Efterhånden som vi i stigende grad nægtes adgang til forskellige ressourcer på netværket, bliver spørgsmålet om omgåelse af blokering mere og mere presserende, hvilket betyder, at spørgsmålet "Hvordan omgå blokering hurtigere?" bliver mere og mere relevant.
Lad os forlade emnet effektivitet med hensyn til at omgå DPI-hvidlister til en anden sag, og simpelthen sammenligne ydelsen af populære blokomgåelsesværktøjer.
OBS: Der vil være en masse billeder under spoilere i artiklen.
Ansvarsfraskrivelse: denne artikel sammenligner ydelsen af populære VPN-proxyløsninger under forhold tæt på "ideelle". Resultaterne opnået og beskrevet her er ikke nødvendigvis sammenfaldende med dine resultater i felterne. For tallet i hastighedstesten vil ofte ikke afhænge af, hvor kraftigt bypass-værktøjet er, men af hvordan din udbyder drosler det.
metodologi
3 VPS blev købt fra en cloud-udbyder (DO) i forskellige lande rundt om i verden. 2 i Holland, 1 i Tyskland. Den mest produktive VPS (efter antal kerner) blev valgt blandt dem, der var tilgængelige for kontoen under tilbuddet om kuponkreditter.
En privat iperf3-server er installeret på den første hollandske server.
På den anden hollandske server er forskellige servere med blokbypass-værktøjer installeret én efter én.
Et desktop Linux-billede (xubuntu) med VNC og et virtuelt skrivebord er installeret på den tyske VPS. Denne VPN er en betinget klient, og forskellige VPN-proxy-klienter installeres og lanceres på den på skift.
Hastighedsmålinger udføres tre gange, vi fokuserer på gennemsnittet, vi bruger 3 værktøjer: i Chromium gennem en webhastighedstest; i Chromium via fast.com; fra konsollen via iperf3 via proxychains4 (hvor du skal lægge iperf3-trafik ind i proxyen).
En direkte forbindelse “klient”-server iperf3 giver en hastighed på 2 Gbps i iperf3, og lidt mindre i fastspeedtest.
En nysgerrig læser kan spørge, "hvorfor valgte du ikke speedtest-cli?" og han vil have ret.
Speedtest-cli viste sig at være upålidelig og en utilstrækkelig måde at måle gennemløb på, af årsager, som jeg ikke kendte. Tre på hinanden følgende målinger kunne give tre helt forskellige resultater, eller for eksempel vise en gennemstrømning meget højere end porthastigheden på min VPS. Måske er problemet min køllede hånd, men det virkede umuligt at udføre forskning med sådan et værktøj.
Med hensyn til resultaterne for de tre målemetoder (speedtest fastiperf), anser jeg iperf-indikatorerne for at være de mest nøjagtige og pålidelige, og hurtigstesten som reference. Men nogle bypass-værktøjer tillod ikke at gennemføre 3 målinger gennem iperf3, og i sådanne tilfælde kan du stole på speedtestfast.
hastighedstest giver forskellige resultater
værktøjer
I alt blev 24 forskellige bypass-værktøjer eller deres kombinationer testet, for hver af dem vil jeg give små forklaringer og mine indtryk af arbejdet med dem. Men i bund og grund var målet at sammenligne hastighederne for shadowsocks (og en masse forskellige obfuscatorer til det) openVPN og wireguard.
I dette materiale vil jeg ikke diskutere i detaljer spørgsmålet om "hvordan man bedst skjuler trafik for ikke at blive afbrudt", fordi omgåelse af blokering er en reaktiv foranstaltning - vi tilpasser os, hvad censoren bruger og handler på dette grundlag.
