तकनीकी·11 जून 2026·9 मिनट पढ़ना

AmneziaWG बनाम WireGuard: स्टेल्थ फ़ोर्क क्या बदलता है

भाषा: English العربية Deutsch Español فارسی Français Bahasa Indonesia Italiano 日本語 한국어 Polski Português Русский ไทย Türkçe Українська Tiếng Việt 简体中文繁體中文

WireGuard ने आधुनिक प्रोटोकॉल की बहस यह कहकर जीती कि वह छोटा, तेज़ और सबसे अच्छे मायनों में नीरस है। पर इसे कभी छिपने के लिए नहीं बनाया गया था। जो नेटवर्क VPN ट्रैफ़िक ढूँढने के लिए डीप पैकेट इंस्पेक्शन का इस्तेमाल करते हैं, उन पर सादा WireGuard पहचानने में सबसे आसान प्रोटोकॉल में से एक है — और AmneziaWG वह प्रोजेक्ट है जो ठीक इसी को ठीक करने निकला, बिना उन चीज़ों को छोड़े जो WireGuard अच्छे से करता है।

छोटा जवाब: AmneziaWG, WireGuard का एक ओपन-सोर्स फ़ोर्क है जो क्रिप्टोग्राफ़ी और रफ़्तार तो वही रखता है पर प्रोटोकॉल के पहचानने लायक हैंडशेक का भेस बदल देता है — कूड़ा पैकेट, बेतरतीब पैडिंग और दोबारा लिखे गए हेडर बाइट्स के ज़रिए — ताकि डीप पैकेट इंस्पेक्शन इसे किसी WireGuard सिग्नेचर से न मिला सके। नीचे वही टनल, तार पर अलग सिल्हूट।

मुख्य बातें

AmneziaWG यानी WireGuard के साथ एक ऑब्फ़स्केशन परत। एन्क्रिप्शन, कुंजी मॉडल और परफ़ॉर्मेंस मूलतः वैसे ही रहते हैं।
सादे WireGuard का एक तय, फिंगरप्रिंट होने लायक हैंडशेक होता है — सेंसर बिना कुछ डिक्रिप्ट किए इसी से इसे ब्लॉक करते हैं।
AmneziaWG फिंगरप्रिंट तोड़ देता है: हैंडशेक से पहले कूड़ा पैकेट, उस पर बेतरतीब पैडिंग, और बेतरतीब किए गए हेडर मान।
यह कोई रामबाण नहीं है। ब्लॉक किए गए सर्वर पते, UDP पाबंदियाँ और अनुमति-सूची वाले फ़ायरवॉल इसे फिर भी रोक देते हैं।
एक सामान्य नेटवर्क पर यह आपको कुछ अतिरिक्त नहीं देता। यह वहाँ मायने रखता है जहाँ नेटवर्क सक्रिय रूप से VPN प्रोटोकॉल का शिकार करते हैं।

सादा WireGuard ब्लॉक करना क्यों आसान है

किसी VPN को ब्लॉक करने के लिए सेंसर को एन्क्रिप्शन तोड़ने की ज़रूरत नहीं होती। उसे बस प्रोटोकॉल पहचानना होता है, और WireGuard यह आसान बना देता है क्योंकि इसका हैंडशेक हर बार एक जैसा दिखता है। हर WireGuard सत्र का पहला पैकेट ठीक 148 बाइट का एक UDP संदेश होता है, और इसके पहले चार बाइट एक मैसेज-टाइप फ़ील्ड होते हैं जो हमेशा 1 के बाद तीन शून्य पढ़ते हैं। सर्वर का जवाब ठीक 92 बाइट का, टाइप 2 होता है। हर इम्प्लीमेंटेशन में, हर कनेक्शन में, हर जगह।

