WireGuard, küçük, hızlı ve en iyi anlamda sade olarak modern protokol tartışmasını kazandı. Ama hiçbir zaman gizlenmek için tasarlanmadı. VPN trafiğini bulmak için derin paket incelemesi kullanan ağlarda düz WireGuard, tanınması en kolay protokollerden biridir — ve AmneziaWG, tam olarak bunu düzeltmek için yola çıkan, üstelik WireGuard'ın iyi yaptığı şeylerden vazgeçmeyen projedir.

Kısa yanıt: AmneziaWG, kriptografiyi ve hızı koruyan ama protokolün tanınabilir el sıkışmasını —çöp paketler, rastgele dolgu ve yeniden yazılmış başlık baytlarıyla— gizleyen, WireGuard'ın açık kaynaklı bir çatallamasıdır; böylece derin paket incelemesi onu bir WireGuard imzasıyla eşleştiremez. Altta aynı tünel, ağ üzerinde farklı bir siluet.

Temel çıkarımlar

  • AmneziaWG, WireGuard artı bir gizleme katmanıdır. Şifreleme, anahtar modeli ve performans esasen değişmemiştir.
  • Düz WireGuard'ın sabit, parmak izi alınabilen bir el sıkışması vardır — sansürcüler hiçbir şeyin şifresini çözmeden onu böyle engeller.
  • AmneziaWG parmak izini bozar: el sıkışmadan önce çöp paketler, üzerine rastgele dolgu ve rastgeleleştirilmiş başlık değerleri.
  • Her derde deva değildir. Engellenmiş sunucu adresleri, UDP yasakları ve izin listesine dayalı güvenlik duvarları yine de onu durdurur.
  • Sıradan bir ağda size fazladan hiçbir şey kazandırmaz. Asıl önemi, VPN protokollerini etkin biçimde avlayan ağlardadır.

Düz WireGuard neden kolayca engellenir

Bir sansürcünün bir VPN'i engellemek için şifrelemeyi kırmasına gerek yoktur. Yalnızca protokolü tanıması yeterlidir ve WireGuard bunu kolaylaştırır; çünkü el sıkışması her seferinde aynı görünür. Her WireGuard oturumunun ilk paketi tam olarak 148 baytlık bir UDP mesajıdır ve ilk dört baytı, her zaman 1'in ardından üç sıfır şeklinde okunan bir mesaj türü alanıdır. Sunucunun yanıtı tam olarak 92 bayt, tür 2'dir. Her uygulamada, her bağlantıda, her yerde.

Bu düzenlilik mühendisler için harika, ulusal bir güvenlik duvarının arkasındaki herkes içinse içler acısıdır. İnceleme donanımı bu şekli —sabit boyutları, değişmeyen tür baytlarını, alışverişin ritmini— örüntü eşleştirmeyle yakalar ve tünel kurulumunu tamamlamadan bağlantıyı düşürür. İçerideki her şey şifreli kalır; oyunu ele veren dış kısımdır.

Bu bir gözden kaçırma değildir. WireGuard projesi, trafik gizlemeyi açıkça bir hedef-olmayan olarak listeler: protokolün yalın ve denetlenebilir kalması amaçlanır, kılık değiştirme ise üzerine inşa edilen katmanlara bırakılır. Yıllarca bu bir boşluk yarattı; çünkü en sıkı filtreleme yapan ülkeler —İran, Rusya ve Çin'in VPN'leri nasıl engellediğini adım adım anlatıyoruz— WireGuard'ın imzasını filtrelerine erkenden ekledi.

AmneziaWG, bu boşluğa verilen yanıtlardan biridir.

AmneziaWG neyi değiştirir

AmneziaWG, kendi sunucunuzda barındırdığınız VPN'ler için açık kaynaklı bir araç seti olan Amnezia'nın arkasındaki ekipten geliyor ve onu anlamanın en kolay yolu, WireGuard'ın kostüm giymiş hali olarak düşünmektir. Çatallama, bağlantının tam da inceleme sistemlerinin izlediği anlarda nasıl göründüğünü yeniden biçimlendiren bir dizi yapılandırma parametresi ekler:

  • Önce çöp paketler (Jc, Jmin, Jmax parametreleri). Gerçek el sıkışmadan önce istemci, değişen boyutlarda anlamsız rastgele paketlerden oluşan bir patlama gönderir. Artık konuşma düzgün bir 148 baytlık mesajla açılmaz.
  • Rastgele dolgu (S1, S2). El sıkışma başlatması ve yanıtı rastgele ek baytlar alır; böylece paket boyutları bilinen imzayla eşleşmeyi bırakır.
  • Yeniden yazılmış başlıklar (H1–H4). Her WireGuard paketini etiketleyen dört sabit mesaj türü değeri, her iki ucun önceden üzerinde anlaştığı değerlerle değiştirilir. Ele veren 1, 2, 3, 4 dizisi ağ üzerinde hiç görünmez.

