MTProto Proxy (или MTProxy) — это специализированный прокси-протокол, разработанный командой Telegram для обхода блокировок и обеспечения доступа к их серверам. Один из наиболее продвинутых режимов работы — это Fake TLS, который маскирует трафик под обычное HTTPS-соединение. Разберёмся глубже.
1. Что такое MTProxy в архитектурном смысле
MTProxy — это не просто TCP-прокси, а транспортный слой поверх протокола MTProto. Он выполняет:
- ретрансляцию зашифрованного трафика клиента к серверам Telegram
- маскировку сигнатур трафика
- аутентификацию через секрет (shared secret)
Ключевая идея: DPI (Deep Packet Inspection) не должен отличить этот трафик от разрешённого.
2. Проблема, которую решает Fake TLS
Обычный MTProxy можно обнаружить по:
- сигнатурам MTProto
- нестандартным handshake-паттернам
- отсутствию типичного TLS ClientHello
Fake TLS устраняет это, делая соединение неотличимым от HTTPS.
3. Как работает Fake TLS (по шагам)
3.1 Имитация TLS ClientHello
Клиент MTProxy:
- генерирует handshake, похожий на TLS 1.2/1.3
- вставляет в SNI домен (например:
google.com,cloudflare.com) - формирует валидно выглядящий пакет
Важно:
- это не настоящий TLS
- криптография внутри — MTProto, а не TLS
3.2 Роль SNI (Server Name Indication)
SNI используется как:
- маскировка (выглядит как запрос к обычному сайту)
- часть секрета прокси
Пример:
tg://proxy?server=IP&port=443&secret=ee...
Где ee означает режим Fake TLS.
3.3 Поведение сервера MTProxy
Сервер:
- Принимает соединение на 443 порту
- Анализирует первые байты
- Определяет:
- это Fake TLS клиент
- или обычный HTTPS клиент
Если Fake TLS:
- извлекает embedded данные
- переключается на MTProto
Если обычный HTTPS:
- может:
- закрыть соединение
- или проксировать (редко используется)
3.4 Шифрование
Внутри:
- используется MTProto encryption (AES + ключи, derived от секрета)
- TLS-оболочка — только маска
Это принципиально:
Fake TLS ≠ TLS termination
Это obfuscation layer, а не криптографическая замена

4. Формат секрета
Секрет — это ключевой элемент.
Типы:
dd...— обычный obfuscated proxyee...— Fake TLS
Структура:
[0xEE][random bytes][domain length + domain]
Где:
0xEE— флаг режима- домен = SNI (например
www.cloudflare.com)
5. Почему это работает против DPI
DPI системы обычно проверяют:
- TLS fingerprint
- SNI
- поведение handshake
Fake TLS:
- воспроизводит корректный ClientHello
- использует популярные домены
- не содержит явных сигнатур MTProto
Результат:
- трафик выглядит как обычный HTTPS
- блокировка требует «жёсткого» подхода (например, блок доменов)
6. Ограничения и уязвимости
6.1 Active probing
Некоторые цензоры:
- инициируют собственные соединения
- проверяют, настоящий ли это TLS
MTProxy может быть обнаружен, если:
- сервер отвечает «не по TLS-правилам»
6.2 TLS fingerprinting
Fake TLS не всегда идеально совпадает с:
- Chrome / Firefox fingerprints
- JA3/JA4 профилями
Это даёт возможность детекта.
6.3 SNI filtering
Если выбранный домен:
- заблокирован
- или не соответствует ожидаемому IP
→ соединение может быть подозрительным
7. Практические аспекты настройки
7.1 Выбор домена
Хороший SNI должен:
- быть популярным (CDN, big tech)
- не блокироваться локально
- не вызывать подозрений
Примеры:
- CDN-домены
- статические ресурсы крупных сайтов
7.2 Порт
Обычно:
- 443 (обязательно для маскировки)
7.3 Производительность
Fake TLS:
- добавляет небольшой overhead
- но почти не влияет на latency
Основной bottleneck:
- CPU (AES)
- сеть
8. Отличие от VPN
| Характеристика | MTProxy Fake TLS | VPN |
|---|---|---|
| Маскировка | высокая | средняя |
| Универсальность | только Telegram | любой трафик |
| Детектируемость | ниже | выше |
| Настройка | проще | сложнее |
9. Когда использовать Fake TLS
Подходит если:
- блокируется Telegram
- DPI анализирует трафик
- обычный MTProxy не работает
Не подходит если:
- нужен полный туннель (→ VPN)
- требуется защита всего трафика
Fake TLS в MTProxy — это:
- не шифрование ради безопасности,
- а маскировка ради обхода цензуры.
Он:
- имитирует TLS handshake
- скрывает MTProto внутри
- усложняет обнаружение через DPI
Но:
- не является полноценной заменой TLS
- может быть обнаружен при активном анализе
Один ответ к “MTProto Proxy с Fake TLS: маскировка трафика с помощью MTProxy”
роскомнадзор задолбал! но спасибо вам теперь у меня mtproxy с fake tls