Siccomu ci hè sempre più denegatu l'accessu à diverse risorse in a reta, u prublema di sguassate u bluccatu diventa sempre più pressante, chì significa chì a quistione "Cumu sguassate u bluccatu più veloce?" diventa sempre più pertinente.
Lasciemu u tema di l'efficienza in quantu à l'annullamentu di e liste bianche di DPI per un altru casu, è simpricimenti paragunate u rendiment di l'arnesi di bypass di blocchi populari.
Attenzione: Ci saranu assai ritratti sottu spoilers in l'articulu.
Disclaimer: questu articulu paraguna a prestazione di soluzioni proxy VPN populari in cundizioni vicinu à "ideale". I risultati ottenuti è descritti quì ùn coincidenu micca necessariamente cù i vostri risultati in i campi. Perchè u numeru in a prova di velocità spessu dipende micca da quantu putente hè l'uttellu di bypass, ma da cumu u vostru fornitore throttles.
Metodulugia
3 VPS sò stati acquistati da un fornitore di nuvola (DO) in diversi paesi di u mondu. 2 in l'Olanda, 1 in Germania. U VPS più pruduttivu (per u numeru di core) hè statu sceltu da quelli dispunibuli per u contu sottu l'offerta per i crediti di cuponu.
Un servitore privatu iperf3 hè implementatu nantu à u primu servitore Olandese.
Nantu à u sicondu servitore Olandese, diversi servitori di arnesi di bypass di blocchi sò implementati unu per unu.
Un desktop Linux image (xubuntu) cù VNC è un desktop virtuale hè implementatu nantu à u VPS tedescu. Questa VPN hè un cliente cundizionale, è parechji clienti proxy VPN sò stallati è lanciati nantu à ellu à turnu.
E misurazioni di a velocità sò realizate trè volte, ci focalizemu nantu à a media, usemu 3 strumenti: in Chromium attraversu una prova di velocità web; in Chromium via fast.com; da a cunsola via iperf3 via proxychains4 (induve avete bisognu di mette u trafficu iperf3 in u proxy).
Una cunnessione diretta "client"-server iperf3 dà una veloce di 2 Gbps in iperf3, è un pocu menu in fastspeedtest.
Un lettore curiosu pò dumandà: "Perchè ùn avete micca sceltu speedtest-cli?" è hà da esse ghjustu.
Speedtest-cli s'hè rivelatu micca affidabile è un modu inadegwatu per misurà u throughput, per ragioni scunnisciute per mè. Trè misurazioni consecutivi puderanu dà trè risultati completamente differenti, o per esempiu mostranu un throughput assai più altu ch'è a velocità di u portu di u mo VPS. Forsi u prublema hè a mo manu, ma pareva impussibile di fà ricerche cù un tali strumentu.
In quantu à i risultati per i trè metudi di misurazione (speedtest fastiperf), cunsiderà chì l'indicatori iperf sò i più precisi è affidabili, è u fastspeedtest cum'è riferimentu. Ma certi strumenti di bypass ùn anu micca permessu di cumplettà 3 misurazioni attraversu iperf3 è in questi casi, pudete confià in speedtestfast.
A prova di velocità dà risultati diffirenti
Strumenti
In totale, 24 diversi strumenti di bypass o e so cumminazzioni sò stati pruvati, per ognunu di elli daraghju picculi spiegazioni è e mo impressioni di travaglià cun elli. Ma essenzialmente, u scopu era di paragunà a velocità di shadowsocks (è una mansa di sfarente obfuscators per questu) openVPN è wireguard.
In questu materiale, ùn discuteraghju micca in dettagliu a quistione di "cumu megliu per ammuccià u trafficu per ùn esse micca disconnected", perchè l'annullamentu di u bluccatu hè una misura reattiva - adattemu à ciò chì u censor usa è agisce nantu à questa basa.
Risultati
Strongswanipsec
In i mo impressioni, hè assai faciule di stallà è funziona abbastanza stabile. Unu di i vantaghji hè chì hè veramente cross-platform, senza bisognu di circà i clienti per ogni piattaforma.
Scaricatu - 993 Mbits; upload - 770 Mbits
Tunnel SSH
Probabilmente solu i pigri ùn anu micca scrittu annantu à l'usu di SSH cum'è strumentu di tunnel. Unu di i disadvantages hè a "crutch" di a suluzione, i.e. implementà lu da un cliente cunvene è bellu in ogni piattaforma ùn funziona micca. I vantaghji sò una bona prestazione, ùn ci hè bisognu di stallà nunda in u servitore.