Daha yeni sürümler fikri daha da ileri taşıyor. 1.5 sürümü, diğer protokollerin ilk baytlarını taklit eden özel olarak hazırlanmış açılış paketleri ekledi ve ardından 2026'da gelen 2.0 serisi de bu yönde ilerliyor — hedef "WireGuard gibi görünme"den "zararsız bir şey gibi görün"e kayıyor.

Pratikte iki ayrıntı önemlidir. Her iki uç da aynı parametre değerlerini paylaşmalıdır: bu, istemcinin doğaçlama yaptığı bir şey değil, yapılandırma dosyasında taşınan, koordineli bir kostümdür. Ve her gizleme parametresi sıfıra ayarlandığında AmneziaWG düz WireGuard konuşur — bu da eklenen katmanın gerçekte ne kadar ince ve cerrahi olduğunu gösterir.

Neler aynı kalır

Kostümün altında protokole dokunulmamıştır. El sıkışma matematiği, modern şifreler, anahtar değişimi — hepsi yeniden icat edilmek yerine doğrudan WireGuard'dan miras alınmıştır. Bu doğru karardır: yeni gizlemeyi yanlış yapmak ucuz ve düzeltilebilirken, yeni kriptografiyi yanlış yapmak yıkıcıdır. Yalnızca sarmalayıcıyı değiştiren bir çatallama, WireGuard'ın küçük ve yoğun biçimde incelenmiş çekirdeğini korur.

Performans da yerini korur. Çöp paketler, bağlantı başladığında biraz fazladan veri ekler; sonrasında tünel, trafiği WireGuard'ın yaptığı gibi taşır. Başlıca protokollerin hız ve pil açısından nasıl karşılaştırıldığını merak ediyorsanız, bu karşılaştırmayı WireGuard ve OpenVPN ve IKEv2 yazısında yaptık — ve AmneziaWG, eski ve daha ağır seçeneklerle değil, WireGuard'ın sütununda yer alır.

AmneziaWG'nin hâlâ kaybettiği durumlar

Gizleme, sizi engellemenin maliyetini yükseltir. Engellemeyi imkânsız kılmaz ve dürüst bir karşılaştırma, kostümün nerede işe yaramadığını da söylemek zorundadır:

  • Engellenmiş adresler. Bir sansürcü sunucunuzun IP'sini zaten kara listeye aldıysa, paketlerinizin nasıl göründüğünün önemi yoktur. Kılık değiştirme, adres listelerini değil, protokol filtrelerini alt eder.
  • UDP yasakları ve kısıtlama. Bazı ağlar tanımadıkları UDP trafiğini toptan düşürür veya boğar. AmneziaWG hâlâ UDP'dir; o ağlarda, TCP üzerinden sıradan web trafiği gibi giyinen tüneller devreye girer.
  • İzin listesine dayalı güvenlik duvarları. En katı ağlar mantığı tersine çevirir: yalnızca tanınan protokoller geçer. Orada, hiçbir şeye benzeyen trafik kendi başına şüphelidir ve tanınamayan, yüksek entropili akışlar prensip gereği düşürülür. Gürültü gibi görünmek, bir engel listesine karşı yardımcı olur ve bir izin listesine karşı zarar verir.
  • Silah yarışı. Sansürcüler ayrıca akış zamanlamasını, zaman içindeki paket boyutu örüntülerini ve şüpheli bir sunucunun dürtüldüğünde nasıl yanıt verdiğini de ölçer. Her gizleme şeması hareketli bir hedeftir; ciddi projelerin sürekli yeni sürümler yayımlamasının nedeni de budur.

Gerçekçi çerçeve: AmneziaWG, protokol imzasına göre filtreleme yapan ağlarda sizi engellemeyi pahalı hale getirir. Engellemenin adrese, taşıma katmanına ya da izin listesine göre yapıldığı yerlerde farklı hamlelere ihtiyacınız olur — bütün bu manzarayı VPN sansürü nasıl aşar yazısında haritalandırıyoruz.

VPN gizlemesine gerçekten ihtiyacınız var mı?

Herhangi bir gizlenmiş VPN'e uzanmadan önce sorulmaya değer bir soru: sorununuz gerçekten protokol engellemesi mi? Çoğu ülkede ev bağlantısında düz WireGuard sorunsuz bağlanır ve gizleme, gizlilik eklemeden hareketli parçalar ekler — şifreleme her iki durumda da aynıdır. Dürüst test basittir: ağınızda standart bir VPN güvenilir biçimde bağlanıyorsa, kostüme ihtiyacınız yoktur.

