Se lanzó el servidor proxy esquema-ss-server 1.4, que utiliza el protocolo Shadowsocks para ocultar la naturaleza del tráfico, evitar firewalls y engañar a los sistemas de inspección de paquetes. El servidor está siendo desarrollado por el proyecto Outline, que además proporciona un enlace de aplicaciones cliente y una interfaz de control que le permite implementar rápidamente servidores Shadowsocks multiusuario basados en el servidor esquema-ss en entornos de nube pública o en su propio equipo. gestionarlos a través de una interfaz web y organizar el acceso de los usuarios por claves. El código es desarrollado y mantenido por Jigsaw, una división dentro de Google creada para desarrollar herramientas para eludir la censura y organizar el libre intercambio de información.
Outline-ss-server está escrito en Go y distribuido bajo la licencia Apache 2.0. Se utiliza como base el código del servidor proxy go-shadowsocks2, creado por la comunidad de desarrolladores de Shadowsocks. Recientemente, la actividad principal del proyecto Shadowsocks se ha centrado en el desarrollo de un nuevo servidor en lenguaje Rust, y la implementación de Go no se ha actualizado durante más de un año y está notablemente atrasada en funcionalidad.
Las diferencias entre esquema-ss-server y go-shadowsocks2 se reducen a la compatibilidad con la conexión de múltiples usuarios a través de un único puerto de red, la capacidad de abrir múltiples puertos de red para recibir conexiones, compatibilidad con reinicio en caliente y actualizaciones de configuración sin interrumpir las conexiones, monitoreo integrado y herramientas de modificación de tráfico basadas en la plataforma prometheus .io.
El servidor sketch-ss también agrega protección contra solicitudes de sondeo y ataques de reproducción de tráfico. Un ataque a través de solicitudes de verificación tiene como objetivo determinar la presencia de un proxy, por ejemplo, un atacante puede enviar conjuntos de datos de diferentes tamaños al servidor Shadowsocks objetivo y analizar cuántos datos leerá el servidor antes de determinar un error y cerrar la conexión. . Un ataque de repetición se basa en secuestrar una sesión entre un cliente y un servidor y luego intentar reenviar los datos secuestrados para determinar la presencia de un proxy.
Para protegerse contra ataques a través de solicitudes de verificación, el servidor de esquema-ss-server, cuando llegan datos incorrectos, no finaliza la conexión y no muestra un error, pero continúa recibiendo información, actuando como una especie de agujero negro. Para protegerse contra la repetición, los datos recibidos del cliente se verifican adicionalmente en busca de repeticiones mediante sumas de verificación almacenadas para los últimos miles de secuencias de protocolo de enlace (máximo 40 mil, el tamaño se establece al iniciar el servidor y consume 20 bytes de memoria por secuencia). Para bloquear respuestas repetidas del servidor, todas las secuencias de protocolo de enlace del servidor utilizan códigos de autenticación HMAC con etiquetas de 32 bits.
En términos del nivel de ocultación del tráfico, el protocolo Shadowsocks en la implementación del servidor esquema-ss está cerca del transporte conectable Obfs4 en la red Tor anónima. El protocolo fue creado para evitar el sistema de censura de tráfico de China (el "Gran Cortafuegos de China") y le permite ocultar de manera bastante efectiva el tráfico reenviado a través de otro servidor (el tráfico es problemático de identificar debido a que se adjunta una semilla aleatoria y se simula un flujo continuo).
SOCKS5 se utiliza como protocolo para enviar solicitudes: se inicia un proxy con soporte SOCKS5 en el sistema local, que canaliza el tráfico a un servidor remoto desde donde realmente se ejecutan las solicitudes. El tráfico entre el cliente y el servidor se coloca en un túnel cifrado (se admite el cifrado autenticado AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM y AEAD_AES_256_GCM), ocultando el hecho de cuya creación es la tarea principal de Shadowsocks. Se admite la organización de túneles TCP y UDP, así como la creación de túneles arbitrarios, no limitados a SOCKS5, mediante el uso de complementos que se asemejan a los transportes conectables en Tor.
Fuente: opennet.ru