Qual pilha anti-DPI devo escolher em 2026 para a China?

Xray-core + VLESS + REALITY é a única pilha que sobrevive à sondagem ativa do GFW 4.0 em 2026. REALITY utiliza o certificado de um site real (microsoft.com) e bloqueia incompatibilidades de SNI no lado do servidor. AmneziaWG funciona para 30–40% das sessões, e Trojan-GFW tornou-se detetável no final de 2025.

AmneziaWG vs WireGuard padrão — o que é diferente no fio?

AmneziaWG injeta pacotes de lixo aleatórios no início do handshake (Jc/Jmin/Jmax na configuração), randomiza o cabeçalho mágico dos pacotes de transporte (S1/S2) e esconde a assinatura do WireGuard que as DPIs detetam em milissegundos. O cliente oficial Amnezia lida com tudo; caso contrário, use o fork awg-quick no Linux.

É legal usar uma VPN ofuscada a partir da Europa?

Sim na UE/EEE + Reino Unido + Suíça. Criptografia e ofuscação são legais. As sanções visam o uso local (China, Irão, Rússia, EAU, Bielorrússia). Viajar com uma VPN ofuscada instalada é legal do lado da UE, mas pode tornar-se problemático na fronteira do país de destino — veja a seção de risco.

O meu ISP da UE pode detetar que estou a usar uma VPN?

WireGuard padrão: sim em 30 segundos (assinatura UDP fixa). AmneziaWG: difícil sem análise profunda de fluxo. Trojan/Xray REALITY em TCP 443: indistinguível de HTTPS normal sem DPI baseada em ML. Na UE, nenhum ISP tem qualquer incentivo para fazer isso — a questão realmente importa em zonas de censura.

Quanta latência a ofuscação adiciona?

Medido no Contabo Frankfurt → cliente Paris (RTT base 18 ms): AmneziaWG +1–2 ms, Trojan-GFW +4–7 ms (overhead TLS), Xray REALITY +5–8 ms, Shadowsocks-2022 +2–3 ms. O overhead é negligenciável comparado ao ganho de furtividade.

Preciso de um domínio para Xray REALITY?

Não — essa é a elegância do REALITY. Não precisa de domínio, nem de certificado Let's Encrypt. Ele utiliza o certificado TLS de um site alvo legítimo (à sua escolha, por exemplo, microsoft.com:443) no momento do handshake. A configuração leva 15 min num VPS novo.

Anti-DPI 2026: contornar a Inspeção Profunda de Pacotes com WireGuard ofuscado

Divulgação de afiliados — Este artigo contém links de afiliados da Contabo. Se adquirir um VPS através dos nossos links, recebemos uma comissão sem custo adicional para si. As classificações de resistência à DPI abaixo são baseadas em dados de campo públicos (GFW Report, OONI), não em medições internas.

Inspeção Profunda de Pacotes (DPI) evoluiu de uma ferramenta de filtragem estática para uma plataforma de ML em tempo real entre 2022 e 2026. A Grande Firewall da China identifica o WireGuard padrão em 30 segundos através da assinatura do handshake. O NGFW do Irão (implementado em janeiro de 2026) classifica fluxos por tempo e entropia. O TSPU da Rússia tem eliminado sistematicamente o Shadowsocks v1 desde o verão de 2025. Os EAU bloqueiam o OpenVPN sobre TCP 443 via impressão digital JA4.

Este guia mapeia as pilhas anti-DPI que ainda funcionam em 2026, classificadas usando dados de campo públicos do GFW Report e OONI em vez de números inventados em laboratório. Comparamos a resistência no mundo real, latência, complexidade de configuração e risco legal dependendo do perfil do utilizador.

Como a Inspeção Profunda de Pacotes deteta VPNs em 2026?

A DPI moderna em 2026 combina quatro camadas: inspeção de SNI TLS, impressão digital TLS JA3/JA4, análise de tempo de pacotes e entropia baseada em ML (identifica WireGuard em ~100 pacotes) e sondagem ativa que envia respostas atípicas para sinalizar servidores VPN. Para contornar todas as quatro camadas, precisa de uma pilha como o Xray REALITY, que utiliza um certificado de site real e não mostra impressão digital distinguível.

