Cách website phát hiện VPN và proxy (và vì sao bạn bị chặn)

Website phát hiện VPN và proxy bằng cách tìm các tín hiệu cho thấy lưu lượng của bạn không đến từ một kết nối gia đình bình thường: các địa chỉ IP nằm trong những danh sách chặn VPN đã biết, sự không khớp giữa vị trí IP và các manh mối vị trí khác mà trình duyệt để lộ, các khuôn mẫu kết nối tố cáo, và — đối với ISP và tường lửa — kỹ thuật dò gói tin sâu. Không một phép kiểm tra đơn lẻ nào là hoàn hảo, nên các hệ thống phát hiện kết hợp nhiều phép và gán một điểm tin cậy. Bài viết này điểm qua các phương pháp chính và giải thích vì sao bạn gặp phải chặn, CAPTCHA, và các thông báo "nội dung này không khả dụng ở khu vực của bạn".

Tóm tắt nhanh

• Tín hiệu mạnh nhất chính là bản thân IP: các địa chỉ được đăng ký cho các công ty lưu trữ và các hệ thống tự trị (ASN) của trung tâm dữ liệu trông chẳng giống các dải IP của ISP dân cư, và các cơ sở dữ liệu thương mại như MaxMind GeoIP cùng các nguồn dữ liệu lạm dụng như AbuseIPDB đều lập danh mục cho chúng.
• Việc phát hiện diễn ra theo nhiều lớp và mang tính xác suất — các trang gộp nhiều tín hiệu yếu (loại IP, lệch vị trí/múi giờ, rò rỉ, hình dạng kết nối) thành một điểm tin cậy duy nhất chứ không dựa vào một phép kiểm tra đơn lẻ.
• VPN có thể bị lộ qua rò rỉ kênh phụ: một rò rỉ WebRTC có thể phơi bày IP thật của bạn, còn rò rỉ DNS có thể tiết lộ bộ phân giải của ISP thật của bạn.
• VPN trung tâm dữ liệu dễ bị đánh dấu; IP dân cư và IP riêng thì khó hơn nhiều, đó là lý do một VPN bị chặn còn VPN khác lại lọt qua êm xuôi.
• Trước khi cho rằng đường hầm che được tất cả, bạn có thể kiểm tra chính xác kết nối của mình để lộ những gì bằng một bài kiểm tra VPN/proxy.

Vì sao website phát hiện VPN

Các trang không chặn VPN để gây khó dễ — họ làm vậy để thực thi quy tắc và giảm lạm dụng. Các dịch vụ phát trực tuyến có những thỏa thuận cấp phép riêng theo khu vực, nên họ chặn VPN để ngăn người ta xem thư viện ngoài khu vực. Ngân hàng và cửa hàng dùng tín hiệu VPN/proxy như một đầu vào cho việc chấm điểm gian lận. Các trang bán vé và bán lẻ chặn proxy để chống bot và đầu cơ. Chính bộ máy bắt lạm dụng tự động đó cũng bắt luôn những con người coi trọng quyền riêng tư, và đó là lý do một người dùng VPN hợp pháp đôi khi bị đối xử như một con bot.

Danh sách chặn địa chỉ IP

Phương pháp phổ biến nhất cũng là đơn giản nhất: duy trì một danh sách các địa chỉ IP đã biết thuộc về các nhà cung cấp VPN và proxy, rồi đánh dấu mọi kết nối đến từ chúng. Các cơ sở dữ liệu thương mại lập danh mục các dải IP của những dịch vụ VPN lớn và các trung tâm dữ liệu, và những danh sách này được phổ biến rộng rãi, nên một trang có thể đối chiếu IP của bạn với chúng trong vài mili giây. Các nhà cung cấp dịch vụ định vị địa lý và phân loại mạng như MaxMind GeoIP duy trì các tập dữ liệu "ẩn danh" và loại kết nối chính vì mục đích này, còn các nguồn dữ liệu lạm dụng từ cộng đồng như AbuseIPDB theo dõi các địa chỉ có lịch sử lạm dụng tự động gần đây.