Scaricatu - 1270 Mbits; upload - 1140 Mbits
OpenVPN
OpenVPN hè statu pruvatu in 4 modi operativi: tcp, tcp+sslh, tcp+stunnel, udp.
I servitori OpenVPN sò stati cunfigurati automaticamente installendu streisand.
In quantu si pò ghjudicà, à u mumentu solu u modu stunnel hè resistente à DPI avanzati. U mutivu di l'aumentu anormali di u throughput quandu wrapping openVPN-tcp in stunnel ùn hè micca chjaru per mè, i cuntrolli sò stati fatti in parechje corse, in tempi diversi è ghjorni diffirenti, u risultatu era u listessu. Forse questu hè dovutu à i paràmetri di stack di rete installati quandu si sparghje Streisand, scrivite s'ellu avete idee perchè questu hè cusì.
openvpntcp: scaricamentu - 760 Mbits; carica - 659 Mbits
openvpntcp + sslh: scaricate - 794 Mbits; carica - 693 Mbits
openvpntcp+stunnel: scaricate - 619 Mbits; carica - 943 Mbits
openvpnudp: scaricamentu - 756 Mbits; carica - 580 Mbits
Openconnect
Ùn hè micca l'uttellu più pupulare per scaccià i blocchi, hè inclusu in u pacchettu Streisand, cusì hè statu decisu di pruvà ancu.
Scaricatu - 895 Mbits; carica 715 Mbps
Guardaghjolu
Un strumentu di hype chì hè populari trà l'utilizatori occidentali, i sviluppatori di u protokollu anu ancu ricivutu alcune cuncessioni per u sviluppu da i fondi di difesa. Funziona cum'è un modulu di kernel Linux via UDP. Ricertamenti, i clienti per windowsios sò apparsu.
Hè statu cuncipitu da u creatore cum'è un modu simplice è rapidu per fighjà Netflix mentre ùn hè micca in i stati.
Da quì i pro è i contra. Pro: protokollu assai veloce, relativa facilità d'installazione è cunfigurazione. Disadvantages - u sviluppatore ùn l'hà micca creatu inizialmente cù l'obiettivu di bypassà i blocchi serii, è per quessa wargard hè facilmente rilevatu da i strumenti più simplici, incl. wireshark.
protocolu wireguard in wireshark
Scaricatu - 1681 Mbits; carica 1638 Mbps
Curiosamente, u protocolu di warguard hè utilizatu in u cliente tunsafe di terzu, chì, quandu s'utilice cù u stessu servitore di warguard, dà risultati assai peggiu. Hè prubabile chì u cliente di Windows wargard mostrarà i stessi risultati:
tunsafeclient: download - 1007 Mbits; carica - 1366 Mbits
OutlineVPN
Outline hè una implementazione di un servitore è cliente shadowox cù una bella è cunvene interfaccia d'utilizatore da u puzzle di Google. In Windows, u client outline hè solu un inseme di wrappers per i binari shadowsocks-local (shadowsocks-libev client) è badvpn (tun2socks binariu chì dirige tuttu u trafficu di a macchina à un proxy di calzini lucali).
Shadowsox era una volta resistente à u Great Firewall of China, ma basatu annantu à l'ultimi recensioni, questu ùn hè più u casu. A cuntrariu di ShadowSox, fora di a scatula ùn sustene micca a cunnessione di l'obfuscazione per mezu di i plugins, ma questu pò esse fattu manualmente per chjappà cù u servitore è u cliente.
Scaricatu - 939 Mbits; upload - 930 Mbits
Ombri Razzu
ShadowsocksR hè una furchetta di i Shadowsocks originali, scritti in Python. In essenza, hè una scatula d'ombra à quale parechji metudi di obfuscazione di u trafficu sò strettamente pinned.
Ci sò furchetti di ssR à libev è qualcosa altru. U bassu throughput hè probabilmente duvuta à a lingua di codice. U shadowsox originale nantu à python ùn hè micca assai più veloce.
shadowsocksR: scaricate 582 Mbits; carica 541 Mbits.
Ombra
Un strumentu di bypass di bloccu cinese chì randomizeghja u trafficu è interferisce cù l'analisi automatica in altre manere maravigliose. Finu à pocu tempu, GFW ùn era micca bluccatu; dicenu chì avà hè bluccatu solu se u relay UDP hè attivatu.
