RaazNet

رازنتبتا

دانشنامه
در این صفحه

رمزنگاری انتقال و پروتکل‌های تونل‌زنی

راهنمای جامع نحوه ایمن‌سازی داده‌ها در حین انتقال، شامل TLS/SSL، پروتکل‌های استاندارد VPN، و روش‌های پیشرفته مبهم‌سازی (V2Ray، Reality، Shadowsocks) ضروری برای دور زدن سانسور ایران.

Time12 minutes

رمزگذاری انتقال و پروتکل‌های تونل‌زنی

درک چگونگی جابجایی داده‌ها در اینترنت، مسئله‌ای مربوط به امنیت و دسترسی است. رمزگذاری انتقال (Transport Encryption) تضمین می‌کند که داده‌های در حال جابجایی بین دستگاه شما و یک سرور، توسط واسطه‌ها (مانند شرکت مخابرات ایران - TCI، یا اپراتورهای همراه اول و ایرانسل) قابل خواندن نباشند. پروتکل‌های تونل‌زنی (Tunneling Protocols) به شما امکان می‌دهند تا آن ترافیک را کپسوله‌سازی کنید تا فیلترهای سانسور را دور بزنید و مقصد خود را پنهان کنید.

این راهنما جزئیات مکانیسم‌های انتقال امن داده و پروتکل‌های خاص مورد نیاز برای دور زدن سیستم‌های بازرسی عمیق بسته‌ها (DPI) جمهوری اسلامی را شرح می‌دهد.

۱. رمزگذاری انتقال: ایمن‌سازی داده‌های در حال حرکت

داده‌های "در حال حرکت" به اطلاعاتی اشاره دارد که در بستر شبکه در سفر هستند. بدون رمزگذاری، این داده‌ها به صورت "متن آشکار" (Plaintext) ارسال می‌شوند که به ارائه‌دهندگان خدمات اینترنت (ISPها) و آژانس‌های نظارتی اجازه می‌دهد ایمیل‌ها، رمزهای عبور و تاریخچه مرورگر را بخوانند.

HTTPS و TLS (امنیت لایه انتقال)

پایه و اساس مرور امن وب، TLS (جانشین SSL) است. وقتی از وب‌سایتی بازدید می‌کنید که با https:// شروع می‌شود، TLS ارتباط را رمزگذاری می‌کند.

  • نحوه کار: مرورگر شما و سرور طی یک "دست‌دهی" (Handshake) بر سر کلیدهای رمزگذاری توافق می‌کنند. پس از برقراری، محتوای ارتباط رمزگذاری می‌شود.
  • چه چیزی را مخفی می‌کند: صفحات خاصی که بازدید می‌کنید (مثلاً youtube.com/watch?v=123)، رمزهای عبور و محتوای فرم‌ها.
  • چه چیزی را مخفی نمی‌کند: نام سرور (SNI). حتی با HTTPS، شرکت ISP می‌داند شما به youtube.com متصل هستید، حتی اگر نتواند ویدیویی که تماشا می‌کنید را ببیند.

شرایط ایران: فیلترینگ SNI و حملات مرد میانی (MITM)

جمهوری اسلامی از فیلترینگ SNI برای مسدود کردن وب‌سایت‌ها استفاده می‌کند. با خواندن بسته رمزگذاری‌نشده "Client Hello" در ابتدای اتصال TLS، فایروال دامنه مقصد را می‌بیند و اگر در لیست سیاه باشد، اتصال را قطع می‌کند.

دفاع پیشرفته: Encrypted Client Hello (ECH) برای مقابله با فیلترینگ SNI، پروتکل‌های مدرن در حال پذیرش ECH (سابقاً ESNI) هستند. ECH افزونه SNI را رمزگذاری می‌کند و مانع از آن می‌شود که ISP ببیند شما قصد بازدید از کدام وب‌سایت خاص میزبانی شده روی Cloudflare یا CDN را دارید.

