Sareko hainbat baliabidetarako sarbidea gero eta gehiago ukatzen zaigunez, blokeoa saihesteko gaia gero eta larriagoa da, eta horrek esan nahi du βNola saihestu blokeatzea azkarrago?β galdera gero eta garrantzitsuagoa dela.
Utz dezagun eraginkortasunaren gaia DPI zerrenda zuriak saihesteko beste kasu baterako, eta konparatu besterik gabe blokeen saihesteko tresna ezagunen errendimendua.
Kontuz: spoiler azpian argazki asko egongo dira artikuluan.
Oharra: artikulu honek VPN proxy irtenbide ezagunen errendimendua alderatzen du "idealetatik" gertu dauden baldintzetan. Hemen lortutako eta deskribatutako emaitzak ez dira zertan bat etortzen eremuetako emaitzekin. Abiadura-probako zenbakia askotan ez baita saihesbide-tresnaren ahalmenaren araberakoa izango, baizik eta zure hornitzaileak nola kontrolatzen duen.
Metodologia
3 VPS hodei-hornitzaile bati (DO) erosi ziren munduko herrialde desberdinetan. 2 Herbehereetan, 1 Alemanian. VPS produktiboena (nukleo kopuruaren arabera) kupoi-kredituen eskaintzaren azpian dauden konturako eskuragarri daudenen artean hautatu zen.
Holandako lehen zerbitzarian iperf3 zerbitzari pribatu bat zabaltzen da.
Holandako bigarren zerbitzarian, blokeak saihesteko tresnen hainbat zerbitzari banaka zabaltzen dira.
Mahaigaineko Linux irudi bat (xubuntu) VNC eta mahaigain birtual bat zabaltzen da Alemaniako VPS-n. VPN hau baldintzapeko bezero bat da, eta hainbat VPN proxy bezero instalatu eta martxan jartzen dira.
Abiadura neurketak hiru aldiz egiten dira, batez bestekoan zentratzen gara, 3 tresna erabiltzen ditugu: Chromium-en web abiadura proba baten bidez; Chromium-en fast.com bidez; kontsolatik iperf3 bidez proxychains4 bidez (non iperf3 trafikoa proxyan jarri behar duzun).
Iperf3 "bezero"-zerbitzari zuzeneko konexio batek 2 Gbps-ko abiadura ematen du iperf3-n, eta apur bat gutxiago abiadura azkarrean.
Irakurle jakintsu batek galdetu dezake: "zergatik ez duzu aukeratu speedtest-cli?" eta arrazoia izango du.
Speedtest-cli ez zen fidagarria eta eraginkortasuna neurtzeko modu desegokia izan zen, niretzat ezagutzen ez diren arrazoiengatik. Ondoz ondoko hiru neurketek hiru emaitza guztiz desberdinak eman ditzakete, edo adibidez nire VPSaren ataka-abiadura baino askoz ere handiagoa izan daiteke. Agian arazoa nire eskua da, baina ezinezkoa zirudien horrelako tresna batekin ikerketa egitea.
Hiru neurketa metodoen emaitzei dagokienez (speedtest fastiperf), iperf adierazleak zehatzenak eta fidagarrienak direla uste dut, eta fastspeedtest erreferentzia gisa. Baina saihesbide-tresna batzuek ez zuten iperf3 bidez 3 neurketa osatzea ahalbidetzen eta, kasu horietan, speedtestfast-en fida zaitezke.
abiadura probak emaitza desberdinak ematen ditu
tresnak
Guztira, 24 bypass tresna ezberdin edo haien konbinazioak probatu ziren, horietako bakoitzari buruzko azalpen txikiak eta haiekin lan egitearen inpresioak emango ditut. Baina, funtsean, helburua itzaldun galtzerdien abiadurak (eta horretarako ofuskatzaile ugari) openVPN eta wireguard-en konparatzea zen.
Material honetan, ez dut zehatz-mehatz eztabaidatuko "zirkulazioa nola ezkutatu onena deskonektatu ez dadin" galdera, blokeoa saihestea neurri erreaktiboa delako - zentsoreak erabiltzen duenari egokitzen gara eta oinarri horretan jarduten dugu.
