A medida que se nos niega cada vez más el acceso a diversos recursos de la red, la cuestión de cómo evitar el bloqueo se vuelve cada vez más urgente, lo que significa que la pregunta "¿Cómo evitar el bloqueo más rápido?" se vuelve cada vez más relevante.
Dejemos el tema de la eficiencia en términos de eludir las listas blancas de DPI para otro caso y simplemente comparemos el rendimiento de las herramientas populares de omisión de bloques.
Atención: habrá muchas imágenes debajo de los spoilers del artículo.
Descargo de responsabilidad: este artículo compara el rendimiento de soluciones de proxy VPN populares en condiciones cercanas a las "ideales". Los resultados obtenidos y descritos aquí no necesariamente coinciden con sus resultados en los campos. Porque el número en la prueba de velocidad a menudo no dependerá de qué tan poderosa sea la herramienta de derivación, sino de cómo la acelera su proveedor.
Metodología
Se compraron 3 VPS a un proveedor de nube (DO) en diferentes países del mundo. 2 en los Países Bajos, 1 en Alemania. Se seleccionó el VPS más productivo (por número de núcleos) entre los disponibles para la cuenta en la oferta de créditos de cupón.
Se implementa un servidor iperf3 privado en el primer servidor holandés.
En el segundo servidor holandés, se implementan uno por uno varios servidores de herramientas de derivación de bloques.
En el VPS alemán se implementa una imagen de escritorio Linux (xubuntu) con VNC y un escritorio virtual. Esta VPN es un cliente condicional y en ella se instalan y ejecutan varios clientes proxy VPN a su vez.
Las mediciones de velocidad se realizan tres veces, nos centramos en el promedio, utilizamos 3 herramientas: en Chromium mediante un test de velocidad web; en Chromium a través de fast.com; desde la consola a través de iperf3 a través de proxychains4 (donde debe colocar el tráfico iperf3 en el proxy).
Una conexión directa “cliente”-servidor iperf3 da una velocidad de 2 Gbps en iperf3, y un poco menos en fastspeedtest.
Un lector curioso puede preguntar: "¿Por qué no elegiste speedtest-cli?" y tendrá razón.
Speedtest-cli resultó ser poco confiable y una forma inadecuada de medir el rendimiento, por razones que desconozco. Tres mediciones consecutivas podrían dar tres resultados completamente diferentes o, por ejemplo, mostrar un rendimiento mucho mayor que la velocidad del puerto de mi VPS. Quizás el problema sea mi mano golpeada, pero parecía imposible realizar una investigación con semejante herramienta.
En cuanto a los resultados de los tres métodos de medición (speedtest fastiperf), considero que los indicadores iperf son los más precisos y fiables, y el fastspeedtest como referencia. Pero algunas herramientas de derivación no permitieron completar 3 mediciones a través de iperf3 y, en tales casos, puede confiar en speedtestfast.
La prueba de velocidad da resultados diferentes.
Kit de herramientas
En total se probaron 24 herramientas de bypass diferentes o sus combinaciones, para cada una de ellas daré pequeñas explicaciones y mis impresiones de trabajar con ellas. Pero esencialmente, el objetivo era comparar las velocidades de Shadowsocks (y un montón de ofuscadores diferentes) openVPN y Wireguard.
En este material, no discutiré en detalle la cuestión de "cuál es la mejor manera de ocultar el tráfico para no desconectarnos", porque evitar el bloqueo es una medida reactiva: nos adaptamos a lo que usa el censor y actuamos sobre esta base.
resultados
fuerteswanipsec
En mi opinión, es muy fácil de configurar y funciona de forma bastante estable. Una de las ventajas es que es verdaderamente multiplataforma, sin necesidad de buscar clientes para cada plataforma.
descarga - 993 Mbps; subir - 770 MB
túnel SSH
Probablemente sólo los perezosos no hayan escrito sobre el uso de SSH como herramienta de túnel. Una de las desventajas es la "muleta" de la solución, es decir. implementarlo desde un cliente atractivo y conveniente en todas las plataformas no funcionará. Las ventajas son un buen rendimiento, no es necesario instalar nada en el servidor.
descarga - 1270 Mbps; subir - 1140 MB
OpenVPN
OpenVPN fue probado en 4 modos operativos: tcp, tcp+sslh, tcp+stunnel, udp.