Đây là lý do các VPN đặt trong trung tâm dữ liệu dễ bị phát hiện nhất — địa chỉ của chúng được đăng ký cho các công ty lưu trữ, chứ không phải cho các ISP dân cư, và chỉ riêng sự khác biệt đó đã là một tín hiệu mạnh. Mỗi khối IP đều được phân bổ thông qua các cơ quan đăng ký khu vực do IANA điều phối, và số hệ thống tự trị (ASN) sở hữu một dải địa chỉ cho hệ thống phát hiện biết ngay lập tức rằng nó thuộc về một nhà cung cấp băng rộng dành cho người tiêu dùng hay một dịch vụ lưu trữ đám mây. Bạn có thể xem địa chỉ của chính mình được phân loại ra sao bằng công cụ kiểm tra VPN/proxy và phân tích IP của BrowserInsight, vốn hiển thị loại mạng và đơn vị sở hữu đứng sau IP của bạn.

Lệch vị trí địa lý và múi giờ

IP của bạn tuyên bố một vị trí, nhưng trình duyệt của bạn lại để lộ những vị trí khác. Nếu IP của bạn định vị về Amsterdam trong khi múi giờ hệ thống là America/New_York, ngôn ngữ trình duyệt là en-US, và các tín hiệu vị trí được báo cáo lại nói khác đi, thì những mâu thuẫn đó gợi ý đến một VPN. Các hệ thống phát hiện đối chiếu chéo:

• Định vị địa lý dựa trên IP với múi giờ trình duyệt
• Quốc gia của IP với Accept-Language và locale
• Vị trí IP với bất kỳ tín hiệu vị trí nào khác mà trang có thể đọc

Một điểm lệch đơn lẻ thì yếu, nhưng nhiều điểm cùng lúc sẽ làm dấy lên nghi ngờ. (Bản thân định vị qua IP kém chính xác hơn nhiều người vẫn tưởng — xem độ chính xác của định vị qua IP — nhưng nó thường đủ tốt để phát hiện một sự lệch ở cấp quốc gia.)

Rò rỉ WebRTC và DNS

Ngay cả khi VPN đang hoạt động, trình duyệt của bạn vẫn có thể để lộ danh tính mạng thật qua các kênh phụ. Một rò rỉ WebRTC có thể phơi bày IP công khai thật của bạn qua các yêu cầu STUN mà WebRTC API của trình duyệt thực hiện để khám phá các ứng viên mạng — những yêu cầu có thể vượt qua hoàn toàn đường hầm — và một rò rỉ DNS có thể tiết lộ rằng các truy vấn DNS của bạn đang đi tới ISP thật chứ không phải bộ phân giải của VPN. Một trang hay script thấy một IP thật bị rò rỉ bên cạnh một IP VPN thì có bằng chứng mạnh về việc một VPN đang được dùng — và một cách để biết bạn thực sự ở đâu.

Khuôn mẫu kết nối và dò gói tin sâu

Ngoài bản thân IP, hình dạng kết nối của bạn cũng có thể tố cáo một VPN:

• Bám trụ một máy chủ duy nhất. Việc duyệt web bình thường nhảy qua lại giữa nhiều máy chủ; một VPN giữ một đường hầm mã hóa tồn tại lâu dài, một khuôn mẫu mà ISP có thể nhận ra.
• Chữ ký cổng và giao thức. Lưu lượng trên các cổng gắn với các giao thức VPN (hoặc các khuôn mẫu bắt tay của OpenVPN, WireGuard, v.v.) có thể bị lấy dấu vân tay.
• Dò gói tin sâu (DPI). Trong khi lọc thông thường chỉ đọc phần đầu (header) của gói tin, DPI kiểm tra các khuôn mẫu lưu lượng và metadata để nhận ra các giao thức VPN ngay cả khi phần tải đã được mã hóa. Đây là kỹ thuật được dùng để chặn VPN ở tầng mạng trong các môi trường hạn chế.
• Dấu hiệu độ trễ và MTU. Việc tạo đường hầm thêm một vòng đi-về vòng vèo qua máy chủ VPN, nên thời gian khứ hồi của mạng thường không khớp với vị trí được tuyên bố — một máy chủ định vị về Sydney nhưng đáp lại trong 20 mili giây là điều phi lý. Việc đóng gói cũng làm thu nhỏ kích thước gói tin khả dụng (đơn vị truyền tối đa, hay MTU), và một giá trị MTU hoặc TCP MSS bất thường là một dấu vân tay đường hầm mờ nhạt nhưng có thật.

