DPI
تحلیل رفتاری فیلترینگ TLS، در برابر ترنسپورتهای بدون رمزنگاری
این گزارش نتیجه یک دوره آزمون و مشاهده میدانی نظاممند درباره رفتار فیلترینگ در لایه انتقال است. هدف از این بررسی، شناسایی الگوهای عملی مسدودسازی، درک دقیقتر نقش DPI در قطع یا ناپایداری اتصالها، و ارائه بینش فنی برای کمک به طراحی راهکارهای مقاومتر در چنین محیطهایی بوده است. آزمونها بهصورت مداوم و کنترلشده طی ۲ هفته انجام شده و شامل سناریوهای متنوع از نظر زمان، پلتفرم، اندپوینت و اپراتور شبکه بودهاند.
تستها روی ۲ اندپوینت مستقل، در ساعات مختلف شبانهروز و با سشنهای طولانیمدت انجام شد. کلاینتها شامل ویندوز ۱۰ و ۱۱ و اندروید بوده و برای مدیریت اتصالها از پنلهای Hiddify، 3x-UI و همچنین کانفیگهای دستی استفاده شد. آزمایشها روی چندین ISP مختلف انجام گرفت، که اگرچه شدت محدودسازی در آنها اندکی متفاوت بود، اما الگوی رفتاری مشاهدهشده در همه موارد یکسان باقی ماند. بررسیها روی پورتهای رایج مرتبط با HTTPS و پورتهای موسوم به Safe Ports کلودفلر، از جمله 443، 8443، 2053، 2083 و موارد مشابه انجام شد و رفتار مشاهدهشده در تمامی این پورتها تفاوت معناداری نداشت!
نتایج نشان میدهد تمامی کانفیگهای مبتنی بر TLS، مستقل از نوع ترنسپورت، نوع پنل مدیریتی، گواهی، SNI یا پورت، یا بهصورت فوری مسدود میشوند یا پس از مدت کوتاهی (بهطور متوسط حدود ۱۰ دقیقه) به شکل فعال قطع میگردند. این الگو در WebSocket + TLS، TCP + TLS، gRPC + TLS، Trojan، Reality (در هر دو حالت TCP و gRPC) و همچنین ترکیبهای مبتنی بر CDN بهطور یکنواخت مشاهده شد و در کلاینتهای ویندوز و اندروید تکرارپذیر بود. یکنواختی این رفتار نشان میدهد عامل قطع اتصال نه خطای پیکربندی و نه اعتبار دامنه یا گواهی است، بلکه به احتمال زیاد ناشی از تحلیل Fingerprint هندشیک TLS و ارزیابی رفتار سشنهای رمزنگاریشدهای است که از نظر الگو و طول عمر، مشابه ترافیک عادی مرورگر نیستند!
در مقابل، ترنسپورتهای بدون TLS مانند WebSocket ساده، TCP ساده، HTTP Upgrade و xHTTP بدون TLS در تمام دوره تست پایدار باقی ماندند. این اتصالها در سشنهای طولانیمدت با قطع فعال یا Reset سیستماتیک مواجه نشدند و تنها محدودیت قابل توجه، توان عبوری پایینتر در xHTTP بود. این تفاوت آشکار نشان میدهد فعال شدن TLS نقش کلیدی در تحریک مکانیزمهای تشخیص و مسدودسازی دارد، در حالی که ترنسپورتهای سادهتر چنین حساسیتی را ایجاد نمیکنند.
در لایه DNS و IP نیز نشانهای از مسدودسازی مستقیم مشاهده نشد؛ دامنهها بدون اختلال رزولوشن میشدند و آیپیها بهصورت پیشفرض بلاک نشده بودند. بنابراین، نقطه اصلی اعمال فیلترینگ در این سناریو، نه نام دامنه و نه صرفاً آدرس IP، بلکه مرحله مذاکره ترنسپورت و مدیریت سشن، بهویژه هنگام استفاده از TLS است.
در جمعبندی، این بررسی نشان میدهد فیلترینگ اعمالشده ماهیتی رفتاری و مبتنی بر Fingerprint دارد و بهطور خاص سشنهای TLS غیرمرورگر-مانند و طولانیمدت را هدف قرار میدهد. در چنین شرایطی، استفاده از لایههای پیشرفته Obfuscation تأثیر معناداری در افزایش پایداری اتصال نداشته، در حالی که ترنسپورتهای بدون TLS همچنان عملیاتی و پایدار باقی ماندهاند. این یافتهها میتواند مبنایی برای بازنگری در استراتژیهای اتصال و طراحی راهکارهای سازگارتر با محیطهای دارای DPI فعال باشد.
