آیا ISP می‌فهمد VPN استفاده می‌کنم؟

اینکه اپراتور بفهمد VPN دارید به پروتکل بستگی دارد: OpenVPN و WireGuard امضای واضحی دارند و راحت شناسایی می‌شوند، ولی VLESS + Reality شبیهِ ترافیکِ HTTPSِ معمولی است و عملاً قابلِ تفکیک نیست. این مقاله توضیح می‌دهد هر پروتکل چقدر «دیده» می‌شود.

چه چیزی همیشه می‌بیند؟

ISP ایرانی همیشه می‌بیند:

• آدرس IP مقصد (سرور VPN)
• حجم ترافیک
• زمان اتصال
• پورت استفاده‌شده

این داده‌ها metadata هستند — نمی‌گویند چه می‌کنید، فقط چقدر و کجا.

DPI چیست و چطور دنبال «امضای VPN» می‌گردد؟

اپراتورها برای تشخیص نوعِ ترافیک از DPI (مخففِ Deep Packet Inspection یا «بازرسیِ عمیقِ بسته‌ها») استفاده می‌کنند. DPI برخلافِ یک فایروالِ ساده که فقط به آدرس و پورت نگاه می‌کند، خودِ بسته‌ها را می‌خواند تا الگو پیدا کند. هدفِ آن خواندنِ محتوای رمزنگاری‌شده نیست — بلکه انگشت‌نگاری (fingerprinting) است: یافتنِ نشانه‌های تکراری که فقط در یک پروتکلِ مشخص دیده می‌شوند.

نمونه‌هایی از چیزی که DPI دنبالش می‌گردد:

• شکلِ handshake: نحوه‌ی آغازِ گفتگوی اولیه‌ی دو طرف. OpenVPN و WireGuard هرکدام handshakeِ بسیار مشخصی دارند که با یک امضای ثابت شروع می‌شود.
• اندازه و ترتیبِ بسته‌ها: بعضی پروتکل‌ها بسته‌هایی با طولِ ثابت یا الگوی زمانیِ منظم می‌فرستند که از ترافیکِ معمولیِ وب متمایز است.
• پاسخ به کاوش (active probing): DPI می‌تواند خودش به سرور وصل شود و ببیند آیا مثلِ یک وب‌سرورِ واقعی رفتار می‌کند یا نه.

به همین دلیل است که گفتنِ «VPN قابلِ شناسایی است یا نه» بدونِ مشخص‌کردنِ پروتکل بی‌معناست؛ DPI پروتکل را می‌بیند، نه «VPN» را به‌صورتِ مفهومی.

چرا Reality و VLESS + TLS شبیهِ HTTPS معمولی‌اند؟

وقتی شما یک سایتِ معمولی را با https:// باز می‌کنید، مرورگرتان یک TLS handshake انجام می‌دهد و در آن، نامِ دامنه‌ی مقصد به‌صورتِ یک فیلد به نامِ SNI (مخففِ Server Name Indication) فرستاده می‌شود. کلِ این ترافیک روی پورت ۴۴۳ جابه‌جا می‌شود و میلیاردها بار در روز تکرار می‌شود — یعنی طبیعی‌ترین ترافیکِ ممکن.

پروتکل‌های مدرنِ V2Ray دقیقاً همین رفتار را تقلید می‌کنند:

• VLESS + TLS و Trojan ترافیک را داخلِ یک نشستِ واقعیِ TLS می‌پیچند، روی پورت ۴۴۳ و با یک SNIِ معتبر. برای DPI، این از یک بازدیدِ معمولیِ HTTPS قابلِ تفکیک نیست.
• Reality یک گام جلوتر می‌رود: به‌جای استفاده از گواهیِ TLSِ سرورِ خودتان، در لحظه‌ی handshake وانمود می‌کند که در حالِ گفتگو با یک سایتِ بزرگ و واقعی (مثلِ یک دامنه‌ی پرطرفدار) است و حتی به کاوشِ DPI هم مثلِ همان سایتِ واقعی پاسخ می‌دهد. این کار «امضای گواهیِ مشکوک» را هم حذف می‌کند.

نتیجه این است که DPI نه از روی handshake، نه از روی SNI و نه از روی پاسخ به کاوش، چیزی برای متمایزکردنِ این ترافیک از وبگردیِ عادی پیدا نمی‌کند.

نقشِ پورت ۴۴۳ و SNI

دو عاملِ مهم در نامرئی‌ماندن وجود دارد:

• پورت ۴۴۳: این پورتِ استانداردِ HTTPS است. ترافیکِ VPN روی پورت‌های غیرعادی (مثلِ پورت‌های اختصاصیِ OpenVPN) بیشتر جلبِ توجه می‌کند، چون حجمِ کمی از ترافیکِ کلِ شبکه روی آن پورت‌هاست.
• SNI: اگر SNI به یک دامنه‌ی شناخته‌شده و پرکاربرد اشاره کند، در میانِ انبوهِ نشست‌های مشابه گم می‌شود. SNIِ یک دامنه‌ی ناشناس یا تازه‌ساز، برعکس، می‌تواند نقطه‌ی تمرکزِ DPI شود.

