CreateYourVPN Academy
Corso: come funziona

Trovare un sito di mascheramento: lo scanner della sottorete

Come lo scanner della sottorete di CreateYourVPN trova veri siti vicini da imitare (il SNI/DEST di Reality), perché un sito vicino è il camuffamento migliore e come avviare, leggere e fermare una scansione.

Nella lezione sugli inbound abbiamo scelto un sito da imitare — il popolare sito HTTPS le cui visite il tuo traffico VPN finge di essere. Quella scelta conta più di quanto sembri, e il pannello ha uno strumento che la fa per te: lo scanner della sottorete. Questa lezione spiega cos'è un buon sito di mascheramento, perché un vicino del tuo stesso server di solito è il migliore e come lo scanner trova quei vicini in automatico.

Perché il sito di mascheramento conta

Ogni inbound gira su VLESS + Reality. Reality fa sembrare il tuo traffico una normale visita HTTPS a un vero sito popolare — e lo fa completando davvero la prima parte di un vero handshake TLS con quel sito. Nel pannello questo sito compare come campo «Sito da imitare»; in modalità avanzata si divide nei parametri tecnici DEST (l'host reale da cui si «prende in prestito» l'handshake) e SERVER_NAMES (il nome che le app dei tuoi utenti annunciano, cioè il SNI).

Perché il travestimento regga, il sito deve soddisfare più condizioni contemporaneamente:

  • Parla il TLS 1.3 e l'HTTP/2 moderni (i siti più vecchi tradiscono l'handshake).
  • È grande e insignificante — il traffico verso di esso non salta all'occhio.
  • Non è bloccato nel paese del tuo server (una «copertura» bloccata vanifica tutto lo scopo).
  • È rapidamente raggiungibile dal server (l'handshake è vero traffico di rete).

Perché un vicino è la copertura migliore

L'ultimo punto è quello interessante. Il tuo server si trova in un data center, circondato da altre macchine nella stessa sottorete — spesso altri clienti dello stesso provider di hosting, che fanno girare siti del tutto ordinari. Fingersi uno di quei vicini ha due vantaggi:

  • La latenza è quasi nulla. L'handshake DEST non lascia mai il data center, quindi le connessioni si stabiliscono più in fretta.
  • Si mimetizza. Il traffico dal tuo server a una macchina a un rack di distanza è esattamente ciò che un data center vede tutto il giorno.

Il problema: i tuoi vicini non li conosci a memoria. È proprio a questo che serve lo scanner.

Cosa fa lo scanner della sottorete

Lo scanner chiede al tuo server di sondare silenziosamente il proprio vicinato e di riferire quali vicini sarebbero buone coperture per Reality.

Il server sonda i suoi vicini di rete — le macchine con indirizzi IP vicini: prima la propria sottorete, poi un blocco più ampio attorno a sé (un /20 per impostazione predefinita).

Per ogni vicino che risponde, controlla l'handshake: offre TLS 1.3 e annuncia HTTP/2? Solo quelli si qualificano come dest di Reality.

I siti confermati vengono raccolti, deduplicati e salvati in associazione al tuo server. Il pannello li mostra come suggerimenti pronti all'uso.

La scansione parte automaticamente la prima volta che un server viene configurato, così che quando apri il modulo dell'inbound i suggerimenti di solito sono già lì. Puoi anche avviarla a mano in qualsiasi momento.

Lo scanner si limita a leggere — apre una normale connessione a ciascun vicino e osserva l'handshake TLS, esattamente come farebbe qualsiasi browser. Non cambia nulla su quelle macchine e non memorizza nulla oltre ai nomi di dominio confermati.

Dove trovarlo

Lo stesso risultato della scansione è condiviso ovunque si scelga il sito di mascheramento, così che i suggerimenti e l'avanzamento in tempo reale restino sincronizzati:

  • Nel modulo dell'inbound, sotto il campo «Sito da imitare» — il pulsante «Trova siti nella sottorete» e, una volta eseguita una scansione, chip rapidi con i domini trovati. Fai clic su un chip per compilare il campo.
  • Nella finestra del server (apri un server dal tuo cluster), nella sezione «Siti di mascheramento (SNI)» — la stessa scansione con un riepilogo di quanti siti sono stati trovati.
  • Sulla scheda «in corso» nella pagina iniziale — mentre un server appena aggiunto è ancora in configurazione, l'avanzamento della scansione compare proprio lì.

Leggere i risultati

I chip rapidi mostrano i siti trovati nella tua sottorete, meno quelli che i tuoi inbound già usano. Così, man mano che spendi candidati per gli inbound, spariscono dalla lista, e un sito che liberi torna. Se ogni sito trovato è già in uso, il pannello lo segnala e ti invita a inserire un dominio a mano o a riscansionare.

Un vicino è una buona copertura, non una magica. Preferisci comunque un candidato che non sia bloccato nel paese del tuo server — un sito grande e noioso. Se nulla nelle vicinanze va bene, inserire a mano un sito globale noto (Google, Microsoft, Apple, Cloudflare) è sempre un ripiego valido.

Avviare, fermare e riscansionare

  • Avviare — premi «Trova siti nella sottorete» (o «Riscansiona» dopo un passaggio precedente). Una scansione ampia richiede circa un minuto; i risultati compaiono man mano che ogni /24 viene controllato, quindi non devi aspettare la fine per scegliere un sito.
  • Fermare — trovati abbastanza? Premi «Ferma». Il pulsante passa a «Arresto…» mentre il server finisce il blocco su cui sta lavorando; tutto ciò che è stato trovato finora viene mantenuto. Quando si assesta, la scansione è contrassegnata come completata e compare «Riscansiona».
  • Riscansiona — avvia una scansione nuova e aggiorna la lista dei candidati. Usala se hai spostato il server o se il vicinato potrebbe essere cambiato.

Puoi fermare una scansione con un solo clic — mostrerà brevemente «Arresto…» e poi terminerà da sola. Non serve premere Ferma due volte né aspettare prima di avviare una nuova scansione.

Punti chiave

  • Il sito di mascheramento (DEST/SNI di Reality) deve essere un sito grande, non bloccato, con TLS 1.3 + HTTP/2 — e un vicino del tuo server di solito è il migliore: veloce e insignificante.
  • Lo scanner della sottorete trova quei vicini per te: sonda il /24/20 del server, tiene i siti idonei e li offre come suggerimenti a un clic.
  • Parte automaticamente in fase di configurazione e può essere rieseguito in qualsiasi momento, dal modulo dell'inbound, dalla finestra del server o dalla scheda «in corso».
  • Chip rapidi = siti trovati meno quelli già usati; liberane uno e torna.
  • Avvia, ferma (un clic → «Arresto…») e riscansiona all'occorrenza — tutto ciò che è stato trovato viene sempre mantenuto.

Prossimo passo

Un inbound può essere più di una singola porta — può essere una catena di server, dove il traffico entra in un paese ed esce in un altro. Ogni hop sceglie il proprio sito di mascheramento, così lo scanner si guadagna la pagnotta anche lì.

On this page