آیا DPI میتواند محتوای پیامهای رمزنگاری شده را بخواند؟

خیر. DPI متادیتا و الگوهای ترافیک را تحلیل میکند، اما نمیتواند دادههای محافظتشده توسط الگوریتمهای مدرن (AES-256، TLS 1.3) را رمزگشایی کند. تلگرام نیز محتوای پیامها را قبل از ارسال به لایه شبکه رمزنگاری میکند.

آیا تغییر DNS به دور زدن DPI کمک میکند؟

خیر. DPI در سطح خود بستههای داده عمل میکند، نه در سطح درخواستهای DNS. تغییر DNS فقط برای دور زدن مسدودیهای DNS مفید است و تاثیری در فیلترینگ DPI ندارد.

تحلیل رفتاری (Behavioral analysis) در контекст DPI به چه معناست؟

سیستم به زمانبندی، اندازه بستهها و فرکانس ارسال آنها نگاه میکند، نه محتوای آنها. اگر الگو شبیه یک پیامرسان شناختهشده باشد، ترافیک مسدود میشود، حتی اگر محتوا رمزنگاری شده باشد.

چگونه Padding در MTProto به دور زدن DPI کمک میکند؟

MTProto تعداد تصادفی بایتهای اضافی (زباله) به هر بسته اضافه میکند و اندازه بسته را غیرقابل پیشبینی میکند. در نتیجه، DPI نمیتواند امضاهای ثابتی بر اساس اندازه بستهها بسازد.

سیستم DPI چیست: ارائه‌دهندگان اینترنت چگونه تلگرام را مسدود می‌کنند

Q: چرا ارائهدهندگان اینترنت تمام ترافیک رمزنگاری شده را مسدود نمیکنند؟

زیرا این کار باعث مسدود شدن HTTPS میشود — یعنی تمامی بانکها، فروشگاههای آنلاین و شبکههای اجتماعی قطع خواهند شد. هزینه چنین آسیبی از نظر اقتصادی و سیاسی بسیار بالاست.

وقتی تلگرام در یک کشور مسدود می‌شود، کاربران معمولاً ناگهان متوجه می‌شوند: برنامه کار می‌کرد و ناگهان متوقف شد. پشت این قطعی، فناوری خاصی وجود دارد که توسط ارائه‌دهندگان خدمات اینترنتی (ISP) در سراسر جهان استفاده می‌شود — Deep Packet Inspection یا DPI. درک اینکه DPI چگونه کار می‌کند، به معنای درک این موضوع است که چرا فیلترشکن‌ها و پروکسی‌های اختصاصی (مثل MTProxy) اینقدر خوب با آن مقابله می‌کنند.

کمی درباره معماری: لایه‌های OSI

برای توضیح DPI، باید مدل OSI را به خاطر بیاوریم — یک طرح هفت‌لایه از نحوه انتقال داده‌ها در شبکه.

فایروال‌های معمولی در لایه‌های ۳ و ۴ کار می‌کنند: آن‌ها به آدرس‌های IP و پورت‌ها نگاه می‌کنند و تصمیم می‌گیرند یک بسته را مجاز کنند یا مسدود. این روش ساده و سریع است، اما دور زدن آن آسان است — کافیست IP یا پورت را تغییر دهید.

DPI به شکل دیگری عمل می‌کند. این سیستم مانند یک «اشعه ایکس» برای بسته‌هاست که ترافیک را تا لایه ۷ (محتوای خود برنامه) تحلیل می‌کند. بنابراین، DPI فقط نگاه نمی‌کند که بسته به کجا می‌رود، بلکه بررسی می‌کند که درون آن چه چیزی است.

سیستم DPI چگونه ترافیک را تحلیل می‌کند

DPI از روش‌های تحلیلی مختلفی استفاده می‌کند که ممکن است همزمان اعمال شوند.

