Kuna meil on üha enam keelatud juurdepääs võrgu erinevatele ressurssidele, muutub blokeerimisest möödahiilimise küsimus üha aktuaalsemaks, mis tähendab, et küsimus “Kuidas blokeerimisest kiiremini mööda minna?” muutub üha aktuaalsemaks.
Jätame DPI valgetest nimekirjadest möödahiilimise tõhususe teema mõneks muuks juhtumiks ja võrdleme lihtsalt populaarsete plokist möödaviigutööriistade jõudlust.
Tähelepanu: artiklis on spoilerite all palju pilte.
Kohustustest loobumine: selles artiklis võrreldakse populaarsete VPN-puhverserveri lahenduste toimivust ideaalilähedastes tingimustes. Saadud ja siin kirjeldatud tulemused ei pruugi langeda kokku teie tulemustega väljadel. Kuna kiirustesti arv ei sõltu sageli mitte sellest, kui võimas on möödaviigutööriist, vaid sellest, kuidas teie teenusepakkuja seda reguleerib.
Metoodika
3 VPS-i osteti pilveteenuse pakkujalt (DO) erinevatest riikidest üle maailma. 2 Hollandis, 1 Saksamaal. Kõige produktiivsem VPS (tuumade arvu järgi) valiti kupongkrediidi pakkumise alusel konto jaoks saadaval olevate VPS-ide hulgast.
Esimeses Hollandi serveris on juurutatud privaatne iperf3 server.
Teises Hollandi serveris juurutatakse ükshaaval erinevaid plokkide möödaviigutööriistade servereid.
Saksa VPS-is on juurutatud VNC-ga ja virtuaalse töölauaga töölaua Linuxi pilt (xubuntu). See VPN on tingimuslik klient ja sellele installitakse ja käivitatakse kordamööda erinevad VPN-puhverserveri kliendid.
Kiiruse mõõtmised viiakse läbi kolm korda, keskendume keskmisele, kasutame 3 tööriista: Chromiumis läbi veebikiiruse testi; Chromiumis saidi fast.com kaudu; konsoolist iperf3 kaudu proxychains4 kaudu (kus peate puhverserverisse panema iperf3 liikluse).
Otseühendusega “klient”-server iperf3 annab iperf2-s kiiruseks 3 Gbps ja fastspeedtestis veidi vähem.
Uudishimulik lugeja võib küsida: "Miks te ei valinud speedtest-cli?" ja tal on õigus.
Speedtest-cli osutus mulle teadmata põhjustel ebausaldusväärseks ja ebapiisavaks viisiks läbilaskevõime mõõtmiseks. Kolm järjestikust mõõtmist võivad anda kolm täiesti erinevat tulemust või näiteks näidata minu VPS-i pordi kiirusest palju suuremat läbilaskevõimet. Võib-olla on probleem minu nuivas käes, kuid sellise vahendiga uurimistöö läbiviimine tundus võimatu.
Mis puudutab kolme mõõtmismeetodi (speedtest fastiperf) tulemusi, siis kõige täpsemaks ja usaldusväärsemaks pean iperfi näitajaid ning võrdluseks fastspeedtest. Kuid mõned möödaviigutööriistad ei võimaldanud iperf3 kaudu 3 mõõtmist läbi viia ja sellistel juhtudel võite loota speedtestfastile.
kiiruskatse annab erinevaid tulemusi
Toolkit
Kokku testiti 24 erinevat möödaviigutööriista või nende kombinatsiooni, igaühe kohta annan väiksed selgitused ja muljed nendega töötamisest. Kuid sisuliselt oli eesmärk võrrelda shadowsocki (ja selle jaoks hunniku erinevate obfuskaatorite) openVPN-i ja wireguardi kiirusi.
Selles materjalis ei käsitle ma üksikasjalikult küsimust "kuidas liiklust kõige paremini varjata, et mitte katkestada", sest blokeerimisest möödahiilimine on reageeriv meede - me kohaneme sellega, mida tsensor kasutab, ja tegutseme selle alusel.
