Aangesien ons toenemend toegang tot verskeie hulpbronne op die netwerk geweier word, word die kwessie van omseil van slotte meer en meer relevant, wat beteken dat die vraag "Hoe om slotte vinniger te omseil?" meer en meer relevant word.
Kom ons los die onderwerp van doeltreffendheid, in terme van die omseil van DPI-witlys-swartlyste, vir 'n ander geval, en vergelyk net die werkverrigting van gewilde sluitomleidingsinstrumente.
Aandag: Daar sal baie foto's in die artikel onder bederf wees.
Vrywaring: Hierdie artikel vergelyk die werkverrigting van gewilde vpnproxy-oplossings onder "ideale" toestande. Die resultate wat hier verkry en beskryf word, stem nie noodwendig saam met jou resultate in die velde nie. Omdat die nommer in die spoedtoets dikwels nie afhang van hoe produktief die omseilinstrument is nie, maar van hoe jou verskaffer QoS versper en dit blokkeer.
metode
3 VPS is by 'n wolkverskaffer (DO) in verskillende lande van die wêreld gekoop. 2 in Nederland, 1 in Duitsland. Die mees produktiewe VPS (volgens die aantal kerns) is gekies uit dié wat beskikbaar is vir die rekening by die aanbod vir koeponkrediete.
'n Privaat iperf3-bediener word op die eerste Nederlandse bediener ontplooi.
Op die tweede Nederlandse bediener word verskeie bedieners van die blokkerende omseilnutsmiddels om die beurt ontplooi.
'n Duitse VPS het 'n Linux-lessenaarbeeld (xubuntu) met VNC en 'n virtuele lessenaar ontplooi. Hierdie VPS is 'n voorwaardelike kliënt, en verskeie proxy VPN-kliënte word een vir een daarop geloods.
Spoedmetings word vanaf drie keer uitgevoer, ons fokus op die gemiddelde, ons gebruik 3 gereedskap: in chroom deur 'n webspoedtoets; in chroom via fast.com; vanaf die konsole via iperf3 via proxychain4 (waar u iperf3-verkeer in 'n instaanbediener moet stoot).
'n Direkte iperf3 kliënt-bediener verbinding gee 'n spoed van 2 Gbps in iperf3, en 'n bietjie minder in fastspeedtest.
'n Nuuskierige leser mag vra, "hoekom het jy nie spoedtoets-cli gekies nie?" en sal reg wees.
Die Speedtest CLI was 'n onbetroubare, onvoldoende manier om deurset te meet, om redes wat vir my onbekend was. Drie opeenvolgende metings kan drie heeltemal verskillende resultate gee, of byvoorbeeld deurset veel hoër as die poortspoed van my VPS toon. Miskien is die probleem in my klubhand, maar dit het vir my onmoontlik gelyk om navorsing met so 'n instrument te doen.
Wat die resultate vir die drie meetmetodes (spoedtoets en perf) betref, beskou ek die iperf-aanwysers as die mees akkurate, betroubare en vinnige spoedtoets as verwysing. Maar sommige bypass-instrumente het nie toegelaat om 3 metings deur iperf3 te voltooi nie en in sulke gevalle kan jy op spoedtoetsvas fokus.
spoedtoets gee verskillende resultate
Gereedskap
In totaal is 24 verskillende bypass-gereedskap en/of hul kombinasies getoets, vir elkeen sal ek 'n klein verduideliking gee en my indrukke om daarmee te werk. Maar eintlik was die doelwit om die snelhede van skaduweesokke (en hope verskillende verduisteraars daarvoor) openVPN en wireguard te vergelyk.
In hierdie artikel gaan ek nie aan die vraag "wat is die beste manier om verkeer weg te steek sodat hulle nie ontkoppel word nie", want omseil blokkering is 'n reaktiewe maatreël - ons pas aan by wat die sensor gebruik en tree op grond hiervan op.
Bevindinge
Strongswanipsec
Volgens my indrukke is dit baie maklik om op te stel, dit werk redelik stabiel. Van die voordele - regtig kruis-platform, sonder die behoefte om te soek na kliënte vir elke platform.
aflaai - 993 mbits; oplaai - 770mbits
SSH tonnel
Waarskynlik net die lui het nie geskryf oor die gebruik van SSH as 'n tonnel gereedskap. Van die minusse - die "krualiteit" van die oplossing, d.w.s. om dit vanaf 'n gerieflike pragtige kliënt op elke platform te ontplooi, sal nie werk nie. Van die voordele - goeie werkverrigting, dit is glad nie nodig om enigiets op die bediener te installeer nie.
aflaai - 1270 mbits; oplaai - 1140mbits
OpenVPN
OpenVPN is in 4 werkingsmodusse getoets: tcp, tcp+sslh, tcp+stunnel, udp.
