VPN Engelleme: Ülkeler ve Hizmetler VPN'leri Nasıl Engeller?

Engelleme yöntemleri

IP engelleme listesi

En basit yöntem. Bilinen VPN sağlayıcı IP aralıklarının bir listesini derleyin ve hepsini engelleyin. Yayın hizmetleri bunu en agresif şekilde kullanır; Netflix, Hulu, BBC iPlayer ve Disney+'ın tümü, günlük olarak güncellenen gelişmiş VPN-IP algılama özelliğine sahiptir. Ülkeler de bunu birinci basamak savunma olarak kullanıyor.

Sayaç: VPN sağlayıcıları sürekli olarak yeni sunucu IP'leri ekler ve çıkış havuzlarını dönüşümlü olarak kullanır. Bazıları, özellikle IP itibar bloklarını atlaması gereken kullanıcılar için konut IP'leri (veri merkezleri yerine gerçek tüketici ISP'lerinden alınan IP'ler) sunar.

Bağlantı noktası engelleme

VPN protokolleri bilinen bağlantı noktalarına sahiptir. OpenVPN'in IANA tarafından atanan bağlantı noktası 1194'tür. WireGuard varsayılan olarak 51820'dir. IKEv2, UDP 500 ve 4500 kullanır. Bu bağlantı noktalarını engelleyin, bariz VPN trafiğini engelleyin.

Sayaç: VPN sağlayıcıları sunucularını standart bağlantı noktalarında çalıştırır (genellikle OpenVPN için TCP/443), böylece trafik sıradan HTTPS gibi görünür.

Derin protokol paket denetimi el sıkışmalar

Ciddi yaklaşım. Bir VPN TCP/443 üzerinde çalışırken bile OpenVPN, WireGuard veya IKEv2'nin anlaşması, DPI sistemlerinin parmak izini alabileceği tanınabilir bir bayt imzasına sahiptir. Çin'in Büyük Güvenlik Duvarı bu tekniği rutin olarak kullanıyor; 443'teki WireGuard bile dakikalar içinde tespit ediliyor ve engelleniyor.

Sayaç: protokol gizleme. VPN anlaşmasını gerçek HTTPS, WebSocket veya QUIC trafiğine benzeyen bir şeye sarın. Örnekler: ProtonVPN'in Stealth'i, NordVPN'in NordWhisper'ı, Stunnel/Cloak/Obfsproxy'li OpenVPN, AmneziaWG (el sıkışmasını rastgele hale getiren bir WireGuard çatalı), V2Ray protokolleri.

TLS parmak izi

Bir VPN kendisini başarıyla HTTPS olarak gizlese bile, TLS anlaşmasının kendisinin parmak izleri vardır. Belirli bir tarayıcı, belirli bir şifre paketi sırası, belirli bir uzantı listesi ve belirli JA3 karması ile ClientHello mesajları üretir. "HTTPS" bağlantınızın herhangi bir büyük tarayıcıyla eşleşmeyen bir TLS parmak izi varsa, bu kostüm giyen bir VPN istemcisi olabilir.

Sayaç: Modern gizleme araçları, büyük tarayıcıların TLS parmak izlerini bayt bayt olarak taklit eder (Go'da uTLS, utls.js, diğer dillerde benzer). Kedi ve fare devam ediyor.

Trafik şekli analizi

İçerik şifrelendiğinde ve parmak izleri gerçek bir tarayıcıyla eşleştiğinde bile, VPN oturumunun ritmi kendine özgüdür. Her zaman çift yönlü, sürekli üretim, tutarlı paket boyutları; gerçek web taramasının hızlı getir-oluştur-duraklat modeli değil. Makine öğrenimi modelleri, VPN akışlarını yalnızca şekilden şaşırtıcı bir doğrulukla tanımlayabilir.

Sayaç: şekli gizlemek için sahte trafik ekleyin (Mullvad'ın DAITA'sı bunu yapar) veya VPN protokolünü zaten düzensiz bir şekle sahip olan bir şey üzerinde çalıştırın (Snowflake'in WebRTC görüntülü çağrı gizlemesi).

Etkin araştırma

Büyük Güvenlik Duvarı şüpheli bir bağlantı gördüğünde, bazen hedefe gerçekten bir VPN sunucusu olup olmadığını doğrulamak için test paketleri gönderir. Gerçek bir HTTPS sunucusu tanınabilir bir TLS anlaşmasıyla yanıt verir; bir VPN sunucusu kendini ele verecek şekilde yanıt verebilir. Daha sonra tüm bağlantı engellenir.

Sayaç: VPN sunucuları, yanıt vermeden önce kimlik doğrulama gerektirecek şekilde yapılandırılabilir — "yabancılar" genel bir 404 yanıt alır veya hiç yanıt almaz, yalnızca kimliği doğrulanmış istemciler VPN anlaşmasını alır.

DNS müdahalesi

Bilinen VPN sağlayıcı etki alanları için DNS aramalarını engelleyin. Vpnmasterpro.com (veya başka herhangi bir site) çözümlemediği için kullanıcılar VPN istemcisini bile indiremez.