© (https://pbs.twimg.com/media/HA9yHHVXIAAWyhC?format=jpg&name=medium) forAfreeIran
🔍 ircf.space @ircfspace
Tightening the Net: China’s infrastructure of oppression in Iran
https://www.article19.org/resources/tightening-the-net-chinas-infrastructure-of-oppression-in-iran/
گزارش تازه «ARTICLE 19» نشان میدهد زیرساخت سرکوب دیجیتال در ایران، فقط محصول تصمیمهای داخلی نیست؛ بلکه نتیجه همکاری بلندمدت با چین است. از سالها پیش، شرکتهایی مثل Huawei، ZTE، Hikvision و Tiandy با تأمین تجهیزات نظارتی و شبکهای، به تقویت سانسور، شنود و قطع اینترنت در ایران کمک کردهاند. همان شرکتهایی که پیشتر در سرکوب دیجیتال مسلمانان اویغور در چین نقش داشتهاند، حالا فناوری و الگوی «دیوار آتش بزرگ» را به ایران صادر کردهاند. نتیجه: اینترنتی که بهجای دسترسی آزاد، به ابزار کنترل، ردیابی و خاموشسازی اعتراض بدل شده است.
آرتیکل ۱۹ هشدار میدهد این فقط مسئله ایران نیست یک همپیمانی اقتدارگرایانه دیجیتال در حال شکلگیری است که اگر متوقف نشود، آزادی اینترنت را در مقیاس جهانی تهدید میکند.
Our new report, Tightening the Net: China’s infrastructure of oppression in Iran offers a comprehensive analysis of the digital cooperation between the People’s Republic of China and the Islamic Republic of Iran. It offers one of the few in-depth examinations of China’s adverse role in the expansion of digital repression in Iran.
The Iranian regime has been accused of deploying Russian and Chinese technology to aid its brutal crackdown on recent protests, and proliferate a near total internet shutdown, including disrupting satellite internet. This networked authoritarianism has equipped Iran with the technical capacity and political will to impose unprecedented infrastructure control to suppress the flow of information, as the regime massacred thousands of protesters and arrested many more.
The report documents how, for years, China has been instrumental in the foundation of Iran’s information control and how it continues to offer a blueprint for the architecture of digital authoritarianism in the country.
Michael Caster, Head of ARTICLE 19 Global China Programme, said:
‘In its pursuit of total control over the digital space, Iran borrows directly from the Chinese digital authoritarian playbook. From Chinese companies embedded inside Iran’s infrastructure, to Iran’s support for China’s ‘cyber sovereignty’ principles based on censorship and surveillance, both countries align in their ambition to disconnect their populations from the open, global internet.’
Mo Hoseini, ARTICLE 19’s Head of Resilience, said:
‘Emulating China’s infrastructure of oppression helps Iran entrench power, sidestepping accountability and exercising full control over the information environment. That way, dissent is not just silenced, it is prevented from ever surfacing.’
🔴گزارش تکاندهنده سازمان «آرتیکل ۱۹» نشان میدهد جمهوری اسلامی با سرعتی نگرانکننده در حال پیادهسازی زیرساختهای «نظارت جمعی» است؛ پروژهای که معمار اصلی آن کشور چین (https://twitter.com/hashtag/%DA%86%DB%8C%D9%86) است. هدف دیگر فقط مسدودسازی نیست، بلکه وارد کردن مدل «دیوار آتش بزرگ» به ایران برای کنترل کامل شهروندان است.
🔴تکنولوژی چینی به عمیقترین لایههای امنیتی نفوذ کرده است و پای سیستمهای پیشرفته «بازرسی عمیق» و دوربینهای تشخیص چهره در میان است. این ابزارها به حکومت اجازه میدهند معترضان را پیش از حضور در خیابان شناسایی کند، الگوهای رفتاری کاربران را رصد کرده و اینترنت را به صورت طبقهبندی شده فقط در اختیار افراد وفادار به خود قرار دهد.
🔴تهران و پکن در سازمان ملل نیز دوشادوش هم تلاش میکنند تا مفاهیمی مثل «حاکمیت سایبری» را قانونی کنند. آنها میخواهند قطع اینترنت و سرکوب دیجیتال را به عنوان «حق حاکمیت» جا بزنند تا از پاسخگویی بابت نقض حقوق بشر فرار کنند.