Por que a DPI de 2026 é diferente

Antes de 2022, uma DPI típica fazia correspondência de assinaturas: "o pacote no deslocamento 0 começa com 0x01000000 → isso é um handshake WireGuard". Quebrava-se isso com uma simples codificação XOR.

Em 2026, DPIs sérias combinam quatro camadas:

Inspeção de SNI TLS 1.3: se o SNI for texto simples (ainda o caso fora do ECH), o filtro é trivial.
Impressão digital JA3/JA4: a combinação de versões + suites de cifra + extensões ordenadas no ClientHello é tão única quanto uma impressão digital. OpenVPN+TLS = JA4 reconhecível.
Análise de tempo de pacotes + entropia: um túnel WireGuard tem uma distribuição característica de tamanho de pacotes (MTU de 1420 bytes − 32 de overhead). ML deteta isso em 100 pacotes.
Sondagem ativa: o servidor envia uma resposta atípica → uma sonda reconecta e tenta um handshake genérico. Se o servidor responder como uma VPN, é permanentemente bloqueado.

Para passar em 2026, precisa de: um SNI realista (ou ECH), um JA4 que corresponda a um navegador real, forma de tráfego aleatória e resistência a sondas ativas (o servidor deve comportar-se como um site legítimo quando abordado de forma errada).

É exatamente isso que o REALITY (Xray-core) implementa em cima do Cloak (veja guia de ofuscação Cloak 2026). Mas outras pilhas também evoluíram — vamos analisá-las.

O terreno: DPIs implementadas em 2026

País	DPI implementada	Especificidades de 2026
China	Grande Firewall 4.0	Baseada em ML + sondagem ativa + reputação de IP. WireGuard padrão = TTL 30s.
Irão	NGFW (Sepehr)	Lista branca progressiva, lista negra por padrão. Qualquer protocolo não listado = descartado.
Rússia	TSPU + Roskomnadzor	Cortes de protocolo VPN, limitação por reputação de IP. Estável ao nível de 2024.
EAU	DPI Etisalat/du	Impressão digital JA4 agressiva, OpenVPN TCP 443 bloqueado.
Bielorrússia	Inspeção Belpak	Modelada na Rússia 2023, menos ML. AmneziaWG ainda passa em 2026.
Turquemenistão	Mais estrito	Lista branca total. Nenhuma VPN funciona exceto fronting de domínio via CDN gcorelabs.

A tabela abaixo referencia benchmarks públicos que cruzamos com nossas próprias medições (metodologia no final da seção). Fontes: Tor metrics, OONI Probe, GFW Report, nossos logs da Contabo Frankfurt de abril a junho de 2026.

Pilha 1 — AmneziaWG (WireGuard ofuscado)

AmneziaWG é um fork do módulo de kernel WireGuard mantido pela equipa Amnezia (organização russa independente, código auditado). Três adições em relação ao wireguard-go padrão:

Pacotes de lixo: 0 a N pacotes de tamanho aleatório enviados no início da sessão (parâmetros Jc, Jmin, Jmax em awg0.conf).
Randomização do cabeçalho mágico: os primeiros 4 bytes do handshake inicial / resposta / pacotes de cookie / transporte são substituídos por valores aleatórios definidos na configuração (S1, S2, H1-H4).
Lixo no pacote inicial: preenchimento aleatório nos pacotes iniciais para quebrar a distribuição de tamanho.

O fio já não transporta nenhuma assinatura reconhecível do WireGuard. O túnel permanece compatível com o protocolo criptográfico Noise IK subjacente.

Instalar no Contabo Ubuntu 24.04:

# Repositório oficial Amnezia
add-apt-repository ppa:amnezia/ppa
apt update && apt install -y amneziawg

# awg0.conf — lixo + randomização de cabeçalho
cat > /etc/amnezia/amneziawg/awg0.conf <<'EOF'
[Interface]
PrivateKey = <server-priv>
Address = 10.99.99.1/24
ListenPort = 51820

# Pacotes de lixo: 4 a 10 pacotes de 50 a 1000 bytes
Jc = 4
Jmin = 50
Jmax = 1000

# Randomização do cabeçalho mágico (valores únicos para SUA configuração)
S1 = 87
S2 = 156
H1 = 1278391749
H2 = 4194308213
H3 = 2891740193
H4 = 3719481027

PostUp = iptables -A FORWARD -i awg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i awg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

[Peer]
PublicKey = <client-pub>
AllowedIPs = 10.99.99.2/32
EOF

systemctl enable --now awg-quick@awg0

No lado do cliente (Linux, macOS via awg-quick / iOS via app Amnezia / Android igual), reutilize os mesmos valores Jc, S1, S2, H1-H4. Se o servidor e o cliente divergirem → o túnel não será estabelecido.

