CreateYourVPN Academy
Curso: Como Funciona

Encontrar um site de mascaramento: o scanner de sub-rede

Como o scanner de sub-rede do CreateYourVPN encontra sites vizinhos reais que pode imitar (o SNI/DEST do Reality), porque um site próximo é a melhor camuflagem e como iniciar, ler e parar uma análise.

Na lição sobre inbounds escolhemos um site para mascarar o tráfego — o site HTTPS popular cujas visitas o seu tráfego VPN finge fazer. Essa escolha importa mais do que parece, e o painel tem uma ferramenta que a faz por si: o scanner de sub-rede. Esta lição explica o que é um bom site de mascaramento, porque um vizinho do seu próprio servidor costuma ser o melhor e como o scanner encontra esses vizinhos automaticamente.

Porque o site de mascaramento importa

Cada inbound funciona sobre VLESS + Reality. O Reality faz o seu tráfego parecer uma visita HTTPS comum a um site real e popular — e consegue-o completando de facto a primeira parte de um handshake TLS real com esse site. No painel, este site aparece como o campo «Site para mascarar o tráfego»; no modo avançado divide-se nos parâmetros técnicos DEST (o host real de quem se «empresta» o handshake) e SERVER_NAMES (o nome que as aplicações dos seus utilizadores anunciam, o SNI).

Para que o disfarce se aguente, o site tem de cumprir várias condições ao mesmo tempo:

  • Fala TLS 1.3 e HTTP/2 modernos (os sites mais antigos denunciam o handshake).
  • É grande e insignificante — o tráfego para ele não se destaca.
  • Não está bloqueado no país do seu servidor (uma «cobertura» bloqueada estraga todo o propósito).
  • É rapidamente alcançável a partir do servidor (o handshake é tráfego de rede real).

Porque um vizinho é a melhor cobertura

O último ponto é o interessante. O seu servidor está num centro de dados, rodeado por outras máquinas na mesma sub-rede — muitas vezes outros clientes do mesmo fornecedor de alojamento, a correr sites perfeitamente comuns. Fazer-se passar por um desses vizinhos tem duas vantagens:

  • A latência é quase nula. O handshake DEST nunca sai do centro de dados, por isso as ligações estabelecem-se mais depressa.
  • Mistura-se. O tráfego do seu servidor para uma máquina a um rack de distância é exatamente o que um centro de dados vê o dia todo.

O senão: não sabe os seus vizinhos de cor. É precisamente para isso que serve o scanner.

O que faz o scanner de sub-rede

O scanner pede ao seu servidor que sonde discretamente a sua própria vizinhança e reporte quais vizinhos dariam boas coberturas para o Reality.

O servidor sonda os seus vizinhos de rede — as máquinas com endereços IP próximos: primeiro a sua própria sub-rede, depois um bloco mais amplo à sua volta (um /20 por predefinição).

Para cada vizinho que responde, verifica o handshake: oferece TLS 1.3 e anuncia HTTP/2? Só esses se qualificam como dests do Reality.

Os sites confirmados são recolhidos, deduplicados e guardados associados ao seu servidor. O painel mostra-os como sugestões prontas a usar.

A análise corre automaticamente da primeira vez que um servidor é configurado, por isso, quando abre o formulário do inbound, as sugestões já costumam estar lá. Também pode executá-la à mão a qualquer momento.

O scanner apenas — abre uma ligação normal a cada vizinho e observa o handshake TLS, exatamente como faria qualquer navegador. Não altera nada nessas máquinas e não guarda nada além dos nomes de domínio confirmados.

Onde o encontrar

O mesmo resultado da análise é partilhado em todo o lado onde se escolhe o site de mascaramento, por isso as sugestões e o progresso em direto mantêm-se sincronizados:

  • No formulário do inbound, por baixo do campo «Site para mascarar o tráfego» — o botão «Procurar sites na sub-rede» e, depois de uma análise ter corrido, chips rápidos com os domínios encontrados. Clique num chip para preencher o campo.
  • Na janela do servidor (abra um servidor a partir do seu cluster), na secção «Sites de mascaramento (SNI)» — a mesma análise com um resumo de quantos sites foram encontrados.
  • No cartão «em curso» na página inicial — enquanto um servidor recém-adicionado ainda está a ser configurado, o progresso da análise aparece ali mesmo.

Ler os resultados

Os chips rápidos mostram os sites encontrados na sua sub-rede, menos os que os seus inbounds já usam. Assim, à medida que gasta candidatos em inbounds, eles desaparecem da lista, e um site que liberte volta. Se todos os sites encontrados já estiverem em uso, o painel avisa disso e convida-o a introduzir um domínio à mão ou a reanalisar.

Um vizinho é uma boa cobertura, não uma mágica. Ainda assim, prefira um candidato que não esteja bloqueado no país do seu servidor — um site grande e aborrecido. Se nada por perto servir, introduzir à mão um site global conhecido (Google, Microsoft, Apple, Cloudflare) é sempre uma alternativa válida.

Iniciar, parar e reanalisar

  • Iniciar — carregue em «Procurar sites na sub-rede» (ou «Reanalisar» depois de uma passagem anterior). Uma análise ampla demora cerca de um minuto; os resultados aparecem gradualmente à medida que cada /24 é verificado, por isso não tem de esperar por tudo para escolher um site.
  • Parar — encontrou o suficiente? Carregue em «Parar». O botão muda para «A parar…» enquanto o servidor termina o bloco em que está; tudo o que foi encontrado até agora é mantido. Quando assenta, a análise é marcada como concluída e aparece «Reanalisar».
  • Reanalisar — executa uma análise nova e atualiza a lista de candidatos. Use-a se moveu o servidor ou se a vizinhança pode ter mudado.

Pode parar uma análise com um único clique — mostrará brevemente «A parar…» e depois termina por si só. Não é preciso carregar em Parar duas vezes nem esperar antes de iniciar uma nova análise.

Pontos-chave

  • O site de mascaramento (DEST/SNI do Reality) tem de ser um site grande, não bloqueado, com TLS 1.3 + HTTP/2 — e um vizinho do seu servidor costuma ser o melhor: rápido e insignificante.
  • O scanner de sub-rede encontra esses vizinhos por si: sonda o /24/20 do servidor, fica com os sites que se qualificam e oferece-os como sugestões de um clique.
  • Corre automaticamente na configuração e pode ser reexecutado a qualquer momento, a partir do formulário do inbound, da janela do servidor ou do cartão «em curso».
  • Chips rápidos = sites encontrados menos os já usados; liberte um e ele volta.
  • Inicie, pare (um clique → «A parar…») e reanalise conforme necessário — tudo o que foi encontrado é sempre mantido.

A seguir

Um inbound pode ser mais do que uma única porta — pode ser uma cadeia de servidores, onde o tráfego entra num país e sai noutro. Cada salto escolhe o seu próprio site de mascaramento, por isso o scanner também compensa aí.

On this page