O WireGuard venceu a discussão sobre os protocolos modernos por ser pequeno, rápido e sem graça no melhor sentido. Mas ele nunca foi projetado para se esconder. Em redes que usam a inspeção profunda de pacotes para encontrar tráfego de VPN, o WireGuard puro é um dos protocolos mais fáceis de reconhecer — e o AmneziaWG é o projeto que se propôs a corrigir exatamente isso, sem abrir mão das coisas que o WireGuard faz bem.

Resposta curta: o AmneziaWG é um fork de código aberto do WireGuard que mantém a criptografia e a velocidade, mas disfarça o handshake reconhecível do protocolo — com pacotes de lixo, preenchimento aleatório e bytes de cabeçalho reescritos — para que a inspeção profunda de pacotes não consiga compará-lo com uma assinatura do WireGuard. O mesmo túnel por baixo, uma silhueta diferente na rede.

Pontos principais

  • O AmneziaWG é o WireGuard mais uma camada de ofuscação. A criptografia, o modelo de chaves e o desempenho são essencialmente os mesmos.
  • O WireGuard puro tem um handshake fixo e que recebe impressão digital — é assim que os censores o bloqueiam sem descriptografar nada.
  • O AmneziaWG quebra essa impressão digital: pacotes de lixo antes do handshake, preenchimento aleatório nele e valores de cabeçalho randomizados.
  • Não é uma solução para tudo. Endereços de servidor bloqueados, proibições de UDP e firewalls com lista de permissões o impedem assim mesmo.
  • Em uma rede comum, ele não traz nada a mais. Ele importa em redes que caçam ativamente protocolos de VPN.

Por que o WireGuard puro é fácil de bloquear

Um censor não precisa quebrar a criptografia para bloquear uma VPN. Ele só precisa reconhecer o protocolo, e o WireGuard facilita isso porque o handshake dele parece o mesmo todas as vezes. O primeiro pacote de cada sessão WireGuard é uma mensagem UDP de exatamente 148 bytes, e os seus primeiros quatro bytes são um campo de tipo de mensagem que sempre traz 1 seguido de três zeros. A resposta do servidor tem exatamente 92 bytes, tipo 2. Toda implementação, toda conexão, em todo lugar.

Essa regularidade é maravilhosa para os engenheiros e péssima para quem está atrás de um firewall nacional. O equipamento de inspeção faz a correspondência de padrão com o formato — os tamanhos fixos, os bytes de tipo constantes, o ritmo da troca — e descarta a conexão antes de o túnel terminar de se estabelecer. Tudo que está dentro permanece criptografado; é o lado de fora que entrega o jogo.

Isso não é um descuido. O projeto WireGuard lista a ofuscação de tráfego como um não objetivo explícito: o protocolo foi feito para permanecer mínimo e auditável, e o disfarce fica a cargo de camadas construídas por cima. Por anos, isso deixou uma lacuna, porque os países que filtram com mais força — percorremos como Irã, Rússia e China bloqueiam VPNs — acrescentaram a assinatura do WireGuard aos seus filtros logo cedo.

O AmneziaWG é uma das respostas para essa lacuna.

O que o AmneziaWG muda

O AmneziaWG vem da equipe por trás do Amnezia, um conjunto de ferramentas de código aberto para VPNs auto-hospedadas, e a maneira mais fácil de entendê-lo é como o WireGuard usando uma fantasia. O fork acrescenta um conjunto de parâmetros de configuração que remodelam a aparência da conexão exatamente nos momentos em que os sistemas de inspeção estão observando:

  • Pacotes de lixo primeiro (os parâmetros Jc, Jmin, Jmax). Antes do handshake de verdade, o cliente envia uma rajada de pacotes aleatórios e sem sentido, de tamanhos variados. A conversa deixa de abrir com uma mensagem certinha de 148 bytes.
  • Preenchimento aleatório (S1, S2). A iniciação e a resposta do handshake recebem bytes extras aleatórios anexados, então os tamanhos de pacote deixam de coincidir com a assinatura conhecida.
  • Cabeçalhos reescritos (H1–H4). Os quatro valores fixos de tipo de mensagem que rotulam cada pacote do WireGuard são substituídos por valores que as duas pontas combinam de antemão. O revelador 1, 2, 3, 4 nunca aparece na rede.

