Vzhledem k tomu, že je nám stále více odepírán přístup k různým zdrojům v síti, je otázka obcházení blokování stále naléhavější, což znamená, že otázka „Jak obejít blokování rychleji?“ se stává stále aktuálnější.
Nechme téma efektivity z hlediska obcházení whitelistů DPI pro jiný případ a jednoduše porovnejme výkon oblíbených nástrojů pro obcházení bloků.
Pozor: V článku bude spousta obrázků pod spoilery.
Zřeknutí se odpovědnosti: Tento článek porovnává výkon oblíbených proxy řešení VPN za podmínek blízkých „ideálním“. Zde získané a popsané výsledky se nemusí nutně shodovat s vašimi výsledky v polích. Protože číslo v testu rychlosti bude často záviset nikoli na tom, jak výkonný nástroj bypass je, ale na tom, jak jej váš poskytovatel přiškrtí.
Metodologie
3 VPS byly zakoupeny od poskytovatele cloudu (DO) v různých zemích světa. 2 v Nizozemsku, 1 v Německu. Nejproduktivnější VPS (podle počtu jader) byla vybrána z dostupných pro účet v rámci nabídky kuponových kreditů.
Na prvním holandském serveru je nasazen privátní server iperf3.
Na druhém holandském serveru jsou jeden po druhém nasazeny různé servery nástrojů pro blokové obcházení.
Na německém VPS je nasazen obraz desktopového Linuxu (xubuntu) s VNC a virtuálním desktopem. Tato VPN je podmíněný klient a postupně se na ní instalují a spouštějí různí klienti VPN proxy.
Měření rychlosti se provádí třikrát, zaměřujeme se na průměr, používáme 3 nástroje: v Chromiu prostřednictvím testu rychlosti webu; v Chromiu přes fast.com; z konzole přes iperf3 přes proxychains4 (kde musíte dát provoz iperf3 do proxy).
Přímé spojení „klient“-server iperf3 dává rychlost 2 Gbps v iperf3 a o něco méně ve fastspeedtestu.
Zvídavý čtenář se může ptát: "Proč jste si nevybrali speedtest-cli?" a bude mít pravdu.
Speedtest-cli se z mně neznámých důvodů ukázal jako nespolehlivý a neadekvátní způsob měření propustnosti. Tři po sobě jdoucí měření by mohla dát tři zcela odlišné výsledky, nebo například ukázat propustnost mnohem vyšší, než je rychlost portu mého VPS. Možná je problém v mé paličkovité ruce, ale zdálo se nemožné provést výzkum s takovým nástrojem.
Pokud jde o výsledky pro tři metody měření (speedtest fastiperf), za nejpřesnější a nejspolehlivější považuji indikátory iperf a za referenční fastspeedtest. Některé nástroje bypass však neumožňovaly dokončit 3 měření přes iperf3 av takových případech se můžete spolehnout na speedtestfast.
rychlostní test dává různé výsledky
Sada nástrojů
Celkem bylo testováno 24 různých bypass nástrojů nebo jejich kombinací, ke každému z nich uvedu malá vysvětlení a své dojmy z práce s nimi. Ale v podstatě bylo cílem porovnat rychlosti shadowsocks (a spoustu různých obfuskátorů) openVPN a wireguard.
V tomto materiálu nebudu podrobně diskutovat o otázce „jak nejlépe skrýt provoz, aby nebyl odpojen“, protože obcházení blokování je reaktivní opatření - přizpůsobujeme se tomu, co cenzor používá, a na tomto základě jednáme.
výsledky
Strongswanipsec
Podle mých dojmů je nastavení velmi snadné a funguje docela stabilně. Jednou z výhod je, že je skutečně multiplatformní, bez nutnosti hledat klienty pro každou platformu.
stahování - 993 mbit; upload - 770 mbit
SSH tunel
O použití SSH jako tunelového nástroje asi nepsali jen líní. Jednou z nevýhod je „berlička“ řešení, tzn. jeho nasazení z pohodlného a krásného klienta na každou platformu nebude fungovat. Výhodou je dobrý výkon, není potřeba na server vůbec nic instalovat.
stahování - 1270 mbit; upload - 1140 mbit
OpenVPN
OpenVPN bylo testováno ve 4 provozních režimech: tcp, tcp+sslh, tcp+stunnel, udp.
