Byl vydán proxy server obrys-ss-server 1.4, který používá protokol Shadowsocks ke skrytí povahy provozu, obcházení firewallů a oklamání systémů kontroly paketů. Server je vyvíjen v rámci projektu Outline, který navíc poskytuje rámec klientských aplikací a ovládací rozhraní, které vám umožní rychle nasadit víceuživatelské servery Shadowsocks založené na Outline-ss-server ve veřejných cloudových prostředích nebo na vašem vlastním zařízení, spravovat je přes webové rozhraní a organizovat uživatelský přístup pomocí klíčů. Kód vyvíjí a spravuje Jigsaw, divize v rámci Google vytvořená za účelem vývoje nástrojů pro obcházení cenzury a organizování volné výměny informací.
Outline-ss-server je napsán v Go a distribuován pod licencí Apache 2.0. Kód použitý jako základ je proxy server go-shadowsocks2, vytvořený komunitou vývojářů Shadowsocks. V poslední době je hlavní aktivita projektu Shadowsocks zaměřena na vývoj nového serveru v jazyce Rust a implementace v jazyce Go nebyla více než rok aktualizována a znatelně pokulhává ve funkčnosti.
Rozdíly mezi outline-ss-server a go-shadowsocks2 spočívají v podpoře připojení více uživatelů prostřednictvím jednoho síťového portu, schopnosti otevřít několik síťových portů pro příjem připojení, podpoře horkého restartu a aktualizacích konfigurace bez přerušení připojení, vestavěné nástroje pro monitorování a úpravu provozu založené na platformě prometheus .io.
Output-ss-server také přidává ochranu proti žádostem o sondu a útokům na přehrání provozu. Útok prostřednictvím testovacích požadavků je zaměřen na určení přítomnosti proxy; útočník může například odeslat datové sady různých velikostí na cílový server Shadowsocks a analyzovat, kolik dat server přečte, než zjistí chybu a uzavře spojení. Útok na přehrání provozu je založen na zachycení relace mezi klientem a serverem a následném pokusu o opakovaný přenos zachycených dat za účelem zjištění přítomnosti proxy.
Aby se chránil před útoky prostřednictvím testovacích požadavků, server obrysu-ss-server, když dorazí nesprávná data, nepřeruší spojení a nezobrazí chybu, ale nadále přijímá informace a chová se jako druh černé díry. Pro ochranu před přehráním jsou data přijatá od klienta navíc kontrolována na opakování pomocí kontrolních součtů uložených pro posledních několik tisíc sekvencí handshake (maximálně 40 tisíc, velikost je nastavena při spuštění serveru a spotřebuje 20 bajtů paměti na sekvenci). K blokování opakovaných odpovědí ze serveru používají všechny serverové sekvence handshake ověřovací kódy HMAC s 32bitovými značkami.
Pokud jde o úroveň skrytí provozu, protokol Shadowsocks v implementaci outline-ss-server se blíží transportu plug-inu Obfs4 v anonymní síti Tor. Protokol byl vytvořen, aby obešel systém cenzury provozu v Číně („The Great Firewall of China“) a umožňuje poměrně efektivně skrýt provoz přesměrovaný přes jiný server (provoz je obtížné identifikovat kvůli připojení náhodného semena a simulaci nepřetržitý tok).
SOCKS5 se používá jako protokol pro proxy požadavky - na lokálním systému je spuštěna proxy s podporou SOCKS5, která tuneluje provoz na vzdálený server, ze kterého jsou požadavky skutečně vykonávány. Komunikace mezi klientem a serverem je umístěna v šifrovaném tunelu (autentizované šifrování je podporováno AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM a AEAD_AES_256_GCM), skrytí skutečnosti jeho vytvoření je primárním úkolem Shadowsocks. Je podporována organizace TCP a UDP tunelů, stejně jako vytváření libovolných tunelů neomezených SOCKS5 pomocí pluginů připomínajících transporty plug-inů v Tor.
Zdroj: opennet.ru