Los servidores OpenVPN se configuraron automáticamente instalando Streisand.
Hasta donde se puede juzgar, por el momento sólo el modo stunnel es resistente a los DPI avanzados. No tengo claro el motivo del aumento anormal en el rendimiento al envolver openVPN-tcp en stunnel, las comprobaciones se realizaron en varias ejecuciones, en diferentes momentos y en diferentes días, el resultado fue el mismo. Quizás esto se deba a la configuración de la pila de red instalada al implementar Streisand; escriba si tiene alguna idea de por qué esto es así.
openvpntcp: descarga - 760 mbits; subir - 659 MB
openvpntcp+sslh: descarga - 794 mbits; subir - 693 MB
openvpntcp+stunnel: descarga - 619 mbits; subir - 943 MB
openvpnudp: descarga - 756 mbits; subir - 580 MBITS
Conexión abierta
No es la herramienta más popular para evitar bloqueos, está incluida en el paquete Streisand, por lo que decidimos probarla también.
descarga - 895 MB; subir 715mbps
Guardia de alambre
Una herramienta muy popular entre los usuarios occidentales, los desarrolladores del protocolo incluso recibieron algunas subvenciones para su desarrollo de fondos de defensa. Funciona como un módulo del kernel de Linux a través de UDP. Recientemente han aparecido clientes para windowsios.
Fue concebido por el creador como una forma sencilla y rápida de ver Netflix mientras no estás en Estados Unidos.
De ahí los pros y los contras. Ventajas: protocolo muy rápido, relativa facilidad de instalación y configuración. Desventajas: el desarrollador no lo creó inicialmente con el objetivo de evitar bloqueos graves y, por lo tanto, Wargard se detecta fácilmente con las herramientas más simples, incl. tiburón de alambre.
protocolo wireguard en wirehark
descarga - 1681 MB; subir 1638mbps
Curiosamente, el protocolo Warguard se utiliza en el cliente tunsafe de terceros, que, cuando se utiliza con el mismo servidor Warguard, da resultados mucho peores. Es probable que el cliente Wargard de Windows muestre los mismos resultados:
tunsafeclient: descarga - 1007 mbits; subir - 1366 MBits
EsquemaVPN
Outline es una implementación de un servidor y cliente Shadowox con una hermosa y conveniente interfaz de usuario del rompecabezas de Google. En Windows, el cliente de esquema es simplemente un conjunto de envoltorios para los binarios Shadowsocks-local (cliente Shadowsocks-libev) y badvpn (binario tun2socks que dirige todo el tráfico de la máquina a un proxy de calcetines local).
Shadowsox alguna vez fue resistente al Gran Cortafuegos de China, pero según revisiones recientes, este ya no es el caso. A diferencia de ShadowSox, no admite la ofuscación de conexión a través de complementos, pero esto se puede hacer manualmente jugando con el servidor y el cliente.
descarga - 939 Mbps; subir - 930 MB
ShadowsocksR
ShadowsocksR es una bifurcación del Shadowsocks original, escrito en Python. En esencia, es una caja de sombras a la que están fuertemente fijados varios métodos de ofuscación del tráfico.
Hay bifurcaciones de ssR a libev y algo más. El bajo rendimiento probablemente se deba al lenguaje del código. El Shadowsox original en Python no es mucho más rápido.
ShadowsocksR: descarga 582 mbits; subir 541 mbits.
Shadowsocks
Una herramienta china para evitar bloqueos que aleatoriza el tráfico e interfiere con el análisis automático de otras maneras maravillosas. Hasta hace poco, GFW no estaba bloqueado, dicen que ahora se bloquea solo si el relé UDP está encendido.