यह नियमितता इंजीनियरों के लिए शानदार है और किसी राष्ट्रीय फ़ायरवॉल के पीछे बैठे किसी भी इंसान के लिए दुखदायी। इंस्पेक्शन हार्डवेयर इस आकार को पैटर्न से मिलाता है — तय आकार, स्थिर टाइप बाइट्स, आदान-प्रदान की लय — और टनल के पूरी तरह सेट होने से पहले ही कनेक्शन गिरा देता है। अंदर की हर चीज़ एन्क्रिप्टेड रहती है; बाहर का हिस्सा भेद खोल देता है।

यह कोई चूक नहीं है। WireGuard प्रोजेक्ट ट्रैफ़िक ऑब्फ़स्केशन को एक साफ़-साफ़ ग़ैर-लक्ष्य बताता है: प्रोटोकॉल का मक़सद न्यूनतम और ऑडिट करने लायक बने रहना है, और भेस बदलना उसके ऊपर बनी परतों पर छोड़ दिया जाता है। बरसों तक इसने एक खाई छोड़ी, क्योंकि जो देश सबसे कड़ाई से फ़िल्टर करते हैं — हम ईरान, रूस और चीन VPN कैसे ब्लॉक करते हैं में इस पर बात करते हैं — उन्होंने WireGuard का सिग्नेचर अपने फ़िल्टरों में जल्दी जोड़ लिया।

AmneziaWG उस खाई का एक जवाब है।

AmneziaWG क्या बदलता है

AmneziaWG, Amnezia की टीम से आता है — सेल्फ़-होस्टेड VPN के लिए एक ओपन-सोर्स टूलकिट — और इसे समझने का सबसे आसान तरीका है कि इसे वेशभूषा पहने WireGuard के रूप में देखा जाए। यह फ़ोर्क कॉन्फ़िगरेशन पैरामीटरों का एक सेट जोड़ता है जो कनेक्शन के दिखने का रूप ठीक उन्हीं पलों पर बदल देता है जब इंस्पेक्शन सिस्टम देख रहे होते हैं:

पहले कूड़ा पैकेट (Jc, Jmin, Jmax पैरामीटर)। असली हैंडशेक से पहले, क्लाइंट अलग-अलग आकार के बेमतलब, बेतरतीब पैकेटों की एक बौछार भेजता है। बातचीत अब किसी सुथरे 148-बाइट संदेश से शुरू नहीं होती।
बेतरतीब पैडिंग (S1, S2)। हैंडशेक इनिशिएशन और रिस्पॉन्स में बेतरतीब अतिरिक्त बाइट्स जुड़ जाते हैं, ताकि पैकेट के आकार जाने-पहचाने सिग्नेचर से मेल खाना बंद कर दें।
दोबारा लिखे गए हेडर (H1–H4)। हर WireGuard पैकेट को लेबल करने वाले चार तय मैसेज-टाइप मान उन मानों से बदल दिए जाते हैं जिन पर दोनों छोर पहले से सहमत होते हैं। भेद खोलने वाले 1, 2, 3, 4 कभी तार पर नज़र नहीं आते।

नए रिलीज़ इस विचार को और आगे ले जाते हैं। वर्शन 1.5 ने ख़ास तौर से गढ़े गए शुरुआती पैकेट जोड़े जो दूसरे प्रोटोकॉल के पहले बाइट्स की नक़ल करते हैं, और 2026 में आई 2.0 श्रृंखला उसी दिशा में चलती है — लक्ष्य “WireGuard जैसा मत दिखो” से खिसककर “किसी निर्दोष चीज़ जैसा दिखो” की ओर बढ़ता हुआ।

व्यवहार में दो बातें मायने रखती हैं। दोनों छोरों के पास एक ही पैरामीटर मान होने चाहिए: यह एक समन्वित वेशभूषा है, जो कॉन्फ़िग फ़ाइल में ढोई जाती है, न कि कोई ऐसी चीज़ जिसे क्लाइंट मौके पर गढ़ता हो। और हर ऑब्फ़स्केशन पैरामीटर को शून्य पर रखने पर, AmneziaWG सादा WireGuard बोलता है — जो आपको बताता है कि जोड़ी गई परत असल में कितनी पतली और शल्य-चिकित्सा जैसी सटीक है।