Cross-piattaforma (ci sò clienti per ogni piattaforma), supporta u travagliu cù PT simili à l'obfuscatori di Thor, ci sò parechji di i so propiu o adattati à l'obfuscators, veloce.
Ci hè una mansa di implementazioni di clienti è servitori shadowox, in diverse lingue. In a prova, shadowsocks-libev hà agitu cum'è un servitore, diversi clienti. U cliente Linux più veloce hè diventatu shadowsocks2 on go, distribuitu cum'è un cliente predeterminatu in streisand, ùn possu micca dì quantu hè più produtivu shadowsocks-windows. In a maiò parte di e teste, shadowsocks2 hè stata utilizata cum'è cliente. I screenshots chì provanu shadowsocks-libev puri ùn sò micca stati fatti per via di l'evidente ritardo di sta implementazione.
shadowsocks2: scaricamentu - 1876 Mbits; carica - 1981 Mbits.
shadowsocks-rust: download - 1605 Mbits; carica - 1895 Mbits.
Shadowsocks-libev: scaricamentu - 1584 Mbits; carica - 1265 Mbits.
Simple-obfs
U plugin per shadowox hè avà in u statu "deprezzatu" ma ancu travaglia (ancu se micca sempre bè). In gran parte rimpiazzatu da u v2ray-plugin. Obfuscates u trafficu sia sottu un websocket HTTP (è permette di falsificà l'intestazione di destinazione, fintendu chì ùn site micca guardà un pornhub, ma, per esempiu, u situ web di a Custituzione di a Federazione Russa) o sottu pseudo-tls (pseudo). , perchè ùn usa micca certificati, u DPI più simplice cum'è nDPI liberu sò rilevati cum'è "tls no cert." In u modu tls, ùn hè più pussibule di spoof headers).
Piuttostu veloce, installatu da u repo cun un cumandimu, cunfiguratu assai simplice, hà una funzione di failover integrata (quandu u trafficu da un cliente non-simple-obfs vene à u portu chì simple-obfs ascolta, u trasmette à l'indirizzu). induve specificate in i paràmetri - cum'è questu In questu modu, pudete evità a verificazione manuale di u portu 80, per esempiu, per simplificà a redirezzione à un situ web cù http, è ancu di bluccà attraversu sondi di cunnessione).
shadowsockss-obfs-tls: scaricate - 1618 Mbits; carica 1971 Mbits.
shadowsockss-obfs-http: scaricate - 1582 Mbits; carica - 1965 Mbits.
Simple-obfs in u modu HTTP pò ancu travaglià attraversu un proxy inversu CDN (per esempiu, cloudflare), cusì per u nostru fornitore u trafficu s'assumiglia à u trafficu HTTP-plaintext à cloudflare, questu ci permette di ammuccià u nostru tunnel un pocu megliu, è à u listessu tempu siparanu u puntu di entrata è u trafficu di u trafficu - u fornitore vede chì u vostru trafficu và versu l'indirizzu IP CDN, è i piace estremisti nantu à i ritratti sò posti in questu mumentu da l'indirizzu IP VPS. Ci vole à dì chì hè s-obfs à traversu CF chì travaglia ambiguously, periodicamente ùn apre qualchi risorse HTTP, per esempiu. Dunque, ùn era micca pussibule di pruvà l'upload cù iperf via shadowsockss-obfs + CF, ma à ghjudicà da i risultati di a prova di velocità, u throughput hè à u livellu di shadowsocksv2ray-plugin-tls + CF. Ùn aghju micca attaccatu screenshots da iperf3, perchè ... Ùn avete micca cunfidendu nantu à elli.
download (speedtest) - 887; carica (test di velocità) - 1154.
Scaricate (iperf3) - 1625; carica (iperf3) - NA.
v2ray-plugin
V2ray-plugin hà rimpiazzatu l'obfs simplici cum'è u principale obfuscator "ufficiale" per ss libs. A cuntrariu di l'obfs simplici, ùn hè micca ancu in i repositori, è avete bisognu di scaricà un binariu pre-assemblatu o di compilallu stessu.
Supporta 3 modi operativi: default, HTTP websocket (cù supportu per spoofing headers di l'ospite di destinazione); tls-websocket (cuntrariu di s-obfs, questu hè u trafficu tls full-fledged, chì hè ricunnisciutu da qualsiasi servitore web proxy inversu è, per esempiu, permette di cunfigurà a terminazione di tls in i servitori cloudfler o in nginx); quic - travaglia via udp, ma sfurtunatamenti u rendiment di quic in v2rey hè assai bassu.
