เทคนิค·11 มิ.ย. 2569·9 นาที

AmneziaWG กับ WireGuard: ฟอร์กสายลับเปลี่ยนอะไรไปบ้าง

ภาษา: English العربية Deutsch Español فارسی Français हिन्दी Bahasa Indonesia Italiano 日本語 한국어 Polski Português Русский Türkçe Українська Tiếng Việt 简体中文繁體中文

WireGuard ชนะการถกเถียงเรื่องโปรโตคอลสมัยใหม่ด้วยการเป็นโปรโตคอลที่เล็ก เร็ว และน่าเบื่อในแบบที่ดีที่สุด แต่มันไม่เคยถูกออกแบบมาเพื่อซ่อนตัว บนเครือข่ายที่ใช้การตรวจสอบแพ็กเก็ตเชิงลึกเพื่อค้นหาทราฟฟิก VPN นั้น WireGuard ธรรมดาเป็นหนึ่งในโปรโตคอลที่จดจำได้ง่ายที่สุด และ AmneziaWG ก็คือโครงการที่ตั้งใจแก้ปัญหานี้โดยเฉพาะ โดยไม่ทิ้งสิ่งที่ WireGuard ทำได้ดี

คำตอบสั้น ๆ: AmneziaWG คือฟอร์กโอเพนซอร์สของ WireGuard ที่เก็บการเข้ารหัสและความเร็วไว้ แต่อำพรางการจับมือที่จดจำได้ของโปรโตคอล ด้วยแพ็กเก็ตขยะ การเติมไบต์แบบสุ่ม และการเขียนไบต์ส่วนหัวใหม่ เพื่อให้การตรวจสอบแพ็กเก็ตเชิงลึกจับคู่มันกับลายเซ็นของ WireGuard ไม่ได้ ทันเนลข้างใต้เหมือนเดิม แต่เงาบนสายต่างออกไป

ประเด็นสำคัญ

AmneziaWG คือ WireGuard บวกชั้นอำพราง การเข้ารหัส โมเดลกุญแจ และประสิทธิภาพแทบไม่เปลี่ยนไปเลย
WireGuard ธรรมดามีการจับมือที่ตายตัวและเก็บลายนิ้วมือได้ นั่นคือวิธีที่ผู้เซ็นเซอร์บล็อกมันโดยไม่ต้องถอดรหัสอะไรเลย
AmneziaWG ทำลายลายนิ้วมือนั้น: แพ็กเก็ตขยะก่อนการจับมือ การเติมไบต์แบบสุ่มบนตัวมัน และค่าส่วนหัวที่สุ่มขึ้น
มันไม่ใช่ยาครอบจักรวาล ที่อยู่เซิร์ฟเวอร์ที่ถูกบล็อก การห้าม UDP และไฟร์วอลล์แบบรายการอนุญาตหยุดมันได้อยู่ดี
บนเครือข่ายทั่วไปมันไม่ได้ให้อะไรเพิ่ม มันสำคัญบนเครือข่ายที่ไล่ล่าโปรโตคอล VPN อย่างจริงจัง

ทำไม WireGuard ธรรมดาจึงบล็อกได้ง่าย

ผู้เซ็นเซอร์ไม่จำเป็นต้องเจาะการเข้ารหัสเพื่อบล็อก VPN เพียงแค่ต้องจดจำโปรโตคอลให้ได้ และ WireGuard ก็ทำให้เรื่องนั้นง่าย เพราะการจับมือของมันหน้าตาเหมือนเดิมทุกครั้ง แพ็กเก็ตแรกของทุกเซสชัน WireGuard เป็นข้อความ UDP ขนาด 148 ไบต์พอดี และสี่ไบต์แรกของมันเป็นฟิลด์ระบุชนิดข้อความที่อ่านได้เป็น 1 ตามด้วยศูนย์สามตัวเสมอ คำตอบจากเซิร์ฟเวอร์มีขนาด 92 ไบต์พอดี ชนิด 2 ทุกการใช้งาน ทุกการเชื่อมต่อ ทุกที่