Järeldused
Strongswanipsec
Minu arvates on seda väga lihtne seadistada ja see töötab üsna stabiilselt. Üks eeliseid on see, et see on tõeliselt platvormideülene, ilma et oleks vaja igale platvormile kliente otsida.
allalaadimine - 993 Mbit; üleslaadimine - 770 Mbit
SSH tunnel
Tõenäoliselt pole SSH-st tunnelitööriistana kirjutanud ainult laisad. Miinuseks on see, et lahenduseks on kark, st. selle juurutamine mugavast ja ilusast kliendist igal platvormil ei toimi. Eelised on hea jõudlus, serverisse pole vaja üldse midagi installida.
allalaadimine - 1270 Mbit; üleslaadimine - 1140 Mbit
OpenVPN
OpenVPN-i testiti neljas töörežiimis: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN-i serverid konfigureeriti automaatselt, installides streisand.
Niipalju kui võib otsustada, on hetkel ainult uimastamise režiim arenenud DPI-de suhtes vastupidav. Ebanormaalse läbilaskevõime suurenemise põhjus openVPN-tcp stunnelisse mähkimisel pole mulle selge, kontrolli tehti mitmel käigul, erinevatel aegadel ja päevadel, tulemus oli sama. Võib-olla on selle põhjuseks Streisandi juurutamisel installitud võrgupinu sätted. Kirjutage, kui teil on ideid, miks see nii on.
openvpntcp: allalaadimine - 760 Mbits; üleslaadimine - 659 Mbit
openvpntcp+sslh: allalaadimine - 794 Mbits; üleslaadimine - 693 Mbit
openvpntcp+stunnel: allalaadimine - 619 Mbits; üleslaadimine - 943 Mbit
openvpnudp: allalaadimine - 756 Mbit; üleslaadimine - 580 Mbit
Ava ühendus
Pole just kõige populaarsem tööriist ummistuste ületamiseks, see sisaldub Streisandi paketis, seega otsustasime ka seda testida.
allalaadimine - 895 Mbit; üleslaadimine 715 Mbps
Trossikaitse
Lääne kasutajate seas populaarne hype-tööriist, protokolli arendajad said isegi kaitsefondidest arendustoetusi. Töötab Linuxi kerneli moodulina UDP kaudu. Hiljuti on ilmunud windowsi kliendid.
Looja pidas selle lihtsaks ja kiireks viisiks Netflixi vaatamiseks osariikides viibimata.
Siit ka plussid ja miinused. Plussid: väga kiire protokoll, suhteliselt lihtne paigaldus ja konfigureerimine. Puudused - arendaja ei loonud seda algselt eesmärgiga tõsistest ummistustest mööda minna ja seetõttu on wargardi lihtne tuvastada kõige lihtsamate vahenditega, sh. wireshark.
wireguardi protokoll wiresharkis
allalaadimine - 1681 Mbit; üleslaadimine 1638 Mbps
Huvitav on see, et kolmanda osapoole tunsafe kliendis kasutatakse warguardi protokolli, mis sama warguardi serveriga kasutamisel annab palju halvemaid tulemusi. Tõenäoliselt näitab Windows wargardi klient samu tulemusi:
tunsafeclient: allalaadimine - 1007 Mbits; üleslaadimine - 1366 Mbit
OutlineVPN
Outline on Google'i pusle kauni ja mugava kasutajaliidesega shadowoxi serveri ja kliendi teostus. Windowsis on kontuuriklient lihtsalt binaarfailide shadowsocks-local (shadowsocks-libev klient) ja badvpn (binaar tun2socks, mis suunab kogu masinaliikluse kohalikule sokkide puhverserverile) mähiseid.
Shadowsox oli kunagi Hiina suure tulemüüri suhtes vastupidav, kuid hiljutiste ülevaadete põhjal pole see enam nii. Erinevalt ShadowSoxist ei toeta see juba kasutusele võetud pistikprogrammide kaudu hägustamise ühendamist, kuid seda saab teha käsitsi serveri ja kliendi kallal nokitsedes.
allalaadimine - 939 Mbit; üleslaadimine - 930 Mbit
VarjualusedR
ShadowsocksR on Pythonis kirjutatud algse Shadowsocksi kahvel. Sisuliselt on see varikast, mille külge on tihedalt kinnitatud mitu liikluse segamise meetodit.
Seal on ssR kahvlid libevi ja millegi muu juurde. Madal läbilaskevõime on ilmselt tingitud koodikeelest. Algne shadowsox pythonis pole palju kiirem.
shadowsocksR: allalaadimine 582 Mbit; laadige üles 541 Mbit.
Varju
Hiina plokkide ümbersõidu tööriist, mis jaotab liikluse juhuslikult ja segab automaatset analüüsi muudel imelistel viisidel. Kuni viimase ajani ei olnud GFW blokeeritud; nad ütlevad, et nüüd on see blokeeritud ainult siis, kui UDP-relee on sisse lülitatud.
