Şəbəkədəki müxtəlif resurslara çıxışımız getdikcə daha çox rədd edildikcə, kilidlərin yan keçməsi məsələsi getdikcə aktuallaşır, bu da o deməkdir ki, “Kilidləri necə daha sürətli keçmək olar?” sualı getdikcə aktuallaşır.
Başqa bir hal üçün DPI ağ siyahılarının qara siyahılarını keçmək baxımından səmərəlilik mövzusunu tərk edək və sadəcə məşhur kiliddən keçmə alətlərinin performansını müqayisə edək.
Diqqət: Məqalədə spoiler altında çoxlu şəkillər olacaq.
İmtina: Bu məqalə məşhur vpnproxy həllərinin "ideal" şərtlər altında performansını müqayisə edir. Burada əldə edilən və təsvir edilən nəticələr sahələr üzrə nəticələrinizlə mütləq üst-üstə düşmür. Çünki sürət testindəki rəqəm çox vaxt bypass alətinin nə qədər məhsuldar olmasından deyil, provayderinizin QoS-ni necə sıxışdırmasından və bloklamasından asılı olacaq.
Metodologiya
3 VPS dünyanın müxtəlif ölkələrində bulud provayderindən (DO) alınıb. Hollandiyada 2, Almaniyada 1. Ən məhsuldar VPS (nüvələrin sayına görə) kupon kreditləri üçün təklifdə hesab üçün mövcud olanlar arasından seçildi.
Şəxsi iperf3 serveri ilk Hollandiya serverində yerləşdirilib.
İkinci Hollandiya serverində bloklama bypass alətlərinin müxtəlif serverləri növbə ilə yerləşdirilir.
Alman VPS, VNC və virtual masa üstü ilə Linux masaüstü görüntüsünü (xubuntu) yerləşdirdi. Bu VPS şərti müştəridir və müxtəlif proxy VPN müştəriləri bir-bir işə salınır.
Sürət ölçmələri üç dəfə həyata keçirilir, biz orta hesabla diqqət yetiririk, 3 alətdən istifadə edirik: veb sürət testi vasitəsilə xromda; fast.com vasitəsilə xromda; proxychain3 vasitəsilə iperf4 vasitəsilə konsoldan (burada iperf3 trafikini proxy-yə köçürmək lazımdır).
Birbaşa iperf3 klient-server bağlantısı iperf2-də 3 Gbps, fastspeedtest-də isə bir az daha az sürət verir.
Maraqlı oxucu “niyə speedtest-cli seçmədin?” deyə soruşa bilər. və doğru olacaq.
Speedtest CLI mənə məlum olmayan səbəblərdən ötürmə qabiliyyətini ölçmək üçün etibarsız, qeyri-adekvat üsul olduğunu sübut etdi. Ardıcıl üç ölçmə üç tamamilə fərqli nəticə verə bilər və ya məsələn, mənim VPS-in port sürətindən daha yüksək ötürmə qabiliyyətini göstərə bilər. Bəlkə də problem klubumun əlindədir, amma belə bir alətlə araşdırma aparmağım qeyri-mümkün görünürdü.
Üç ölçmə metodu (speedtest və perf) üzrə nəticələrə gəlincə, mən iperf göstəricilərini istinad olaraq ən dəqiq, etibarlı və sürətli sürət testi hesab edirəm. Ancaq bəzi bypass alətləri iperf3 vasitəsilə 3 ölçməni tamamlamağa imkan vermədi və belə hallarda, sürət testinə diqqət yetirə bilərsiniz.
speedtest fərqli nəticələr verir
Toolbar
Ümumilikdə 24 müxtəlif bypass aləti və/yaxud onların kombinasiyası sınaqdan keçirildi, onların hər biri üçün kiçik bir izahat və onlarla işləmək təəssüratımı verəcəyəm. Ancaq əslində məqsəd, shadowsocks (və bunun üçün müxtəlif obfuscatorların yığınları) openVPN və wireguard sürətlərini müqayisə etmək idi.