ความสม่ำเสมอนั้นวิเศษสำหรับวิศวกร แต่ทุกข์ทรมานสำหรับใครก็ตามที่อยู่หลังไฟร์วอลล์ระดับชาติ ฮาร์ดแวร์ตรวจสอบจับคู่รูปร่าง ทั้งขนาดที่ตายตัว ไบต์ระบุชนิดที่คงที่ และจังหวะของการแลกเปลี่ยน แล้วทิ้งการเชื่อมต่อก่อนที่ทันเนลจะตั้งค่าเสร็จ ทุกอย่างข้างในยังคงถูกเข้ารหัส แต่ด้านนอกเป็นตัวเปิดโปงเสียเอง

นี่ไม่ใช่ความหละหลวม โครงการ WireGuard ระบุการอำพรางทราฟฟิกไว้เป็นเป้าหมายที่ไม่ทำอย่างชัดเจน: โปรโตคอลตั้งใจให้เพรียวและตรวจสอบได้ ส่วนการพรางตัวถูกปล่อยให้ชั้นที่สร้างต่อยอดบนมันจัดการ เป็นเวลาหลายปีที่สิ่งนั้นทิ้งช่องว่างไว้ เพราะประเทศที่กรองหนักที่สุด เราพาดูใน วิธีที่อิหร่าน รัสเซีย และจีนบล็อก VPN ได้เพิ่มลายเซ็นของ WireGuard เข้าไปในตัวกรองตั้งแต่เนิ่น ๆ

AmneziaWG คือหนึ่งคำตอบสำหรับช่องว่างนั้น

AmneziaWG เปลี่ยนอะไร

AmneziaWG มาจากทีมเบื้องหลัง Amnezia ซึ่งเป็นชุดเครื่องมือโอเพนซอร์สสำหรับ VPN ที่โฮสต์เอง และวิธีที่ง่ายที่สุดในการเข้าใจมันคือมองว่าเป็น WireGuard ที่สวมเครื่องแต่งกายปลอมตัว ฟอร์กนี้เพิ่มชุดพารามิเตอร์การตั้งค่าที่ปรับโฉมว่าการเชื่อมต่อมีหน้าตาอย่างไรในช่วงเวลาที่ระบบตรวจสอบกำลังจับตาดูพอดี:

แพ็กเก็ตขยะมาก่อน (พารามิเตอร์ Jc, Jmin, Jmax) ก่อนการจับมือจริง ไคลเอนต์จะส่งแพ็กเก็ตสุ่มไร้ความหมายขนาดต่าง ๆ ออกมาเป็นชุด การสนทนาจึงไม่ได้เปิดด้วยข้อความขนาด 148 ไบต์ที่เรียบร้อยอีกต่อไป
การเติมไบต์แบบสุ่ม (S1, S2) การเริ่มและการตอบรับการจับมือถูกแนบไบต์ส่วนเกินแบบสุ่มเข้าไป เพื่อให้ขนาดแพ็กเก็ตเลิกตรงกับลายเซ็นที่รู้จัก
ส่วนหัวที่เขียนใหม่ (H1–H4) ค่าระบุชนิดข้อความที่ตายตัวสี่ค่าซึ่งกำกับทุกแพ็กเก็ตของ WireGuard ถูกแทนที่ด้วยค่าที่ปลายทั้งสองฝั่งตกลงกันไว้ล่วงหน้า ตัวบ่งบอก 1, 2, 3, 4 จึงไม่เคยปรากฏบนสายเลย

รุ่นใหม่ ๆ ผลักแนวคิดนี้ไปไกลกว่าเดิม เวอร์ชัน 1.5 เพิ่มแพ็กเก็ตเปิดที่ออกแบบมาเป็นพิเศษเพื่อเลียนแบบไบต์แรก ๆ ของโปรโตคอลอื่น และสาย 2.0 ที่ตามมาในปี 2026 ก็เดินไปในทิศทางนั้นต่อ เป้าหมายขยับจาก "อย่าดูเหมือน WireGuard" ไปสู่ "ดูเหมือนอะไรบางอย่างที่ไม่มีพิษภัย"

