WireGuard đã thắng trong cuộc tranh luận về giao thức hiện đại nhờ nhỏ gọn, nhanh và đơn giản theo nghĩa tốt nhất. Nhưng nó chưa bao giờ được thiết kế để ẩn mình. Trên các mạng dùng deep packet inspection để tìm lưu lượng VPN, WireGuard thuần là một trong những giao thức dễ nhận ra nhất — và AmneziaWG là dự án đặt ra mục tiêu sửa đúng điều đó, mà không từ bỏ những gì WireGuard làm tốt.

Trả lời ngắn gọn: AmneziaWG là một bản fork mã nguồn mở của WireGuard, giữ nguyên mật mã học và tốc độ nhưng ngụy trang bước bắt tay dễ nhận ra của giao thức — bằng các gói tin rác, padding ngẫu nhiên, và các byte header được viết lại — để deep packet inspection không thể khớp nó với một dấu vân tay WireGuard. Cùng một đường hầm bên dưới, một hình bóng khác trên đường truyền.

Điểm chính

  • AmneziaWG là WireGuard cộng thêm một lớp obfuscation. Mã hóa, mô hình khóa và hiệu năng về cơ bản không đổi.
  • WireGuard thuần có một bước bắt tay cố định, có thể nhận dạng dấu vân tay — đó là cách người kiểm duyệt chặn nó mà không cần giải mã bất cứ điều gì.
  • AmneziaWG phá vỡ dấu vân tay đó: gói tin rác trước bước bắt tay, padding ngẫu nhiên trên nó, và các giá trị header được ngẫu nhiên hóa.
  • Nó không phải thuốc chữa bách bệnh. Địa chỉ máy chủ bị chặn, lệnh cấm UDP, và tường lửa allow-list vẫn chặn được nó.
  • Trên một mạng thông thường nó không mang lại thêm gì. Nó chỉ quan trọng trên các mạng tích cực săn lùng giao thức VPN.

Tại sao WireGuard thuần dễ bị chặn

Người kiểm duyệt không cần phá mã hóa để chặn một VPN. Họ chỉ cần nhận ra giao thức, và WireGuard khiến điều đó dễ dàng vì bước bắt tay của nó trông giống hệt nhau mỗi lần. Gói tin đầu tiên của mọi phiên WireGuard là một thông điệp UDP đúng 148 byte, và bốn byte đầu của nó là một trường loại-thông-điệp luôn đọc ra số 1 theo sau là ba số 0. Phản hồi của máy chủ đúng 92 byte, loại 2. Mọi triển khai, mọi kết nối, ở mọi nơi.

Sự đều đặn đó tuyệt vời cho các kỹ sư và khốn khổ cho bất kỳ ai ở sau một tường lửa quốc gia. Phần cứng kiểm tra khớp mẫu hình dạng đó — các kích thước cố định, các byte loại không đổi, nhịp điệu của cuộc trao đổi — và loại bỏ kết nối trước khi đường hầm thiết lập xong. Mọi thứ bên trong vẫn được mã hóa; phần bên ngoài để lộ cuộc chơi.

Đây không phải là một sơ suất. Dự án WireGuard liệt kê obfuscation lưu lượng như một mục tiêu không hướng tới một cách rõ ràng: giao thức được thiết kế để giữ tối giản và có thể kiểm toán, còn việc ngụy trang được để dành cho các lớp xây dựng bên trên. Trong nhiều năm điều đó để lại một khoảng trống, vì những quốc gia lọc gắt gao nhất — chúng tôi đi qua cách Iran, Nga và Trung Quốc chặn VPN — đã thêm dấu vân tay của WireGuard vào bộ lọc của họ từ sớm.

AmneziaWG là một câu trả lời cho khoảng trống đó.

AmneziaWG thay đổi điều gì

AmneziaWG đến từ nhóm đứng sau Amnezia, một bộ công cụ mã nguồn mở cho các VPN tự lưu trữ, và cách dễ nhất để hiểu nó là xem WireGuard như đang khoác một bộ trang phục. Bản fork thêm một tập tham số cấu hình định hình lại kết nối trông như thế nào đúng vào những thời điểm các hệ thống kiểm tra đang theo dõi:

  • Gói tin rác trước tiên (các tham số Jc, Jmin, Jmax). Trước bước bắt tay thật, client gửi một loạt gói tin ngẫu nhiên vô nghĩa với kích thước thay đổi. Cuộc trò chuyện không còn mở đầu bằng một thông điệp 148 byte gọn gàng nữa.
  • Padding ngẫu nhiên (S1, S2). Phần khởi tạo và phản hồi của bước bắt tay được gắn thêm các byte ngẫu nhiên, nên kích thước gói tin ngừng khớp với dấu vân tay đã biết.
  • Header được viết lại (H1–H4). Bốn giá trị loại-thông-điệp cố định gắn nhãn mọi gói tin WireGuard được thay bằng các giá trị mà cả hai đầu thỏa thuận trước. Bộ 1, 2, 3, 4 tố giác không bao giờ xuất hiện trên đường truyền.