🔴گزارشها حاکی از آن است که همکاری جمهوری اسلامی و چین در کنار روسیه به حوزه فناوریهای «ضد فضایی» نیز کشیده شده است. این به معنای تلاش برای مختل کردن اینترنت_ماهوارهای (https://twitter.com/hashtag/%D8%A7%DB%8C%D9%86%D8%AA%D8%B1%D9%86%D8%AA_%D9%85%D8%A7%D9%87%D9%88%D8%A7%D8%B1%D9%87%E2%80%8C%D8%A7%DB%8C)، ارسال...
پسکوچه
🚨 گزارشهای فنی تایید میکنند که آنچه در هفتههای اخیر بر سر اینترنت ما آمد، فراتر از یک پروسه قطع_اینترنت به روشهای قبل؛ بلکه اجرای یک پروژه مشترک روسی-ایرانی بوده است. طبق گزارش «آگنتستوو نووستی» و تحلیلهای «یونایتد۲۴»، روسیه زیرساختهایی را برای جمهوری اسلامی مهیا کرده که قطعی_اینترنت در ۱۸ دیماه را به یکی از پیچیدهترین سرکوبهای دیجیتال تاریخ تبدیل کرد.
🕵️♂️ این فناوریها که با کمک روسیه پیاده شده و بر پایه تکنولوژی «بازرسی عمیق بستهها» (DPI) عمل میکند، فقط وبسایتها را هدف قرار نمیدهد؛ بلکه ترافیک اینترنت را کالبدشکافی میکند تا دسترسی به فیلترشکنها، پیامرسانها و اپهای دیگر را بهصورت هوشمند مسدود کند. شرکت روسی «پروتئی» به اپراتورهای موبایل کمک کرده تا سیستم شنود را ارتقا دهند.
👮♂️ همچنین نیروهای امنیتی با این سیستم، الگوی تماسها را تحلیل میکنند تا «هستههای هماهنگی» اعتراضات را پیدا کنند و افراد را قبل از شروع تجمع بازداشت کنند.
🛰️ روسها سیستمهای جنگ الکترونیک که در اوکراین تست شده را نیز برای پارازیت انداختن روی دیشهای استارلینک و مقابله با اینترنت...
United24 Media
ر اساس گزارشی از وبسایت United24 Media، گفته میشود که روسیه در ایجاد زیرساختی که امکان یکی از بزرگترین و پیچیدهترین قطعهای اینترنت را فراهم کرده، به ایران کمک کرده است. فناوری مورد استفاده ایران بر پایه معماری کنترل شبکهای شکل گرفته که حول فناوری «بازرسی عمیق بستهها» (DPI) توسعه یافته است. این فناوری به مقامات اجازه میدهد فراتر از مسدودسازی وبسایتها عمل کرده و ترافیک اپلیکیشنها، پیامرسانها و VPNها را محدود کنند و دسترسی به پلتفرمهایی را که برای هماهنگی اعتراضات استفاده میشوند، بهصورت هدفمند کاهش دهند. شرکتهای روسی از جمله Protei به اپراتورهای موبایل ایران کمک کردهاند تا فناوری DPI را در سامانههای نظارتی خود ادغام کنند؛ سیستمی که میتواند الگوهای ارتباطی را شناسایی کرده و مراکز هماهنگی اعتراضات را ردیابی کند. همچنین روسیه به ایران در توسعه یک سامانه چندلایه برای مقابله با روشهای دور زدن فیلترینگ از جمله اینترنت ماهوارهای کمک کرده و اختلال در سرویسهایی مانند استارلینک میتواند با استفاده از سامانههای جنگ الکترونیک انجام شود.
© nimaclick
Russia Allegedly Helped Iran Shut Down Internet Nationwide Using Advanced Tech
Russia helped Iran build the infrastructure that enabled what was described as one of the largest and most complex internet shutdowns in history, according to Agenstvo Novosti report on January 15.
The report said Iran’s technology is based on a network-control architecture developed with Russia’s assistance and built around deep packet inspection, or DPI.
It said DPI allows Iranian authorities to go beyond blocking websites by restricting traffic to apps, virtual private networks, and messengers, and by selectively limiting access to platforms used to coordinate protests.
The report said Russian companies, including Protei, helped Iranian mobile operators integrate DPI into Iran’s message-interception system, which Foreign Policy said enabled security forces to identify protesters’ coordination centers, track communication patterns, and respond as protests developed, including carrying out targeted detentions before actions rather than after.