क्या वैसा ही रहता है

वेशभूषा के नीचे, प्रोटोकॉल अछूता रहता है। हैंडशेक का गणित, आधुनिक साइफ़र, कुंजी आदान-प्रदान — सब सीधे WireGuard से विरासत में लिया गया है, दोबारा ईजाद नहीं किया गया। यही सही फ़ैसला है: नया ऑब्फ़स्केशन ग़लत होकर ठीक हो जाना सस्ता है, जबकि नई क्रिप्टोग्राफ़ी का ग़लत होना विनाशकारी होता है। एक ऐसा फ़ोर्क जो सिर्फ़ ऊपरी आवरण बदलता है, WireGuard का छोटा, ख़ूब जाँचा-परखा कोर बनाए रखता है।

परफ़ॉर्मेंस भी टिका रहता है। कूड़ा पैकेट कनेक्शन शुरू होते समय थोड़ा अतिरिक्त डेटा जोड़ते हैं, और उसके बाद टनल ट्रैफ़िक को वैसे ही ढोता है जैसे WireGuard ढोता है। अगर आपको परवाह है कि प्रमुख प्रोटोकॉल रफ़्तार और बैटरी पर कैसे टकराते हैं, तो वह तुलना हमने WireGuard बनाम OpenVPN बनाम IKEv2 में की है — और AmneziaWG WireGuard वाले ख़ाने में बैठता है, उन पुराने, भारी विकल्पों के साथ नहीं।

AmneziaWG कहाँ फिर भी हार जाता है

ऑब्फ़स्केशन आपको ब्लॉक करने की लागत बढ़ा देता है। यह ब्लॉक करना नामुमकिन नहीं बना देता, और एक ईमानदार तुलना को यह कहना ही होगा कि वेशभूषा कहाँ मदद नहीं करती:

ब्लॉक किए गए पते। अगर किसी सेंसर ने पहले से ही आपके सर्वर का IP ब्लैकलिस्ट कर रखा है, तो आपके पैकेट कैसे दिखते हैं इससे कोई फ़र्क़ नहीं पड़ता। भेस प्रोटोकॉल फ़िल्टरों को मात देता है, पतों की सूचियों को नहीं।
UDP पाबंदियाँ और थ्रॉटलिंग। कुछ नेटवर्क अनजाने UDP ट्रैफ़िक को थोक में गिरा या घोंट देते हैं। AmneziaWG अब भी UDP है; उन नेटवर्कों पर वे टनल आगे आ जाते हैं जो TCP पर आम वेब ट्रैफ़िक जैसी वेशभूषा पहन लेते हैं।
अनुमति-सूची वाले फ़ायरवॉल। सबसे सख़्त नेटवर्क तर्क को उलट देते हैं: केवल पहचाने गए प्रोटोकॉल ही गुज़रते हैं। वहाँ, जो ट्रैफ़िक किसी भी चीज़ जैसा न दिखे, वह ख़ुद ही संदिग्ध हो जाता है, और न पहचाने जाने वाले हाई-एंट्रॉपी प्रवाह उसूलन गिरा दिए जाते हैं। शोर जैसा दिखना किसी ब्लॉकलिस्ट के ख़िलाफ़ मदद करता है और किसी अनुमति-सूची के ख़िलाफ़ नुकसान।
हथियारों की होड़। सेंसर प्रवाह का समय, समय के साथ पैकेट-आकार के पैटर्न, और किसी संदिग्ध सर्वर को कुरेदने पर वह कैसे जवाब देता है, यह भी मापते हैं। हर ऑब्फ़स्केशन योजना एक चलता-फिरता निशाना है, यही वजह है कि गंभीर प्रोजेक्ट नए वर्शन भेजते रहते हैं।