Fund
Strongswanipsec
Efter mine indtryk er det meget nemt at sætte op og fungerer ganske stabilt. En af fordelene er, at det virkelig er på tværs af platforme, uden at det er nødvendigt at lede efter kunder til hver platform.
download - 993 mbits; upload - 770 mbits
SSH tunnel
Det er nok kun de dovne, der ikke har skrevet om at bruge SSH som tunnelværktøj. En af ulemperne er løsningens "krykke", dvs. at implementere det fra en praktisk, smuk klient på hver platform vil ikke fungere. Fordelene er god ydeevne, der er ingen grund til at installere noget på serveren overhovedet.
download - 1270 mbits; upload - 1140 mbits
OpenVPN
OpenVPN blev testet i 4 driftstilstande: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN-servere blev konfigureret automatisk ved at installere streisand.
Så vidt man kan bedømme, er det i øjeblikket kun stunneltilstanden, der er modstandsdygtig over for avancerede DPI'er. Årsagen til den unormale stigning i gennemløbet ved indpakning af openVPN-tcp i stunnel er ikke klar for mig, tjek blev udført i flere kørsler, på forskellige tidspunkter og på forskellige dage, resultatet var det samme. Måske skyldes dette netværksstack-indstillingerne, der er installeret ved implementering af Streisand, skriv hvis du har nogen ideer til hvorfor det er sådan.
openvpntcp: download - 760 mbits; upload - 659 mbits
openvpntcp+sslh: download - 794 mbits; upload - 693 mbits
openvpntcp+stunnel: download - 619 mbits; upload - 943 mbits
openvpnudp: download - 756 mbits; upload - 580 mbits
Openconnect
Ikke det mest populære værktøj til at omgå blokeringer, det er inkluderet i Streisand-pakken, så vi besluttede at teste det også.
download - 895 mbits; upload 715 mbps
Trådbeskyttelse
Et hypeværktøj, der er populært blandt vestlige brugere, udviklerne af protokollen modtog endda nogle tilskud til udvikling fra forsvarsfonde. Fungerer som et Linux-kernemodul via UDP. For nylig er der dukket klienter til windowsios op.
Det blev udtænkt af skaberen som en enkel, hurtig måde at se Netflix på, mens du ikke er i staterne.
Derfor fordele og ulemper. Fordele: meget hurtig protokol, relativ nem installation og konfiguration. Ulemper - udvikleren oprettede det ikke oprindeligt med det mål at omgå alvorlige blokeringer, og derfor opdages wargard nemt af de enkleste værktøjer, inkl. wireshark.
wireguard-protokol i wireshark
download - 1681 mbits; upload 1638 mbps
Interessant nok bruges warguard-protokollen i tredjeparts tunsafe-klienten, som, når den bruges med den samme warguard-server, giver meget dårligere resultater. Det er sandsynligt, at Windows wargard-klienten vil vise de samme resultater:
tunsafeclient: download - 1007 mbits; upload - 1366 mbits
OutlineVPN
Outline er en implementering af en shadowox server og klient med en smuk og praktisk brugergrænseflade fra Googles stiksav. I Windows er outline-klienten simpelthen et sæt indpakninger til shadowsocks-local (shadowsocks-libev-klienten) og badvpn (tun2socks binær, der dirigerer al maskintrafik til en lokal socks-proxy).
Shadowsox var engang modstandsdygtig over for Great Firewall of China, men baseret på nylige anmeldelser er dette ikke længere tilfældet. I modsætning til ShadowSox understøtter den ud af boksen ikke at forbinde obfuscation via plugins, men dette kan gøres manuelt ved at pille ved serveren og klienten.
download - 939 mbits; upload - 930 mbits
ShadowsocksR
ShadowsocksR er en gaffel af de originale Shadowsocks, skrevet i Python. I det væsentlige er det en skyggeboks, som adskillige metoder til trafiksløring er fastgjort til.
Der er gafler af ssR til libev og noget andet. Den lave gennemstrømning skyldes sandsynligvis kodesproget. Den originale shadowsox på python er ikke meget hurtigere.
shadowsocksR: download 582 mbits; upload 541 mbits.
Shadowsocks
Et kinesisk blokomgåelsesværktøj, der randomiserer trafik og forstyrrer automatisk analyse på andre vidunderlige måder. Indtil for nylig var GFW ikke blokeret; de siger, at det nu kun er blokeret, hvis UDP-relæet er tændt.