มีรายละเอียดสองอย่างที่สำคัญในทางปฏิบัติ ปลายทั้งสองฝั่งต้องใช้ค่าพารามิเตอร์ชุดเดียวกัน นี่คือเครื่องแต่งกายที่ประสานกันไว้ ซึ่งบรรจุอยู่ในไฟล์ตั้งค่า ไม่ใช่สิ่งที่ไคลเอนต์ด้นสดเอาเอง และเมื่อตั้งทุกพารามิเตอร์อำพรางเป็นศูนย์ AmneziaWG ก็พูดภาษา WireGuard ธรรมดา ซึ่งบอกคุณได้ว่าชั้นที่เพิ่มเข้ามานั้นบางและแม่นยำเพียงใด

อะไรยังคงเดิม

ใต้เครื่องแต่งกายนั้น ตัวโปรโตคอลไม่ถูกแตะต้อง คณิตศาสตร์ของการจับมือ ไซเฟอร์สมัยใหม่ การแลกเปลี่ยนกุญแจ ทั้งหมดสืบทอดมาจาก WireGuard โดยตรงแทนที่จะคิดค้นขึ้นใหม่ นั่นคือการตัดสินใจที่ถูกต้อง การอำพรางแบบใหม่ผิดพลาดได้ง่ายและซ่อมได้ถูก ขณะที่การเข้ารหัสแบบใหม่ถ้าผิดพลาดก็หายนะ ฟอร์กที่เปลี่ยนแค่เปลือกนอกจึงเก็บแกนกลางขนาดเล็กที่ผ่านการตรวจสอบอย่างหนักของ WireGuard ไว้ได้

ประสิทธิภาพก็คงอยู่เช่นกัน แพ็กเก็ตขยะเพิ่มข้อมูลขึ้นเล็กน้อยตอนเริ่มการเชื่อมต่อ และหลังจากนั้นทันเนลก็ขนทราฟฟิกแบบเดียวกับที่ WireGuard ทำ ถ้าคุณสนใจว่าโปรโตคอลหลัก ๆ เทียบกันอย่างไรด้านความเร็วและแบตเตอรี่ เราได้ทำการเปรียบเทียบนั้นไว้ใน WireGuard กับ OpenVPN กับ IKEv2 และ AmneziaWG ก็อยู่ในคอลัมน์ของ WireGuard ไม่ใช่กับตัวเลือกรุ่นเก่าที่หนักกว่า

จุดที่ AmneziaWG ยังพ่ายแพ้

การอำพรางเพิ่มต้นทุนในการบล็อกคุณ มันไม่ได้ทำให้การบล็อกเป็นไปไม่ได้ และการเปรียบเทียบอย่างตรงไปตรงมาต้องบอกว่าเครื่องแต่งกายช่วยไม่ได้ตรงไหน:

ที่อยู่ที่ถูกบล็อก ถ้าผู้เซ็นเซอร์ขึ้นบัญชีดำ IP ของเซิร์ฟเวอร์ของคุณไว้แล้ว แพ็กเก็ตของคุณจะหน้าตาอย่างไรก็ไม่สำคัญ การพรางตัวเอาชนะตัวกรองโปรโตคอล ไม่ใช่รายการที่อยู่
การห้ามและหน่วง UDP เครือข่ายบางแห่งทิ้งหรือบีบทราฟฟิก UDP ที่ไม่คุ้นเคยทั้งหมด AmneziaWG ก็ยังเป็น UDP บนเครือข่ายเหล่านั้น ทันเนลที่แต่งตัวเป็นทราฟฟิกเว็บทั่วไปผ่าน TCP จะเข้ามาทำหน้าที่แทน
ไฟร์วอลล์แบบรายการอนุญาต เครือข่ายที่เข้มงวดที่สุดพลิกตรรกะกลับด้าน: มีแต่โปรโตคอลที่รู้จักเท่านั้นที่ผ่านได้ ตรงนั้นทราฟฟิกที่ดูเหมือนไม่เป็นอะไรเลยกลับน่าสงสัยในตัวมันเอง และกระแสข้อมูลเอนโทรปีสูงที่จำแนกไม่ได้ก็ถูกทิ้งตามหลักการ การดูเหมือนสัญญาณรบกวนช่วยได้กับรายการบล็อก แต่ให้โทษกับรายการอนุญาต
การแข่งขันด้านอาวุธ ผู้เซ็นเซอร์ยังวัดจังหวะเวลาของกระแสข้อมูล รูปแบบขนาดแพ็กเก็ตเมื่อเวลาผ่านไป และการที่เซิร์ฟเวอร์ต้องสงสัยตอบสนองอย่างไรเมื่อถูกหยั่ง ทุกกลวิธีอำพรางคือเป้าหมายที่เคลื่อนไหวอยู่ตลอด นั่นคือเหตุผลที่โครงการเอาจริงเอาจังยังคงออกเวอร์ชันใหม่ต่อเนื่อง