Các bản phát hành mới hơn đẩy ý tưởng đi xa hơn. Phiên bản 1.5 thêm các gói tin mở đầu được chế tác đặc biệt để bắt chước những byte đầu tiên của các giao thức khác, và dòng 2.0 ra sau đó vào năm 2026 tiếp tục theo hướng ấy — mục tiêu chuyển từ "đừng trông giống WireGuard" sang "trông giống một thứ gì đó vô hại."

Hai chi tiết quan trọng trong thực tế. Cả hai đầu phải dùng chung các giá trị tham số: đây là một bộ trang phục được phối hợp, mang theo trong tệp cấu hình, không phải thứ mà client tự ứng biến. Và với mọi tham số obfuscation đặt về 0, AmneziaWG nói WireGuard thuần — điều đó cho bạn biết lớp được thêm vào thực sự mỏng và chính xác đến mức nào.

Điều gì giữ nguyên

Bên dưới bộ trang phục, giao thức không bị động đến. Phần toán học của bước bắt tay, các thuật toán mã hóa hiện đại, việc trao đổi khóa — tất cả được kế thừa trực tiếp từ WireGuard thay vì sáng tạo lại. Đó là lựa chọn đúng: obfuscation mới làm sai thì rẻ để sửa, còn mật mã học mới làm sai thì là thảm họa. Một bản fork chỉ thay đổi phần vỏ bọc giữ nguyên phần lõi nhỏ, được rà soát kỹ của WireGuard.

Hiệu năng cũng được giữ vững. Các gói tin rác thêm một chút dữ liệu khi kết nối bắt đầu, và sau đó đường hầm truyền lưu lượng theo cách WireGuard vẫn làm. Nếu bạn quan tâm các giao thức lớn so với nhau ra sao về tốc độ và pin, chúng tôi đã làm phép so sánh đó trong WireGuard vs OpenVPN vs IKEv2 — và AmneziaWG nằm trong cột của WireGuard, không phải với các lựa chọn cũ hơn, nặng nề hơn.

Khi nào AmneziaWG vẫn thất bại

Obfuscation làm tăng chi phí của việc chặn bạn. Nó không khiến việc chặn trở nên bất khả thi, và một phép so sánh trung thực phải nói rõ những chỗ bộ trang phục không giúp được:

  • Địa chỉ bị chặn. Nếu người kiểm duyệt đã đưa IP máy chủ của bạn vào danh sách đen, gói tin của bạn trông thế nào cũng không quan trọng. Ngụy trang đánh bại bộ lọc giao thức, không phải danh sách địa chỉ.
  • Lệnh cấm và làm chậm UDP. Một số mạng loại bỏ hoặc bóp nghẹt toàn bộ lưu lượng UDP lạ. AmneziaWG vẫn là UDP; trên những mạng đó, các đường hầm cải trang thành lưu lượng web thông thường qua TCP sẽ tiếp quản.
  • Tường lửa allow-list. Các mạng khắt khe nhất đảo ngược logic: chỉ những giao thức được nhận ra mới đi qua. Ở đó, lưu lượng trông giống không gì cả bản thân nó đã đáng ngờ, và các luồng entropy cao không thể nhận dạng bị loại bỏ về nguyên tắc. Trông giống nhiễu thì có lợi trước một danh sách chặn và bất lợi trước một danh sách được phép.
  • Cuộc chạy đua vũ trang. Người kiểm duyệt còn đo thời gian của luồng, mẫu kích thước gói tin theo thời gian, và cách một máy chủ bị nghi ngờ phản hồi khi bị thăm dò. Mọi sơ đồ obfuscation đều là mục tiêu di động, đó là lý do các dự án nghiêm túc liên tục phát hành phiên bản mới.

Cách nói thực tế: AmneziaWG khiến bạn trở nên đắt đỏ để chặn trên các mạng lọc theo dấu vân tay giao thức. Ở những nơi việc chặn hoạt động theo địa chỉ, theo tầng truyền tải, hoặc theo allow-list, bạn cần những nước đi khác — chúng tôi vẽ ra toàn bộ bức tranh đó trong VPN vượt kiểm duyệt như thế nào.

Bạn có thực sự cần VPN obfuscation không?

Một câu hỏi đáng đặt ra trước khi với tay đến bất kỳ VPN có obfuscation nào: vấn đề của bạn có thực sự là việc chặn giao thức không? Trên một kết nối tại nhà ở hầu hết các quốc gia, WireGuard thuần kết nối tốt, và obfuscation thêm các bộ phận chuyển động mà không thêm quyền riêng tư — dù cách nào thì mã hóa cũng như nhau. Bài kiểm tra trung thực rất đơn giản: nếu một VPN tiêu chuẩn kết nối ổn định trên mạng của bạn, bạn không cần bộ trang phục.