Russia also helped Iran develop a multi-layered system aimed at countering attempts to bypass blocks through satellite internet, adding that the Starlink service can be disrupted using electronic warfare systems that Russia has widely used in Ukraine.
تحول معماری فیلترینگ اینترنت در ایران
از مسدودسازی صریح تا تخریب هوشمند کیفیت ارتباط
چکیده
در روزهای اخیر، بهدنبال بروزرسانی فایروالهای اپراتور همراهاول و زیرساخت، الگوی فیلترینگ اینترنت در ایران دستخوش تغییر بنیادین شده است. برخلاف رویکردهای پیشین که مبتنی بر مسدودسازی صریح دامنهها و قطع کامل اتصال بودند، معماری جدید بر کاهش هدفمند کیفیت ارتباط (Degradation-Based Filtering) تمرکز دارد. این مقاله به بررسی فنی این تغییر، پیامدهای آن بر پروتکلها و CDNها، و محدودیتهای راهکارهای دورزدن میپردازد.
. تعریف Degradation-Based Filtering
Degradation-Based Filtering یعنی:
فیلتر کردن، محدود کردن یا تغییر رفتار درخواستها و سرویسها بر اساس سطح افت (Degradation) منابع، کیفیت سرویس یا شرایط محیطی بهصورت تدریجی، هوشمند و قابل پیشبینی.
نکته کلیدی: هدف قطع کامل نیست، هدف کنترل افت است.
Degradation یعنی چه؟
افت میتواند در لایههای مختلف رخ دهد: 1. Degradation منابع
CPU Saturation
Memory Pressure
File Descriptor Exhaustion
IO Wait
-
Degradation شبکه
Latency Spike Packet Loss Jitter Retransmission
-
Degradation منطقی
Timeout زنجیرهای Backpressure Queue Buildup
-
Degradation امنیتی
Authentication Slowness Credential Stuffing آهسته Abuse غیرانفجاری ولی مداوم
DBF یعنی این افتها دیده شوند و پاسخ متناسب بگیرند.
تغییر پارادایم: فیلترینگ دیگر «قطع اتصال» نیست
در مدلهای سنتی فیلترینگ، تصمیمگیری باینری بود:
Allow / Deny
Accept / Drop
Pass / Reset
اما در معماری جدید، فیلترینگ به کنترل تجربه کاربر تبدیل شده است.
ویژگیهای مدل جدید:
اتصال TCP برقرار میشود
و TLS Handshake آغاز میشود
اما:
در واقعRTT بهصورت مصنوعی افزایش مییابد
وPacket Delay و Jitter تزریق میشود
وPacket Loss بهصورت احتمالی اعمال میگردد
نتیجه:
ارتباط «وجود دارد»، اما «قابل استفاده نیست»
این تغییر نهتنها فنی، بلکه سیاستمحور است؛ زیرا اثبات فیلترینگ را دشوارتر و هزینه اعتراض را بالاتر میبرد.
تمرکز فایروالها بر لایه 7 و Fingerprint ارتباط
برخلاف تصور رایج، فایروالهای جدید دیگر صرفاً به SNI یا Host Header متکی نیستند. آنها بهدنبال امضای رفتاری اتصال هستند.
عناصر کلیدی Fingerprinting:
TLS ClientHello
Extension Order
Cipher Suites
Supported Groups
ALPN (h2, http/1.1)
الگوی زمانبندی Packetها
طول عمر Connection
الگوی Retry و Reconnect
بهعنوان مثال:
ا. WebSocket با الگوی Upgrade مشخص
ا. gRPC با HTTP/2 long-lived streams
این ویژگیها باعث میشود حتی بدون شناسایی دقیق دامنه، نوع کاربرد تشخیص داده شود.
چرا CDNها و Cloudflare بیشترین آسیب را دیدند؟
ا. Cloudflare و CDNهای مشابه به دلایل زیر هدفی ایدهآل برای Degradation هستند:
Shared Infrastructure
یک IP، هزاران دامنه
Anycast Routing
تشخیص مقصد واقعی دشوار
TLS 1.3 + ESNI
محتوای متادیتا پنهان
در چنین شرایطی، فایروال بهجای فیلتر دامنه، کل مسیر یا ASN را دچار افت کیفیت میکند.
نتیجه عملی:
ا. WebSocket دائماً قطع میشود
ا. gRPC Streamها Reset میشوند
ا. CDN از مزیت Performance به Liability تبدیل میشود
پایان تمایز .ir و Root Domain
یکی از مهمترین نشانههای این بروزرسانی، حذف تمایز میان دامنههای داخلی و خارجی است.