As versões mais novas levam a ideia adiante. A versão 1.5 acrescentou pacotes de abertura especialmente elaborados que imitam os primeiros bytes de outros protocolos, e a linha 2.0 que veio em seguida em 2026 continua nessa direção — o objetivo passando de "não parecer o WireGuard" para "parecer algo inofensivo".

Dois detalhes importam na prática. As duas pontas precisam compartilhar os mesmos valores de parâmetro: trata-se de uma fantasia coordenada, carregada no arquivo de configuração, não de algo que o cliente improvisa. E com cada parâmetro de ofuscação zerado, o AmneziaWG fala WireGuard puro — o que mostra o quão fina e cirúrgica a camada adicionada realmente é.

O que permanece igual

Por baixo da fantasia, o protocolo está intocado. A matemática do handshake, as cifras modernas, a troca de chaves — tudo herdado diretamente do WireGuard, em vez de reinventado. Essa é a escolha certa: uma ofuscação nova é barata de errar e de corrigir, enquanto uma criptografia nova é catastrófica de errar. Um fork que muda apenas o invólucro mantém o núcleo pequeno e amplamente revisado do WireGuard.

O desempenho também se sustenta. Os pacotes de lixo acrescentam um pouco de dados a mais quando a conexão começa, e depois disso o túnel movimenta o tráfego do jeito que o WireGuard faz. Se você se importa com como os principais protocolos se comparam em velocidade e bateria, fizemos essa comparação em WireGuard vs OpenVPN vs IKEv2 — e o AmneziaWG fica na coluna do WireGuard, não com as opções mais antigas e mais pesadas.

Onde o AmneziaWG ainda perde

A ofuscação aumenta o custo de bloquear você. Ela não torna o bloqueio impossível, e uma comparação honesta tem que dizer onde a fantasia não ajuda:

  • Endereços bloqueados. Se um censor já colocou o IP do seu servidor em uma lista de bloqueio, não importa a aparência dos seus pacotes. O disfarce derrota filtros de protocolo, não listas de endereços.
  • Proibições e limitação de UDP. Algumas redes descartam ou estrangulam por completo o tráfego UDP desconhecido. O AmneziaWG ainda é UDP; nessas redes, túneis que se vestem como tráfego web comum sobre TCP assumem o lugar.
  • Firewalls com lista de permissões. As redes mais rígidas invertem a lógica: só passam protocolos reconhecidos. Ali, o tráfego que parece nada é, ele mesmo, suspeito, e fluxos irreconhecíveis de alta entropia são descartados por princípio. Parecer ruído ajuda contra uma lista de bloqueio e atrapalha contra uma lista de permissões.
  • A corrida armamentista. Os censores também medem a temporização dos fluxos, os padrões de tamanho de pacote ao longo do tempo e como um suposto servidor responde quando é cutucado. Todo esquema de ofuscação é um alvo em movimento, e é por isso que os projetos sérios continuam lançando versões novas.

O enquadramento realista: o AmneziaWG torna você caro de bloquear em redes que filtram por assinatura de protocolo. Onde o bloqueio funciona por endereço, por transporte ou por lista de permissões, você precisa de outros movimentos — mapeamos esse panorama inteiro em como uma VPN burla a censura.

Você realmente precisa de ofuscação de VPN?

Uma pergunta que vale fazer antes de recorrer a qualquer VPN ofuscada: o seu problema é mesmo o bloqueio de protocolo? Em uma conexão doméstica na maioria dos países, o WireGuard puro conecta sem problemas, e a ofuscação acrescenta peças móveis sem acrescentar privacidade — a criptografia é a mesma de qualquer jeito. O teste honesto é simples: se uma VPN comum conecta de forma confiável na sua rede, você não precisa da fantasia.