Obfuscation chứng tỏ giá trị trong những tình huống cụ thể: các tường lửa quốc gia nhận dạng dấu vân tay giao thức VPN, các ISP làm chậm lưu lượng VPN đã được nhận ra, và một số mạng công ty, trường học hay khách sạn chặn đường hầm như một vấn đề chính sách. Nếu một trong số đó mô tả tuần lễ của bạn, phần còn lại của phép so sánh này là dành cho bạn. Nếu không, lựa chọn giao thức — được nói đến trong bài so sánh chính của chúng tôi — quan trọng hơn việc ngụy trang.

AmneziaWG trên iPhone

Có các ứng dụng AmneziaWG chính thức, bao gồm một client iOS. Nếu bạn thuê một máy chủ và thiết lập nó bằng các công cụ Amnezia, bạn có thể nhập một cấu hình mang theo các tham số obfuscation và xong. Với những người thoải mái quản lý máy chủ và giữ các tham số đồng bộ, đó là một con đường thực sự tốt — và bài so sánh Shadowsocks vs VPN của chúng tôi nói đến các lựa chọn thay thế kiểu proxy theo cùng tinh thần tự lưu trữ.

Hầu hết mọi người không muốn vận hành hạ tầng chỉ để đọc internet, và lẽ ra không phải làm vậy. Lựa chọn thay thế thực tế là một VPN mà ứng dụng của nó áp dụng obfuscation thay bạn, với cả hai đầu được quản lý bởi cùng một nhà cung cấp.

Snap VPN được xây dựng theo cách đó. Bản thân đường hầm là WireGuard, và bên trên nó chúng tôi áp dụng các kỹ thuật obfuscation của riêng mình, định hình kết nối để nó không trình ra một dấu vân tay VPN kiểu sách giáo khoa cho các hệ thống kiểm tra. Chúng tôi cố ý để các chi tiết ở cấp đường truyền nằm ngoài tài liệu của mình — những ngụy trang đã công bố là những cái đầu tiên bị thêm vào bộ lọc — nhưng nguyên tắc chính là điều AmneziaWG chứng minh: giữ phần kỹ thuật của WireGuard, thay đổi những gì mạng nhìn thấy. Không có gì để cấu hình và không có tài khoản nào để tạo.

Câu hỏi thường gặp

AmneziaWG có giống WireGuard không? Nó là một bản fork. Mật mã học và hành vi đường hầm là của WireGuard; điều thay đổi là cách các gói tin trông trên đường truyền — gói tin rác, padding, và header ngẫu nhiên thay cho dấu vân tay dễ nhận ra. Với các tham số đó đặt về 0, nó hành xử như WireGuard tiêu chuẩn.

AmneziaWG có chậm hơn WireGuard không? Không đáng kể. Obfuscation thêm một lượng nhỏ dữ liệu khi thiết lập kết nối, và tốc độ ở trạng thái ổn định ngang với WireGuard thuần — phần mã hóa làm công việc thực sự thì giống hệt nhau.

DPI có còn phát hiện được AmneziaWG không? Nó có thể thử, và đôi khi thành công. Obfuscation loại bỏ việc khớp dấu vân tay dễ dàng, nhưng người kiểm duyệt vẫn có thể chặn địa chỉ máy chủ, làm chậm UDP, hoặc gắn cờ lưu lượng mà họ hoàn toàn không thể phân loại. Hãy xem nó như một nước đi mạnh trong một cuộc chạy đua vũ trang đang tiếp diễn, không phải sự miễn nhiễm.

AmneziaWG có hoạt động trên iPhone không? Có — có một ứng dụng iOS chính thức, và các tham số obfuscation trong cấu hình của bạn phải khớp chính xác với máy chủ. Nếu bạn không muốn tự quản lý điều đó, lựa chọn thay thế là một ứng dụng VPN có obfuscation tích hợp sẵn.

Kết luận

  • WireGuard dễ bị chặn vì bước bắt tay của nó trông giống hệt nhau ở mọi nơi; mã hóa giấu nội dung, không phải đường nét của giao thức.
  • AmneziaWG giữ nguyên mật mã học và tốc độ của WireGuard, và ngẫu nhiên hóa đúng những phần mà các hệ thống kiểm tra khớp vào.
  • Nó thắng trước các bộ lọc giao thức; nó không đánh bại danh sách chặn IP, lệnh cấm UDP, hay tường lửa allow-list.
  • Tự lưu trữ nó trên iPhone hoạt động qua ứng dụng chính thức. Con đường ít công sức là một VPN mang theo obfuscation như một phần của sản phẩm.

Nếu bạn muốn tốc độ của WireGuard với obfuscation đã được lo sẵn — không máy chủ để thuê, không tham số để đồng bộ, không tài khoản và không nhật ký lưu lượng — Snap VPN có trên App Store.