Multiplataforma (hay clientes para cualquier plataforma), admite trabajar con PT similar a los ofuscadores de Thor, hay varios ofuscadores propios o adaptados a él, rápido.
Hay varias implementaciones de clientes y servidores Shadowox, en diferentes idiomas. En las pruebas, Shadowsocks-libev actuó como servidor, diferentes clientes. El cliente Linux más rápido resultó ser Shadowsocks2 on go, distribuido como cliente predeterminado en Streisand, no puedo decir cuánto más productivo es Shadowsocks-Windows. En la mayoría de las pruebas posteriores, se utilizó Shadowsocks2 como cliente. No se realizaron capturas de pantalla que probaran Shadowsocks-libev puro debido al retraso obvio de esta implementación.
shadowsocks2: descarga - 1876 mbits; subir - 1981 mbits.
shadowsocks-rust: descarga - 1605 mbits; cargar - 1895 MBITS.
Shadowsocks-libev: descarga - 1584 mbits; Subir - 1265 Mbits.
obfs simples
El complemento para Shadowsox ahora está en estado "depreciado" pero aún funciona (aunque no siempre bien). En gran medida reemplazado por el complemento v2ray. Ofusca el tráfico ya sea bajo un websocket HTTP (y le permite falsificar el encabezado de destino, pretendiendo que no va a ver un pornhub, sino, por ejemplo, el sitio web de la Constitución de la Federación de Rusia) o bajo pseudo-tls (pseudo , debido a que no utiliza ningún certificado, los DPI más simples, como los nDPI gratuitos, se detectan como "tls no cert". En el modo tls, ya no es posible falsificar encabezados).
Bastante rápido, se instala desde el repositorio con un comando, se configura de manera muy simple, tiene una función de conmutación por error incorporada (cuando el tráfico de un cliente que no es simple-obfs llega al puerto que escucha simple-obfs, lo reenvía a la dirección donde especifica en la configuración, así. De esta manera, puede evitar la verificación manual del puerto 80, por ejemplo, simplemente redirigiendo a un sitio web con http, así como bloqueando mediante sondas de conexión).
Shadowsockss-obfs-tls: descarga - 1618 mbits; subir 1971 mbits.
Shadowsockss-obfs-http: descarga - 1582 mbits; cargar - 1965 mbits.
Simple-obfs en modo HTTP también puede funcionar a través de un proxy inverso CDN (por ejemplo, cloudflare), por lo que para nuestro proveedor el tráfico se verá como tráfico de texto sin formato HTTP a cloudflare, esto nos permite ocultar un poco mejor nuestro túnel, y al Al mismo tiempo, separe el punto de entrada y la salida del tráfico: el proveedor ve que su tráfico se dirige hacia la dirección IP de CDN y en ese momento se colocan me gusta extremistas en las imágenes desde la dirección IP de VPS. Hay que decir que es s-obfs a través de CF el que funciona de forma ambigua, no abriendo periódicamente algunos recursos HTTP, por ejemplo. Por lo tanto, no fue posible probar la carga usando iperf a través de Shadowsockss-obfs+CF, pero a juzgar por los resultados de la prueba de velocidad, el rendimiento está en el nivel de Shadowsocksv2ray-plugin-tls+CF. No adjunto capturas de pantalla de iperf3, porque... No deberías confiar en ellos.
descargar (prueba de velocidad) - 887; subir (prueba de velocidad) - 1154.
Descargar (iperf3) - 1625; subir (iperf3) - NA.
complemento v2ray
El complemento V2ray ha reemplazado a obfs simples como el principal ofuscador "oficial" para bibliotecas ss. A diferencia de los obfs simples, aún no está en los repositorios y es necesario descargar un binario preensamblado o compilarlo usted mismo.
Admite 3 modos de funcionamiento: predeterminado, websocket HTTP (con soporte para falsificar encabezados del host de destino); tls-websocket (a diferencia de s-obfs, este es un tráfico tls completo que es reconocido por cualquier servidor web proxy inverso y, por ejemplo, le permite configurar la terminación de tls en servidores Cloudfler o en nginx); quic: funciona a través de udp, pero lamentablemente el rendimiento de quic en v2rey es muy bajo.