So sánh các tín hiệu phát hiện

Không một tín hiệu đơn lẻ nào chứng minh được VPN; các hệ thống phát hiện cân nhắc từng tín hiệu rồi cộng dồn thành một điểm số. Bảng dưới đây tóm tắt các tín hiệu chính, nơi chúng được quan sát, cùng độ mạnh và khả năng né tránh của mỗi loại.

Tín hiệu	Nơi quan sát	Độ mạnh	Cách né tránh / vì sao thất bại
Khớp danh sách chặn IP	Phía máy chủ, đối chiếu cơ sở dữ liệu thương mại/lạm dụng	Cao	Dùng IP dân cư hoặc IP vừa xoay vòng chưa bị liệt kê
Dải ASN / trung tâm dữ liệu	Phía máy chủ, từ chủ sở hữu đăng ký của IP	Cao	IP đăng ký dạng ISP dân cư tránh được; IP trung tâm dữ liệu thì không
Lệch vị trí / múi giờ	Máy chủ + máy khách (định vị qua IP so với múi giờ và locale trình duyệt)	Trung bình	Đồng bộ múi giờ và ngôn ngữ trình duyệt với vị trí điểm thoát
Rò rỉ WebRTC	JavaScript phía máy khách (ứng viên STUN)	Cao khi xuất hiện	Tắt WebRTC hoặc chặn STUN; nếu không sẽ phơi bày IP thật
Rò rỉ DNS	Đường mạng / bộ phân giải	Trung bình–Cao	Buộc mọi truy vấn DNS đi qua bộ phân giải của VPN
Lệch độ trễ / RTT	Đo thời gian phía máy chủ	Thấp–Trung bình	Chọn máy chủ gần về mặt địa lý với vị trí được tuyên bố
Chữ ký MTU / giao thức	Tầng mạng, DPI	Trung bình	Giao thức làm rối (ví dụ WireGuard có làm rối) giảm bớt tín hiệu này

Điểm mấu chốt là các tín hiệu rẻ và mạnh — danh sách chặn IP và phân loại ASN — đảm nhận phần lớn công việc, còn các tín hiệu hành vi khó giả mạo hơn chỉ quan trọng một khi bạn đã đánh bại được những tín hiệu hiển nhiên.

Cách kiểm tra xem bạn có bị đánh dấu không

Bạn không phải đoán xem một trang có coi bạn là người dùng VPN hay không. Hãy làm lần lượt các bước kiểm tra sau:

1. Phân loại IP của bạn. Chạy công cụ kiểm tra VPN/proxy và phân tích IP của BrowserInsight để xem địa chỉ của bạn được báo cáo là dân cư hay trung tâm dữ liệu, thuộc ASN nào, và có nằm trong một danh sách ẩn danh đã biết hay không. Bị phân loại là trung tâm dữ liệu là nguyên nhân đơn lẻ phổ biến nhất gây ra chặn.
2. Kiểm tra rò rỉ. Xác nhận IP thật của bạn không thoát ra ngoài qua một rò rỉ WebRTC hay một rò rỉ DNS. Một rò rỉ sẽ trao cho trang danh tính mạng thật của bạn bất kể IP VPN của bạn trông sạch sẽ đến đâu.
3. Kiểm tra mâu thuẫn. Đảm bảo múi giờ trình duyệt và Accept-Language nhất quán với quốc gia nơi điểm thoát VPN của bạn đặt tại. Bản thân một sự mâu thuẫn sẽ không chặn bạn, nhưng nó nâng cao điểm nghi ngờ tổng thể của bạn.
4. Quan sát triệu chứng. CAPTCHA dai dẳng, các lời nhắc "hoạt động đáng ngờ", hoặc các lỗi khu vực biến mất khi bạn tắt VPN là bằng chứng thực tế rõ ràng nhất rằng chính VPN — chứ không phải tài khoản của bạn — đang bị đánh dấu.