  • وضعیت: اگرچه قدرتمند است، فایروال ایران ترافیک‌های دارای دست‌دهی ECH را به شدت مسدود یا کند (Throttle) می‌کند. غیرفعال کردن یا فعال کردن ECH ممکن است بسته به روش مسدودسازی روز، ضروری باشد.

حملات مرد میانی (MITM) عوامل دولتی ایران در گذشته تلاش کرده‌اند تا با صدور گواهی‌های دیجیتال جعلی، ترافیک رمزگذاری شده را شنود کنند.

  • دفاع: مرورگرهای مدرن از لاگ‌های "شفافیت گواهی" (Certificate Transparency) و پینینگ استفاده می‌کنند. همیشه به هشدارهای مرورگر اگر پیام "Connection is not private" را دیدید، توجه کنید. هرگز "گواهی‌های ریشه" (Root Certificates) درخواست شده توسط اپلیکیشن‌های ایرانی یا سرویس‌های داخلی را نصب نکنید، زیرا این کار به آن‌ها اجازه می‌دهد ترافیک HTTPS شما را رمزگشایی کنند.

۲. پروتکل‌های استاندارد VPN

شبکه‌های خصوصی مجازی (VPN) یک تونل رمزگذاری شده بین دستگاه شما و سروری در خارج از ایران ایجاد می‌کنند. با این حال، همه پروتکل‌های VPN در برابر سانسور برابر نیستند.

اوپن وی‌پی‌ان (OpenVPN - TCP/UDP)

یک استاندارد صنعتی متن‌باز و بسیار امن.

  • مزایا: امنیت بازرسی شده، رمزگذاری قوی (AES-256).
  • معایب در ایران: به شدت قابل شناسایی. "دست‌دهی" OpenVPN به راحتی توسط سیستم‌های DPI شناسایی می‌شود. استفاده از OpenVPN استاندارد در ایران معمولاً منجر به کندی شدید یا قطع کامل اتصال (Connection Reset) می‌شود.

وایرگارد (WireGuard)

یک پروتکل مدرن، سبک و بسیار سریع.

  • مزایا: عملکرد بالا، اتصال فوری، مصرف بهینه باتری برای موبایل.
  • معایب در ایران: وایرگارد برای سرعت طراحی شده است، نه برای مخفی‌کاری. الگوی ترافیک آن مشخص است و به راحتی توسط فایروال بزرگ مسدود می‌شود. برای کار کردن در ایران معمولاً نیاز به یک لایه مبهم‌سازی (مانند UDP2RAW یا Shadowsocks) دارد.

پروتکل‌های IKEv2 / IPsec

رایج در iOS و شبکه‌های شرکتی.

  • وضعیت در ایران: غالباً روی شبکه‌های موبایل (همراه اول/ایرانسل) مسدود است اما گاهی اوقات روی اینترنت خانگی (DSL/FTTH) در زمان‌های کاهش سانسور کار می‌کند. به دلیل پیاده‌سازی‌های متن‌بسته (Closed-source) در برخی پلتفرم‌ها، برای ناشناس ماندن حیاتی توصیه نمی‌شود.

۳. پروتکل‌های مخفی و مبهم‌سازی (دور زدن سانسور)

از آنجا که پروتکل‌های استاندارد (OpenVPN/WireGuard) به راحتی مسدود می‌شوند، کاربران ایرانی باید به پروتکل‌های تونل‌زنی مبهم‌سازی شده (Obfuscated Tunneling) تکیه کنند. این پروتکل‌ها ترافیک VPN را به گونه‌ای استتار می‌کنند که شبیه ترافیک معمولی وب (HTTPS) به نظر برسد تا مسدود کردن آن برای رژیم بدون قطع کل اینترنت دشوار باشد.

شادوساکس (Shadowsocks)

در اصل برای دور زدن فایروال چین توسعه یافته است؛ یک پروکسی امن SOCKS5.