نکته‌ی مهم: ISP خودِ SNI را در نشستِ TLSِ کلاسیک می‌بیند (مگر در حالت‌هایی مثلِ Reality یا ECH که آن را پنهان می‌کنند)، ولی محتوای پشتِ آن همچنان رمزنگاری‌شده و خوانده‌نشدنی است.

چه چیزی نمی‌بیند؟

اگر VPN خوب استفاده کنید:

• محتوای ترافیک (همه چیز رمزنگاری‌شده)
• سایت‌هایی که visit می‌کنید
• DNS query ها
• کاربری که در آن سایت دارید

این‌ها همه مخفی می‌مانند.

چه پروتکل‌هایی شناسایی می‌شوند؟

DPI ایرانی این‌ها را راحت شناسایی می‌کند:

• OpenVPN — handshake منحصر به فرد
• PPTP, L2TP — قدیمی، پروتکل‌های مشخص
• Shadowsocks ساده — الگوی traffic
• WireGuard — UDP، الگوی packet

DPI نمی‌تواند راحت شناسایی کند:

• VLESS + Reality — مثل HTTPS واقعی
• Trojan + TLS — تظاهر به HTTPS
• VMess + WS + TLS — اگر domain درست باشد

پیامد شناسایی

اگر ISP شناسایی کرد:

• معمولاً اتصال slow می‌شود (throttling)
• در ساعات پیک قطع می‌شود
• در موارد نادر، IP سرور block می‌شود
• هیچ‌گاه کاربر مستقیم با اقدام قانونی روبه‌رو نشده فقط به دلیل شناسایی VPN

چگونه ۱۰۰٪ پنهان شویم؟

ترکیب لازم برای حداکثر پنهان‌سازی:

1. VLESS + Reality پروتکل
2. پورت 443
3. SNI پرطرفدار (microsoft.com, cloudflare.com)
4. سرور IP که سابقه استفاده ندارد

این ترکیب در ایران ۱۴۰۵ پایدارترین است.

نکاتِ عملی برای دیده‌نشدن

اگر می‌خواهید ترافیکتان تا حدِ ممکن طبیعی به‌نظر برسد:

• از پروتکل‌های قدیمی پرهیز کنید: OpenVPN، PPTP و L2TP امضای واضح دارند. اگر هدفِ شما پایداری است، سراغِ VLESS + Reality یا Trojan + TLS بروید.
• روی پورت ۴۴۳ بمانید: این پورت کمترین جلبِ توجه را دارد.
• کلاینت را به‌روز نگه دارید: روش‌های انگشت‌نگاریِ DPI به‌مرور تغییر می‌کنند و نسخه‌های جدیدِ کلاینت‌ها (مثلِ نسخه‌های تازه‌ی هسته‌ی Xray) رفتارِ خود را اصلاح می‌کنند تا طبیعی بمانند.
• به سرویس‌دهنده‌ی فعال اعتماد کنید: یک سرویسِ به‌روز، IPها و دامنه‌های تازه و پیکربندیِ درست را برایتان مدیریت می‌کند؛ کاری که در حالتِ دستی زمان‌بر است.

پرسش‌های متداول

آیا ISP می‌تواند ببیند به چه سایتی رفته‌ام؟ خیر. وقتی به VPN وصل‌اید، ISP فقط آدرسِ IPِ سرورِ VPN، حجم و زمانِ ترافیک را می‌بیند. مقصدِ نهایی (سایتی که باز می‌کنید)، DNS و محتوا داخلِ تونلِ رمزنگاری‌شده پنهان است.

اگر اپراتور بفهمد VPN دارم چه می‌شود؟ در عمل، رایج‌ترین پیامد کندی یا قطعِ اتصال در ساعاتِ پیک است، نه چیزی فراتر. استفاده از VPN برای دسترسی به سرویس‌های مسدودشده در ایران بسیار رایج است.

چرا گاهی VPN چند روز کار می‌کند بعد کند می‌شود؟ معمولاً به این دلیل که IP یا دامنه‌ی سرور شناسایی و throttle شده است. با پروتکلِ Reality و IPِ تازه این مشکل کمتر پیش می‌آید؛ به همین خاطر سرویسِ به‌روز اهمیت دارد.

آیا حالتِ Reality واقعاً نامرئی است؟ Reality یکی از مقاوم‌ترین روش‌های موجود در برابرِ DPI است، چون ترافیکش از یک نشستِ HTTPSِ واقعی قابلِ تفکیک نیست. ولی هیچ روشی «برای همیشه» تضمین‌شده نیست؛ پایداری به‌روز نگه‌داشتنِ کلاینت و سرور را می‌طلبد.

جمع‌بندی

ISP فقط اطلاعات سطحی می‌بیند. با پروتکل مدرن، حتی نمی‌تواند مطمئن باشد VPN استفاده می‌کنید. v2route از این پروتکل‌ها استفاده می‌کند.

مقالات مرتبط

• بهترین VPN برای ایران در سال ۱۴۰۵
• V2Ray چیست و چگونه کار می‌کند؟
• ارسال VPN به خانواده در ایران
• راهنمای نصب روی اندروید | iOS | ویندوز | مک

v2route با ۱۰ سال تجربه، VPN امن، پرسرعت و پایدار برای ایران ارائه می‌دهد. همین حالا تست رایگان بگیرید.