वास्तविक चौखट यह है: AmneziaWG आपको उन नेटवर्कों पर ब्लॉक करना महँगा बना देता है जो प्रोटोकॉल सिग्नेचर से फ़िल्टर करते हैं। जहाँ ब्लॉकिंग पते से, ट्रांसपोर्ट से, या अनुमति-सूची से होती है, वहाँ आपको अलग चालें चाहिए — पूरे इस परिदृश्य का नक़्शा हम VPN सेंसरशिप कैसे बायपास करता है में खींचते हैं।

क्या आपको असल में VPN ऑब्फ़स्केशन चाहिए?

किसी भी ऑब्फ़स्केटेड VPN तक पहुँचने से पहले एक सवाल पूछने लायक है: क्या आपकी समस्या असल में प्रोटोकॉल ब्लॉकिंग है? ज़्यादातर देशों में किसी घरेलू कनेक्शन पर सादा WireGuard ठीक से जुड़ जाता है, और ऑब्फ़स्केशन बिना प्राइवेसी जोड़े चलते-फिरते पुर्ज़े जोड़ देता है — एन्क्रिप्शन तो दोनों ही तरह वही रहता है। ईमानदार कसौटी सरल है: अगर एक मानक VPN आपके नेटवर्क पर भरोसेमंद ढंग से जुड़ता है, तो आपको वेशभूषा की ज़रूरत नहीं।

ऑब्फ़स्केशन ख़ास हालात में अपनी क़ीमत वसूल करता है: वे राष्ट्रीय फ़ायरवॉल जो VPN प्रोटोकॉल को फिंगरप्रिंट करते हैं, वे ISP जो पहचाने गए VPN ट्रैफ़िक को थ्रॉटल करते हैं, और कुछ दफ़्तरी, कैंपस या होटल के नेटवर्क जो नीतिगत तौर पर टनल ब्लॉक करते हैं। अगर इनमें से कोई आपके हफ़्ते को बयान करता है, तो यह बाक़ी तुलना आपके लिए है। अगर नहीं, तो प्रोटोकॉल का चुनाव — हमारी मुख्य तुलना में कवर — भेस से ज़्यादा मायने रखता है।

iPhone पर AmneziaWG

आधिकारिक AmneziaWG ऐप मौजूद हैं, जिनमें एक iOS क्लाइंट भी है। अगर आप एक सर्वर किराए पर लेते हैं और उसे Amnezia टूल्स से सेट करते हैं, तो आप ऑब्फ़स्केशन पैरामीटर लिए हुए एक कॉन्फ़िग इम्पोर्ट करके काम चला सकते हैं। जो लोग एक सर्वर संभालने और पैरामीटर मिलाकर रखने में सहज हैं, उनके लिए यह सचमुच एक अच्छा रास्ता है — और हमारी Shadowsocks बनाम VPN तुलना उसी सेल्फ़-होस्टिंग की भावना में प्रॉक्सी-शैली के विकल्पों को कवर करती है।

ज़्यादातर लोग इंटरनेट पढ़ने के लिए कोई इन्फ़्रास्ट्रक्चर नहीं चलाना चाहते, और उन्हें ऐसा करना भी नहीं चाहिए। व्यावहारिक विकल्प एक ऐसा VPN है जिसका ऐप आपके लिए ऑब्फ़स्केशन लागू करता है, जिसके दोनों छोर एक ही प्रोवाइडर संभालता है।

Snap VPN इसी तरह बना है। टनल ख़ुद WireGuard है, और उसके ऊपर हम अपनी ख़ुद की ऑब्फ़स्केशन तकनीकें लगाते हैं, कनेक्शन को इस तरह ढालते हुए कि वह इंस्पेक्शन सिस्टम के सामने कोई पाठ्यपुस्तकी VPN सिग्नेचर पेश न करे। हम तार-स्तर के ब्योरे जानबूझकर अपने दस्तावेज़ों से बाहर रखते हैं — प्रकाशित भेस फ़िल्टरों में सबसे पहले जुड़ते हैं — पर सिद्धांत वही है जो AmneziaWG साबित करता है: WireGuard की इंजीनियरिंग रखो, बदलो कि नेटवर्क को क्या दिखता है। कॉन्फ़िगर करने को कुछ नहीं, और बनाने को कोई अकाउंट नहीं।

