Подробное сравнение технических характеристик NavLink с популярными протоколами туннелирования трафика.
| Характеристика | OpenVPN | WireGuard | Outline | Tor | NavLink |
|---|---|---|---|---|---|
| Обфускация | |||||
| DPI-устойчивость | No | No | Partial | Partial | Yes |
| Неотличим от HTTPS | No | No | No | No | Yes |
| Ротация TLS-отпечатка | No | No | No | No | Yes |
| Ложный трафик к CDN | No | No | No | No | Yes |
| Защита от активного зондирования | No | No | Partial | No | Yes |
| Инфраструктура | |||||
| Адреса серверов не публичны | No | No | No | No | Yes |
| Многоузловая маршрутизация | No | No | No | Yes | Yes |
| Зашифрованный формат ключа | No | No | No | No | Yes |
| Сеть | |||||
| UDP | Yes | Yes | No | No | Yes |
| Работает без UDP | Partial | No | Yes | Yes | Yes |
| Split tunneling | Partial | Partial | No | No | Yes |
| Скорость | Partial | Yes | Yes | No | Yes |
| Управление | |||||
| Корпоративное управление | Partial | No | No | No | Yes |
| Авто-обновления OTA | No | No | Partial | Partial | Yes |
| Обнаружение утечки ключа | No | No | No | No | Yes |
Partial — функциональность существует, но требует ручной настройки или имеет существенные ограничения.
DPI-системы эволюционировали вместе с протоколами обфускации. Каждый из популярных решений имеет структурный недостаток, который невозможно устранить без смены протокола целиком.
TLS-хендшейк OpenVPN имеет уникальную сигнатуру: фиксированный набор шифров, специфичный ALPN и нестандартная структура ClientHello. Современные DPI-системы идентифицируют его за миллисекунды. Режим TCP поверх TLS ненамного лучше: структура потока отличается от браузерного.
WireGuard работает исключительно по UDP. Его пакеты идентифицируются по характерному размеру и энтропии даже без разбора содержимого. В сетях с жёсткой фильтрацией UDP-трафик блокируется на уровне транспортного протокола — WireGuard перестаёт работать полностью.
Shadowsocks-трафик полностью зашифрован и не похож ни на HTTP, ни на TLS. Статистический анализ энтропии выявляет такие потоки: у них нет структурных паттернов браузерного TLS. Современные DPI в ряде стран обнаруживают Outline надёжнее, чем OpenVPN.
Трёхзвенная луковая маршрутизация обеспечивает высокую анонимность, но типичная пропускная способность — единицы мегабит. IP-адреса входных узлов (guards) публично известны и блокируются. Даже pluggable transports поверх Tor не решают проблему скорости.
Некоторые провайдеры применяют режим whitelist: разрешены только соединения с внесёнными в белый список адресами, всё остальное блокируется на уровне TCP. Вот как ведут себя разные протоколы в таких условиях.