Bu yazıda "trafiğin bağlanmaması üçün onları gizlətməyin ən yaxşı yolu nədir" sualına toxunmayacağam, çünki blokdan keçmək reaktiv bir tədbirdir - senzorun istifadə etdiyinə uyğunlaşırıq və bu əsasda hərəkət edirik.
Tapıntılar
Strongswanipsec
Təəssüratlarıma görə, onu qurmaq çox asandır, kifayət qədər stabil işləyir. Faydalardan - həqiqətən çarpaz platforma, hər platforma üçün müştərilər axtarmağa ehtiyac olmadan.
yükləmə - 993 mbit; yükləmə - 770 mbit
SSH tuneli
Yəqin ki, yalnız tənbəllər SSH-nin tunel aləti kimi istifadəsi haqqında yazmayıblar. Minuslardan - həllin "qəddarlığı", yəni. onu hər platformada rahat gözəl müştəridən yerləşdirmək işləməyəcək. Üstünlüklərdən - yaxşı performans, ümumiyyətlə serverdə heç bir şey quraşdırmaq lazım deyil.
yükləmə - 1270 mbit; yükləmə - 1140 mbit
OpenVPN
OpenVPN 4 iş rejimində sınaqdan keçirilib: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN serverləri streisand quraşdıraraq avtomatik konfiqurasiya edildi.
Bildiyimə görə, hazırda yalnız stunnel rejimi qabaqcıl DPI-ə davamlıdır. OpenVPN-tcp-ni stunneldə bükərkən ötürmə qabiliyyətinin anomal artmasının səbəbi mənə aydın deyil, yoxlamalar bir neçə keçiddə, müxtəlif vaxtlarda və müxtəlif günlərdə aparıldı, nəticə eyni idi. Ola bilsin ki, bu, streisand yerləşdirərkən quraşdırılan şəbəkə yığını parametrləri ilə əlaqədardır, bunun niyə belə olduğu barədə hər hansı bir fikriniz varsa yazın.
openvpntcp: yükləmə - 760 mbit; yükləmə - 659 mbit
openvpntcp+sslh: yükləmə - 794 mbit; yükləmə - 693 mbit
openvpntcp+stunnel: yükləmə - 619 mbit; yükləmə - 943 mbit
openvpnudp: yükləmə - 756 mbit; yükləmə - 580 mbit
Açıq əlaqə
Kilidləri aşmaq üçün ən populyar vasitə deyil, Streisand paketinə daxildir, buna görə də onu sınaqdan keçirmək qərara alındı.
yükləmə - 895 mbit; 715 mbs yükləyin
Qulaq asmaq
Qərb istifadəçiləri arasında məşhur olan şırınga aləti, protokolun tərtibatçıları hətta müdafiə fondlarından inkişaf üçün bəzi qrantlar da aldılar. UDP üzərindən Linux nüvəsi modulu kimi işləyir. Bu yaxınlarda windowsios üçün müştərilər peyda oldu.
Yaradıcı tərəfindən ştatlarda olmadıqda Netflix-ə baxmaq üçün sadə sürətli bir yol kimi düşünülmüşdür.
Beləliklə, müsbət və mənfi cəhətləri. Artılar - çox sürətli protokol, quraşdırma və konfiqurasiyanın nisbi asanlığı. Eksiler - geliştirici əvvəlcə ciddi kilidləri keçmək üçün yaratmadı və buna görə də qoruyucu ən sadə alətlər, o cümlədən asanlıqla aşkar edilir. wireshark.