Servery OpenVPN byly nakonfigurovány automaticky instalací streisand.
Pokud lze soudit, v tuto chvíli je odolný vůči pokročilým DPI pouze režim stunnel. Důvod abnormálního nárůstu propustnosti při balení openVPN-tcp v stunnelu mi není jasný, kontroly probíhaly ve více sériích, v různé časy a v různé dny, výsledek byl stejný. Možná je to kvůli nastavení síťového zásobníku nainstalovaného při nasazení Streisand, napište, pokud máte nějaké nápady, proč tomu tak je.
openvpntcp: download - 760 mbit; upload – 659 mbit
openvpntcp+sslh: download - 794 mbits; upload - 693 mbit
openvpntcp+stunnel: download - 619 mbits; upload - 943 Mbit
openvpnudp: download - 756 mbit; upload - 580 mbit
Openconnect
Nejedná se o nejoblíbenější nástroj pro obcházení blokád, je součástí balíčku Streisand, proto jsme se rozhodli jej také otestovat.
stahování - 895 mbit; upload 715 Mb/s
Drátěný strážce
Tento hype nástroj, který je oblíbený mezi západními uživateli, vývojáři protokolu dokonce získali nějaké granty na vývoj z obranných fondů. Funguje jako modul linuxového jádra přes UDP. Nedávno se objevili klienti pro windowsios.
Tvůrce jej koncipoval jako jednoduchý a rychlý způsob, jak sledovat Netflix, když nejste ve státech.
Proto ty pro a proti. Klady: velmi rychlý protokol, relativní snadnost instalace a konfigurace. Nevýhody - vývojář jej původně nevytvořil s cílem obejít vážné blokády, a proto je wargard snadno detekován nejjednoduššími nástroji, vč. wireshark.
protokol wireguard v wireshark
stahování - 1681 mbit; upload 1638 Mb/s
Zajímavé je, že protokol warguard se používá v klientovi tunsafe třetí strany, který při použití se stejným serverem warguard poskytuje mnohem horší výsledky. Je pravděpodobné, že klient Windows wargard ukáže stejné výsledky:
tunsafeclient: ke stažení - 1007 mbitů; upload - 1366 Mbit
OutlineVPN
Outline je implementace shadowox serveru a klienta s krásným a pohodlným uživatelským rozhraním ze skládačky Google. Ve Windows je obrysový klient jednoduše sada obalů pro binární soubory shadowsocks-local (klient shadowsocks-libev) a badvpn (binární soubor tun2socks, který směruje veškerý provoz stroje na místní proxy server socks).
Shadowsox byl kdysi odolný vůči Great Firewall of China, ale na základě nedávných recenzí už tomu tak není. Na rozdíl od ShadowSox již po vybalení nepodporuje připojení zmatku pomocí zásuvných modulů, ale to lze provést ručně pohráváním si se serverem a klientem.
stahování - 939 mbit; upload - 930 mbit
Stínové ponožky R.
ShadowsocksR je fork původních Shadowsocks napsaných v Pythonu. V podstatě se jedná o shadowbox, ke kterému je pevně připojeno několik metod obfuskace provozu.
Existují forky ssR na libev a něco jiného. Nízká propustnost je pravděpodobně způsobena jazykem kódu. Původní shadowsox na pythonu není o moc rychlejší.
shadowsocksR: download 582 mbits; upload 541 mbit.
Shadowsocks
Čínský nástroj pro obcházení bloků, který náhodně rozděluje provoz a zasahuje do automatické analýzy jinými úžasnými způsoby. Až donedávna nebyl GFW blokován, říkají, že nyní je blokován pouze v případě, že je zapnuto relé UDP.