การวางกรอบที่สมจริงคือ AmneziaWG ทำให้คุณแพงเกินกว่าจะบล็อกบนเครือข่ายที่กรองด้วยลายเซ็นโปรโตคอล ส่วนที่ใดที่การบล็อกทำงานด้วยที่อยู่ ด้วยช่องทางรับส่ง หรือด้วยรายการอนุญาต คุณต้องใช้หมากคนละแบบ เราวางแผนที่ภูมิทัศน์ทั้งหมดนั้นไว้ใน VPN ข้ามการเซ็นเซอร์ได้อย่างไร

คุณจำเป็นต้องอำพราง VPN จริงหรือ?

คำถามที่ควรถามก่อนจะคว้า VPN แบบอำพรางตัวใดก็ตาม: ปัญหาของคุณคือการบล็อกโปรโตคอลจริงหรือเปล่า บนการเชื่อมต่อที่บ้านในประเทศส่วนใหญ่ WireGuard ธรรมดาเชื่อมต่อได้ดี และการอำพรางก็เพิ่มชิ้นส่วนที่เคลื่อนไหวเข้ามาโดยไม่ได้เพิ่มความเป็นส่วนตัว เพราะการเข้ารหัสเหมือนกันไม่ว่าทางไหน บททดสอบที่ตรงไปตรงมานั้นง่าย: ถ้า VPN มาตรฐานเชื่อมต่อได้อย่างเสถียรบนเครือข่ายของคุณ คุณก็ไม่ต้องใช้เครื่องแต่งกาย

การอำพรางคุ้มค่าในสถานการณ์เฉพาะเจาะจง: ไฟร์วอลล์ระดับชาติที่เก็บลายนิ้วมือโปรโตคอล VPN ผู้ให้บริการอินเทอร์เน็ตที่หน่วงทราฟฟิก VPN ที่จดจำได้ และเครือข่ายองค์กร มหาวิทยาลัย หรือโรงแรมบางแห่งที่บล็อกทันเนลตามนโยบาย ถ้าหนึ่งในนั้นตรงกับสัปดาห์ของคุณ ส่วนที่เหลือของการเปรียบเทียบนี้ก็เพื่อคุณ ถ้าไม่ใช่ การเลือกโปรโตคอลซึ่งครอบคลุมในการเปรียบเทียบหลักของเราก็สำคัญกว่าการพรางตัว

AmneziaWG บน iPhone

มีแอป AmneziaWG อย่างเป็นทางการ รวมถึงไคลเอนต์สำหรับ iOS ถ้าคุณเช่าเซิร์ฟเวอร์และตั้งค่ามันด้วยเครื่องมือ Amnezia คุณก็นำเข้าไฟล์ตั้งค่าที่บรรจุพารามิเตอร์อำพรางแล้วจบได้ สำหรับคนที่สบายใจกับการบริหารเซิร์ฟเวอร์และคอยทำให้พารามิเตอร์ตรงกัน นี่เป็นเส้นทางที่ดีจริง ๆ และการเปรียบเทียบ Shadowsocks กับ VPN ของเราก็ครอบคลุมทางเลือกในรูปแบบพร็อกซีตามแนวทางโฮสต์เองเดียวกัน

คนส่วนใหญ่ไม่อยากดูแลโครงสร้างพื้นฐานเพื่อจะได้อ่านอินเทอร์เน็ต และก็ไม่ควรต้องทำ ทางเลือกที่ใช้ได้จริงคือ VPN ที่แอปจัดการอำพรางให้คุณ โดยมีปลายทั้งสองฝั่งดูแลโดยผู้ให้บริการรายเดียวกัน