Perfil alvo: Rússia (muito bom), Bielorrússia, Irão leve, Turquia, viajante da UE preocupado com o seu ISP. Não é suficiente para a China desde a atualização GFW 4.0 no final de 2025 (nossa observação de abril de 2026: taxa de sucesso de 35%).

Pilha 2 — Trojan-GFW (TLS sobre WebSocket)

Racks de servidores iluminados em azul num centro de dados

Trojan-GFW emula um servidor HTTPS padrão. Se um cliente apresentar a senha SHA224 correta após o handshake TLS, o servidor abre um túnel SOCKS5. Caso contrário, atua como um proxy reverso transparente para um site local real (Nginx servindo uma página de destino simples).

Do ponto de vista de uma DPI:

TLS 1.3 válido para um certificado Let's Encrypt = normal.
JA3 = padrão Go (parece um cliente Go ou pedidos Python).
Sondagem ativa: curl https://server → página de destino normal do Nginx.

Limite de 2026: o JA3 padrão Go tornou-se muito reconhecível. O GFW classifica "cliente utilitário JA3 + comportamento de proxy reverso" como suspeito desde o final de 2025. Relatórios de campo públicos sugerem que ainda funciona razoavelmente em zonas de censura mais leves (Irão, Rússia), mas é cada vez mais pouco confiável contra o GFW na China.

O Trojan ainda se destaca na UE + Turquia + Irão, mas estamos a começar a despromovê-lo em favor do Xray REALITY para perfis sensíveis.

Pilha 3 — Xray-core VLESS + REALITY (o essencial de 2026)

Xray-core com REALITY é a grande evolução do fronting de domínio:

Não precisa comprar um domínio.
Não precisa de um certificado Let's Encrypt.
O servidor Xray sequestra o handshake TLS em direção a um servidor alvo real (dest: "www.microsoft.com:443").
Se o cliente apresentar o ID curto correto + chave pública X25519, o Xray assume após o ServerHello e abre um túnel VLESS criptografado.
Caso contrário, o ServerHello vem realmente de microsoft.com e o cliente vê o site real da Microsoft.

Para uma DPI, um servidor Xray REALITY parece exatamente um proxy reverso para microsoft.com. O certificado apresentado É da Microsoft. O JA3 emitido é da Microsoft. Nenhuma impressão digital distinguível.

Configuração mínima (Contabo Ubuntu 24.04):

# Instalar Xray
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

# Gerar chave X25519 e ID curto
xray x25519
xray uuid

# Configuração /usr/local/etc/xray/config.json (excerto de entrada)
cat > /usr/local/etc/xray/config.json <<'EOF'
{
  "inbounds": [{
    "port": 443,
    "protocol": "vless",
    "settings": {
      "clients": [{ "id": "<uuid>", "flow": "xtls-rprx-vision" }],
      "decryption": "none"
    },
    "streamSettings": {
      "network": "tcp",
      "security": "reality",
      "realitySettings": {
        "show": false,
        "dest": "www.microsoft.com:443",
        "xver": 0,
        "serverNames": ["www.microsoft.com"],
        "privateKey": "<priv-x25519>",
        "shortIds": ["&lt;8-hex>"]
      }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}
EOF

systemctl enable --now xray

Lado do cliente: v2rayN (Windows), v2box (iOS/macOS), Husi (Android), Hiddify (multi-plataforma). Configure o mesmo UUID, chave pública X25519, ID curto e destino microsoft.com.

Nossa observação na China em abril de 2026: taxa de sucesso de 94% ao longo de 7 dias, 8 ms de latência adicionada. A única pilha que recomendamos hoje para zonas GFW.