Platvormideülene (kliente on igale platvormile), toetab PT-ga töötamist sarnaselt Thori obfuskaatoritega, on mitmeid oma või sellele kohandatud obfuskaatoreid, kiire.
Shadowoxi kliente ja servereid on erinevates keeltes hulk rakendusi. Testimisel toimis shadowsocks-libev serverina, erinevate klientidena. Kiireimaks Linuxi kliendiks osutus shadowsocks2 on go, mida levitati streisandis vaikekliendina, ma ei oska öelda, kui palju produktiivsem shadowsocks-windows on. Enamikus edasistes testides kasutati kliendina shadowsocks2. Ekraanipilte, mis testisid puhast shadowsocks-libevit, ei tehtud selle teostuse ilmse viivituse tõttu.
shadowsocks2: allalaadimine - 1876 Mbit; üleslaadimine - 1981 Mbit.
shadowsocks-rooste: allalaadimine - 1605 Mbit; üleslaadimine - 1895 Mbit.
Shadowsocks-libev: allalaadimine - 1584 Mbit; üleslaadimine - 1265 Mbit.
Simple-obfs
Shadowsoxi pistikprogramm on nüüd "amortiseerunud", kuid töötab endiselt (kuigi mitte alati hästi). Suures osas asendatud v2ray-pluginaga. Hägustab liiklust kas HTTP veebipesa all (ja võimaldab võltsida sihtkoha päist, teeseldes, et te ei vaata pornohubi, vaid näiteks Vene Föderatsiooni põhiseaduse veebisaiti) või pseudo-tls (pseudo , kuna see ei kasuta sertifikaate, tuvastatakse lihtsaim DPI, näiteks tasuta nDPI, kui "tls no cert". Tls-režiimis pole päiseid enam võimalik võltsida).
Üsna kiire, ühe käsuga repost installitud, väga lihtsalt seadistatud, sisseehitatud tõrkesiirde funktsioon (kui mitteliht-obfs-kliendi liiklus tuleb porti, mida simple-obfs kuulab, siis see edastab selle aadressile kus määrate seadetes - niimoodi Sel viisil saate vältida näiteks pordi 80 käsitsi kontrollimist, lihtsalt suunates veebisaidile http-ga, samuti blokeerides ühendussondide kaudu).
shadowsockss-obfs-tls: allalaadimine - 1618 Mbits; üleslaadimine 1971 Mbit.
shadowsockss-obfs-http: allalaadimine - 1582 Mbits; üleslaadimine - 1965 Mbit.
HTTP-režiimis lihtsad obf-id võivad töötada ka CDN-i pöördpuhverserveri kaudu (näiteks cloudflare), nii et meie teenusepakkuja jaoks näeb liiklus pilvflare'i jaoks välja HTTP-lihtteksti liiklusena, mis võimaldab meil oma tunnelit veidi paremini peita ja samal ajal eraldage sisenemispunkt ja liikluse väljumine - pakkuja näeb, et teie liiklus liigub CDN-i IP-aadressi suunas ja äärmuslikud meeldimised piltidele paigutatakse sel hetkel VPS-i IP-aadressilt. Peab ütlema, et just s-obfs läbi CF töötab kahemõtteliselt, perioodiliselt ei ava näiteks mõnda HTTP ressurssi. Seega ei saanud shadowsockss-obfs+CF kaudu iperf abil üleslaadimist testida, kuid kiirustesti tulemuste põhjal otsustades on läbilaskevõime shadowsocksv2ray-plugin-tls+CF tasemel. Ma ei lisa iperf3 ekraanipilte, sest... Te ei tohiks neile loota.
allalaadimine (kiiretest) - 887; üleslaadimine (kiiretest) - 1154.
Laadi alla (iperf3) - 1625; üleslaadimine (iperf3) – NA.
v2ray-plugin
V2ray-plugin on asendanud lihtsad obfs-id kui ss libsi peamise "ametliku" obfuskaatorina. Erinevalt lihtsatest obf-idest pole seda veel hoidlates ja peate kas eelnevalt kokkupandud binaarfaili alla laadima või selle ise kompileerima.
Toetab 3 töörežiimi: vaikimisi, HTTP veebisocket (sihthosti päiste võltsimise toega); tls-websocket (erinevalt s-obfs-ist on see täisväärtuslik tls-liiklus, mille tunneb ära iga pöördpuhverserveri veebiserver ja mis võimaldab näiteks konfigureerida tls-i lõpetamist cloudfleri serverites või nginxis); quic - töötab udp kaudu, kuid kahjuks on quici jõudlus v2rey's väga madal.
