TelegramProxy.app
RUENIR
تحلیل فنی · ۲۰۲۶

پروکسی MTProto و Fake-TLS چیست — و چرا DPI را دور می‌زند

خلاصه: پروکسی MTProto پروتکل رسمی تلگرام برای سرورهای پروکسی است، و Fake-TLS تکنیک مبهم‌سازی است که در آن ترافیک تلگرام شما برای اپراتور مانند یک بازدید معمولی از google.com به نظر می‌رسد. تجزیه و تحلیل می‌کنیم — این به درک اینکه چرا پروکسی ما کار می‌کند جایی که دیگران نه، کمک می‌کند.

MTProto چیست

MTProto پروتکل خود تلگرام است که توسط نیکولای دوروف در سال ۲۰۱۳ توسعه یافت. کلاینت تلگرام و سرورهای تلگرام از طریق آن ارتباط برقرار می‌کنند. پروتکل روی TCP کار می‌کند و سه وظیفه را حل می‌کند:

  • رمزنگاری پیام — همه پیام‌ها با AES-256 در حالت IGE با کلیدهای منحصر به فرد برای هر نشست رمزنگاری می‌شوند.
  • تأیید یکپارچگی — هر پیام با SHA-256 امضا می‌شود، جایگزینی پکت غیرممکن است.
  • تشخیص تأخیر و افت — کلاینت از دیتاسنترهای مختلف (DC1-DC5) استفاده می‌کند و در صورت مشکل با یکی، تغییر می‌کند.

وقتی تلگرام در روسیه در سال‌های ۲۰۱۸-۲۰۲۰ مسدود شد، تیم دوروف MTProto Proxy را اضافه کرد — حالتی که در آن کلاینت تلگرام نه مستقیماً به سرورهای تلگرام، بلکه از طریق یک سرور پروکسی واسط متصل می‌شود. این قابلیت در کلاینت‌های رسمی iOS، Android، Desktop و Web تعبیه شده است.

مبهم‌سازی Fake-TLS چیست

پروکسی MTProto ساده (بدون مبهم‌سازی) به راحتی توسط DPI شناسایی می‌شود: اولین بایت‌های اتصال ساختار خاصی دارند که توسط هر تحلیلگر fingerprint مدرن شناسایی می‌شود. به همین دلیل تلگرام حالت Fake-TLS را اضافه کرد (که با نام Secret v2 شناخته می‌شود):

  • اتصال با یک TLS ClientHello واقعی شروع می‌شود که در آن SNI به یک دامنه معتبر (مثلاً google.com) اشاره می‌کند.
  • سرور پروکسی با یک TLS ServerHello واقعی + گواهی پاسخ می‌دهد — به طور بصری از ترافیک HTTPS معمولی غیرقابل تمایز است.
  • فقط پس از پنهان‌سازی کامل TLS، کلاینت و سرور شروع به ارتباط از طریق MTProto در داخل تونل TLS برقرار شده می‌کنند.

برای DPI اپراتور این به این صورت به نظر می‌رسد: «کاربر google.com را از طریق HTTPS باز کرده». مسدود کردن این بدون شکستن کل ترافیک HTTPS کشور غیرممکن است.

چرا سرور ما کار می‌کند جایی که دیگران نه

نرم‌افزار سرور را telemt v3.3 استفاده می‌کنیم — پیاده‌سازی مدرن Rust از پروکسی MTProto با کد منبع باز. آنچه حیاتی است:

DPI اپراتور پس از اتصال چه می‌بیند

وقتی پروکسی ما را متصل می‌کنید، تلگرام شما دیگر مستقیماً با 149.154.160.0/20 (محدوده تلگرام) صحبت نمی‌کند، بلکه فقط با یک IP — سرور پروکسی ما در فرانکفورت متصل می‌شود. برای DPI به صورت HTTPS تمیز روی ۴۴۳ به نظر می‌رسد — هیچ نشانه MTProto، هیچ امضای تلگرام.

TCP SYN → 95.85.227.248:443
TLS ClientHello, SNI=google.com, ALPN=h2,http/1.1
TLS ServerHello, certificate (valid)
Application data: <encrypted>
Application data: <encrypted>

مسدود کردن بدون شکستن کل اینترنت غیرممکن است.

آیا پیام‌ها رمزنگاری شده‌اند؟

بله، کاملاً. پروکسی به محتوای پیام‌های شما دسترسی ندارد — چت‌ها end-to-end بین کلاینت تلگرام و سرورهای تلگرام رمزنگاری شده‌اند، کلیدها توسط کلاینت و سرورها تولید می‌شوند، پروکسی فقط پکت‌های رمزنگاری‌شده را می‌بیند. از نظر معماری مانند یک پروکسی HTTPS معمولی است — پکت‌های رمزنگاری‌شده را به جلو ارسال می‌کند اما نمی‌تواند آنها را رمزگشایی کند.

به طور جداگانه، چت‌های مخفی Secret Chats به صورت اضافی بین کلاینت‌ها رمزنگاری شده‌اند — حتی خود سرورهای تلگرام هم نمی‌توانند آنها را بخوانند.

MTProto چه تفاوتی با VPN دارد

  • محدوده. پروکسی MTProto فقط برای تلگرام کار می‌کند. VPN کل ترافیک دستگاه (یوتیوب، اینستاگرام، Chrome و غیره) را می‌پیچد.
  • سرعت. پروکسی سریع‌تر از VPN است چون ترافیک از قبل رمزنگاری‌شده را دوباره رمزنگاری نمی‌کند (تلگرام خود MTProto را رمزنگاری می‌کند).
  • نصب. پروکسی نیاز به اپ جداگانه ندارد — مستقیماً در تنظیمات تلگرام اضافه می‌شود. VPN نیاز به کلاینت دارد.
  • هزینه. پروکسی ما رایگان است. VPN با کیفیت معمولاً ۱-۵ دلار در ماه قیمت دارد.

اگر علاوه بر تلگرام به یوتیوب، اینستاگرام، ChatGPT نیاز دارید — MATRIX VPN را با ۷ روز تست رایگان بگیرید. اگر فقط تلگرام — پروکسی ما برای همیشه کافی خواهد بود.

پروکسی ما را متصل کنید

MTProto + Fake-TLS روی پورت ۴۴۳. رایگان، بدون ثبت‌نام.

اتصال →