تحلیل امضا (Signature analysis)

هر پروتکل در جریان داده‌ها الگوهای مشخصی — یا امضاهایی — بر جای می‌گذارد. به عنوان مثال:

اتصال TLS همیشه با پیام ClientHello با ساختاری خاص شروع می‌شود.
نشست SSH با رشته SSH-2.0-... آغاز می‌گردد.
نسخه‌های قدیمی MTProto الگوی خاصی در اولین بایت‌های اتصال داشتند.

وقتی DPI یک امضای شناخته‌شده را کشف می‌کند، می‌تواند بلافاصله تصمیم بگیرد: عبور دهد، مسدود کند، یا در صف بررسی عمیق‌تر قرار دهد.

تحلیل اکتشافی (Heuristic analysis)

گاهی اوقات امضاها وجود ندارند یا رمزنگاری شده‌اند. اینجاست که روش اکتشافی وارد عمل می‌شود — مجموعه‌ای از قوانین مانند «اگر X باشد، پس احتمالاً Y است». برای مثال:

اتصالی در طول شب با فواصل زمانی منظم فعال است → شبیه به مکانیزم زنده نگه‌داشتن (keepalive) در VPN است.
بسته‌هایی با اندازه یکسان که با تاخیر ثابت ارسال می‌شوند → الگوی استریم ویدیو یا صدا است.

تحلیل رفتاری (Behavioral analysis)

این پیچیده‌ترین روش است. سیستم بسته‌های تکی را تحلیل نمی‌کند، بلکه به کل جریان ارتباط در طول زمان نگاه می‌کند:

تحلیل رفتاری بسیار خطرناک است، زیرا حتی در برابر ترافیک کاملاً رمزنگاری شده نیز عمل می‌کند. مهم نیست چه چیزی در داخل نوشته شده — مهم این است که داده‌ها چگونه منتقل می‌شوند.

تجهیزات DPI در کجا نصب می‌شوند

در روسیه، ایران و چین، تجهیزات Deep Packet Inspection (فیلترینگ هوشمند) مستقیماً در نقاط تبادل ترافیک (IXP) و نزد اپراتورهای بزرگ مخابراتی مستقر هستند.

ویژگی‌های کلیدی سیستم‌های مدرن DPI:

با سرعت کامل خط (line-rate) کار می‌کنند — میلیاردها بسته را بدون تاخیر تحلیل می‌کنند.
پشتیبانی از State Full Inspection — چارچوب ارتباط را به خاطر می‌سپارند.
پایگاه داده امضاها به صورت متمرکز و اغلب چند بار در روز به‌روز می‌شود.

چرا DPI نمی‌تواند به سادگی تمام ترافیک‌های رمزنگاری شده را مسدود کند

یک سوال منطقی: اگر DPI نمی‌تواند ترافیک را رمزگشایی کند — چرا تمام ترافیک‌های نامشخص و رمزنگاری شده را مسدود نکند؟

پاسخ ساده است: بیش از ۹۰٪ ترافیک اینترنت رمزنگاری شده است. اتصالات HTTPS، سیستم‌های بانکی، خدمات ابری و VPN‌های شرکتی — همگی شامل ترافیک رمزنگاری‌شده و «ناشناخته» هستند. مسدود کردن هرچیزی که شناخته نشود = قطع شدن کامل جامعه از اینترنت مدرن.

به همین دلیل است که تلگرام و دیگر سرویس‌ها از استتار (Mimicry) استفاده می‌کنند — آن‌ها ترافیک خود را شبیه به پروتکل‌های «مجاز» در می‌آورند.

چگونه MTProto از سد DPI عبور می‌کند

توسعه‌دهندگان تلگرام از همان ابتدا با مشکل فیلترینگ DPI آشنا بودند. نسخه دوم پروتکل MTProto 2.0 با در نظر گرفتن مکانیزم‌های دفاعی متعددی طراحی شد:

تزریق بایت‌های اضافی (Padding) تعداد تصادفی از بایت‌های بی‌معنی به هر بسته اضافه می‌شود. اندازه بسته‌ها غیرقابل پیش‌بینی می‌شود — DPI نمی‌تواند امضاهای مبتنی بر اندازه بسازد.