قبل:
Whitelist ضمنی برای:
.ir
Root Domains
سرویسهای داخلی
اکنون:
Domain-Agnostic Filtering
رفتار ارتباط مهمتر از هویت دامنه
این تغییر نشان میدهد فایروالها دیگر درگیر «چه چیزی» نیستند، بلکه «چگونه وصل شدن» را هدف قرار دادهاند.
Article content
TLS ClientHello Fragmentation: راهکار موقت، نه پایدار
ا. Fragmentation در TLS Hello یکی از روشهای رایج برای اختلال در DPI است.
چرا مؤثر است؟
ا. DPI کلاسیک انتظار ClientHello یکپارچه دارد
و Fragmentation باعث:
شکستن SNI
بههمریختن Extension Parsing
اختلال در Signature Matching
اما محدودیتهای جدی دارد:
ا. DPIهای Stateful امکان Reassembly دارند
ا. ML-based classifiers حتی بدون SNI الگو را تشخیص میدهند
ا. Overhead و Latency را افزایش میدهد
نتیجه:
ا. Fragment یک مُسکن است، نه درمان
چرا این معماری خطرناکتر از فیلترینگ کلاسیک است؟
قابل اندازهگیری نیست
قابل اثبات حقوقی نیست
تجربه کاربر را فرسایشی میکند
ابزارهای مانیتورینگ سنتی آن را «اختلال طبیعی شبکه» تلقی میکنند
بهعبارت دیگر:
فایروال دیده نمیشود، اما اثرش همهجا هست
مسیرهای مقاومتر
بدون اغراق، هیچ راهکار دائمی وجود ندارد؛ اما برخی مسیرها هزینه شناسایی را بالا میبرند:
وجود Protocol Mimicry واقعی
تطبیق کامل با JA3/JA4 مرورگر
Transport Obfuscation
QUIC / MASQUE-based tunneling
Adaptive Routing و Path Rotation
Decentralized Egress Points
TCP: قربانی ایدهآل برای تخریب نامرئی
TCP ذاتاً به تأخیر حساس و به Loss واکنشی است. فایروال چه کار میکند؟
Delay در SYN/ACK
Drop انتخابی ACK
Manipulation روی Window Size
Induce Retransmission
نتیجه:
RTT بالا میرود
Congestion Control فعال میشود
Throughput سقوط میکند
⚠️ نکته مهم: فایروال لازم نیست بسته را Drop کند؛ کافی است TCP را وادار کند خودش سرعت را بکشد. TLS: نقطه طلایی DPI
TLS بزرگترین اشتباه طراحان حریم خصوصی بود: ClientHello هنوز Plaintext است. چرا TLS هدف اصلی است؟
چون شامل:
SNI
ALPN
Cipher Suites
Extension Order
Supported Groups
اینها با هم میشوند:
TLS Fingerprint (JA3 / JA4)
فایروال چه میکند؟
فقط ClientHello را نگاه میکند
هنوز Key Exchange انجام نشده
هزینه پردازش کم
دقت بالا
❗ حتی اگر:
SNI مخفی شود
Domain تغییر کند
Fingerprint ثابت میماند. HTTP/1.1: کمارزش، کمدردسر
HTTP/1.1:
Stateless
Short-lived
Retry-friendly
برای فایروال:
ارزش تخریب ندارد
بیشتر Block میشود تا Degrade
به همین دلیل:
سایتهای ساده sometimes باز میشوند
APIها نه
HTTP/2 و gRPC: دشمن درجه یک
اینجا فایروال واقعاً خوشحال است. چرا؟
Long-lived connections
Multiplexing
Stream dependency
Head-of-line حساس
gRPC بهطور خاص:
روی HTTP/2
Expect latency پایین
Continuous streams
فایروال کافی است:
1–2٪ Packet Loss
100–200ms Delay
Occasional RST
نتیجه:
Stream Reset
Client فکر میکند سرور مشکل دارد
Debug غیرممکن
gRPC اولین چیزی است که میمیرد.