Gizleme, belirli durumlarda hak ettiği yeri bulur: VPN protokollerinin parmak izini alan ulusal güvenlik duvarları, tanınan VPN trafiğini kısıtlayan internet sağlayıcıları ve tünelleri ilke gereği engelleyen bazı kurumsal, kampüs veya otel ağları. Bunlardan biri haftanızı tarif ediyorsa, bu karşılaştırmanın geri kalanı sizin içindir. Değilse, protokol seçimi —ana karşılaştırmamızda ele aldık— kılık değiştirmeden daha önemlidir.

iPhone'da AmneziaWG

Bir iOS istemcisi de dahil olmak üzere resmi AmneziaWG uygulamaları var. Bir sunucu kiralayıp Amnezia araçlarıyla kurarsanız, gizleme parametrelerini taşıyan bir yapılandırmayı içe aktarabilir ve işiniz biter. Bir sunucuyu yönetmekten ve parametreleri eşzamanlı tutmaktan rahatsız olmayan kişiler için bu gerçekten iyi bir yoldur — ve Shadowsocks ve VPN karşılaştırmamız, aynı kendi kendine barındırma ruhuyla proxy biçimli alternatifleri ele alıyor.

Çoğu insan, interneti okumak için altyapı işletmek istemez ve buna mecbur da kalmamalıdır. Pratik alternatif, gizlemeyi sizin için uygulayan ve her iki ucu aynı sağlayıcı tarafından yönetilen bir VPN'dir.

Snap VPN tam olarak böyle kurulmuştur. Tünelin kendisi WireGuard'dır ve onun üzerine, bağlantıyı inceleme sistemlerine ders kitabı niteliğinde bir VPN imzası sunmayacak şekilde biçimlendiren kendi gizleme tekniklerimizi uygularız. Ağ düzeyindeki ayrıntıları belgelerimizin dışında tutmayı bilinçli olarak tercih ediyoruz — yayımlanan kılıklar, filtrelere ilk eklenenlerdir — ama ilke, AmneziaWG'nin kanıtladığı ilkenin aynısıdır: WireGuard'ın mühendisliğini koru, ağın gördüğü şeyi değiştir. Yapılandırılacak bir şey ve oluşturulacak bir hesap yoktur.

Sık sorulan sorular

AmneziaWG, WireGuard ile aynı şey mi? Bir çatallamadır. Kriptografi ve tünel davranışı WireGuard'ınkidir; değişen şey, paketlerin ağ üzerinde nasıl göründüğüdür — tanınabilir imzanın yerini çöp paketler, dolgu ve rastgeleleştirilmiş başlıklar alır. Bu parametreler sıfırlandığında, standart WireGuard gibi davranır.

AmneziaWG, WireGuard'dan daha mı yavaş? Kayda değer biçimde değil. Gizleme, bağlantı kurulumunda az miktarda veri ekler ve sürekli hızı düz WireGuard ile uyumludur — asıl işi yapan şifreleme birebir aynıdır.

DPI hâlâ AmneziaWG'yi tespit edebilir mi? Deneyebilir ve bazen başarılı olur. Gizleme, kolay imza eşleşmesini ortadan kaldırır; ama sansürcüler yine de sunucu adreslerini engelleyebilir, UDP'yi kısıtlayabilir ya da hiç sınıflandıramadıkları trafiği işaretleyebilir. Bunu, dokunulmazlık değil, süregelen bir silah yarışında güçlü bir hamle olarak görün.

AmneziaWG iPhone'da çalışır mı? Evet — resmi bir iOS uygulaması var ve yapılandırmanızın gizleme parametreleri sunucununkilerle tam olarak eşleşmek zorundadır. Bunu kendiniz yönetmek istemiyorsanız, alternatif, gizlemenin yerleşik olduğu bir VPN uygulamasıdır.

Sonuç

  • WireGuard kolayca engellenir; çünkü el sıkışması her yerde birebir aynı görünür; şifreleme içeriği gizler, protokolün hatlarını değil.
  • AmneziaWG, WireGuard'ın kriptografisini ve hızını korur ve tam olarak inceleme sistemlerinin eşleştirdiği kısımları rastgeleleştirir.
  • Protokol filtrelerine karşı kazanır; IP engel listelerini, UDP yasaklarını veya izin listesine dayalı güvenlik duvarlarını yenmez.
  • iPhone'da kendi kendine barındırmak resmi uygulamayla mümkündür. Az çabalı yol, gizlemeyi ürünün bir parçası olarak sunan bir VPN'dir.

WireGuard'ın hızını, gizleme zaten halledilmiş halde istiyorsanız — kiralanacak sunucu, eşzamanlanacak parametre, hesap ve trafik kaydı olmadan — Snap VPN, App Store'da.