مبهم‌سازی (Obfuscation) ساختار بسته‌های MTProto در حالت Obfuscated کاملاً شبیه به مجموعه‌ای از بایت‌های تصادفی به نظر می‌رسد. هیچ نشانه واضحی برای شروع اتصال که نشان‌دهنده ابزار خاصی باشد، وجود ندارد.

Fake TLS سرورهای مدرن MTProxy ارتباط را در قالب یک اتصال ساختگی TLS (مانند سایت‌ها) بسته‌بندی می‌کنند. برای سازمان فیلترینگ یا DPI، این دقیقاً شبیه باز کردن یک صفحه وب عادی (HTTPS) به یک سایت مجاز به نظر می‌رسد.

برای اطلاعات بیشتر در مورد نحوه عملکرد Fake TLS، این مقاله را مطالعه کنید.

سیستم DPI هنگام اتصال با Fake TLS چه می‌بیند؟

از دید سیستم DPI — این تنها یک ارتباط عادی و پنهان HTTPs به یک دامنه شناخته شده است. بنابراین دلیلی برای مسدودسازی وجود ندارد.

محدودیت‌های حفاظتی MTProto

جهت اطمینان باید بدانید که MTProto یک راه‌حل جادویی بی‌نقص نیست.

تحلیل آماری: تحت نظارت طولانی‌مدت بر اتصال، سیستم‌های پیشرفته ممکن است متوجه شوند که ترافیک «بیش از حد شبیه به TLS است اما رفتار دقیقی مشابه مرورگر وب ندارد».
مسدودسازی بر اساس IP: مسدود کردن مستقیم IP متعلق به سرور پراکسی ساده‌تر از تحلیل ترافیک آن است — به همین دلیل تغییر آدرس‌ها الزامی است. در MTProxyHub ما هر ۶۰ ثانیه به صورت خودکار گره‌ها را تغییر می‌دهیم.
تست اتصال فعال (Active probing): برخی از سیستم‌های فیلترینگ برای بستن پراکسی‌ها سعی می‌کنند به آن وصل شوند. اگر سرور مثل یک سایت معمولی جواب ندهد، شناسایی و مسدود می‌شود.

درباره خطرات پراکسی‌های عمومی و اینکه چگونه IPv6 به دور زدن فیلترینگ گسترده کمک می‌کند بیشتر بخوانید.

مدارک فنی و رسمی تلگرام در این لینک‌ها موجود است: MTProto و MTProxy. ماهیت سیستم‌های DPI در وبلاگ رسمی Cloudflare نیز بررسی شده است.

سوالات متداول (FAQ)

آیا سیستم DPI می‌تواند پیام‌های کاربران را بخواند؟ خیر. DPI متادیتا و الگوهای ترافیک را تحلیل می‌کند، اما نمی‌تواند داده‌های محافظت‌شده توسط الگوریتم‌های مدرن را رمزگشایی کند. تلگرام کاملا رمزنگاری دوطرفه است.

چرا ارائه‌دهندگان اینترنت تمام ترافیک رمزنگاری شده را مسدود نمی‌کنند؟ چون باعث از کار افتادن ارتباطات HTTPS می‌شود — بانک‌ها، فروشگاه‌های آنلاین، و پیام‌رسان‌های دیگر کاملا قطع می‌شوند. عواقب سیاسی و اقتصادی چنین کاری غیرقابل قبول است.

آیا تعویض DNS به دور زدن فیلترینگ هوشمند کمک می‌کند؟ خیر. DPI روی سطح خود بسته‌های داده‌ای کار می‌کند، نه درخواست‌های DNS.

چطور پدینگ در MTProto فیلترینگ را دور می‌زند؟ با اضافه کردن بایت‌های تصادفی یا زباله (Garbage bytes) به هر پکت، حجم آن غیرقابل پیش‌بینی می‌شود و سیستم فیلترینگ نمی‌تواند نشانه‌های ثابتی را دریافت کند.

اگر می‌خواهید از پراکسی‌های امن و سریع استفاده کنید — لیست پراکسی‌های فعال MTProxy را باز کنید. تمام گره‌های ما هر ۶۰ ثانیه بروز می‌شوند.