WebSocket: شکننده ولی محبوب
WebSocket:
TCP-based
Long-lived
Heartbeat-dependent
تخریب ساده:
Delay روی Pong
Drop sporadic frames
Idle timeout manipulation
نتیجه:
Reconnect loop
Battery drain
UX فاجعه
فایروال دوستش دارد چون:
قطع نمیکند
کاربر را خسته میکند
QUIC / HTTP/3: هنوز دردسرساز
اینجا فایروال هنوز کاملاً مسلط نیست، ولی در حال یادگیری است. مزایا:
UDP
Encryption از ابتدا
No TCP semantics
اما:
QUIC fingerprint دارد
Version negotiation قابل شناسایی است
Flow behavior قابل مدلسازی است
الان:
Sometimes بهتر کار میکند
Sometimes بدتر از TCP
❗ آینده:
QUIC هم به سرنوشت TCP دچار میشود
Fragmentation و Obfuscation: بازی با لایه غلط
TLS Fragmentation:
فقط DPI ساده را گیج میکند
Stateful DPI را نه
Obfuscation:
اگر Protocol Mimicry واقعی نباشد، بیفایده است
فایروال جدید میپرسد:
«این بسته شبیه Chrome است یا شبیه ابزار دورزدن؟»
نه:
«اسم دامنهاش چیست؟»
نقش V2Ray، TUN/TAP و Site-to-Site VPN در معماری اختلالات جدید
اصل پایه: فایروال با ابزار نمیجنگه، با رفتار ترافیک میجنگه
V2Ray و خانواده آن (VMess / VLESS / Reality / gRPC / WS) ساختار واقعی V2Ray
V2Ray یک «پروتکل» واحد نیست؛ یک Framework برای ساخت رفتار ترافیکی است. نقاط قوت:
Modular Transport
Multiple Encapsulation Layers
TLS / Reality
gRPC / WebSocket / TCP
اما مشکل کجاست؟
اغلب پیادهسازیها:
Fingerprint ثابت دارند
Pattern تکراری دارند
Long-lived Session دارند
VMess / VLESS روی TCP + TLS
رفتار شبکهای:
TLS ClientHello غیرمرورگری
Cipher order خاص
Connection طولانی
📌 نتیجه در معماری جدید:
سریع شناسایی میشود
Degradation شدید
Drop نامنظم → Timeout
❌ مناسب نیست برای پایداری V2Ray + WebSocket
مشکل اصلی:
WebSocket upgrade signature
Heartbeat pattern مشخص
Reconnect loop
📉 در Degradation-Based Filtering:
قطع کامل نمیشود
ولی دائماً reconnect
مصرف CPU و Battery بالا
❌ UX بد ❌ ناپایدار 1.3 V2Ray + gRPC
اینجا بدترین حالت است.
چرا؟
HTTP/2
Stream طولانی
Sensitive به latency
📉 با ۱–۲٪ Packet Loss:
gRPC Reset
Connection collapse
❌ اولین چیزی که میمیرد Reality / TLS Camouflage
Reality یک قدم جلوتر است، ولی:
✔️ اگر:
Fingerprint دقیق Chrome باشد
Timing شبیه مرورگر باشد
❌ اگر:
Reuse زیاد
IP ثابت
Session طولانی
Reality هم degrade میشود.
Reality اگر بد پیاده شود، فقط مرگش دیرتر است.
TUN/TAP: فریب در لایه اشتباه TUN (L3) و TAP (L2) چیستند؟
کل ترافیک سیستم را میگیرند
داخل یک تونل میفرستند
مزیت:
Application-agnostic
همه چیز تونل میشود
اما فایروال چه میبیند؟
یک Flow طولانی
Throughput بالا
Pattern ثابت
📌 نتیجه:
Fingerprint تونل، نه اپلیکیشن
Degradation سنگین
TCP collapse
❌ در شرایط جدید، TUN/TAP خودش هدف میشود Site-to-Site VPN: بزرگ، کند، قابل تشخیص ساختار:
IPsec / GRE / OpenVPN / WireGuard
Long-lived tunnels
Predictable keepalive
ضعفها:
ثابت
دائم
قابل مدلسازی
رفتار فایروال:
Rate limit هوشمند
Delay روی ESP / UDP
MTU sabotage
📉 نتیجه:
Throughput افتضاح
Latency بالا
Packet fragmentation
❌ برای دورزدن فیلترینگ طراحی نشدهاند ✔️ برای شبکههای Enterprise در محیط سالم طراحی شدهاند WireGuard: سریع، ولی لو رفتنی مزایا:
Minimal
UDP
Fast handshake
اما:
Very distinct fingerprint
Packet size pattern ثابت
Endpoint ثابت
📉 در Degradation:
Sometimes وصل
Sometimes dead
کاملاً غیرقابل پیشبینی
WireGuard یا عالی است یا فاجعه — وسط ندارد
چرا اکثر اینها شکست میخورند؟
چون:
Long-lived هستند
Behavior ثابت دارند
Human-like نیستند
فایروال جدید دنبال این سؤال است:
«این ترافیک شبیه انسان است یا شبیه تونل؟»
در واقع :
V2Ray ابزار است، نه راهحل
TUN/TAP در شرایط اختلال شدید ضد خودشان عمل میکنند
Site-to-Site VPN برای این جنگ ساخته نشده
Reality فقط اگر واقعاً واقعی باشد زنده میماند
هر چیزی که دائم و یکنواخت است، محکوم به Degradation است
Tor و I2P در معماری اختلالات جدید حریم خصوصی قوی، پایداری ضعیف، هزینه سیاسی بالا Tor واقعاً چیست؟ (نه آن چیزی که مردم فکر میکنند)
Tor:
ابزار «دور زدن فیلترینگ» طراحی نشده
ابزار ناشناسسازی ارتباط است
Threat Model آن:
ساختار فنی Tor:
Entry (Guard)
Middle Relay
Exit Node
Onion Routing (لایهبهلایه)
📌 نتیجه:
امنیت بالا، ولی latency ذاتاً بالا
Tor در برابر Degradation-Based Filtering مشکل اصلی Tor:
Tor کاملاً قابل تشخیص است، حتی اگر محتوا رمز باشد.
