Transport de forme TLS moderne
GhostCloak utilise TLS 1.3, un masquage d'authentification basé sur EKM et un comportement ClientHello/JA3 contrôlé. Cela réduit la visibilité du tunnel VPN face aux protocoles faciles à classifier par DPI.
Nouveau protocole GhostMesh
SRSP associe TLS 1.3, le masquage GhostCloak, le multiplexage natif des flux et les mécanismes rekey/resume afin de garder des connexions rapides et moins visibles sur les réseaux restreints.
SRSP, ou SRS Streaming Protocol, est la pile de transport de GhostMesh pour les situations où le trafic VPN standard peut être instable, bridé ou identifié par des filtres réseau. Elle repose sur un transport TLS réel, un comportement ClientHello/JA3 contrôlé, une authentification protégée et une réutilisation efficace des connexions établies.
Ces scores sont des estimations comparatives sur 100 basées sur la conception du protocole, l'historique de déploiement et le comportement attendu sur des réseaux filtrés ; ce ne sont ni des mesures de laboratoire ni de la télémétrie de production en direct.
SRSP sépare transport, cycle de vie de session et format VPN/proxy wire format afin que masquage, cryptographie, multiplexage et limites de ressources puissent évoluer séparément.
Transport
GhostCloak sur TLS 1.3 avec vérification de style REALITY et masquage EKM
Session
États handshake, ready, rekey et resume pour une opération résiliente
Mux
Stream frames natifs et dispatcher pour flux parallèles
VPN/proxy
GMNPP v0 avec CAPS handshake, TCP CONNECT et UDP ASSOCIATE
Le but n'est pas seulement de chiffrer le trafic, mais de rendre le tunnel résilient, efficace en handshakes et plus proche du trafic web moderne.
GhostCloak utilise TLS 1.3, un masquage d'authentification basé sur EKM et un comportement ClientHello/JA3 contrôlé. Cela réduit la visibilité du tunnel VPN face aux protocoles faciles à classifier par DPI.
Le multiplexage natif permet à plusieurs flux TCP/UDP de partager un transport protégé. Le client peut garder un pool de connexions chaud et éviter un nouveau handshake TLS pour chaque requête.
La couche de session SRSP prend en charge les états handshake -> ready -> rekey -> resume, ce qui aide à récupérer après de brèves coupures réseau et à renouveler les clés sans reconnexion complète.
Le shaping orienté HLS/DASH lisse les rafales reconnaissables du trafic vidéo et rend le comportement de connexion moins abrupt pour les analyseurs réseau.
SRSP prend en compte les contrôles actifs avec rate limiting, masquerade routing et validation stricte des capacités afin de ne pas exposer facilement le vrai service lors de connexions suspectes.
Le protocole est une pile advanced-beta : les éléments clés sont implémentés et testés, tandis que les données terrain sur réseaux difficiles continuent d'être collectées avant toute revendication de maturité au niveau VLESS+REALITY.
Ce tableau compare les profils pratiques : forces, visibilité DPI, vitesse et maturité opérationnelle.
Ces scores sont des estimations comparatives sur 100 basées sur la conception du protocole, l'historique de déploiement et le comportement attendu sur des réseaux filtrés ; ce ne sont ni des mesures de laboratoire ni de la télémétrie de production en direct.
Trier par
SRSP / GhostCloak
GhostMeshRéseaux restreints, streaming, environnements DPI
Élevé : TLS 1.3, profil JA3, chemin REALITY, probing guard
Élevée : multiplexing, warm pool, rekey/resume
Réseaux restreints, streaming, environnements DPI
Advanced-beta : architecture solide, preuves terrain en croissance
VLESS + REALITY
Résistance à la censure et au probing actif
Très élevé et bien validé dans l'écosystème Xray
Élevée
Résistance à la censure et au probing actif
Élevée : années de déploiement et développement actif
WireGuard
Vitesse maximale sur réseaux normaux
Faible : le motif UDP se classe facilement sans obfuscation
Très élevée
Vitesse maximale sur réseaux normaux
Très élevée
AmneziaWG 2.0
Quand on veut l'expérience WireGuard avec une couche d'obfuscation en plus
Moyen-élevé : ajoute de l'obfuscation à WireGuard, avec moins de validation publique que REALITY
Très élevée
Quand on veut l'expérience WireGuard avec une couche d'obfuscation en plus
Moyen-élevée : l'écosystème progresse, mais l'historique terrain reste plus court que WireGuard
NaiveProxy
Proxy d'apparence web sur réseaux restreints
Élevé : plus proche d'un trafic HTTPS standard
Moyenne-élevée
Proxy d'apparence web sur réseaux restreints
Moyen-élevée : la solution est mature, mais son intégration aux produits VPN est souvent plus étroite
OpenVPN
Compatibilité, entreprise et environnements legacy
Moyen : TCP/443 aide, mais les signatures sont souvent reconnues
Moyenne
Compatibilité, entreprise et environnements legacy
Très élevée
IKEv2 / IPsec
Réseaux mobiles et roaming rapide
Faible-moyen : IPsec standard est souvent visible
Élevée
Réseaux mobiles et roaming rapide
Très élevée
Shadowsocks
Proxy léger par application
Moyen : dépend des plugins et de l'environnement
Élevée
Proxy léger par application
Élevée
Hysteria2 / TUIC
Haute vitesse sur routes instables ou longues
Moyen : excellent débit, pas toujours web-like
Très élevée
Haute vitesse sur routes instables ou longues
Élevée
SRSP ne remplace pas tous les protocoles dans tous les scénarios. WireGuard reste excellent sur réseaux ouverts, OpenVPN et IKEv2 gagnent par maturité, et VLESS+REALITY possède encore une expérience terrain plus profonde contre la censure. SRSP donne à GhostMesh un transport moderne propre aux réseaux où masquage, résilience et comportement de connexion comptent.
Utilisez SRSP lorsque les priorités sont l'accès stable, le streaming, la confidentialité sur réseaux restreints et une visibilité réduite du tunnel. Sur les réseaux rapides ordinaires, GhostMesh peut combiner SRSP avec d'autres protocoles modernes et choisir la meilleure route.