Findings
Strongswanipsec
Nire inpresioetan, oso erraza da konfiguratzea eta nahiko egonkor funtzionatzen du. Abantailetako bat da benetan multiplataforma dela, plataforma bakoitzerako bezeroak bilatu beharrik gabe.
deskargatu - 993 Mbit; igo - 770 Mbit
SSH tunela
Seguruenik, alferrak bakarrik ez dute idatzi SSH tunel tresna gisa erabiltzeari buruz. Desabantailetako bat irtenbidearen "makulua" da, hau da. plataforma guztietan bezero eroso eta eder batetik zabaltzeak ez du funtzionatuko. Abantailak errendimendu ona dira, ez dago zerbitzarian ezer instalatu beharrik.
deskargatu - 1270 Mbit; igo - 1140 Mbit
OpenVPN
OpenVPN 4 funtzionamendu modutan probatu zen: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN zerbitzariak automatikoki konfiguratu ziren streisand instalatuz.
Uste denez, momentuz stunnel modua bakarrik erresistentea da DPI aurreratuekiko. OpenVPN-tcp stunnel-ean biltzeko orduan abiadura handitzearen arrazoia ez dut argi, egiaztapenak hainbat exekuziotan egin ziren, une eta egun ezberdinetan, emaitza berdina izan zen. Agian Streisand inplementatzean instalatutako sare-pilaren ezarpenak direla eta, idatzi hau zergatik den ideiarik baduzu.
openvpntcp: deskargatu - 760 mbts; igo - 659 Mbit
openvpntcp+sslh: deskargatu - 794 mbit; igo - 693 Mbit
openvpntcp+stunnel: deskargatu - 619 mbit; igo - 943 Mbit
openvpnudp: deskargatu - 756 Mbit; igo - 580 Mbit
Openconnect
Ez da blokeoak saihesteko tresnarik ezagunena, Streisand paketean sartuta dago, beraz, hura ere probatzea erabaki dugu.
deskargatu - 895 Mbit; igo 715 mbps
alanbre babeslea
Mendebaldeko erabiltzaileen artean ezaguna den hype tresna bat, protokoloaren garatzaileek defentsa funtsetatik garapenerako diru-laguntza batzuk ere jaso zituzten. Linux kernel modulu gisa funtzionatzen du UDP bidez. Duela gutxi, windowsios-en bezeroak agertu dira.
Netflix estatuetan ez dagoen bitartean Netflix ikusteko modu sinple eta azkar gisa pentsatu zuen sortzaileak.
Hortik alde onak eta txarrak. Alde onak: protokolo oso azkarra, instalazio eta konfigurazio erraztasun erlatiboa. Desabantailak - Garatzaileak ez zuen hasiera batean sortu blokeo larriak saihesteko helburuarekin, eta, beraz, Wargard erraz hautematen da tresna errazenek, barne. wireshark.
wireguard protokoloa wireshark-en
deskargatu - 1681 Mbit; igo 1638 mbps
Interesgarria da, warguard protokoloa hirugarrenen tunsafe bezeroan erabiltzen da, eta horrek, warguard zerbitzari berarekin erabiltzen denean, askoz emaitza okerragoak ematen ditu. Litekeena da Windows wargard bezeroak emaitza berdinak erakustea:
tunsafeclient: deskargatu - 1007 mbit; igo - 1366 Mbit
OutlineVPN
Outline shadowox zerbitzari eta bezero baten ezarpena da, Google-ren puzzlearen erabiltzaile-interfaze eder eta erosoa duena. Windows-en, eskema bezeroa shadowsocks-local (shadowsocks-libev bezeroa) eta badvpn (tun2socks bitarra makina trafiko guztia tokiko socks proxy batera zuzentzen duen) bitarren bilgarri multzo bat besterik ez da.
Shadowsox Txinako Suebaki Handiarekiko erresistentea zen garai batean, baina azken berrikuspenetan oinarrituta, jada ez da horrela. ShadowSox-ek ez bezala, kutxatik kanpo ez du onartzen pluginen bidez lausotzea konektatzea, baina hori eskuz egin daiteke zerbitzariarekin eta bezeroarekin aldatuz.
deskargatu - 939 Mbit; igo - 930 Mbit
Itzalak
ShadowsocksR jatorrizko Shadowsocks-en sardexka bat da, Python-en idatzia. Funtsean, trafikoa nahasteko hainbat metodo ondo lotuta dauden itzal-kutxa da.
SsR-ren sardexkak daude libev eta beste zerbaitetarako. Errendimendu baxua kode hizkuntzari zor zaio ziurrenik. Python-en jatorrizko shadowsox ez da askoz azkarragoa.
shadowsocksR: deskargatu 582 mbit; igo 541 Mbit.
Shadowsocks
Trafikoa ausaz banatzen duen eta beste modu zoragarri batzuetan analisi automatikoa oztopatzen duen Txinako blokeak saihesteko tresna. Duela gutxi arte, GFW ez zegoen blokeatuta; diote orain blokeatuta dagoela UDP errelea aktibatuta badago.