چرا؟
TLS fingerprint خاص
Circuit lifetime مشخص
Packet size distribution خاص
Flow timing غیرانسانی
فایروال جدید لازم نیست Tor را decrypt کند؛ Tor بودن را تشخیص میدهد. رفتار فایروال با Tor:
Block کامل → هزینه سیاسی
Degrade هوشمند → بیهزینه
نتیجه عملی:
Circuitها کامل نمیشوند
Handshake طولانی
Page load غیرقابل تحمل
📉 Tor نمیمیرد، ولی عملاً unusable میشود. Tor Pluggable Transports (obfs4, meek, snowflake)
اینجا نقطه قوت Tor است. Pluggable Transports چه میکنند؟
تغییر ظاهر ترافیک
شکستن signature
تقلید رفتار پروتکلهای دیگر
obfs4:
Signatureless
اما still timing-leak دارد
meek:
Domain fronting
قربانی CDN degradation
snowflake:
WebRTC
وابسته به browser volunteers
ناپایدار ولی زنده
📌 واقعیت:
Tor بدون PTها امروز عملاً مرده بود.
محدودیت بنیادین Tor (حقیقت تلخ)
Latency بالا
Throughput پایین
UX ضعیف
unsuitable برای:
Tor برای: ✔️ browsing ✔️ whistleblowing ✔️ anonymity-critical use
نه برای «اینترنت روزمره». I2P چیست؟ (و چرا کمتر حرفش هست)
I2P:
Darknet واقعی
Inbound / Outbound tunnels
No Exit Node (به اینترنت عمومی بهصورت پیشفرض)
تفاوت فلسفی:
Tor: ناشناس روی اینترنت
I2P: اینترنتِ جداگانه
I2P در برابر فایروال مزیتها:
Traffic pattern کمتر شناختهشده
No central directory مثل Tor
Decentralized
ضعفها:
Throughput بسیار پایین
Bootstrap سخت
UX بسیار ضعیف
Integration تقریباً صفر با اینترنت عمومی
📉 در Degradation:
بعضاً بهتر از Tor
ولی عملاً فقط برای I2P-internal services
Tor/I2P چرا راهحل عمومی نیستند؟
چون:
برای «اقلیت پرریسک» طراحی شدهاند
نه برای جامعه، کسبوکار، توسعهدهنده
استفاده گستردهشان خودشان را لو میدهد
anonymity tool وقتی همهگیر شود، دیگر ناشناس نیست.
وقتی فیلترینگ «نامرئی» میشود، حق هم نامرئی میشود مسئله اصلی حقوق دیجیتال چیست؟ (تعریف دقیق)
حقوق دیجیتال فقط «دسترسی به اینترنت» نیست. سه حق پایه داریم:
حق دسترسی (Access)
حق کیفیت دسترسی (Quality of Access)
حق شفافیت و پاسخگویی (Transparency & Accountability)
فیلترینگ کلاسیک فقط حق اول را نقض میکرد. معماری جدید دومی و سومی را همزمان میزند. Degradation-Based Filtering چرا از نظر حقوقی خطرناکتر است؟ در فیلترینگ سنتی:
سایت باز نمیشود
کاربر میفهمد محدود شده
قابل اندازهگیری است
قابل اعتراض است
در مدل جدید:
اتصال برقرار است
ولی unusable است
قابل اثبات نیست
همیشه میتوان گفت «مشکل فنی است»
📌 این یعنی:
نقض حق، بدون امکان اثبات نقض
از دید حقوق دیجیتال، این بدترین سناریو است. نقش پروتکلها در تضعیف حق شفافیت
وقتی فایروال:
بر اساس TLS fingerprint
timing
رفتار پروتکلی
تصمیم میگیرد، نه بر اساس دامنه یا محتوا،
دیگر:
کاربر نمیداند چرا
توسعهدهنده نمیداند کجا
قاضی نمیداند چه چیزی
❗ این یعنی:
تصمیم حاکمیتی در سطحی انجام میشود که زبان حقوقی برای توصیفش وجود ندارد.