Die OpenVPN-bedieners is outomaties gekonfigureer deur streisand te installeer.
Sover ek kan sê, is op die oomblik net die stunnel-modus bestand teen gevorderde DPI. Die rede vir die abnormale toename in deurset wanneer oopVPN-tcp in 'n tonnel toegedraai word, is nie vir my duidelik nie, kontroles is in verskeie passe gedoen, op verskillende tye en op verskillende dae, die resultaat was dieselfde. Miskien is dit as gevolg van die netwerkstapel-instellings wat gestel word wanneer streisand ontplooi word, skryf as jy enige idees het hoekom dit so is.
openvpntcp: aflaai - 760 mbits; oplaai - 659 mbits
openvpntcp+sslh: aflaai - 794 mbits; oplaai - 693mbits
openvpntcp+stunnel: aflaai - 619 mbits; oplaai - 943mbits
openvpnudp: aflaai - 756 mbits; oplaai - 580mbits
maak verbinding oop
Nie die gewildste instrument om slotte te omseil nie, dit is by die Streisand-pakket ingesluit, so daar is besluit om dit ook te toets.
aflaai - 895 mbits; laai 715mbs op
Beveilig
'N Hype-instrument wat gewild is onder Westerse gebruikers, die ontwikkelaars van die protokol het selfs 'n paar toekennings vir ontwikkeling van beskermingsfondse ontvang. Werk as 'n Linux-kernmodule, oor UDP. Onlangs het kliënte vir windowsios verskyn.
Dit is deur die skepper beskou as 'n eenvoudige vinnige manier om Netflix te kyk terwyl jy nie in die state is nie.
Vandaar die voor- en nadele. Pluspunte - 'n baie vinnige protokol, die relatiewe gemak van installasie en konfigurasie. Nadele - die ontwikkelaar het dit nie aanvanklik geskep om ernstige slotte te omseil nie, en daarom word die wag maklik opgespoor deur die eenvoudigste gereedskap, insluitend. draadhaai.
wireguard-protokol in wireshark
aflaai - 1681 mbits; laai 1638mbs op
Interessant genoeg word die wagprotokol gebruik in 'n derdeparty tunsafe-kliënt, wat, wanneer dit met dieselfde wagbediener gebruik word, baie slegter resultate lewer. Dit is waarskynlik dat die Windows-kliënt van die wag dieselfde resultate sal toon:
tunsafeclient: aflaai - 1007 mbits; oplaai - 1366 mbits
OorsigVPN
Outline is 'n implementering van die shadowsox-bediener en -kliënt met 'n pragtige en gerieflike gids van Google se figuursaag. Op vensters is die outline-kliënt bloot 'n stel omhulsels vir die shadowsocks-local binaries (die shadowsocks-libev-kliënt) en badvpn (die tun2socks-binêre wat alle masjienverkeer na die plaaslike socks-instaanbediener lei).
Shadowsox was eens bestand teen die groot Chinese firewall, maar te oordeel aan die jongste resensies is dit nie meer die geval nie. Anders as shadowsox, ondersteun dit uit die boks nie verduistering deur inproppe nie, maar dit kan met die hand gedoen word deur met die bediener en kliënt te vroetel.
aflaai - 939 mbits; oplaai - 930mbits
Skaduwees
ShadowsocksR is 'n vurk van die oorspronklike shadowsocks geskryf in luislang. Trouens, dit is 'n shadowsox waaraan verskeie metodes van verkeersverduistering stewig vasgespyker is.
Daar is vurke van ssR op libev en iets anders. Die lae deurset is waarskynlik te wyte aan die kodetaal. Die oorspronklike python shadowsox is nie veel vinniger nie.
shadowsocksR: laai 582mbits af; laai 541mbits op.
Shadowsocks
'n Chinese blok-omseil-instrument wat verkeer ewekansig maak en op ander wonderlike maniere inmeng met outomatiese analise. Tot onlangs het GFW nie geblokkeer nie, hulle sê dat dit nou net blokkeer as jy die UDP-aflos aanskakel.
