Пока весь мир обсуждает маскировку трафика под HTTPS через WebSocket или TLS-прокси, Reality (он же XTLS Reality) пошёл другим путём: он не скрывает, что он не HTTPS, а использует реальный сертификат легитимного сайта для TLS-рукопожатия. Звучит как колдовство, но это чистая математика.
Проблема, которую решает Reality: классические прокси (VLESS, Trojan) полагаются на самоподписанные сертификаты или на сертификаты Let’s Encrypt, которые можно привязать к домену. DPI видит, что сертификат не соответствует запрашиваемому домену, или что TLS-рукопожатие ведёт себя нестандартно — и блокирует. Reality не создаёт свой TLS-туннель, а переиспользует готовое TLS-соединение с реальным сайтом (например, с cloudflare.com).
Как это работает технически: клиент делает TLS-запрос к целевому сайту (например, api.cloudflare.com), но в момент установки соединения Reality-сервер «перехватывает» это рукопожатие через механизм XTLS. Сервер не расшифровывает трафик — он просто подменяет конечную точку внутри уже установленного зашифрованного канала. Снаружи это выглядит как обычный TLS-сеанс с реальным сайтом: тот же сертификат, та же SNI, та же последовательность пакетов. Никакого дополнительного шифрования поверх — Reality использует оригинальный TLS-сеанс, но перенаправляет трафик внутри него на другой ресурс. Ключи не передаются — они выводятся из параметров рукопожатия.
Сильные стороны: почти идеальная имитация легитимного трафика — DPI не видит аномалий, потому что их нет. Работает поверх TCP, не требует дополнительных протоколов вроде WebSocket. Очень низкая задержка — нет двойного шифрования. Не нужно покупать домен или сертификат — используете любой публичный сайт как «прикрытие».
Слабые стороны: если DPI начнёт анализировать не только заголовки рукопожатия, но и поведение потока (например, размер пакетов, типичные для видео против типичных для SSH), Reality может быть вычислен по статистике трафика. Плюс — зависимость от доступности «реального» сайта: если он упадёт, прокси встанет. И самое главное — Reality не защищает от метаданных: если вы стучитесь к одному и тому же реальному сайту каждые 5 секунд, DPI может засечь паттерн.
Текущий статус: активно развивается. Reality — это не просто протокол, а целая философия в рамках Xray-core. На данный момент — один из самых устойчивых к DPI методов, если не считать Hysteria 2 с его маскировкой под UDP.
Финальная мысль: Reality — это элегантный ответ на вопрос «как обмануть систему, не нарушая её правил». Пока одни маскируются, Reality просто занимает чужое место. Вопрос только в том, когда DPI научится смотреть не на рукопожатие, а на то, что внутри.