نقض اصل «بیطرفی شبکه» (Net Neutrality)
حتی اگر کسی نخواهد لفظ Net Neutrality را بهکار ببرد، واقعیت این است:
پروتکلها بهطور نابرابر رفتار میشوند
gRPC، WebSocket، VPN degrade میشوند
HTTP ساده کمتر آسیب میبیند
این یعنی:
تبعیض در لایه انتقال
که در تمام اسناد حقوق دیجیتال:
غیراخلاقی
و در بسیاری کشورها غیرقانونی است
مسئولیتگریزی ساختاری
معماری Degradation دقیقاً برای فرار از مسئولیت طراحی شده:
اپراتور میگوید: «شبکه شلوغ است»
زیرساخت میگوید: «اختلال طبیعی است»
نهاد نظارتی میگوید: «سندی وجود ندارد»
📌 این همان چیزی است که در حقوق به آن میگویند:
Plausible Deniability
تأثیر مستقیم بر حقوق توسعهدهندگان و کسبوکارها
این اختلالات فقط «دورزدن فیلترینگ» را هدف نگرفتهاند.
ضربه مستقیم به:
APIها
Cloud services
CI/CD
Remote work
Site-to-Site VPN
Secure communication
از دید حقوق دیجیتال:
این نقض حق کسبوکار دیجیتال پایدار است.
چرا این مدل از نظر حقوقی خطرناکتر از فیلترینگ آشکار است؟
چون:
مستند نمیشود
گزارشپذیر نیست
داده تجربی پراکنده است
هر قربانی فکر میکند مشکل فقط برای اوست
این یعنی:
فروپاشی امکان کنش جمعی
SOCKS، VPN و «جرمانگاری غیرمستقیم»
وقتی:
پروتکلهای امن degrade میشوند
ارتباط امن دشوار میشود
ابزارهای حرفهای عملاً ناکارآمد میشوند
پیام ضمنی این است:
«ارتباط امن، رفتاری مشکوک است»
این خطرناکترین پیام حقوقی ممکن است. جمعبندی حقوقی
Degradation-Based Filtering = نقض خاموش حقوق دیجیتال
پروتکلمحوری = غیرقابلپیگردسازی تصمیم
افت کیفیت = ابزار جدید سرکوب، بدون هزینه سیاسی
کاربر فرسوده میشود، نه معترض
نقد صریح (حتی به فعالان حقوق دیجیتال)
❌ تمرکز صرف بر «دسترسی» ❌ بیتوجهی به «کیفیت دسترسی» ❌ ناتوانی در زبان فنی
✔️ اگر حقوق دیجیتال زبان فنی را یاد نگیرد، فایروالها همیشه یک قدم جلوتر خواهند بود.
نتیجهگیری
آنچه امروز در زیرساخت اینترنت ایران مشاهده میشود، نه اختلال موقت و نه خطای فنی است؛ بلکه تحول معماری کنترل ارتباطات است. این مدل جدید، فیلترینگ را از یک عمل آشکار به یک پدیده نامرئی اما فراگیر تبدیل کرده است.
در چنین شرایطی، اتکا به راهکارهای سطحی نهتنها ناکارآمد، بلکه گمراهکننده است. فهم عمیق رفتار فایروال، تنها پیشنیاز طراحی ارتباطات پایدار در این محیط است.
و از یاد نبریم
پایداری یک مسئله معماری است، نه کانفیگ
«وقتی فیلترینگ از قطع به تخریب تغییر میکند، حقوق دیجیتال از نقض آشکار به انکارپذیری سیستماتیک سقوط میکند.»
https://www.linkedin.com/pulse/تحول-معماری-فیلترینگ-اینترنت-در-ایران-yashar-esmaildokht-ed3oe/