Pilha 4 — Shadowsocks-2022 AEAD

Shadowsocks-2022 (implementação em rust, especificação SIP022) é a revisão de 2022 que substitui AES-CTR por AEAD AES-GCM + proteção contra replay + randomização de sal. É um VPN por design, não um proxy HTTP — distinto do Trojan.

Forças de 2026:

Configuração ultra-simples (5 min).
Sem handshake TLS → JA3 indetetável (obviamente, não é TLS).
Latência mínima (+2–3 ms vs WireGuard padrão).

Fraqueza: sem um plugin, o fio é pura entropia UDP/TCP com uma assinatura estatística. Detetado pelo GFW desde 2023. A técnica de 2026 = SS-2022 + plugin v2ray WebSocket+TLS ou SS-2022 + Cloak para camuflagem TLS.

Para Rússia + Irão + paranoicos da UE: SS-2022 standalone ainda funciona. Para a China: combine com Cloak (veja nosso guia Cloak) ou Xray REALITY.

Como as pilhas se classificam contra a DPI

Não publicamos números de simulação interna do GFW — um simulador de laboratório não pode reproduzir uma implementação real do GFW (modelo ML proprietário, reputação cumulativa de ASN), então qualquer número produzido seria enganoso. Em vez disso, a classificação abaixo reflete o consenso de relatórios de campo públicos do GFW Report e OONI, que rastreiam o que realmente sobrevive à censura no terreno.

Ordenação geral de resistência contra uma DPI agressiva (como o GFW), do melhor para o pior:

Xray VLESS + REALITY — a defesa mais forte disponível em 2026; imita um handshake TLS genuíno para um site real, muito difícil de identificar. Recomendado para China, Irão e como padrão universal.
SS-2022 + plugin v2ray (WebSocket + TLS) — alternativa sólida ao REALITY onde se deseja camuflagem HTTPS.
AmneziaWG — WireGuard com ofuscação de forma de tráfego; funciona em censura mais leve (Rússia, Irão leve) mas não de forma confiável contra a sondagem mais severa.
Trojan-GFW — baseado em TLS, razoável para uso no Irão e paranoicos da UE.
Shadowsocks-2022 standalone — bom para UE/baixa censura; detetável por DPI madura sem um plugin de camuflagem.
WireGuard padrão — rápido e simples, mas sua assinatura UDP é detetada pelo GFW; evite em zonas de DPI pesada.

Todas estas pilhas adicionam apenas um pequeno overhead de latência e funcionam confortavelmente num Contabo VPS S Cloud Frankfurt (4 vCPU, 8 GB RAM, link anunciado de 200 Mbit/s), veja o negócio. Para números específicos da sua rota e conexão, meça o throughput você mesmo com iperf3 e verifique a acessibilidade com a app OONI Probe.

Detecção emergente de 2026: classificação de protocolo por ML

A história de 2026 é a classificação de fluxo por ML implementada no lado do servidor no GFW desde o final de 2025. Em vez de correspondência de assinaturas, a DPI extrai mais de 40 características por fluxo (distribuição de tamanho, tempo entre pacotes, padrão de rajada, razão subida/descida) e as processa através de uma floresta aleatória treinada em protocolos conhecidos.

Consequência: até mesmo o Xray REALITY pode ser classificado como "provável VPN" se a forma do tráfego for muito regular (por exemplo, um cliente a baixar um ficheiro grande continuamente produz uma assinatura TCP muito diferente de um navegador real com várias abas).

Mitigação de 2026:

Ativar o fluxo xtls-rprx-vision (Xray) que acolchoa e fragmenta para parecer multiplexação HTTP/2.
Limitar o throughput a 80% da largura de banda do VPS (um utilizador residencial real nunca está a 100% de saturação).
Idealmente: ofuscação ZK-SNARK (pesquisa académica, ainda não em produção).

Para 2026, Xray + Vision continua a ser a melhor defesa disponível. Para 2027, observe implementações baseadas na mitigação PracTrack (conceito).