Cross-platformní (existují klienti pro jakoukoli platformu), podporuje práci s PT podobně jako Thorovy obfuskátory, existuje několik vlastních nebo jemu přizpůsobených obfuskátorů, rychlé.
Existuje spousta implementací shadowox klientů a serverů v různých jazycích. Při testování se shadowsocks-libev choval jako server, různí klienti. Nejrychlejším linuxovým klientem se ukázal být shadowsocks2 on go, distribuovaný jako výchozí klient v streisand, nemohu říci, o kolik produktivnější jsou shadowsocks-windows. Ve většině dalších testů byl jako klient použit shadowsocks2. Screenshoty testující čisté shadowsocks-libev nebyly vytvořeny kvůli zjevnému zpoždění této implementace.
shadowsocks2: stažení - 1876 mbit; upload - 1981 mbit.
shadowsocks-rust: download - 1605 mbits; upload - 1895 mbit.
Shadowsocks-libev: ke stažení - 1584 mbits; upload - 1265 mbit.
Jednoduché-obfs
Plugin pro shadowsox je nyní ve stavu „odpisováno“, ale stále funguje (i když ne vždy dobře). Z velké části nahrazen v2ray-pluginem. Obfuskuje provoz buď pod HTTP websocket (a umožňuje podvrhnout cílovou hlavičku, předstírat, že se nedíváte na pornhub, ale například web Ústavy Ruské federace), nebo pod pseudo-tls (pseudo , protože nepoužívá žádné certifikáty, nejjednodušší DPI, jako je volné nDPI, jsou detekovány jako „tls no cert“. V režimu tls již není možné falšovat hlavičky).
Docela rychlý, nainstalovaný z repo jedním příkazem, konfigurovaný velmi jednoduše, má vestavěnou funkci failover (když provoz z klienta non-simple-obfs přijde na port, který simple-obfs poslouchá, přepošle ho na adresu kde určíte v nastavení - takto Takto se můžete vyhnout ruční kontrole portu 80 např. pouhým přesměrováním na web s http, stejně jako blokováním přes sondy připojení).
shadowsockss-obfs-tls: ke stažení - 1618 mbit; upload 1971 mbit.
shadowsockss-obfs-http: download - 1582 mbit; upload - 1965 mbit.
Simple-obfs v režimu HTTP mohou také fungovat přes CDN reverzní proxy (například cloudflare), takže pro našeho poskytovatele bude provoz vypadat jako provoz HTTP-prostého textu do cloudflare, což nám umožňuje skrýt náš tunel o něco lépe a na současně oddělte vstupní bod a výstup provozu - poskytovatel vidí, že váš provoz směřuje na CDN IP adresu, a extrémistické lajky na obrázcích jsou v tuto chvíli umístěny z VPS IP adresy. Je třeba říci, že právě s-obfs přes CF funguje nejednoznačně, například periodicky neotevírá některé HTTP zdroje. Nebylo tedy možné otestovat nahrávání pomocí iperf přes shadowsockss-obfs+CF, ale soudě podle výsledků testu rychlosti je propustnost na úrovni shadowsocksv2ray-plugin-tls+CF. Nepřipojuji screenshoty z iperf3, protože... Neměli byste na ně spoléhat.
stahování (speedtest) - 887; upload (rychlostní test) - 1154.
Stáhnout (iperf3) - 1625; upload (iperf3) - NA.
v2ray-plugin
V2ray-plugin nahradil jednoduché obfs jako hlavní „oficiální“ obfuskátor pro ss libs. Na rozdíl od jednoduchých obfs ještě není v repozitářích a musíte si buď stáhnout předem sestavenou binárku, nebo si ji zkompilovat sami.
