VLESS
VLESS (сокращение от Very Easy Lightweight Encryption Security System) — протокол для обхода блокировок, созданный для того чтобы эффективно вгакивать в цензоров свободу (что актуально в таких странах как Китай, где вандальный социальный рейтинг и патернализм отравляют общество). Появился в 2020 году как более лёгкая и производительная альтернатива существовавшим на тот момент V2Ray-протоколам VMess и VLESS+TLS. Очень эффективен и слабо обнаружим, однако противостояние брони и снаряда всё ещё имеется, и например в РФ курганоподобные орки решили попытаться банить сей протокольченко.
Особенности[править]
Протокол VLESS появился, когда основной разработчик проекта V2Ray решил радикально пересмотреть подход к созданию прокси-протоколов. К тому моменту флагманский протокол VMess, несмотря на свою популярность, уже начал вызывать нарекания, так как он был перегружен избыточным шифрованием, сложной системой аутентификации с AlterId, временными метками и случайными паддингами, что увеличивало размер заголовков и снижало производительность на слабых устройствах. Кроме того, стал возможен анализ заголовков хитроумной цензурой.
RPRX тогда решил, что в эпоху повсеместного TLS 1.3 нет смысла дублировать шифрование внутри самого протокола. Вместо этого достаточно лёгкой аутентификации и передачи данных, а всю криптографию и защиту от анализа трафика отдать транспортному уровню. За счёт этого усложняется анализ характерных пакетов протокола, ибо они зашифрованы и внешне виден только TLS.
После рукопожатия на уровне транспорта сервер ожидает от клиента всего лишь 16-байтовый UUID и один байт версии протокола. Если UUID совпадает — клиент считается авторизованным, и сразу начинается передача полезной нагрузки. За счёт этого исчезли задержки, связанные с генерацией и проверкой динамических ключей. Кроме того, что очень важно, протокол стал полностью детерминированным — два одинаковых запроса выглядят абсолютно одинаково, что сильно упростило отладку протокола. Так как применяется шифрование, на безопасность это не повлияло.
VLESS — прикладной протокол, который обязан работать поверх какого-либо надёжного шифрующего транспорта. С момента появления и до 2021 года основным и практически единственным транспортом оставался обычный TLS 1.3. Конфигурации вида VLESS+TLS на порту 443 с валидным или самоподписанным сертификатом Let’s Encrypt применялись почти всеми.
В 2022 году та же команда представила технологию Reality. Reality полностью убирает необходимость в каком-либо сертификате на стороне сервера, вместо этого используется подмена TLS ClientHello под популярные легитимные сервисы (microsoft.com, apple.com, www.google.com) и механизм fallback, то бишь если подключение не прошло аутентификацию VLESS, клиент автоматически перенаправляется на настоящий сайт, указанный в настройке dest. Для систем DPI и активного зондирования такой трафик выглядит как обычное посещение сайта Microsoft, отчего цензоры не смогли восраться в протокол и навредить.
В 2023—2024 годах в Xray-core появился режим Vision (первоначально XTLS-Vision), который добавил поддержку uTLS (имитация fingerprint’ов разных клиентов — Chrome, Firefox, Safari и iOS 17), 0-RTT при повторных соединениях и ряд оптимизаций на уровне ядра. На конец 2025 года комбинация VLESS + Reality + Vision считается весьма мощной и безопасной в странах с наиболее агрессивной цензурой.
История[править]
VLESS появился в релизе V2Ray версии 4.28.0 от 23 июля 2020 года. Автор протокола анонимен, это некий разработчик под псевдонимом RPRX. Основной целью было создание протокола, который полностью избавляется от избыточного шифрования на уровне самого протокола (в отличие от VMess), оставляет шифрование на усмотрение транспортного уровня и минимизирует накладные расходы и упрощает реализацию клиента и сервера.
В результате VLESS получился примерно на 30-50 % легче VMess при том же уровне безопасности. После форка проекта в 2021—2022 годах протокол VLESS развивается преимущественно в Xray-core, где также стал использовать собственный протокол Reality, который призван шифровать информацию.
VLESS не шифрует полезную нагрузку сам по себе. Шифрование и аутентификация делегируются транспортному уровню (обычно TLS 1.3). Это делает протокол крайне лёгким. Единственный обязательный параметр аутентификации — 128-битный UUID клиента. Нет никаких дополнительных заголовков аутентификации, как в VMess (AlterId, время, и т. д.).
Технология XTLS-Reality позволяет полностью отказаться от обычного TLS-сертификата и использовать подмену SNI и fingerprint под реальные популярные сайты (например, microsoft.com, в который регулярно долбятся юзеры за обновлениями). В результате трафик практически неотличим от обычного HTTPS.
Общий размер заголовка обычно менее 40 байт (против 100+ байт у VMess). Из-за этого обнаружить его куда сложнее, если сделано верное шифрование.
Сравнение[править]
Если в 2020 году основным конкурентом VLESS был Trojan, то к 2025 году ситуация сильно изменилась. Trojan, несмотря на простоту, так и не получил полноценного аналога Reality и начал постепенно уступать позиции. Hysteria 2 на базе QUIC действительно быстрее на очень плохих каналах, но значительно легче обнаруживается из-за характерных особенностей QUIC. Shadowsocks с AEAD-шифрами уже давно считается устаревшим и блокируется практически везде.
Таким образом, VLESS+Reality+Vision остаётся единственным протоколом, который одновременно обеспечивает максимальную скорость на хороших каналах, практически полную невидимость для DPI и активного поклева, минимальные требования к ресурсам сервера (один процесс Xray на ядре 2 ГГц легко обслуживает 15-20 тысяч одновременных VLESS-клиентов).
Реакция в РФ[править]
Осенью 2025 года стали говорить, что Роскомпозор таки освоил блокировку VLESS и основанные на нём VPN стали прекращать работать в части регионов, где видимо делается тестирование. Стали вставать вопросы, как именно это было сделано — вероятно, применяется некий анализ с использованием ИИ.
Так или иначе основная уязвимость системы — это зарубежные IP-адреса, которые в теории могут быть полностью вырублены, если будет принято решение что надобен настоящий Чебурнет. После этого уже никакой VPN не спасёт, так как весь трафик может взаимодействовать только с серверами в России.