Cross-platform (daar is kliënte vir enige platform), ondersteun werk met PT soos Torah obfuscators, daar is verskeie obfuscators van hul eie of aangepas om dit, vinnig.
Daar is 'n klomp shadowsocks-kliënt- en bedienerimplementasies in verskillende tale. In die toetsing het shadowsocks-libev as 'n bediener opgetree, kliënte was anders. Die vinnigste Linux-kliënt blyk te wees shadowsocks2 on go, versprei as 'n verstekkliënt in streisand, ek kan nie sê hoeveel meer produktief shadowsocks-vensters is nie. In die meeste van die verdere toetse is shadowsocks2 as 'n kliënt gebruik. Skermskote met die toets van suiwer shadowsocks-libev is nie gemaak nie, as gevolg van die ooglopende vertraging van hierdie implementering.
shadowsocks2: aflaai - 1876 mbits; oplaai - 1981 mbits.
shadowsocks-roes: aflaai - 1605 mbits; oplaai - 1895 mbits.
Shadowsocks-libev: aflaai - 1584 mbits; oplaai - 1265 mbits.
eenvoudig-obfs
Shadowsox-inprop, nou gedepresieer, maar werk steeds (hoewel nie altyd goed nie). Grootliks vervang deur die v2ray-inprop. Verduister verkeer óf onder http-websocket (en laat jou toe om die bestemmingsopskrif te bedrieg, maak asof jy nie pornhub gaan kyk nie, maar byvoorbeeld die webwerf van die grondwet van die Russiese Federasie) of onder pseudo-tls (pseudo, want dit gebruik geen sertifikate nie, die eenvoudigste DPI soos gratis nDPI word bespeur as "tls no cert." Jy kan nie meer kopskrifte in tls-modus bedrieg nie).
Vinnig genoeg, geïnstalleer vanaf die repo met een opdrag, baie eenvoudig gekonfigureer, het 'n ingeboude failover-funksie (wanneer verkeer vanaf 'n nie-eenvoudige obfs-kliënt op die poort kom waarna eenvoudige obfs luister, stuur dit dit aan na die adres wat jy spesifiseer in die instellings - soos hierdie Op hierdie manier kan jy vermy om poort 80 met die hand te kontroleer, byvoorbeeld deur bloot na 'n webwerf met http te herlei, asook deur verbindingsondersoeke te blokkeer).
shadowsockss-obfs-tls: aflaai - 1618 mbits; laai 1971mbits op.
shadowsockss-obfs-http: aflaai - 1582 mbits; oplaai - 1965 mbits.
Eenvoudige obfs in http-modus kan ook deur 'n CDN-omgekeerde instaanbediener werk (byvoorbeeld, cloudflare), so vir ons verskaffer sal die verkeer soos http-plaintext-verkeer na cloudflare lyk, dit stel ons in staat om ons tonnel 'n bietjie beter weg te steek, en by die skei terselfdertyd die toegangspunt en verkeersuitset - die verskaffer sien dat jou verkeer na die CDN-ip-adres gaan, en ekstremistiese laaiks op die foto's word op hierdie oomblik vanaf die VPS-ip-adres neergesit. Ek moet sê dat dit s-obfs deur CF is wat dubbelsinnig werk, byvoorbeeld, periodiek nie sommige http-bronne oopmaak nie. Dit was dus nie moontlik om die oplaai met iperf via shadowsockss-obfs+CF te toets nie, maar te oordeel aan die resultate van die spoedtoets, is die deurset op die vlak van shadowsocksv2ray-plugin-tls+CF. Ek heg nie skermkiekies met iperf3 aan nie, want daar moet nie op hulle staatgemaak word nie.
aflaai (spoedtoets) - 887; oplaai (spoedtoets) - 1154.
Aflaai (iperf3) - 1625; oplaai (iperf3) - NA.
v2ray-inprop
V2ray-plugin het simple-obfs vervang as die hoof "amptelike" obfuscator vir ss-lib. Anders as eenvoudige obfs, is dit nog nie in die bewaarplekke nie, en jy moet óf 'n voorafgeboude binêre aflaai óf dit self saamstel.
