Ο διακομιστής μεσολάβησης outline-ss-server 1.4 κυκλοφόρησε, χρησιμοποιώντας το πρωτόκολλο Shadowsocks για την απόκρυψη της φύσης της κυκλοφορίας, την παράκαμψη των τειχών προστασίας και τα συστήματα επιθεώρησης πακέτων. Ο διακομιστής αναπτύσσεται από το έργο Outline, το οποίο παρέχει επιπλέον μια σύνδεση εφαρμογών πελατών και μια διεπαφή ελέγχου που σας επιτρέπει να αναπτύσσετε γρήγορα διακομιστές Shadowsocks πολλαπλών χρηστών που βασίζονται σε outline-ss-server σε δημόσια περιβάλλοντα cloud ή στον δικό σας εξοπλισμό. διαχειριστείτε τα μέσω μιας διεπαφής ιστού και οργανώστε την πρόσβαση των χρηστών με πλήκτρα. Ο κώδικας αναπτύσσεται και διατηρείται από το Jigsaw, ένα τμήμα της Google που δημιουργήθηκε για την ανάπτυξη εργαλείων για την παράκαμψη της λογοκρισίας και την οργάνωση της ελεύθερης ανταλλαγής πληροφοριών.
Το Outline-ss-server είναι γραμμένο στο Go και διανέμεται με την άδεια Apache 2.0. Ως βάση χρησιμοποιείται ο κώδικας διακομιστή μεσολάβησης go-shadowsocks2, που δημιουργήθηκε από την κοινότητα προγραμματιστών Shadowsocks. Πρόσφατα, η κύρια δραστηριότητα του έργου Shadowsocks επικεντρώθηκε στην ανάπτυξη ενός νέου διακομιστή στη γλώσσα Rust και η εφαρμογή Go δεν έχει ενημερωθεί για περισσότερο από ένα χρόνο και υστερεί αισθητά σε λειτουργικότητα.
Οι διαφορές μεταξύ του outline-ss-server και του go-shadowsocks2 πηγάζουν από την υποστήριξη για σύνδεση πολλών χρηστών μέσω μίας θύρας δικτύου, τη δυνατότητα ανοίγματος πολλαπλών θυρών δικτύου για λήψη συνδέσεων, υποστήριξη επανεκκίνησης και ενημερώσεις διαμόρφωσης χωρίς διακοπή συνδέσεων, ενσωματωμένη παρακολούθηση και εργαλεία τροποποίησης κυκλοφορίας βασισμένα στην πλατφόρμα prometheus .io.
Ο διακομιστής outline-ss-server προσθέτει επίσης προστασία έναντι αιτημάτων διερεύνησης και επιθέσεων επανάληψης κυκλοφορίας. Μια επίθεση μέσω αιτημάτων επαλήθευσης στοχεύει στον προσδιορισμό της παρουσίας ενός διακομιστή μεσολάβησης, για παράδειγμα, ένας εισβολέας μπορεί να στείλει σύνολα δεδομένων διαφορετικών μεγεθών στον διακομιστή στόχο Shadowsocks και να αναλύσει πόσα δεδομένα θα διαβάσει ο διακομιστής πριν προσδιορίσει ένα σφάλμα και κλείσει τη σύνδεση . Μια επίθεση επανάληψης βασίζεται στην παραβίαση μιας περιόδου σύνδεσης μεταξύ ενός πελάτη και ενός διακομιστή και στη συνέχεια στην προσπάθεια επανάληψης αποστολής των δεδομένων που έχουν παραβιαστεί για να προσδιοριστεί η παρουσία ενός διακομιστή μεσολάβησης.
Για προστασία από επιθέσεις μέσω αιτημάτων επαλήθευσης, ο διακομιστής outline-ss-server, όταν φτάνουν εσφαλμένα δεδομένα, δεν τερματίζει τη σύνδεση και δεν εμφανίζει σφάλμα, αλλά συνεχίζει να λαμβάνει πληροφορίες, λειτουργώντας ως ένα είδος μαύρης τρύπας. Για προστασία από την επανάληψη, τα δεδομένα που λαμβάνονται από τον πελάτη ελέγχονται επιπλέον για επαναλήψεις από αθροίσματα ελέγχου που είναι αποθηκευμένα για τις τελευταίες χιλιάδες ακολουθίες χειραψίας (μέγιστο 40 χιλιάδες, το μέγεθος ορίζεται κατά την εκκίνηση του διακομιστή και καταναλώνει 20 byte μνήμης ανά ακολουθία). Για τον αποκλεισμό επαναλαμβανόμενων απαντήσεων από τον διακομιστή, όλες οι αλληλουχίες χειραψίας διακομιστή χρησιμοποιούν κωδικούς ελέγχου ταυτότητας HMAC με ετικέτες 32 bit.
Όσον αφορά το επίπεδο απόκρυψης κίνησης, το πρωτόκολλο Shadowsocks στην υλοποίηση του outline-ss-server είναι κοντά στη μεταφορά με δυνατότητα σύνδεσης Obfs4 στο ανώνυμο δίκτυο Tor. Το πρωτόκολλο δημιουργήθηκε για να παρακάμψει το σύστημα λογοκρισίας της κυκλοφορίας της Κίνας (το "Μεγάλο Τείχος προστασίας της Κίνας") και σας επιτρέπει να αποκρύψετε αποτελεσματικά την κυκλοφορία που προωθείται μέσω άλλου διακομιστή (η επισκεψιμότητα είναι προβληματική στον εντοπισμό λόγω της προσάρτησης ενός τυχαίου σπόρου και της προσομοίωσης μιας συνεχούς ροής).
Το SOCKS5 χρησιμοποιείται ως πρωτόκολλο για αιτήματα μεσολάβησης - ένας διακομιστής μεσολάβησης με υποστήριξη SOCKS5 εκκινείται στο τοπικό σύστημα, ο οποίος διοχετεύει την κυκλοφορία σε έναν απομακρυσμένο διακομιστή από τον οποίο εκτελούνται πραγματικά τα αιτήματα. Η κίνηση μεταξύ του πελάτη και του διακομιστή τοποθετείται σε ένα κρυπτογραφημένο τούνελ (υποστηρίζεται η επαληθευμένη κρυπτογράφηση AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM και AEAD_AES_256_GCM), αποκρύπτοντας το γεγονός της δημιουργίας του οποίου είναι η κύρια εργασία των Shadowsocks. Υποστηρίζεται η οργάνωση των σηράγγων TCP και UDP, καθώς και η δημιουργία αυθαίρετων τούνελ, που δεν περιορίζονται στο SOCKS5, μέσω της χρήσης πρόσθετων που μοιάζουν με pluggable transports στο Tor.
Πηγή: opennet.ru