  • مکانیسم: ترافیک را رمزگذاری می‌کند اما مانند VPN هدرها را حذف نمی‌کند. سبک‌تر و سریع‌تر است.
  • تکامل: شادوساکس استاندارد اکنون اغلب با کاوش فعال (Active Probing) شناسایی می‌شود.
  • وضعیت فعلی: باید با پلاگین‌هایی مانند v2ray-plugin یا Cloak استفاده شود تا در ایران موثر باقی بماند.

وی‌توری (V2Ray - VMess / VLESS)

بخشی از پروژه V، وی‌توری پلتفرمی پیچیده برای ساخت پروکسی‌هاست.

  • VMess: پروتکل کلاسیک. وابسته به همگام بودن زمان سیستم است.
  • VLESS: نسخه سبک‌تر VMess بدون رمزگذاری مستقل (تکیه بر TLS زیرساختی)، که سربار را کاهش می‌دهد.
  • اهمیت: به طور گسترده در ایران از طریق کلاینت‌هایی مانند v2rayNG (اندروید)، V2Box (آی‌اواس) و Nekoray (کامپیوتر) استفاده می‌شود.

اکس‌ری و "ریالیتی" (استاندارد طلایی فعلی)

اکس‌ری (Xray) مجموعه‌ای فراتر از V2Ray است. پروتکل آن، VLESS-XTLS-Reality، در حال حاضر یکی از مؤثرترین روش‌ها برای عبور از شبکه ملی اطلاعات (NIN) است.

  • "ریالیتی" (Reality) چگونه کار می‌کند: اتصال به یک وب‌سایت واقعی و معتبر خارجی (مانند مایکروسافت، یاهو یا آمازون) را تقلید می‌کند. این پروتکل دست‌دهی TLS آن سایت را می‌دزدد تا سانسورچی را فریب دهد که فکر کند شما در حال مرور یک وب‌سایت مجاز و قانونی هستید.
  • چرا در ایران کار می‌کند: نیاز کاربر به خرید دامنه را از بین می‌برد و در برابر کاوش فعال توسط سانسورچی بسیار مقاوم است.

تروجان (Trojan)

تروجان طراحی شده تا دقیقاً شبیه یک سرور HTTPS به نظر برسد.

  • مکانیسم: اگر فایروال سرور تروجان را کاوش کند، سرور با یک صفحه ۴۰۴ معتبر یا یک وب‌سایت جعلی پاسخ می‌دهد. اگر رمز عبور صحیح (هش) ارائه شود، ترافیک را تونل می‌کند.
  • Trojan-Go: نسخه ارتقا یافته‌ای که اغلب برای تونل کردن از طریق کلودفلر (CDN) جهت مخفی کردن IP سرور استفاده می‌شود.

۴. تور (Tor) و مسیریابی پیازی

تور (The Onion Router) ترافیک را از طریق سه گره داوطلب تصادفی (ورودی، میانی، خروجی) هدایت می‌کند و داده‌ها را در هر مرحله رمزگذاری می‌کند.

ناشناس بودن در برابر سرعت

تور بالاترین سطح ناشناسی (مخفی کردن اینکه شما چه کسی هستید) را فراهم می‌کند، در حالی که VPNها/پروکسی‌ها عمدتاً حریم خصوصی (مخفی کردن اینکه چه کاری انجام می‌دهید) و دور زدن فیلترینگ را ارائه می‌دهند.

  • هشدار: تور کند است. برای افشاگری، ارتباط متنی امن و خواندن صفحات ایستا ایده‌آل است، اما برای استریم ویدیو نامناسب است.