Ondersteun 3 werkingsmodusse: verstek, http-websocket (met ondersteuning vir die bedrieëry van bestemmingsgasheeropskrifte); tls-websocket (anders as s-obfs, is dit 'n volwaardige tls-verkeer wat deur enige omgekeerde instaanbediener-webbediener herken word en jou byvoorbeeld toelaat om tls-beëindiging op cloudflare-bedieners of in nginx op te stel); quic - werk via udp, maar ongelukkig is die werkverrigting van quick in v2ray baie laag.
Van die voordele in vergelyking met eenvoudige-obfs: die v2ray-inprop werk sonder probleme via CF in http-websocket-modus met enige verkeer, in tls-modus is dit volwaardige tls-traffic, dit vereis sertifikate vir werking (byvoorbeeld, van kom ons enkripteer of selfonderteken).
shadowsocksv2ray-plugin-http: aflaai - 1404 mbits; laai 1938mbits op.
shadowsocksv2ray-plugin-tls: aflaai - 1214 mbits; laai 1898mbs op.
shadowsocksv2ray-plugin-quic: aflaai - 183 mbits; laai 384mbits op.
Soos ek gesê het, kan v2ray kopskrifte stel, en dus kan jy daarmee werk deur 'n omgekeerde instaanbediener CDN (byvoorbeeld wolkfler). Aan die een kant bemoeilik dit die opsporing van die tonnel, aan die ander kant kan dit die vertraging effens verhoog (en soms verminder) - dit hang alles af van die ligging van jou en die bedieners. Op die oomblik toets CF werk met quic, maar hierdie modus is nog nie beskikbaar nie (ten minste vir gratis rekeninge).
shadowsocksv2ray-plugin-http+CF: aflaai - 1284 mbits; laai 1785mbs op.
shadowsocksv2ray-plugin-tls+CF: aflaai - 1261 mbits; laai 1881mbits op.
dekmantel
Klok is die resultaat van verdere ontwikkeling van die GoQuiet obfuscator. Simuleer TLS-verkeer, werk dienooreenkomstig oor TCP. Op die oomblik het die skrywer die tweede weergawe van die inprop vrygestel, cloak-2, wat aansienlik verskil van die oorspronklike mantel.
Volgens die ontwikkelaar het die eerste weergawe van die inprop die tls 1.2-hervatsessiemeganisme gebruik om die bestemmingsadres vir tls te bedrieg. Na die vrystelling van die nuwe weergawe (klok-2), is al die wiki-bladsye op die github wat hierdie meganisme beskryf, uitgevee; daar is geen melding hiervan in die huidige beskrywing van enkripsie-verduistering nie. Volgens die skrywer se beskrywing word die eerste weergawe van klok nie gebruik nie weens die teenwoordigheid van “kritieke kwesbaarhede in kripto”. Ten tyde van die toetse was daar net die eerste weergawe van die spoelput, sy binaries is steeds op die github, en onder andere, kritieke kwesbaarhede is nie baie belangrik nie, want. Shadowsox enkripteer verkeer op dieselfde manier as sonder 'n horlosie, en die cloaca beïnvloed nie die kripto van Shadowsox nie.
shadowsockscloak: aflaai - 1533; oplaai - 1970mbits
Kcptun
kcptun gebruik as vervoer en in sommige spesiale gevalle kan 'n toename in deurset bereik word. Ongelukkig (of gelukkig) is dit grootliks waar vir gebruikers van China, van wie se selfoonoperateurs TCP swaar versmoor en nie UDP raak nie.
Kcptun is vraatsug soos die hel, en laai maklik 100% 4 Ziono-Cores wanneer dit deur 1 kliënt getoets word. Boonop is die inprop "stadig", en as u deur iperf3 werk, voltooi dit nie die toetse tot die einde nie. Ons fokus op die spoedtoets in die blaaier.
shadowsockskcptun: aflaai (spoedtoets) - 546 mbits; oplaai (spoedtoets) 854 mbits.
Gevolgtrekking
Het u 'n eenvoudige vinnige VPN nodig om die verkeer van die hele masjien te sluit? Dan is jou keuse wag. Wil jy gevolmagtigdes hê (vir selektiewe tonnelwerk of stroomverdeling van virtuele persone) of is dit vir jou belangriker om verkeer te verbloem van ernstige blokkering? Kyk dan na shadowsox met tlshttp-verduistering. Wil jy seker wees dat jou internet enigsins sal werk terwyl die internet werk? Kies om verkeer deur belangrike CDN's te proxy, wat sal lei tot die val van die helfte van die internet in die land.
spilpunttabel gesorteer volgens aflaaie
Bron: will.com