، DPI در مقیاس بزرگ و کاوش فعال را ترکیب می‌کند، و دورزدن را یک مسئلهٔ مهندسی همیشگی می‌داند که باید مدیریت شود، نه چیزی که یک‌بار برده شود. پروتکل‌های سادهٔ VPN معمولاً شناسایی می‌شوند؛ آنچه دوام می‌آورد معمولاً به مبهم‌سازی تکیه دارد.

روسیه سال‌های ۲۰۲۵ و ۲۰۲۶ را صرف حرکت از مسدودسازی خشن به‌سوی مدل چین کرد؛ تجهیزات بازرسی را در سراسر شبکه‌ها مستقر کرد و پیوسته دامنهٔ پروتکل‌ها و سرویس‌هایی را که می‌تواند کند کند گسترش داد. پوشش خبری در ۲۰۲۶ موج‌هایی از مسدودسازی VPN، چرخش روش‌های سرویس‌ها در پاسخ، و آسیب جانبی این مقیاس از فیلترکردن را مستند کرد — از جمله اختلال در بانکداری و پیام‌رسانی عادی هنگامی که مسدودسازی خطا می‌کند.

ایران فیلترینگ سنگین را با خاموشی‌های دوره‌ای و تقریباً کامل ترکیب می‌کند، و سهم بسیار بزرگی از مردمش به‌طور روزمره از طریق ابزارهای دورزدن به اینترنت آزاد می‌رسند. این روشن‌ترین نمونهٔ پیشی‌گرفتن تقاضا از سانسورگر است: مسدودسازی شدید است و مردم پیوسته سازگار می‌شوند و با هدف‌قرارگرفتن هر ابزار، ابزار را عوض می‌کنند.

رشتهٔ مشترک این است که در هر سه، VPN لازم است اما به‌تنهایی کافی نیست. کسانی که متصل می‌مانند معمولاً بیش از یک ابزار نگه می‌دارند، انتظار جابه‌جایی دارند، و پایداری را چیزی می‌دانند که حفظ می‌کنند نه یک‌بار می‌خرند.

این برای شما چه معنایی دارد

اگر در جایی که تهاجمی فیلتر می‌کند VPN انتخاب می‌کنید یا به آن تکیه دارید، چند نکتهٔ صادقانه و عملی:

پروتکل مهم‌تر از برند است. اینکه یک اتصال از DPI جان سالم به‌در می‌برد یا نه، به پروتکل و به اینکه اپ حالت مبهم‌سازی یا «استلث» دارد بستگی دارد، نه به یک لوگو.
یک ابزار پشتیبان داشته باشید. مطمئن‌ترین راهبرد در شبکه‌های سانسورشده افزونگی است — بیش از یک ابزار، تا وقتی یکی هدف قرار گرفت بی‌ارتباط نمانید.
پیش از نیاز همه‌چیز را آماده کنید. ابزارها را وقتی هنوز دسترسی باز دارید دانلود و تنظیم کنید؛ ابزارهای دورزدن اغلب نخستین چیزی هستند که در یک سرکوب مسدود می‌شوند.
حواستان به تصویر قانونی باشد. در برخی کشورها استفاده از VPN محدود یا خطرناک است. این پرسشی جدا از کارکرد فنی است و در آیا استفاده از VPN قانونی است به آن پرداخته‌ایم.
به تضمین‌ها بدبین باشید. هر ارائه‌دهنده‌ای که قول دهد «همیشه» در برابر یک دیوار آتش ملی کار می‌کند، اغراق می‌کند. روایت درست این است: «اغلب، با پروتکل درست، و ما مدام سازگار می‌شویم.»

و یک نکتهٔ حریم خصوصی که آسان از قلم می‌افتد: وقتی برای دورزدن سانسور همه‌چیز را از یک VPN عبور می‌دهید، همان ترافیکی را که سانسورگر می‌خواست ببیند به آن ارائه‌دهنده می‌سپارید. اینکه ارائه‌دهنده چه چیزی دربارهٔ شما نگه می‌دارد ناگهان بسیار مهم می‌شود. این کل استدلال برای انتخاب ارائه‌دهنده‌ای است که نمی‌تواند چیزی را که هرگز جمع نکرده تحویل دهد — معنای واقعی «بدون لاگ» را ببینید.

پرسش‌های پرتکرار

چطور با VPN سانسور را دور بزنیم؟ به سروری بیرون از شبکهٔ سانسورشده وصل شوید؛ ترافیک شما رمز و از آن عبور می‌کند، پس مسدودسازی دامنه، DNS و محتوا دیگر اعمال نمی‌شود. در شبکه‌هایی با بازرسی عمیق بسته، اگر اپ حالت مبهم‌سازی یا استلث دارد روشنش کنید و آمادهٔ عوض‌کردن سرور باشید.

آیا شبکه می‌تواند بفهمد از VPN استفاده می‌کنم؟ گاهی. نمی‌تواند ترافیک‌تان را بخواند، اما بازرسی عمیق بسته اغلب می‌تواند تشخیص دهد که یک اتصال صرفاً از روی الگویش شبیه VPN است. مبهم‌سازی دقیقاً برای دشوارکردن همین کار طراحی شده است.

آیا دورزدن محدودیت‌ها با VPN غیرقانونی است؟ کاملاً به کشور بستگی دارد. در بیشتر جهان استفاده از VPN قانونی است؛ چند کشور آن را محدود یا ممنوع می‌کنند. قانونی‌بودن خودِ ابزار و قانونی‌بودن کاری که با آن می‌کنید دو پرسش جدا هستند — هر دو را در راهنمای قانونی‌بودن VPN پوشش داده‌ایم.

چرا VPN من وصل می‌شود ولی زیر سانسور چیزی بارگذاری نمی‌شود؟ معمولاً دست‌دادن عبور کرده اما شبکه دارد ترافیک شناخته‌شدهٔ VPN را کند یا ریست می‌کند، یا نشانی سرور در فهرست سیاه است. راه‌حل معمول، رفتن به سروری دیگر یا یک پروتکل مبهم‌شده است.

جمع‌بندی

یک VPN با پنهان‌کردن مقصد و محتوای ترافیک شما سانسور را دور می‌زند و همین، مسدودسازی معمولی را که بیشتر شبکه‌ها به آن تکیه دارند خنثی می‌کند. در برابر بازرسی عمیق بسته، رقابت به این منتقل می‌شود که آیا VPN می‌تواند شبیه VPN به‌نظر نرسد — یک مسابقهٔ تسلیحاتی واقعی و جاری که در آن پروتکل، مهندسی ارائه‌دهنده و داشتن یک پشتیبان مهم‌تر از هر وعدهٔ شکست‌ناپذیری است. بفهمید با کدام نوع مسدودسازی روبه‌رو هستید تا انتظارهای واقع‌بینانه داشته باشید نه انتظارهای تبلیغاتی.

Snap VPN روی WireGuard کار می‌کند، هیچ حساب یا ایمیلی نمی‌خواهد و هیچ لاگ ترافیکی نگه نمی‌دارد — پس داده‌ای که یک سانسورگر بخواهد به‌اجبار بگیرد، داده‌ای است که ما اصلاً نگه نمی‌داریم. این برای حریم خصوصی روزمره ساخته شده، نه به‌عنوان پاسخی تضمینی به تهاجمی‌ترین دیوارهای آتش جهان، و ترجیح می‌دهیم همین را رک بگوییم. روی App Store در دسترس است.

Sofia Lindqvist

Privacy & policy writer