wireshark-da wireguard protokolu
yükləmə - 1681 mbit; 1638 mbs yükləyin
Maraqlıdır ki, mühafizə protokolu eyni mühafizə serveri ilə istifadə edildikdə daha pis nəticələr verən üçüncü tərəf tunsafe müştərisində istifadə olunur. Çox güman ki, mühafizəçinin pəncərə müştərisi eyni nəticələri göstərəcək:
tunsafeclient: yükləmə - 1007 mbit; yükləmə - 1366 mbit
OutlineVPN
Outline, Google'un Yapbozundan gözəl və rahat gui ilə shadowsox server və müştərinin tətbiqidir. Pəncərələrdə kontur müştəri sadəcə shadowsocks-yerli binar (shadowsocks-libev müştəri) və badvpn (bütün maşın trafikini yerli corab proksisinə yönləndirən tun2socks binar) üçün sarğılar dəstidir.
Shadowsox bir vaxtlar böyük Çin təhlükəsizlik duvarına davamlı idi, lakin son rəylərə görə, bu, artıq belə deyil. Shadowsox-dan fərqli olaraq, o, plaginlər vasitəsilə çaşqınlığı dəstəkləmir, lakin bunu server və müştəri ilə əllə etmək olar.
yükləmə - 939 mbit; yükləmə - 930 mbit
ShadowsocksR
ShadowsocksR, python-da yazılmış orijinal shadowsocks çəngəlidir. Əslində, bu, yol hərəkətini qarışdırmağın bir neçə üsulunun möhkəm bağlandığı bir kölgədir.
Libevdə ssR çəngəlləri və başqa bir şey var. Aşağı ötürmə qabiliyyəti yəqin ki, kod dili ilə bağlıdır. Orijinal python shadowsox daha sürətli deyil.
shadowsocksR: yükləmə 582 mbit; 541 mbit yükləmə.
Shadowsocks
Trafiki təsadüfiləşdirən və digər gözəl üsullarla avtomatik təhlilə müdaxilə edən Çin blokundan yan keçmə aləti. Son vaxtlara qədər GFW blok etmirdi, deyirlər ki, indi yalnız UDP relesini yandırsan bloklayır.
Çarpaz platforma (hər hansı bir platforma üçün müştərilər var), Torah obfuscators kimi PT ilə işləməyi dəstəkləyir, özlərinə məxsus və ya ona uyğunlaşdırılmış bir neçə obfuscator var.
Müxtəlif dillərdə bir dəstə shadowsocks müştəri və server tətbiqləri var. Testdə shadowsocks-libev server kimi çıxış etdi, müştərilər fərqli idi. Ən sürətli Linux müştərisi streisand-da standart müştəri kimi paylanan shadowsocks2 idi, mən shadowsocks-windows-un nə qədər məhsuldar olduğunu deyə bilmərəm. Növbəti testlərin əksəriyyətində müştəri kimi shadowsocks2 istifadə edilmişdir. Təmiz shadowsocks-libev sınağı ilə skrinşotlar, bu tətbiqin açıq-aşkar gecikməsi səbəbindən hazırlanmadı.
shadowsocks2: yükləmə - 1876 mbit; yükləmə - 1981 mbit.
shadowsocks-rust: yükləmə - 1605 mbit; yükləmə - 1895 mbit.
Shadowsocks-libev: yükləmə - 1584 mbit; yükləmə - 1265 mbit.
sadə-obfs
Shadowsox plagini, indi köhnəlmişdir, lakin hələ də işləyir (hər zaman yaxşı olmasa da). Əsasən v2ray-plugin ilə əvəz edilmişdir. Trafiki ya http-websocket altında (və pornhub-a baxmayacağınızı iddia edərək təyinat başlığını aldatmağa imkan verir, lakin məsələn, Rusiya Federasiyasının konstitusiyasının saytına) və ya psevdo-tls (psevdo, çünki) altında trafiki qarışdırır. heç bir sertifikatdan istifadə etmir, pulsuz nDPI kimi ən sadə DPI "tls no cert" kimi aşkar edilir. Siz artıq tls rejimində başlıqları saxtalaşdıra bilməzsiniz).