अक्सर पूछे जाने वाले सवाल

क्या AmneziaWG, WireGuard जैसा ही है? यह एक फ़ोर्क है। क्रिप्टोग्राफ़ी और टनल का बर्ताव WireGuard वाले हैं; जो बदलता है वह यह है कि पैकेट तार पर कैसे दिखते हैं — कूड़ा पैकेट, पैडिंग और बेतरतीब हेडर पहचानने लायक सिग्नेचर की जगह ले लेते हैं। उन पैरामीटरों को शून्य कर देने पर, यह मानक WireGuard जैसा बर्ताव करता है।

क्या AmneziaWG, WireGuard से धीमा है? मायने रखने लायक नहीं। ऑब्फ़स्केशन कनेक्शन सेटअप पर थोड़ा-सा डेटा जोड़ता है, और स्थिर अवस्था की रफ़्तार सादे WireGuard के बराबर रहती है — असल काम करने वाला एन्क्रिप्शन एक जैसा है।

क्या DPI अब भी AmneziaWG को पकड़ सकता है? कोशिश कर सकता है, और कभी-कभी कामयाब भी होता है। ऑब्फ़स्केशन आसान सिग्नेचर मिलान हटा देता है, पर सेंसर अब भी सर्वर पते ब्लॉक कर सकते हैं, UDP थ्रॉटल कर सकते हैं, या जिस ट्रैफ़िक को बिल्कुल वर्गीकृत न कर पाएँ उसे झंडी दिखा सकते हैं। इसे एक जारी हथियारों की होड़ में एक मज़बूत चाल मानिए, अजेयता नहीं।

क्या AmneziaWG iPhone पर चलता है? हाँ — एक आधिकारिक iOS ऐप मौजूद है, और आपके कॉन्फ़िग के ऑब्फ़स्केशन पैरामीटर सर्वर वाले से बिल्कुल मेल खाने चाहिए। अगर आप वह ख़ुद संभालना नहीं चाहते, तो विकल्प है एक ऐसा VPN ऐप जिसमें ऑब्फ़स्केशन पहले से बना हो।

निचोड़

WireGuard ब्लॉक करना आसान है क्योंकि इसका हैंडशेक हर जगह एक जैसा दिखता है; एन्क्रिप्शन सामग्री छिपाता है, प्रोटोकॉल की रूपरेखा नहीं।
AmneziaWG, WireGuard की क्रिप्टोग्राफ़ी और रफ़्तार रखता है, और ठीक उन्हीं हिस्सों को बेतरतीब करता है जिन पर इंस्पेक्शन सिस्टम मिलान करते हैं।
यह प्रोटोकॉल फ़िल्टरों के ख़िलाफ़ जीतता है; यह IP ब्लॉकलिस्ट, UDP पाबंदियों, या अनुमति-सूची वाले फ़ायरवॉल को मात नहीं देता।
iPhone पर इसे सेल्फ़-होस्ट करना आधिकारिक ऐप के ज़रिए काम करता है। कम-मेहनत वाला रास्ता एक ऐसा VPN है जो ऑब्फ़स्केशन को उत्पाद के हिस्से के तौर पर भेजता है।

अगर आपको WireGuard की रफ़्तार चाहिए और ऑब्फ़स्केशन पहले से ही संभला हुआ — कोई सर्वर किराए पर नहीं, कोई पैरामीटर मिलाने नहीं, कोई अकाउंट नहीं और कोई ट्रैफ़िक लॉग नहीं — तो Snap VPN App Store पर है।

Daniel Brooks

Networking & protocols writer