Entre las ventajas en comparación con obfs simples: el complemento v2ray funciona sin problemas a través de CF en modo HTTP-websocket con cualquier tráfico, en modo TLS es tráfico TLS completo, requiere certificados para su funcionamiento (por ejemplo, de Let's encrypt o self -firmado).
Shadowsocksv2ray-plugin-http: descarga - 1404 mbits; subir 1938 mbits.
Shadowsocksv2ray-plugin-tls: descarga - 1214 mbits; subir 1898 mbits.
Shadowsocksv2ray-plugin-quic: descarga - 183 mbits; subir 384 mbits.
Como ya dije, v2ray puede configurar encabezados y, por lo tanto, puede trabajar con él a través de un CDN de proxy inverso (cloudfler, por ejemplo). Por un lado, esto complica la detección del túnel, por otro lado, puede aumentar ligeramente (y a veces reducir) el retraso; todo depende de su ubicación y de los servidores. CF actualmente está probando trabajar con quic, pero este modo aún no está disponible (al menos para cuentas gratuitas).
Shadowsocksv2ray-plugin-http+CF: descarga - 1284 mbits; subir 1785 mbits.
Shadowsocksv2ray-plugin-tls+CF: descarga - 1261 mbits; subir 1881 mbits.
Capa
The shred es el resultado de un mayor desarrollo del ofuscador GoQuiet. Simula el tráfico TLS y funciona vía TCP. Por el momento, el autor ha lanzado la segunda versión del complemento, cloak-2, que es significativamente diferente del cloak original.
Según el desarrollador, la primera versión del complemento utilizó el mecanismo de reanudación de sesión de tls 1.2 para falsificar la dirección de destino de tls. Después del lanzamiento de la nueva versión (clock-2), todas las páginas wiki en Github que describen este mecanismo fueron eliminadas; no se menciona esto en la descripción actual del cifrado de ofuscación. Según la descripción del autor, la primera versión de shred no se utiliza debido a la presencia de "vulnerabilidades críticas en las criptomonedas". En el momento de las pruebas, solo existía la primera versión de la capa, sus archivos binarios todavía están en Github y, además, las vulnerabilidades críticas no son muy importantes, porque Shadowsox cifra el tráfico de la misma manera que sin una capa, y la cloac no tiene ningún efecto sobre la criptografía de Shadowsox.
capa de calcetines de sombra: descargar - 1533; subir - 1970 mbits
Kcptún
utiliza kcptun como transporte y en algunos casos especiales permite lograr un mayor rendimiento. Desafortunadamente (o afortunadamente), esto es muy relevante para los usuarios de China, algunos de cuyos operadores móviles aceleran fuertemente el TCP y no tocan el UDP.
Kcptun consume mucha energía y carga fácilmente 100 núcleos zion al 4% cuando lo prueba 1 cliente. Además, el complemento es "lento" y cuando funciona con iperf3 no completa las pruebas hasta el final. Echemos un vistazo a la prueba de velocidad en el navegador.
Shadowsockskcptun: descarga (prueba de velocidad) - 546 mbits; Carga (prueba de velocidad) 854 mbits.
Conclusión
¿Necesita una VPN sencilla y rápida para detener el tráfico de toda su máquina? Entonces tu elección es guardia de guerra. ¿Quiere servidores proxy (para túneles selectivos o separación de flujos de personas virtuales) o es más importante para usted evitar que el tráfico se bloquee gravemente? Luego mire el cuadro de sombra con ofuscación tlshttp. ¿Quiere estar seguro de que su Internet funcionará mientras funcione? Elija proxy del tráfico a través de CDN importantes, cuyo bloqueo provocará el fallo de la mitad de Internet en el país.
Tabla dinámica, ordenada por descarga
Fuente: habr.com