Kifayət qədər sürətli, bir komanda ilə repo-dan quraşdırılmış, çox sadə konfiqurasiya edilmiş, daxili əvəzetmə funksiyasına malikdir (sadə olmayan obfs müştərisindən trafik sadə obfs-in dinlədiyi porta gəldikdə, onu sizin qeyd etdiyiniz ünvana yönləndirir. Parametrlərdə - buna bənzər Bu şəkildə, məsələn, http ilə vebsayta yönləndirmək, həmçinin əlaqə zondları vasitəsilə bloklamaqla 80-ci portu əl ilə yoxlamaqdan qaça bilərsiniz).
shadowsockss-obfs-tls: yükləmə - 1618 mbit; 1971 mbit yükləmə.
shadowsockss-obfs-http: yükləmə - 1582 mbit; yükləmə - 1965 mbit.
Http rejimində sadə obflər CDN tərs proksi (məsələn, cloudflare) vasitəsilə də işləyə bilər, buna görə də provayderimiz üçün trafik bulud alovuna http-açıq mətn trafiki kimi görünəcək, bu, tunelimizi bir az daha yaxşı gizlətməyə imkan verir. eyni zamanda giriş nöqtəsini və trafik çıxışını ayırın - provayder trafikinizin CDN ip ünvanına doğru getdiyini görür və şəkillərdəki ekstremist bəyənmələr bu anda VPS ip ünvanından endirilir. Deməliyəm ki, CF vasitəsilə s-obfs qeyri-müəyyən işləyir, vaxtaşırı bəzi http resurslarını açmır, məsələn. Beləliklə, shadowsockss-obfs+CF vasitəsilə iperf vasitəsilə yükləməni yoxlamaq mümkün olmadı, lakin sürət testinin nəticələrinə əsasən, keçid qabiliyyəti shadowsocksv2ray-plugin-tls+CF səviyyəsindədir. Mən iperf3 ilə ekran görüntüləri əlavə etmirəm, çünki onlara etibar etmək olmaz.
yükləmə (sürət testi) - 887; yükləmə (sürət testi) - 1154.
Yüklə (iperf3) - 1625; yükləmə (iperf3) - NA.
v2ray plagini
V2ray-plugin ss-lib üçün əsas "rəsmi" obfuscator kimi simple-obf-ləri əvəz etdi. Sadə obf-lərdən fərqli olaraq, o, hələ depolarda deyil və ya əvvəlcədən qurulmuş ikili faylı yükləməlisiniz, ya da özünüz tərtib etməlisiniz.
3 iş rejimini dəstəkləyir: default, http-websocket (təyinat host başlıqlarının saxtalaşdırılması dəstəyi ilə); tls-websocket (s-obfs-dən fərqli olaraq, bu, hər hansı əks proxy veb server tərəfindən tanınan tam hüquqlu tls trafikidir və məsələn, cloudflare serverlərində və ya nginx-də tls dayandırılmasını konfiqurasiya etməyə imkan verir); quic - udp vasitəsilə işləyir, lakin təəssüf ki, v2ray-də quick-ın performansı çox aşağıdır.
Sadə-obfs ilə müqayisədə üstünlüklərdən: v2ray plagini istənilən trafiklə http-websocket rejimində CF vasitəsilə problemsiz işləyir, tls-rejimində tam hüquqlu tls-trafikdir, işləmək üçün sertifikatlar tələb olunur (məsələn, gəlin şifrələmə və ya özünü imzalama).
shadowsocksv2ray-plugin-http: yükləmə - 1404 mbit; 1938 mbit yükləmə.
shadowsocksv2ray-plugin-tls: yükləmə - 1214 mbit; 1898 mbs yükləyin.
shadowsocksv2ray-plugin-quic: yükləmə - 183 mbit; 384 mbit yükləmə.