Cross-platform (der er klienter til enhver platform), understøtter arbejde med PT svarende til Thors obfuscators, der er flere af sine egne eller tilpasset det obfuscators, hurtigt.
Der er en masse implementeringer af shadowox-klienter og -servere på forskellige sprog. I testen fungerede shadowsocks-libev som en server, forskellige klienter. Den hurtigste Linux-klient viste sig at være shadowsocks2 on go, distribueret som standardklient i streisand, jeg kan ikke sige, hvor meget mere produktive shadowsocks-windows er. I de fleste yderligere tests blev shadowsocks2 brugt som klient. Skærmbilleder, der testede pure shadowsocks-libev, blev ikke lavet på grund af den åbenlyse forsinkelse af denne implementering.
shadowsocks2: download - 1876 mbits; upload - 1981 mbits.
shadowsocks-rust: download - 1605 mbits; upload - 1895 mbits.
Shadowsocks-libev: download - 1584 mbits; upload - 1265 mbits.
Simple-obfs
Pluginnet til shadowsox er nu i "afskrevet" status, men fungerer stadig (selvom ikke altid godt). Stort set fortrængt af v2ray-plugin'et. Tilslører trafikken enten under en HTTP-websocket (og giver dig mulighed for at forfalske destinationsheaderen og lade som om, at du ikke vil se en pornohub, men for eksempel webstedet for Den Russiske Føderations forfatning) eller under pseudo-tls (pseudo , fordi den ikke bruger nogen certifikater, detekteres den enkleste DPI, såsom gratis nDPI, som "tls no cert." I tls-tilstand er det ikke længere muligt at forfalske overskrifter).
Ganske hurtigt, installeret fra repo med én kommando, konfigureret meget enkelt, har en indbygget failover-funktion (når trafik fra en ikke-simple-obfs-klient kommer til den port, som simple-obfs lytter til, videresender den den til adressen hvor du angiver i indstillingerne - sådan her På denne måde kan du undgå manuel kontrol af port 80, for eksempel ved blot at omdirigere til en hjemmeside med http, samt blokering gennem forbindelsesprober).
shadowsockss-obfs-tls: download - 1618 mbits; upload 1971 mbits.
shadowsockss-obfs-http: download - 1582 mbits; upload - 1965 mbits.
Simple-obfs i HTTP-tilstand kan også fungere gennem en CDN reverse proxy (for eksempel cloudflare), så for vores udbyder vil trafikken se ud som HTTP-klartekst trafik til cloudflare, dette giver os mulighed for at skjule vores tunnel lidt bedre, og kl. adskiller samtidig indgangspunktet og trafikudgangen - udbyderen ser, at din trafik går mod CDN IP-adressen, og ekstremistiske likes på billeder placeres i dette øjeblik fra VPS IP-adressen. Det skal siges, at det er s-obfs gennem CF, der fungerer tvetydigt, periodisk ikke åbner nogle HTTP-ressourcer, f.eks. Så det var ikke muligt at teste uploaden ved hjælp af iperf via shadowsockss-obfs+CF, men at dømme efter resultaterne af hastighedstesten er gennemstrømningen på niveau med shadowsocksv2ray-plugin-tls+CF. Jeg vedhæfter ikke skærmbilleder fra iperf3, fordi... Du skal ikke stole på dem.
download (hastighedstest) - 887; upload (hastighedstest) - 1154.
Download (iperf3) - 1625; upload (iperf3) - NA.
v2ray-plugin
V2ray-plugin har erstattet simple obfs som den vigtigste "officielle" obfuscator for ss libs. I modsætning til simple obfs, er det endnu ikke i depoterne, og du skal enten downloade en forudsamlet binær eller kompilere den selv.
Understøtter 3 driftstilstande: standard, HTTP-websocket (med understøttelse af spoofing-headere på destinationsværten); tls-websocket (i modsætning til s-obfs er dette fuldgyldig tls-trafik, som genkendes af enhver omvendt proxy-webserver og for eksempel giver dig mulighed for at konfigurere tls-terminering på cloudfler-servere eller i nginx); quic - virker via udp, men quic's ydeevne i v2rey er desværre meget lav.