Plataforma gurutzatua (edozein plataformatarako bezeroak daude), Thor-en ofuskatzaileen antzeko PT-rekin lan egiten du onartzen, hainbat lausotzaile daude gureak edo hari egokituak, azkar.
Shadowox bezero eta zerbitzarien inplementazio mordoa dago, hizkuntza ezberdinetan. Probetan, shadowsocks-libev zerbitzari gisa jardun zuen, bezero desberdinak. Linux bezero azkarrena shadowsocks2 izan zen, Streisand-en bezero lehenetsi gisa banatuta, ezin dut esan zenbaterainoko produktiboagoa den shadowsocks-windows. Proba gehiago gehienetan, shadowsocks2 bezero gisa erabili zen. shadowsocks-libev purua probatzen duten pantaila-argazkiak ez dira egin ezarpen honen atzerapen nabaria zela eta.
shadowsocks2: deskargatu - 1876 mbts; igo - 1981 Mbit.
shadowsocks-rust: deskargatu - 1605 mbts; igo - 1895 Mbit.
Shadowsocks-libev: deskargatu - 1584 mbts; igo - 1265 Mbit.
Simple-obfs
Shadowsox-en plugina orain "amortizatu" egoeran dago, baina oraindik funtzionatzen du (nahiz eta ez beti ondo). Neurri handi batean v2ray-plugin-ak ordezkatu du. Trafikoa nahasten du HTTP websocket baten azpian (eta helmugako goiburua faltsatzeko aukera ematen du, pornhub bat ikusiko ez zarela itxuraz, baina, adibidez, Errusiako Federazioaren Konstituzioaren webgunea) edo pseudo-tls-en azpian (pseudoa). , ziurtagiririk erabiltzen ez duenez, DPI errazenak, adibidez, nDPI doakoak "tls no cert" gisa detektatzen dira. Tls moduan, jada ezin da goiburuak faltifikatzea).
Nahiko azkarra, komando bakarreko repositegitik instalatuta, oso erraz konfiguratuta, hutsegite-funtzio bat dauka (simple-obfs bezero bat ez den trafikoa simple-obfs entzuten duen atakara iristen denean, helbidera birbidaltzen du. ezarpenetan zehazten duzun tokian - honela Modu honetan, 80 ataka eskuz egiaztatzea saihestu dezakezu, adibidez, http-a duen webgune batera birbideratu besterik ez baduzu, baita konexio-zunda bidez blokeatzea ere).
shadowsockss-obfs-tls: deskargatu - 1618 mbts; igo 1971 Mbit.
shadowsockss-obfs-http: deskargatu - 1582 mbts; igo - 1965 Mbit.
Simple-obfs HTTP moduan CDN alderantzizko proxy baten bidez ere lan egin dezakete (adibidez, cloudflare), beraz, gure hornitzailearentzat trafikoa HTTP testu arrunteko trafikoaren itxura izango du cloudflarerako, honek gure tunela apur bat hobeto ezkutatzeko aukera ematen digu, eta Aldi berean, bereizi sarrera-puntua eta trafiko-irteera - hornitzaileak ikusten du zure trafikoa CDN IP helbiderantz doala, eta argazkietan muturreko gustuak jartzen dira momentu honetan VPS IP helbidetik. Esan beharra dago CF bidezko s-obfs dela anbiguoki funtzionatzen duena, aldian-aldian HTTP baliabide batzuk ireki gabe, adibidez. Beraz, ezin izan da igoera probatu iperf erabiliz shadowsockss-obfs+CF bidez, baina abiadura probaren emaitzen arabera, shadowsocksv2ray-plugin-tls+CF mailan dago. Ez dut iperf3-ko pantaila-argazkiak eransten ari, zeren... Ez zenuke haietan fidatu behar.
deskargatu (abiadura proba) - 887; igo (abiadura proba) - 1154.
Deskargatu (iperf3) - 1625; igo (iperf3) - NA.
v2ray-plugin
V2ray-plugin-ak obfs sinpleak ordezkatu ditu ss libs-en lausotzaile "ofizial" nagusi gisa. Obfs sinpleak ez bezala, oraindik ez dago biltegietan, eta aurrez muntatutako bitar bat deskargatu edo zuk zeuk konpilatu behar duzu.
3 funtzionamendu modu onartzen ditu: lehenetsia, HTTP websocket (helmugako ostalariaren goiburuak spoofing laguntzarekin); tls-websocket (s-obfs ez bezala, hau tls trafiko osoa da, edozein alderantzizko proxy web zerbitzariak ezagutzen duena eta, adibidez, tls amaiera konfiguratzeko aukera ematen du cloudfler zerbitzarietan edo nginx-en); quic - udp bidez funtzionatzen du, baina, zoritxarrez, v2rey-n quic-en errendimendua oso baxua da.
