Когда все вокруг строили маскировку под HTTPS (слой за слоем TLS-рукопожатий), Reality пошёл другим путём: он решил, что лучше вообще не маскироваться, а притвориться, что ты — это кто-то другой. Идея простая до гениальности: если DPI видит, что соединение идёт на сайт Microsoft или Cloudflare, и оно выглядит как обычный TLS-трафик, то зачем вообще выдумывать свой сертификат? Reality просто «прикрепляется» к реальному HTTPS-сайту — берёт его сертификат, его handshake, его fingerprint. DPI видит: «А, это просто очередной запрос на update.microsoft.com», и пропускает. А внутри — твой прокси-трафик, упакованный так, что он неотличим от легитимного. Ключевое отличие от того же VLESS или Trojan: там ты сам поднимаешь TLS-сервер, и любой DPI с хорошей базой fingerprint’ов может вычислить, что сертификат не от Let’s Encrypt, а от какого-то левого сервера. Reality же использует чужой сертификат — real-сайта, к которому у тебя нет доступа. Как это работает технически: клиент связывается с сервером Reality, сервер говорит «я сейчас схожу на microsoft.com, сниму слепок его handshake, а потом отдам тебе». Клиент получает этот слепок, проверяет, что он действительно от Microsoft (через цепочку доверия), и дальше они общаются внутри этого туннеля. DPI видит только запрос к Microsoft. Никаких дополнительных TLS-слоёв. Никаких нестандартных handshake. Из минусов: Reality требует публичного сайта с реальным сертификатом — если этот сайт заблокируют, протокол ляжет. Плюс он жрёт чуть больше ресурсов на стороне сервера (надо ходить к реальному сайту для handshake). Но для Deep Packet Inspection это фактически нож в спину — если DPI не может отличить твой трафик от обычного HTTPS, он проиграл. Статус: активно развивается, XTLS-команда вкатывает новые версии. Для тех, кто хочет понять, почему Reality не «волшебная таблетка»: он решает проблему fingerprint’а, но не решает проблему анализа объёмов трафика и таймингов. Если ты качаешь 50 ГБ в час, а твой «Microsoft Update» обычно передаёт 50 МБ — палево. Нет идеальных протоколов, есть асимметрия: ты усложняешь жизнь DPI, но не отменяешь её.
🖼 Reality — как обмануть DPI, не маскируясь под HTTPS
