Пока большинство протоколов обхода DPI работают по принципу «притворись HTTPS-трафиком», Reality пошёл другим путём. Он не маскируется, он подменяет саму суть соединения.
Контекст. До Reality стандартная тактика была: шифруй трафик так, чтобы он визуально не отличался от обычного HTTPS. Но DPI третьего поколения уже умеют отслеживать не только заголовки, но и поведение — длину пакетов, тайминги, паттерны рукопожатия. Reality решает именно эту проблему.
Как работает. Вместо того чтобы вставлять свой сертификат (как Trojan) или имитировать TLS-рукопожатие (как NaiveProxy), Reality использует механизм «подтверждения реального сервера». Клиент подключается к вашему серверу, но на этапе TLS-рукопожатия сервер отправляет не свой сертификат, а сертификат реального сайта (например, microsoft.com). DPI видит: соединение с IP-адресом, который числится за хостингом, сертификат от Microsoft — значит, это легитимный HTTPS. Весь прокси-трафик идёт поверх этого сессионного ключа, который уже прошёл проверку. Ключевая фишка — отсутствие характерного «зазора» между установкой TLS и началом передачи данных. Для DPI это выглядит как обычный браузерный запрос к крупному CDN.
Сильные стороны. Reality практически неотличим от обычного HTTPS-трафика даже для продвинутых DPI-систем. Не требует фиксированного сертификата, использует публичные сертификаты популярных сайтов. Работает поверх TLS 1.3, что само по себе уже даёт хорошее шифрование и Perfect Forward Secrecy.
Слабые стороны. Требует стабильного доступа к выбранному «реальному» сайту — если он ляжет, ваш прокси тоже упадёт. Более сложная настройка по сравнению с VMess или Shadowsocks. Зависим от TLS-стеков — не все реализации корректно обрабатывают нестандартные рукопожатия.
Статус. Активно развивается, входит в состав Xray-core. Используется как один из основных протоколов в современных сборках.
Финальная мысль. Reality — это протокол, который не прячется за HTTPS, а использует HTTPS как щит. Вопрос не в том, обнаружат ли его DPI, а в том, сколько времени понадобится, чтобы алгоритмы машинного обучения научились отличать «неестественно идеальное» TLS-рукопожатие от реального человеческого трафика.