اتصال به Tor در ایران

اتصالات مستقیم به شبکه Tor مسدود هستند. شما باید از Pluggable Transports (پل‌ها یا Bridges) استفاده کنید:

  1. Obfs4: ترافیک تور را مبهم می‌کند تا شبیه داده‌های تصادفی به نظر برسد. اغلب در ایران مسدود است.
  2. Snowflake: از پروکسی‌های موقت WebRTC که توسط داوطلبان در کشورهای آزاد اجرا می‌شوند استفاده می‌کند. برای ایران بسیار توصیه می‌شود. مسدود کردن آن دشوار است زیرا نقاط ورودی دائماً تغییر می‌کنند.
  3. WebTunnel: نوع جدیدتری از پل که ترافیک HTTPS را تقلید می‌کند (شبیه به نحوه کار Trojan/VLESS).

نکته امنیت عملیاتی (OpSec): از مرورگر Tor در حالت تمام صفحه (Full-screen) استفاده نکنید، زیرا این کار می‌تواند رزولوشن صفحه شما را لو داده و منجر به انگشت‌نگاری دیجیتال (Fingerprinting) شود. از ابعاد پیش‌فرض مرورگر Tor استفاده کنید.

۵. تونل‌زنی SSH

پوسته امن (SSH) ابزاری استاندارد برای مدیریت سرورهاست، اما می‌تواند به عنوان یک پروکسی رمزگذاری شده SOCKS عمل کند (ssh -D).

  • کاربرد: در زمان‌های "قطعی اینترنت" شدید که فقط اینترانت داخلی در دسترس است، کاربران گاهی ترافیک را از طریق یک VPS داخلی تونل می‌کنند که آن سرور داخلی سپس به یک VPS خارجی متصل می‌شود.
  • ریسک: این پروتکل به راحتی قابل شناسایی است. اگرچه رمزگذاری شده است، اما الگوی استفاده از SSH برای تونل کردن حجم بالای داده توسط الگوریتم‌های تحلیل ترافیک قابل تشخیص است.

۶. استراتژی انتخاب برای کاربران ایرانی

میدان نبرد دیجیتال در ایران روزانه تغییر می‌کند. پروتکلی که امروز کار می‌کند ممکن است فردا مسدود شود.

نیازپروتکل پیشنهادینمونه کلاینت‌ها
سرعت بالا / استریمینگVLESS-Reality, Trojanv2rayNG, Streisand, Hiddify
حداکثر ناشناسیTor + Snowflake/WebTunnelTor Browser, Orbot
پشتیبان / پایداریShadowsocks + Cloakکلاینت‌های Shadowsocks
VPN استانداردWireGuard (فقط اگر در UDP2RAW پیچیده شده باشد)TunSafe (کانفیگ‌های تغییر یافته)

هشدارهای امنیتی حیاتی

  1. پرهیز از اپلیکیشن‌های VPN "رایگان": اکثر VPNهای رایگان در پلی‌استور/اپ‌استور داده‌های کاربران را جمع‌آوری می‌کنند، پهنای باند را می‌فروشند یا "تله‌های اطلاعاتی" (Honeypots) هستند که توسط سرویس‌های اطلاعاتی اداره می‌شوند. اگر برای محصول پول نمی‌دهید (یا سرور خودتان را راه‌اندازی نمی‌کنید)، شما خودِ محصول هستید.
  2. قطع خودکار (Kill Switch): همیشه قابلیت "Always-on VPN" یا "Block connections without VPN" را در تنظیمات سیستم‌عامل خود فعال کنید. این کار مانع از نشت IP واقعی شما در صورت قطع شدن تونل می‌شود.
  3. نشت DNS: اطمینان حاصل کنید که ابزار تونل‌زنی شما درخواست‌های DNS را مدیریت می‌کند. اگر ترافیک شما رمزگذاری شده باشد اما درخواست‌های DNS شما به مخابرات/همراه اول برود، حکومت دقیقاً می‌داند از چه سایت‌هایی بازدید می‌کنید.

موضوعات مرتبط

  • [[Understanding Digital Surveillance]]
  • [[Network and Internet Concepts]]
  • [[Censorship Circumvention]]
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.