Dediyim kimi, v2ray başlıqları təyin edə bilər və beləliklə, siz onunla əks proxy CDN (məsələn, Cloudfler) vasitəsilə işləyə bilərsiniz. Bir tərəfdən, bu, tunelin aşkarlanmasını çətinləşdirir, digər tərəfdən, gecikməni bir qədər artıra (və bəzən azalda bilər) - hamısı sizin və serverlərin yerləşdiyi yerdən asılıdır. Hazırda CF quic ilə işi sınaqdan keçirir, lakin bu rejim hələ mövcud deyil (ən azı pulsuz hesablar üçün).
shadowsocksv2ray-plugin-http+CF: yükləmə - 1284 mbit; 1785 mbs yükləyin.
shadowsocksv2ray-plugin-tls+CF: yükləmə - 1261 mbit; 1881 mbit yükləmə.
Cloak
Saat GoQuiet obfuscatorunun gələcək inkişafının nəticəsidir. TLS trafikini simulyasiya edir, müvafiq olaraq TCP üzərində işləyir. Hazırda müəllif plaqinin ikinci versiyası olan cloak-2-ni buraxıb ki, bu da orijinal plaşdan əhəmiyyətli dərəcədə fərqlənir.
Tərtibatçının sözlərinə görə, plaqinin ilk versiyasında tls üçün təyinat ünvanını saxtalaşdırmaq üçün tls 1.2 resume sessiya mexanizmindən istifadə edilib. Yeni versiyanın (klok-2) buraxılmasından sonra github-da bu mexanizmi təsvir edən bütün wiki səhifələri silindi, şifrələmə çaşqınlığının cari təsvirində bu barədə heç bir qeyd yoxdur. Müəllifin təsvirinə görə, saatın ilk versiyası “kriptoda kritik zəifliklərin” olması səbəbindən istifadə edilmir. Testlər zamanı tullantıların yalnız ilk versiyası var idi, onun ikili faylları hələ də github-dadır və digər şeylər arasında kritik zəifliklər çox vacib deyil, çünki. Shadowsox trafiki saatsız olduğu kimi şifrələyir və kloaka Shadowsox kriptovalyutasına təsir göstərmir.
shadowsockscloak: yükləmə - 1533; yükləmə - 1970 mbit
Kcptun
kcptun nəqliyyat kimi istifadə edir bəzi xüsusi hallarda isə ötürmə qabiliyyətinin artmasına nail olmağa imkan verir. Təəssüf ki (və ya xoşbəxtlikdən) bu, əsasən Çindən olan istifadəçilər üçün doğrudur, onların bəzi mobil operatorları TCP-ni güclü şəkildə azaldır və UDP-yə toxunmur.
Kcptun cəhənnəm kimi acgözdür və 100 müştəri tərəfindən sınaqdan keçirildikdə asanlıqla 4% 1 Siono-Core yükləyir. Bundan əlavə, plagin "yavaşdır" və iperf3 ilə işləyərkən testləri sona qədər bitirmir. Brauzerdə sürət testinə diqqət yetiririk.
shadowsockskcptun: yükləmə (sürət testi) - 546 mbit; yükləmə (sürət testi) 854 mbit.
Nəticə
Bütün maşının trafikini tamamlamaq üçün sadə sürətli VPN-ə ehtiyacınız varmı? Onda seçiminiz mühafizəçidir. Proksiləri (virtual şəxslərin selektiv tunelləşdirilməsi və ya axınının bölünməsi üçün) istəyirsiniz, yoxsa trafiki ciddi bloklamadan gizlətmək sizin üçün daha vacibdir? Sonra shadowsox-a tlshttp qarışıqlığı ilə baxın. İnternet ümumiyyətlə işləyərkən İnternetinizin işləyəcəyinə əmin olmaq istəyirsiniz? Mühüm CDN-lər vasitəsilə proksi trafiki seçin, bloklama ölkədə internetin yarısının azalmasına səbəb olacaq.
endirmələrə görə sıralanmış pivot cədvəli
Mənbə: www.habr.com