Trà i vantaghji paragunatu à l'obfs simplici: u plugin v2ray funziona senza prublemi via CF in modu HTTP-websocket cù qualsiasi trafficu, in modu TLS hè un trafficu TLS cumpletu, richiede certificati per u funziunamentu (per esempiu, da Let's encrypt o self. - firmatu).
shadowsocksv2ray-plugin-http: scaricamentu - 1404 Mbits; carica 1938 Mbits.
shadowsocksv2ray-plugin-tls: scaricate - 1214 Mbits; carica 1898 Mbits.
shadowsocksv2ray-plugin-quic: scaricate - 183 Mbits; carica 384 Mbits.
Cumu l'aghju digià dettu, v2ray pò stabilisce intestazioni, è cusì pudete travaglià cun ellu attraversu un CDN proxy inversu (cloudfler per esempiu). Da una banda, questu complica a deteczione di u tunnel, da l'altra banda, pò aumentà ligeramente (è qualchì volta riduce) u lag - tuttu dipende di u locu di voi è i servitori. CF hè attualmente in prova di travaglià cù quic, ma questu modu ùn hè ancu dispunibule (almenu per i cunti gratuiti).
shadowsocksv2ray-plugin-http+CF: scaricate - 1284 Mbits; carica 1785 Mbits.
shadowsocksv2ray-plugin-tls+CF: scaricate - 1261 Mbits; carica 1881 Mbits.
Mantellu
U shred hè u risultatu di u sviluppu ulteriore di l'obfuscator GoQuiet. Simula u trafficu TLS è travaglia via TCP. À u mumentu, l'autore hà liberatu a seconda versione di u plugin, cloak-2, chì hè significativamente sfarente di u mantellu originale.
Sicondu u sviluppatore, a prima versione di u plugin hà utilizatu u mecanismu di ripresa di sessione tls 1.2 per spoof l'indirizzu di destinazione per tls. Dopu a liberazione di a nova versione (clock-2), tutte e pagine wiki in Github chì descrizanu stu mecanismu sò state sguassate; ùn ci hè micca menzione di questu in a descrizzione attuale di a criptografia di offuscazione. Sicondu a descrizzione di l'autore, a prima versione di u shred ùn hè micca utilizatu per a prisenza di "vulnerabilità critica in criptu". À l'epica di e teste, ci era solu a prima versione di u mantellu, i so binari sò sempre nantu à Github, è in più di tuttu, i vulnerabili critichi ùn sò micca assai impurtanti, perchè shadowsox cripta u trafficu in u listessu modu cum'è senza un mantellu, è u cloac ùn hà micca effettu nantu à a criptu di shadowsox.
shadowsockscloak: download - 1533; carica - 1970 Mbits
Kcptun
usa kcptun cum'è trasportu è in certi casi spiciali permette di ottene u throughput aumentatu. Sfurtunatamente (o furtunatamente), questu hè largamente pertinente per l'utilizatori di a Cina, alcuni di i quali l'operatori di telefuninu throttle assai TCP è ùn toccanu micca UDP.
Kcptun hè dannamente a fame di putenza, è facilmente carica 100 cores di Zion à 4% quandu hè pruvatu da 1 cliente. Inoltre, u plugin hè "lentu", è quandu travaglia cù iperf3 ùn compie micca e teste à a fine. Fighjemu a prova di velocità in u navigatore.
shadowsockskcptun: download (speedtest) - 546 Mbits; carica (test di velocità) 854 Mbits.
cunchiusioni
Avete bisognu di una VPN simplice è veloce per piantà u trafficu da tutta a vostra macchina? Allora a vostra scelta hè warguard. Vulete proxy (per tunneling selettivu o separazione di flussi di persone virtuali) o hè più impurtante per voi di offuscate u trafficu da u bloccu seriu? Allora fighjate shadowbox cù tlshttp offuscation. Vulete esse sicuru chì u vostru Internet hà da travaglià finu à chì Internet travaglia in tuttu? Sceglite u trafficu proxy à traversu CDN impurtanti, bluccà chì portarà à u fallimentu di a mità di l'Internet in u paese.
Pivot table, ordinatu per scaricamentu
Source: www.habr.com