Blandt fordelene sammenlignet med simple obfs: v2ray-plugin'et fungerer uden problemer via CF i HTTP-websocket-tilstand med enhver trafik, i TLS-tilstand er det fuldgyldig TLS-trafik, det kræver certifikater til drift (for eksempel fra Let's encrypt eller self -underskrevet).
shadowsocksv2ray-plugin-http: download - 1404 mbits; upload 1938 mbits.
shadowsocksv2ray-plugin-tls: download - 1214 mbits; upload 1898 mbits.
shadowsocksv2ray-plugin-quic: download - 183 mbits; upload 384 mbits.
Som jeg allerede har sagt, kan v2ray sætte headere, og dermed kan du arbejde med det gennem en omvendt proxy CDN (cloudfler for eksempel). På den ene side komplicerer dette detektionen af tunnelen, på den anden side kan det øge (og nogle gange reducere) forsinkelsen lidt - det hele afhænger af placeringen af dig og serverne. CF tester i øjeblikket at arbejde med quic, men denne tilstand er endnu ikke tilgængelig (i det mindste for gratis konti).
shadowsocksv2ray-plugin-http+CF: download - 1284 mbits; upload 1785 mbits.
shadowsocksv2ray-plugin-tls+CF: download - 1261 mbits; upload 1881 mbits.
Kappe
Makuleringen er resultatet af videreudvikling af GoQuiet obfuscator. Simulerer TLS-trafik og fungerer via TCP. I øjeblikket har forfatteren udgivet den anden version af plugin, cloak-2, som er væsentligt forskellig fra den originale kappe.
Ifølge udvikleren brugte den første version af plugin'en tls 1.2-resume-sessionsmekanismen til at forfalske destinationsadressen for tls. Efter udgivelsen af den nye version (clock-2) blev alle wiki-sider på Github, der beskriver denne mekanisme, slettet; der er ingen omtale af dette i den nuværende beskrivelse af obfuskeringskryptering. Ifølge forfatterens beskrivelse bruges den første version af shred ikke på grund af tilstedeværelsen af "kritiske sårbarheder i krypto." På tidspunktet for testene var der kun den første version af kappen, dens binære filer er stadig på Github, og udover alt andet er kritiske sårbarheder ikke særlig vigtige, fordi shadowsox krypterer trafik på samme måde som uden en kappe, og cloac har ingen effekt på shadowsoxs krypto.
shadowsockscloak: download - 1533; upload - 1970 mbits
Kcptun
bruger kcptun som transport og giver i nogle særlige tilfælde mulighed for at opnå øget gennemløb. Desværre (eller heldigvis) er dette i høj grad relevant for brugere fra Kina, hvor nogle af deres mobiloperatører i høj grad drosler på TCP og ikke rører ved UDP.
Kcptun er forbandet strømslugende og indlæser nemt 100 zion-kerner på 4%, når den testes af 1 klient. Derudover er pluginnet "langsomt", og når det arbejder gennem iperf3, fuldfører det ikke tests til ende. Lad os tage et kig på hastighedstesten i browseren.
shadowsockskcptun: download (hastighedstest) - 546 mbits; upload (hastighedstest) 854 mbit.
Konklusion
Har du brug for en enkel, hurtig VPN til at stoppe trafik fra hele din maskine? Så er dit valg krigsvagt. Ønsker du proxyer (til selektiv tunneling eller adskillelse af virtuelle personstrømme), eller er det vigtigere for dig at sløre trafik fra alvorlig blokering? Så se på shadowbox med tlshttp obfuscation. Vil du være sikker på, at dit internet fungerer, så længe internettet overhovedet fungerer? Vælg at proxy-trafik gennem vigtige CDN'er, blokering, hvilket vil føre til svigt af halvdelen af internettet i landet.
Pivottabel, sorteret efter download
Kilde: www.habr.com