Nếu bài kiểm tra IP trả về kết quả sạch và không có rò rỉ nào, thì hầu hết các lần chặn mà bạn vẫn gặp đều là vấn đề chọn máy chủ: hãy chuyển sang một máy chủ ít đông đúc hơn hoặc máy chủ riêng rồi kiểm tra lại.

Việc bị phát hiện cảm nhận ra sao đối với người dùng

Bạn hiếm khi được thông báo "đã phát hiện VPN". Thay vào đó, bạn trải nghiệm hậu quả: các thư viện phát trực tuyến không chịu phát, CAPTCHA lặp đi lặp lại, các lời nhắc "hoạt động đáng ngờ", sự cản trở khi đăng nhập, hoặc bị chặn thẳng. Vì chính các tín hiệu đó tiếp sức cho việc chấm điểm lưu lượng tự động, người dùng VPN thường vấp phải cùng những phép kiểm tra như bot — đó là mối liên hệ giữa chủ đề này và phát hiện bot.

Câu hỏi thường gặp

Website có luôn phát hiện được VPN không?

Không. Việc phát hiện mang tính xác suất, chứ không chắc chắn. VPN trung tâm dữ liệu dễ bị đánh dấu qua danh sách chặn IP, nhưng các VPN dân cư và được vận hành tốt thì khó phát hiện hơn nhiều. Các trang kết hợp nhiều tín hiệu yếu thành một điểm tin cậy, nên một thiết lập cẩn thận có thể lọt qua trong khi một thiết lập lộ liễu thì bị chặn.

Vì sao VPN của tôi bị chặn còn của bạn tôi thì không?

Nhiều khả năng là vì các địa chỉ IP của VPN bạn nằm trong nhiều danh sách chặn hơn, hoặc được đăng ký dạng trung tâm dữ liệu, trong khi của bạn tôi dùng các IP dân cư hoặc ít bị đánh dấu hơn. Việc chọn máy chủ cũng quan trọng — một máy chủ VPN bị nhiều người dùng chung dễ bị biết tới và bị chặn hơn một IP mới tinh hoặc IP riêng.

VPN có giấu hoàn toàn vị trí của tôi không?

Không hẳn. VPN thay đổi IP hiển thị của bạn, nhưng rò rỉ WebRTC, rò rỉ DNS, múi giờ trình duyệt và locale vẫn có thể tiết lộ hoặc mâu thuẫn với vị trí thật của bạn. Hãy kiểm tra xem bạn thực sự để lộ những gì bằng một bài kiểm tra VPN/proxy thay vì cho rằng đường hầm che được tất cả.

Làm sao để kiểm tra kết nối của tôi tiết lộ những gì?

Hãy chạy công cụ kiểm tra VPN/proxy và phân tích IP của BrowserInsight để xem IP của bạn được phân loại ra sao (dân cư hay trung tâm dữ liệu, dải VPN đã biết), và ghép nó với các bài kiểm tra rò rỉ WebRTC và DNS để xác nhận không có gì thoát ra khỏi đường hầm.

Kết luận

Phát hiện VPN và proxy không phải một mánh đơn lẻ mà là cả một chồng các mánh: danh sách chặn IP, lệch vị trí địa lý và múi giờ, rò rỉ WebRTC và DNS, phân tích khuôn mẫu kết nối, và dò gói tin sâu, được chấm điểm cùng nhau. Đó là lý do một số VPN lọt qua êm xuôi trong khi số khác bị chặn, và là lý do những người dùng coi trọng quyền riêng tư đôi khi gặp đúng sự cản trở như bot. Biết được các tín hiệu này giúp bạn kiểm tra chính thiết lập của mình và hiểu chính xác điều gì tố cáo một VPN.

---

Bài viết nên đọc:

• Giải thích các loại proxy: HTTP, SOCKS, dân cư và trung tâm dữ liệu
• So sánh công cụ bảo mật: VPN, Proxy và Tor
• Băng thông, độ trễ và jitter: chỉ số đo tốc độ