Оба инструмента — это pluggable transports для Tor, то есть способы замаскировать трафик так, чтобы цензоры не могли его заблокировать. Но работают они принципиально по-разному. Попытаюсь рассказать просто и подробно, а вы сделаете вывод — что для вас лучше obfs4 или WebTunnel.
obfs4 — «случайный шум»
obfs4 маскирует Tor-трафик под случайный поток байт, который статистически не похож ни на что известное. Алгоритм активно перемешивает пакеты, меняет их размер и тайминг.
Как работает:
- Использует криптографическое рукопожатие на основе эллиптической кривой (ntor-подобное)
- Добавляет случайный паддинг к пакетам
- Трафик выглядит как «ничто» — не HTTP, не TLS, просто энтропия
Плюсы:
- Очень быстрый и легковесный
- Низкая задержка
- Хорошо работает против простого DPI (Deep Packet Inspection)
- Огромное количество мостов в сети Tor
Минусы:
- Современные системы цензуры (особенно китайский GFW) научились распознавать obfs4 через активное зондирование — фаервол сам «стучится» на IP моста и по поведению сервера понимает, что это Tor
- Трафик, который не похож ни на что, сам по себе подозрителен (принцип «всё, что не разрешено — запрещено»)
- Мосты obfs4 часто живут недолго в агрессивных юрисдикциях
WebTunnel — «спрятаться в толпе»
WebTunnel использует принципиально другой подход: он имитирует обычный HTTPS-трафик, а точнее — прячется внутри легитимного веб-сайта.
Как работает:
- Tor-трафик оборачивается в WebSocket поверх TLS (HTTPS)
- Мост WebTunnel работает на реальном домене с валидным SSL-сертификатом
- Со стороны провайдера всё выглядит как обычное посещение сайта
- Путём reverse proxy (nginx, Caddy) настоящий сайт и мост делят один и тот же порт 443
Плюсы:
- Трафик неотличим от обычного HTTPS — даже активное зондирование не помогает, потому что сервер отдаёт нормальный сайт
- Устойчив к блокировкам по IP, поскольку может прятаться за CDN (Cloudflare и др.)
- Сложнее заблокировать без сопутствующего ущерба (придётся блокировать весь HTTPS)
- Отлично работает там, где obfs4 уже заблокирован
Минусы:
- Настройка сложнее — нужен домен, SSL-сертификат, веб-сервер
- Больше накладных расходов (TLS поверх Tor-шифрования)
- Скорость чуть ниже obfs4 из-за дополнительных слоёв
- Пока меньше мостов в сети Tor
Когда что использовать?
| Ситуация | Рекомендация |
|---|---|
| Цензура умеренная (ISP блокирует Tor) | obfs4 — проще, быстрее |
| Агрессивная цензура (Иран, Китай, Россия) | WebTunnel — надёжнее |
| Нужна максимальная скорость | obfs4 |
| Нужна максимальная скрытность | WebTunnel |
| obfs4 перестал работать | Переходите на WebTunnel |
Итог
obfs4 — это проверенный временем рабочий конь. Простой, быстрый, но уязвимый перед активным зондированием.
WebTunnel — это следующее поколение. Он не пытается выглядеть «случайным» — он выглядит нормальным. Это принципиально более сильная стратегия, особенно в условиях, где цензоры научились распознавать anomalous-трафик.
Если вы в регионе с серьёзной интернет-цензурой — WebTunnel предпочтительнее. Если obfs4 работает стабильно — нет смысла переключаться. В идеале стоит держать оба варианта как резерв.