Podporuje 3 provozní režimy: výchozí, HTTP websocket (s podporou falešných hlaviček cílového hostitele); tls-websocket (na rozdíl od s-obfs se jedná o plnohodnotný provoz tls, který rozpozná jakýkoli webový server reverzní proxy a umožňuje například nakonfigurovat ukončení tls na serverech cloudfler nebo v nginx); quic - funguje přes udp, ale bohužel výkon quic ve v2rey je velmi nízký.
Mezi výhody oproti jednoduchým obfs: plugin v2rey funguje bez problémů přes CF v režimu HTTP-websocket s libovolným provozem, v režimu TLS je to plnohodnotný provoz TLS, pro provoz vyžaduje certifikáty (např. od Let's encrypt nebo self -podepsaný).
shadowsocksv2ray-plugin-http: download - 1404 mbit; upload 1938 mbit.
shadowsocksv2ray-plugin-tls: ke stažení - 1214 mbit; upload 1898 Mbit.
shadowsocksv2ray-plugin-quic: ke stažení - 183 mbit; upload 384 Mbit.
Jak jsem již řekl, v2ray umí nastavit hlavičky, a tak s ním můžete pracovat přes reverzní proxy CDN (například cloudfler). Na jednu stranu to komplikuje detekci tunelu, na druhou stranu to může mírně zvýšit (a někdy i snížit) zpoždění - vše závisí na umístění vás a serverů. CF aktuálně testuje práci s quic, ale tento režim zatím není dostupný (alespoň pro bezplatné účty).
shadowsocksv2ray-plugin-http+CF: ke stažení - 1284 mbit; upload 1785 mbit.
shadowsocksv2ray-plugin-tls+CF: download - 1261 mbit; upload 1881 mbit.
Plášť
Shred je výsledkem dalšího vývoje obfuskátoru GoQuiet. Simuluje provoz TLS a funguje přes TCP. V tuto chvíli autor vydal druhou verzi pluginu, cloak-2, která se výrazně liší od původního cloaku.
Podle vývojáře první verze pluginu používala mechanismus obnovení relace tls 1.2 ke zfalšování cílové adresy pro tls. Po vydání nové verze (clock-2) byly všechny wiki stránky na Githubu popisující tento mechanismus smazány, v aktuálním popisu obfuskačního šifrování o tom není ani zmínka. Podle popisu autora se první verze shred nepoužívá kvůli přítomnosti „kritických zranitelností v kryptoměnách“. V době testů existovala pouze první verze maskování, jeho binárky jsou stále na Githubu a kromě všeho ostatní nejsou kritické zranitelnosti příliš důležité, protože shadowsox šifruje provoz stejným způsobem jako bez maskování a cloac nemá žádný vliv na krypto shadowsox.
shadowsockscloak: download - 1533; upload - 1970 mbit
Kcptun
používá kcptun jako transport a v některých speciálních případech umožňuje dosáhnout zvýšené propustnosti. Bohužel (nebo naštěstí) je to do značné míry relevantní pro uživatele z Číny, z nichž někteří mobilní operátoři výrazně omezují TCP a nedotýkají se UDP.
Kcptun je zatraceně hladový a při testování 100 klientem snadno zatíží 4 jádra zion na 1 %. Kromě toho je plugin „pomalý“ a při práci přes iperf3 nedokončí testy do konce. Pojďme se podívat na test rychlosti v prohlížeči.
shadowsockskcptun: download (speedtest) - 546 mbit; upload (speedtest) 854 mbit.
Závěr
Potřebujete jednoduchou a rychlou VPN k zastavení provozu z celého vašeho počítače? Pak je vaší volbou válečný strážce. Chcete proxy (pro selektivní tunelování nebo oddělení toků virtuálních osob) nebo je pro vás důležitější zatemnit provoz před vážným blokováním? Pak se podívejte na shadowbox s tlshttp obfuscation. Chcete mít jistotu, že váš internet bude fungovat, dokud bude vůbec fungovat? Zvolte proxy provoz prostřednictvím důležitých sítí CDN, jehož blokování povede k výpadku poloviny internetu v zemi.
Kontingenční tabulka seřazená podle stahování
Zdroj: www.habr.com