Counter: Engellenmemiş bir çözümleyiciyi sorgulamak için HTTPS üzerinden DNS'yi kullanın. Kurulum medyasını sansürün müdahale edemeyeceği kanallar aracılığıyla dağıtın (Telegram, Tor, USB bellekler, elçilik dağıtımları).

Engellemenin agresif olduğu yer

• China — dünyadaki en gelişmiş DPI dağıtımı. Standart VPN protokolleri tespit edildikten birkaç dakika sonra engellenir. Yalnızca gizlenmiş protokoller (hatta bazen bunlar bile) güvenilir bir şekilde çalışır.
• Rusya — 2019'dan bu yana TSPU'nun kullanıma sunulması, çoğu büyük İSS'ye kapsamlı DPI ekledi. Twitter/X 2021'de kısıtlandı; 2022'den itibaren birçok VPN sağlayıcısı engellendi.
• Iran — 2008'den itibaren DPI, özellikle protestolar sırasında düzenli VPN engelleme olayları. 2022 Mahsa Amini protestoları, hükümetin kısıtlamaları sıkılaştırmasıyla VPN dağıtımının yaygınlaşmasına yol açtı.
• UAE, Suudi Arabistan, Umman, Katar — VPN'ler, onaylanmış içerik filtrelemeyi atlayan amaçlarla kısıtlanmıştır. Uygulama düzensiz ancak teknik olarak yeterli.
• Kuzey Kore — ülkenin yerel Kwangmyong ağı küresel internetten hava boşluğuna sahip. VPN'yi atlatmak aslında geçerli değil.
• India — CERT-In'in 2022 kuralı, VPN sağlayıcılarını kullanıcı etkinliğini günlüğe kaydetmeye veya geri çekilmeye zorladı. Saygın sağlayıcıların çoğu fiziksel sunucuları çekti.
• Turkey — Aralık 2023, IPVanish, ExpressVPN, NordVPN, Tor dahil 16 VPN sağlayıcısını engelledi.

Akış hizmetini engelleme

Farklı motivasyon, benzer teknikler. Netflix, Hulu, BBC iPlayer, Disney+, Amazon Prime vb. coğrafi lisanslamayı zorunlu kılmak için VPN IP'lerini engeller. İnternete genel olarak erişmenizi engellemeye çalışmıyorlar - yalnızca içeriklerini "yanlış" ülkeden izlemenizi engellemeye çalışmıyorlar.

Sayaç: IP'leri sık sık değiştiren, akış için optimize edilmiş özel sunucular. Bazı VPN'ler (Windscribe'den Windflix, NordVPN/ExpressVPN/Surfshark'tan özel yayın sunucuları) açıkça yayın silahlanma yarışını kovalıyor. Gizliliğe önem veren daha küçük VPN'ler (Mullvad, Proton) devreye girmediğinden akış güvenilirlikleri daha düşüktür.

Kurumsal ağ engelleme

Birçok kuruluş ve okul, uyumluluk ve güvenlik nedenleriyle VPN trafiğini engeller. Yöntemler benzerdir: bağlantı noktası engelleme, IP engelleme listeleri, DPI. Motivasyon farklıdır (uyumluluk, içerik filtreleme, kötü amaçlı yazılım tespiti) ancak teknikler doğrudan eşlenir.

LYasal durum

• VPN kullanmak çoğu ülkede yasaldır. Altyapı, tüketici VPN'leri yaygınlaşmadan çok önce meşru kurumsal kullanım için mevcuttu.
• VPN hizmetinin çalıştırılması bazı ülkelerde (Çin, Rusya, İran) düzenlenmiştir — sağlayıcılar ya yerel günlük kaydı gereksinimlerine uygundur ya da engellenmiştir.
• Hükümet tarafından onaylanmayan bir VPN'in kullanılması bazı ülkelerde kısıtlanmıştır. Çin ve Rusya, yurt içinde faaliyet gösteren VPN sağlayıcılarının kaydolmasını ve işbirliği yapmasını zorunlu kılıyor; Kayıtsız (yani gerçek) bir VPN kullanmak teknik olarak yasa dışıdır ancak bireysel kullanıcılara yönelik yaptırımlar eşit değildir.
• Bir suç işlemek için VPN kullanmak her yerde yasa dışı olmaya devam etmektedir; VPN bunu değiştirmez.

VPN'leri engelleyen bir ülkedeyseniz

1. Amaca yönelik olarak oluşturulmuş gizleme özelliğine sahip bir sağlayıcı seçin: Veri/hızlı deneyleriyle ProtonVPN Stealth, NordVPN NordWhisper, Mullvad veya Outline (Shadowsocks) gibi özel araçlar veya AmneziaWG.
2. İhtiyaç duymadan yükleme medyasını edinin: sağlayıcıların indirme alanları siz zaten içeri girdikten sonra engellenebilir.
3. Tor'u Snowflake ile birlikte saklayın yedek olarak : VPN'ler başarısız olduğunda, Tor'un takılabilir aktarımları genellikle hareketsiz kalır iş.
4. Hataları bekliyoruz: dün çalışan bağlantılar bugün çalışmayabilir; birden fazla sağlayıcıya ve protokole hazır olun.

sızıntı testimiz ile bağlandığında tünelinizin çalıştığını doğrulayın.