Snap VPN ถูกสร้างมาแบบนั้น ตัวทันเนลเองคือ WireGuard และบนมันเราใช้เทคนิคอำพรางของเราเอง ปรับโฉมการเชื่อมต่อเพื่อไม่ให้มันแสดงลายเซ็น VPN แบบตำราต่อระบบตรวจสอบ เราจงใจเก็บรายละเอียดระดับสายไว้นอกเอกสารของเรา เพราะการพรางตัวที่ถูกเผยแพร่คือตัวแรก ๆ ที่ถูกเพิ่มเข้าไปในตัวกรอง แต่หลักการก็คือสิ่งที่ AmneziaWG พิสูจน์ให้เห็น: เก็บงานวิศวกรรมของ WireGuard ไว้ เปลี่ยนสิ่งที่เครือข่ายมองเห็น ไม่มีอะไรให้ตั้งค่าและไม่มีบัญชีให้สร้าง

คำถามที่พบบ่อย

AmneziaWG เหมือนกับ WireGuard ไหม? มันเป็นฟอร์ก การเข้ารหัสและพฤติกรรมของทันเนลเป็นของ WireGuard สิ่งที่เปลี่ยนคือหน้าตาของแพ็กเก็ตบนสาย แพ็กเก็ตขยะ การเติมไบต์ และส่วนหัวที่สุ่มขึ้นเข้ามาแทนลายเซ็นที่จดจำได้ เมื่อตั้งพารามิเตอร์เหล่านั้นเป็นศูนย์ มันก็ทำตัวเหมือน WireGuard มาตรฐาน

AmneziaWG ช้ากว่า WireGuard ไหม? ไม่อย่างมีนัยสำคัญ การอำพรางเพิ่มข้อมูลเล็กน้อยตอนตั้งค่าการเชื่อมต่อ และความเร็วในสถานะคงตัวก็อยู่ในระดับเดียวกับ WireGuard ธรรมดา การเข้ารหัสที่ทำงานจริงนั้นเหมือนกันทุกประการ

DPI ยังตรวจจับ AmneziaWG ได้ไหม? มันลองได้ และบางครั้งก็สำเร็จ การอำพรางลบการจับคู่ลายเซ็นแบบง่ายออกไป แต่ผู้เซ็นเซอร์ยังบล็อกที่อยู่เซิร์ฟเวอร์ หน่วง UDP หรือทำเครื่องหมายทราฟฟิกที่จำแนกไม่ได้เลยได้อยู่ดี จงมองมันเป็นหมากที่แข็งแกร่งในการแข่งขันด้านอาวุธที่ดำเนินอยู่ ไม่ใช่ภูมิคุ้มกัน

AmneziaWG ทำงานบน iPhone ไหม? ใช่ มีแอป iOS อย่างเป็นทางการ และพารามิเตอร์อำพรางในไฟล์ตั้งค่าของคุณต้องตรงกับของเซิร์ฟเวอร์เป๊ะ ถ้าคุณไม่อยากดูแลเรื่องนั้นเอง ทางเลือกคือแอป VPN ที่มีการอำพรางในตัว

สรุป

WireGuard บล็อกได้ง่ายเพราะการจับมือของมันหน้าตาเหมือนกันทุกที่ การเข้ารหัสซ่อนเนื้อหา ไม่ใช่โครงร่างของโปรโตคอล
AmneziaWG เก็บการเข้ารหัสและความเร็วของ WireGuard ไว้ และสุ่มเฉพาะส่วนที่ระบบตรวจสอบใช้จับคู่พอดี
มันชนะตัวกรองโปรโตคอล แต่ไม่เอาชนะรายการบล็อก IP การห้าม UDP หรือไฟร์วอลล์แบบรายการอนุญาต
การโฮสต์มันเองบน iPhone ทำได้ผ่านแอปอย่างเป็นทางการ ส่วนเส้นทางที่ใช้แรงน้อยคือ VPN ที่มาพร้อมการอำพรางเป็นส่วนหนึ่งของผลิตภัณฑ์

ถ้าคุณอยากได้ความเร็วของ WireGuard โดยที่การอำพรางถูกจัดการให้แล้ว ไม่มีเซิร์ฟเวอร์ให้เช่า ไม่มีพารามิเตอร์ให้คอยทำให้ตรงกัน ไม่มีบัญชีและไม่มีบันทึกทราฟฟิก Snap VPN อยู่บน App Store

Daniel Brooks

Networking & protocols writer