تم إطلاق الخادم الوكيل Outline-ss-server 1.4، باستخدام بروتوكول Shadowsocks لإخفاء طبيعة حركة المرور وتجاوز جدران الحماية وخداع أنظمة فحص الحزم. يتم تطوير الخادم بواسطة مشروع Outline، والذي يوفر بالإضافة إلى ذلك إطارًا لتطبيقات العميل وواجهة تحكم تسمح لك بنشر خوادم Shadowsocks متعددة المستخدمين بسرعة استنادًا إلى خادم outline-ss في البيئات السحابية العامة أو على أجهزتك الخاصة، وإدارتها عبر واجهة ويب وتنظيم وصول المستخدم عن طريق المفاتيح. تم تطوير الكود وصيانته بواسطة Jigsaw، وهو قسم داخل Google تم إنشاؤه لتطوير أدوات للتحايل على الرقابة وتنظيم التبادل الحر للمعلومات.
تمت كتابة Outline-ss-server بلغة Go ويتم توزيعه بموجب ترخيص Apache 2.0. الكود المستخدم كأساس هو الخادم الوكيل go-shadowsocks2، الذي أنشأه مجتمع مطوري Shadowsocks. في الآونة الأخيرة، كان النشاط الرئيسي لمشروع Shadowsocks يركز على تطوير خادم جديد بلغة Rust، ولم يتم تحديث التنفيذ بلغة Go لأكثر من عام وهو متخلف بشكل ملحوظ في الوظائف.
تكمن الاختلافات بين Outline-ss-server وgo-shadowsocks2 في دعم توصيل عدة مستخدمين من خلال منفذ شبكة واحد، والقدرة على فتح عدة منافذ شبكة لتلقي الاتصالات، ودعم إعادة التشغيل السريع وتحديثات التكوين دون قطع الاتصالات، المدمج في أدوات المراقبة وتعديل حركة المرور على أساس منصة بروميثيوس .io.
يضيف Outline-ss-server أيضًا الحماية ضد طلبات التحقيق وهجمات إعادة تشغيل حركة المرور. يهدف الهجوم من خلال طلبات الاختبار إلى تحديد وجود الوكيل؛ على سبيل المثال، يمكن للمهاجم إرسال مجموعات بيانات بأحجام مختلفة إلى خادم Shadowsocks المستهدف وتحليل مقدار البيانات التي سيقرأها الخادم قبل اكتشاف الخطأ وإغلاق الاتصال. يعتمد هجوم إعادة تشغيل حركة المرور على اعتراض جلسة بين العميل والخادم ثم محاولة إعادة إرسال البيانات التي تم اعتراضها لتحديد وجود الوكيل.
للحماية من الهجمات من خلال طلبات الاختبار، لا يقطع خادم خادم Outline-ss، عند وصول بيانات غير صحيحة، الاتصال ولا يعرض خطأ، ولكنه يستمر في تلقي المعلومات، ويعمل كنوع من الثقب الأسود. للحماية من إعادة التشغيل، يتم أيضًا فحص البيانات الواردة من العميل للتأكد من عدم تكرارها باستخدام المجموع الاختباري المخزن لآخر عدة آلاف من تسلسلات المصافحة (الحد الأقصى 40 ألفًا، يتم تعيين الحجم عند بدء تشغيل الخادم ويستهلك 20 بايت من الذاكرة لكل تسلسل). لحظر الاستجابات المتكررة من الخادم، تستخدم جميع تسلسلات المصافحة للخادم رموز مصادقة HMAC بعلامات 32 بت.
فيما يتعلق بمستوى إخفاء حركة المرور، فإن بروتوكول Shadowsocks في تطبيق خادم التفصيل ss قريب من نقل المكون الإضافي Obfs4 في شبكة Tor المجهولة. تم إنشاء البروتوكول لتجاوز نظام مراقبة حركة المرور في الصين ("جدار الحماية الصيني العظيم") ويسمح لك بإخفاء حركة المرور المعاد توجيهها عبر خادم آخر بشكل فعال (يصعب تحديد حركة المرور بسبب إرفاق بذرة عشوائية ومحاكاة تدفق مستمر).
يتم استخدام SOCKS5 كبروتوكول لطلبات الوكيل - يتم تشغيل وكيل يدعم SOCKS5 على النظام المحلي، والذي يقوم بتوجيه حركة المرور إلى خادم بعيد يتم تنفيذ الطلبات منه بالفعل. يتم وضع حركة المرور بين العميل والخادم في نفق مشفر (التشفير المعتمد مدعوم بـ AEAD_CHACHA20_POLY1305 وAEAD_AES_128_GCM وAEAD_AES_256_GCM)، وإخفاء حقيقة إنشائه هو المهمة الأساسية لـ Shadowsocks. يتم دعم تنظيم أنفاق TCP وUDP، بالإضافة إلى إنشاء أنفاق عشوائية لا يقتصر عليها SOCKS5 من خلال استخدام المكونات الإضافية التي تذكرنا بعمليات النقل الإضافية في Tor.
المصدر: opennet.ru