Obfs soilekin alderatuta abantailen artean: v2rey plugin-ak CF bidez arazorik gabe funtzionatzen du HTTP-websocket moduan edozein trafikorekin, TLS moduan TLS trafiko osoa da, funtzionamendurako ziurtagiriak behar ditu (adibidez, Let's encrypt edo auto-tik). -sinatua).
shadowsocksv2ray-plugin-http: deskargatu - 1404 mbts; igo 1938 Mbit.
shadowsocksv2ray-plugin-tls: deskargatu - 1214 mbit; igo 1898 Mbit.
shadowsocksv2ray-plugin-quic: deskargatu - 183 Mbit; igo 384 Mbit.
Esan dudan bezala, v2ray-k goiburuak ezar ditzake eta, horrela, alderantzizko proxy CDN baten bidez lan egin dezakezu (cloudfler adibidez). Alde batetik, horrek tunelaren detekzioa zaildu egiten du, bestetik, atzerapena apur bat handitu (eta batzuetan murriztu) dezake - dena zure kokapenaren eta zerbitzarien araberakoa da. CF-k quic-ekin funtzionatzen ari da probatzen, baina modu hau oraindik ez dago erabilgarri (doako kontuetarako behintzat).
shadowsocksv2ray-plugin-http+CF: deskargatu - 1284 mbit; igo 1785 Mbit.
shadowsocksv2ray-plugin-tls+CF: deskargatu - 1261 mbit; igo 1881 Mbit.
kapa
Shred GoQuiet offuscator-aren garapenaren emaitza da. TLS trafikoa simulatzen du eta TCP bidez funtzionatzen du. Momentuz, egileak pluginaren bigarren bertsioa kaleratu du, cloak-2, jatorrizko kapatik nabarmen ezberdina dena.
Garatzailearen arabera, pluginaren lehen bertsioak tls 1.2 berrekiteko saioaren mekanismoa erabili zuen tls-en helmuga helbidea faltsutzeko. Bertsio berria (erlojua-2) kaleratu ondoren, mekanismo hau deskribatzen zuten Github-eko wiki orrialde guztiak ezabatu egin ziren; ez dago horren aipamenik ofuskazioaren enkriptatzeari buruzko uneko deskribapenean. Egilearen deskribapenaren arabera, shred-aren lehen bertsioa ez da erabiltzen "kriptografian ahultasun kritikoak" daudelako. Probak egiteko garaian, kaparen lehen bertsioa bakarrik zegoen, bere bitarrak Github-en daude oraindik, eta gainontzeko guztiaz gain, ahultasun kritikoak ez dira oso garrantzitsuak, zeren shadowsox-ek trafikoa enkriptatzen du kaparik gabe bezala, eta cloac-ak ez du eraginik shadowsox-en kriptoan.
shadowsockscloak: deskargatu - 1533; igo - 1970 Mbit
Kcptun
kcptun erabiltzen du garraio gisa eta kasu berezi batzuetan errendimendu handiagoa lortzeko aukera ematen du. Zoritxarrez (edo zorionez), hori oso garrantzitsua da Txinako erabiltzaileentzat, hauen operadore mugikor batzuek TCP gogor murrizten dute eta ez dute UDP ukitzen.
Kcptunek botere gose madarikatua du, eta erraz kargatzen ditu 100 zion nukleo %4ean bezero batek probatzen duenean. Gainera, plugina βmotelaβ da, eta iperf1 bidez lan egiten duenean ez ditu probak bukatzen amaieraraino. Ikus dezagun arakatzailearen abiadura proba.
shadowsockskcptun: deskargatu (abiadura proba) - 546 mbits; kargatu (abiadura proba) 854 mbit.
Ondorioa
VPN sinple eta azkar bat behar al duzu zure makina osoko trafikoa gelditzeko? Orduan zure aukera gerra-guardia da. Proxyak nahi dituzu (tunel selektiboa egiteko edo pertsona birtualen fluxuak bereizteko) edo garrantzitsuagoa al da trafikoa blokeo larrietatik nahastea? Ondoren, begiratu shadowbox-ri tlshttp ofuskazioarekin. Internetek funtzionatzen duen bitartean Internetek funtzionatuko duela ziurtatu nahi duzu? Aukeratu trafikoa CDN garrantzitsuen bidez proxy egitea, eta horrek herrialdeko Interneten erdiaren porrota ekarriko du blokeatzea.
Taula dinamikoa, deskargaren arabera ordenatuta
Iturria: www.habr.com