A ofuscação justifica o seu custo em situações específicas: firewalls nacionais que fazem impressão digital de protocolos de VPN, provedores de internet que limitam o tráfego de VPN reconhecido e algumas redes corporativas, de campus ou de hotel que bloqueiam túneis por questão de política. Se uma dessas descreve a sua semana, o resto desta comparação é para você. Se não, a escolha do protocolo — coberta na nossa comparação principal — importa mais do que o disfarce.

AmneziaWG no iPhone

Existem aplicativos oficiais do AmneziaWG, incluindo um cliente para iOS. Se você aluga um servidor e o configura com as ferramentas do Amnezia, dá para importar uma configuração que carrega os parâmetros de ofuscação e pronto. Para quem se sente à vontade gerenciando um servidor e mantendo os parâmetros sincronizados, é um caminho genuinamente bom — e a nossa comparação Shadowsocks vs VPN aborda as alternativas em formato de proxy no mesmo espírito de auto-hospedagem.

A maioria das pessoas não quer manter uma infraestrutura para ler a internet, e não deveria ter que fazer isso. A alternativa prática é uma VPN cujo aplicativo aplica a ofuscação por você, com as duas pontas gerenciadas pelo mesmo provedor.

O Snap VPN é construído assim. O túnel em si é WireGuard, e por cima dele aplicamos técnicas de ofuscação próprias, moldando a conexão para que ela não apresente uma assinatura de VPN de manual aos sistemas de inspeção. Mantemos de propósito os detalhes em nível de rede fora da nossa documentação — disfarces publicados são os primeiros a serem acrescentados aos filtros — mas o princípio é o que o AmneziaWG comprova: manter a engenharia do WireGuard, mudar o que a rede enxerga. Não há nada para configurar nem conta para criar.

Perguntas frequentes

O AmneziaWG é a mesma coisa que o WireGuard? É um fork. A criptografia e o comportamento do túnel são os do WireGuard; o que muda é a aparência dos pacotes na rede — pacotes de lixo, preenchimento e cabeçalhos randomizados substituem a assinatura reconhecível. Com esses parâmetros zerados, ele se comporta como o WireGuard padrão.

O AmneziaWG é mais lento que o WireGuard? Não de forma significativa. A ofuscação acrescenta uma pequena quantidade de dados no estabelecimento da conexão, e a velocidade em regime permanente fica em linha com a do WireGuard puro — a criptografia que faz o trabalho de verdade é idêntica.

A DPI ainda consegue detectar o AmneziaWG? Ela pode tentar, e às vezes consegue. A ofuscação remove a correspondência fácil de assinatura, mas os censores ainda podem bloquear endereços de servidor, limitar o UDP ou sinalizar o tráfego que não conseguem classificar de jeito nenhum. Trate isso como um movimento forte em uma corrida armamentista contínua, não como imunidade.

O AmneziaWG funciona no iPhone? Sim — existe um aplicativo oficial para iOS, e os parâmetros de ofuscação da sua configuração têm que coincidir exatamente com os do servidor. Se você prefere não gerenciar isso por conta própria, a alternativa é um aplicativo de VPN com ofuscação embutida.

Conclusão

  • O WireGuard é fácil de bloquear porque o handshake dele parece idêntico em todo lugar; a criptografia esconde o conteúdo, não o contorno do protocolo.
  • O AmneziaWG mantém a criptografia e a velocidade do WireGuard, e randomiza exatamente as partes em que os sistemas de inspeção fazem a correspondência.
  • Ele vence contra filtros de protocolo; não derrota listas de bloqueio de IP, proibições de UDP nem firewalls com lista de permissões.
  • Auto-hospedá-lo no iPhone funciona pelo aplicativo oficial. O caminho de baixo esforço é uma VPN que entrega a ofuscação como parte do produto.

Se você quer a velocidade do WireGuard com a ofuscação já resolvida — sem servidor para alugar, sem parâmetros para sincronizar, sem conta e sem registros de tráfego — o Snap VPN está na App Store.