Eeliste hulgas võrreldes lihtsate obf-idega: v2ray pistikprogramm töötab CF-i kaudu probleemideta HTTP-websocket-režiimis igasuguse liiklusega, TLS-režiimis on see täisväärtuslik TLS-liiklus, selle tööks on vaja sertifikaate (näiteks Let's encryptist või ise -allkirjastatud).
shadowsocksv2ray-plugin-http: allalaadimine - 1404 Mbits; üleslaadimine 1938 Mbit.
shadowsocksv2ray-plugin-tls: allalaadimine - 1214 Mbits; üleslaadimine 1898 Mbit.
shadowsocksv2ray-plugin-quic: allalaadimine - 183 Mbits; laadige üles 384 Mbit.
Nagu ma juba ütlesin, saab v2ray määrata päiseid ja seega saate sellega töötada pöördpuhverserveri CDN-i kaudu (näiteks Cloudfler). Ühest küljest raskendab see tunneli tuvastamist, teisest küljest võib see viivitust veidi suurendada (ja mõnikord ka vähendada) - kõik sõltub teie ja serverite asukohast. CF testib praegu quiciga töötamist, kuid see režiim pole veel saadaval (vähemalt tasuta kontode jaoks).
shadowsocksv2ray-plugin-http+CF: allalaadimine - 1284 Mbits; üleslaadimine 1785 Mbit.
shadowsocksv2ray-plugin-tls+CF: allalaadimine - 1261 Mbit; üleslaadimine 1881 Mbit.
keep
Tükeldatud on GoQuieti obfuskaatori edasiarendamise tulemus. Simuleerib TLS-i liiklust ja töötab TCP kaudu. Hetkel on autor välja andnud plugina teise versiooni cloak-2, mis erineb oluliselt algsest cloakist.
Arendaja sõnul kasutas pistikprogrammi esimene versioon tls 1.2 seansi jätkamise mehhanismi tls-i sihtkoha aadressi võltsimiseks. Pärast uue versiooni (kell-2) väljaandmist kustutati Githubis kõik seda mehhanismi kirjeldavad vikilehed; praeguses hägustamise krüptimise kirjelduses pole seda mainitud. Autori kirjelduse kohaselt ei kasutata purustamise esimest versiooni "krüpto kriitiliste haavatavuste" tõttu. Testide ajal oli mantlist alles esimene versioon, selle kahendfailid on endiselt Githubis ja kõige muu kõrval pole kriitilised haavatavused kuigi olulised, sest shadowsox krüpteerib liiklust samamoodi nagu ilma mantlita ja kloaak ei avalda shadowsoxi krüptole mingit mõju.
shadowsockscloak: allalaadimine - 1533; üleslaadimine - 1970 Mbit
Kcptun
kasutab transpordina kcptun-i ja mõnel erijuhul võimaldab saavutada suuremat läbilaskevõimet. Kahjuks (või õnneks) on see suures osas asjakohane Hiinast pärit kasutajatele, kelle mobiilsideoperaatorid ajavad tugevalt TCP-d ja ei puutu UDP-sse.
Kcptun on neetult energianäljas ja laadib 100 kliendi poolt testimisel kergesti 4% 1 zion-tuuma. Lisaks on pistikprogramm “aeglane” ja iperf3 kaudu töötades ei vii see teste lõpuni. Vaatame brauseris kiiruskatset.
shadowsockskcptun: allalaadimine (speedtest) - 546 Mbits; üleslaadimine (kiirustest) 854 Mbit.
Järeldus
Kas vajate kogu masina liikluse peatamiseks lihtsat ja kiiret VPN-i? Siis on teie valik sõjakaitsja. Kas soovite puhverservereid (selektiivseks tunneldamiseks või virtuaalsete inimeste voogude eraldamiseks) või on teie jaoks olulisem takistada liiklust tõsise blokeerimise eest? Seejärel vaadake shadowboxi tlshttp hägustusega. Kas soovite olla kindel, et teie Internet töötab seni, kuni Internet üldse töötab? Valige liikluse puhverserver läbi oluliste CDN-ide, mille blokeerimine toob kaasa poole riigi Interneti rikke.
Pivot-tabel, sorteeritud allalaadimise järgi
Allikas: www.habr.com