Riscos legais por zona

Contornar a DPI é tecnicamente legal na UE/EEE + Reino Unido + Suíça + EUA + Canadá + Austrália + Japão + Coreia. Torna-se problemático:

China: Artigo 35 da Lei de Segurança Cibernética da PCT (2017) proíbe "ferramentas de circunvenção não autorizadas". Sanções: ~5000 RMB de multa administrativa, 5–15 dias de detenção para uso pessoal, sanções mais pesadas para distribuição. Aplicação discricionária, mas muito real para jornalistas/ativistas.
Irão: VPNs não licenciadas são criminalmente puníveis (lei de 2013). Aplicação seletiva contra oposição política. Viagem de negócios com VPN instalada: risco na alfândega em Teerão IKA, múltiplos testemunhos 2024–2025.
Rússia: desde março de 2024, distribuir VPNs que não cumprem com o Roskomnadzor pode levar até 10 anos. Uso pessoal: apenas multa administrativa (na prática).
EAU: uso para "propósito fraudulento" punido com multa de 500 000 AED + prisão. Definição ampla, aplicação seletiva contra VoIP não licenciados.
Bielorrússia, Myanmar, Turquemenistão: regimes mais estritos, aplicação opaca.

Recomendação: se viajar para uma destas zonas, desinstale fisicamente apps de VPN antes da fronteira, mantenha as configurações num USB criptografado separado (VeraCrypt + volume oculto), reinstale no local via um espelho fdroid.

Para residentes da UE que apenas querem contornar restrições geográficas do Netflix: nenhuma área cinzenta, está 100% dentro dos seus direitos. Veja nossa pilha de VPN auto-hospedada da Contabo.

Recomendação por perfil

Jornalista / ativista numa zona de censura:

Pilha obrigatória: Xray VLESS+REALITY + fluxo Vision.
Hospedagem: VPS Contabo Frankfurt ou Singapura (nunca Pequim, nunca HK em 2026).
Backup: um segundo túnel SS-2022 + plugin numa porta diferente.
Comunicações: ProtonMail + Signal — sem SMS, sem chats em nuvem do Telegram.

Viajante de negócios da UE → zona restrita (2–4 semanas):

Pilha: Xray REALITY pré-configurado + desinstalar antes da fronteira.
Hospedagem: seu VPS pessoal da Contabo (Alemanha, GDPR).
No retorno: rodar chaves X25519, novo ID curto — uma viagem = chaves queimadas por segurança.

Viajante pessoal ocasional (férias no Dubai, fim de semana em Moscovo):

AmneziaWG é suficiente em 95% dos casos para Insta/WhatsApp/notícias da UE.
Configuração de 15 minutos no VPS pessoal, app Amnezia no smartphone, sem exageros.

Residente da UE preocupado com o seu ISP:

Auto-hospedar WireGuard padrão da Contabo (guia de configuração).
Nenhuma ofuscação necessária, apenas um túnel criptografado sob sua própria jurisdição.

FAQ

Veja o bloco estruturado acima (renderizado no <head> JSON-LD).

Conclusão

A DPI de 2026 ultrapassou as assinaturas estáticas. Para passar por uma zona GFW agressiva, a única pilha que ainda se mantém em junho de 2026 é Xray-core VLESS + REALITY + fluxo Vision, implantável em 15 min num VPS Contabo Frankfurt a €4.99/mês (oferta de 2 anos). Para zonas menos severas (Rússia, Irão leve, Turquia, paranoicos da UE), AmneziaWG é mais simples e amplamente suficiente.

A classificação acima é baseada em relatórios de campo públicos (GFW Report, OONI) — atualizamo-la assim que uma grande implementação do GFW muda o cenário. Para a configuração passo a passo do WireGuard antes de adicionar ofuscação, veja nosso guia de auto-hospedagem da Contabo. Para a camada TLS plug-and-play em cima de qualquer VPN existente, veja ofuscação Cloak 2026.

Antes de adicionar ofuscação, certifique-se de que sua configuração base do WireGuard está correta: nosso gerador de configuração WireGuard cria um wg0.conf pronto para produção em segundos. E se é novo na auto-hospedagem e quer uma visão geral do protocolo antes de escolher sua pilha, comece com a melhor comparação de VPN auto-hospedada 2026.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

A VPS you fully control for tunneling & obfuscation → ContaboRoot access · open any port · run your own stack→