Koska meiltä evätään yhä useammin pääsy verkon eri resursseihin, estämisen ohittamisesta tulee yhä tärkeämpää, mikä tarkoittaa, että kysymys "Kuinka ohittaa esto nopeammin?" tulee yhä tärkeämmäksi.
Jätetään tehokkuuden aihe DPI-valkoisten listojen ohittamiseen toiseen tapaukseen ja verrataan vain suosittujen lohkon ohitustyökalujen suorituskykyä.
Huomio: Artikkelissa on paljon kuvia spoilerien alla.
Vastuuvapauslauseke: tässä artikkelissa verrataan suosittujen VPN-välityspalvelinratkaisujen suorituskykyä olosuhteissa, jotka ovat lähellä "ihanteellista". Tässä saadut ja kuvatut tulokset eivät välttämättä vastaa kenttien tuloksiasi. Koska nopeustestin luku ei usein riipu ohitustyökalun voimakkuudesta, vaan siitä, kuinka palveluntarjoajasi kuristaa sitä.
metodologia
3 VPS:ää ostettiin pilvipalveluntarjoajalta (DO) eri maista ympäri maailmaa. 2 Hollannissa, 1 Saksassa. Tuottavin VPS (ytimien lukumäärän mukaan) valittiin kuponkihyvitystarjouksen yhteydessä tilille saatavilla olevista.
Yksityinen iperf3-palvelin on otettu käyttöön ensimmäisellä hollantilaispalvelimella.
Toisella hollantilaisella palvelimella eri lohkon ohitustyökalujen palvelimia otetaan käyttöön yksitellen.
Saksalaiseen VPS:ään on otettu käyttöön työpöytä Linux-kuva (xubuntu), jossa on VNC ja virtuaalinen työpöytä. Tämä VPN on ehdollinen asiakas, ja siihen asennetaan ja käynnistetään vuorotellen useita VPN-välityspalvelinasiakkaita.
Nopeusmittaukset suoritetaan kolme kertaa, keskitymme keskiarvoon, käytämme 3 työkalua: Chromiumissa verkon nopeustestin kautta; Chromiumissa fast.comin kautta; konsolista iperf3:n kautta proxychains4:n kautta (jossa sinun täytyy laittaa iperf3-liikenne välityspalvelimeen).
Suoran yhteyden "asiakas"-palvelin iperf3 antaa 2 Gbps nopeuden iperf3:ssa ja hieman vähemmän fastspeedtestissä.
Utelias lukija saattaa kysyä: "Miksi et valinnut speedtest-cli:tä?" ja hän tulee olemaan oikeassa.
Speedtest-cli osoittautui minulle tuntemattomista syistä epäluotettavaksi ja riittämättömäksi suorituskyvyn mittaamiseksi. Kolme peräkkäistä mittausta voisi antaa kolme täysin erilaista tulosta tai esimerkiksi näyttää paljon suuremman suorituskyvyn kuin VPS:ni portin nopeus. Ehkä ongelma on nujerrettu käteni, mutta näytti mahdottomalta suorittaa tutkimusta sellaisella työkalulla.
Mitä tulee kolmen mittausmenetelmän (speedtest fastiperf) tuloksiin, pidän iperf-indikaattoreita tarkimpina ja luotettavimpina ja fastspeedtestiä referenssinä. Mutta jotkut ohitustyökalut eivät sallineet 3 mittauksen suorittamista iperf3:n kautta, ja tällaisissa tapauksissa voit luottaa speedtestfastiin.
nopeustesti antaa erilaisia tuloksia
Työkalut
Yhteensä testattiin 24 erilaista ohitustyökalua tai niiden yhdistelmiä, joista jokaiselle annan pienet selitykset ja vaikutelmani niiden kanssa työskentelystä. Mutta pohjimmiltaan tavoitteena oli verrata shadowsockin (ja siihen liittyvien erilaisten obfuskaattorien) openVPN:n ja wireguardin nopeuksia.
Tässä materiaalissa en käsittele yksityiskohtaisesti kysymystä "miten parhaiten piilottaa liikenne, jotta se ei katkea", koska eston ohittaminen on reaktiivinen toimenpide - sopeudumme sensuuriin ja toimimme tämän perusteella.
Tulokset
Strongswanipsec
Minun vaikutelmieni mukaan se on erittäin helppo asentaa ja toimii melko vakaasti. Yksi eduista on, että se on todella monialustainen, ilman että sinun tarvitsee etsiä asiakkaita jokaiselle alustalle.
lataus - 993 Mbit; lataus - 770 Mbit
SSH tunneli
Luultavasti vain laiskot eivät ole kirjoittaneet SSH:n käyttämisestä tunnelityökaluna. Yksi haitoista on ratkaisun ”sauva”, ts. sen käyttöönotto kätevältä, kauniilta asiakkaalta kaikilla alustoilla ei toimi. Etuna on hyvä suorituskyky, palvelimelle ei tarvitse asentaa mitään.
lataus - 1270 Mbit; lataus - 1140 Mbit
OpenVPN
OpenVPN testattiin neljässä toimintatilassa: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN-palvelimet määritettiin automaattisesti asentamalla streisand.
Sikäli kuin voidaan arvioida, tällä hetkellä vain stunnel-tila kestää edistyneitä DPI:itä. Syy epänormaaliin suorituskyvyn kasvuun, kun openVPN-tcp kääritään stunneliin, ei ole minulle selvä, tarkistuksia tehtiin useilla ajoilla, eri aikoina ja eri päivinä, tulos oli sama. Ehkä tämä johtuu Streisandin käyttöönoton yhteydessä asennetuista verkkopinoasetuksista. Kirjoita, jos sinulla on ideoita miksi näin on.
openvpntcp: lataus - 760 Mbits; lataus - 659 Mbit
openvpntcp+sslh: lataus - 794 Mbit; lataus - 693 Mbit
openvpntcp+stunnel: lataus - 619 Mbit; lataus - 943 Mbit
openvpnudp: lataus - 756 Mbits; lataus - 580 Mbit
Avaa yhteys
Ei suosituin työkalu tukosten ohittamiseen, se sisältyy Streisand-pakettiin, joten päätimme myös testata sitä.
lataus - 895 Mbit; latausnopeus 715 Mbps
suojaverkko
Länsimaisten käyttäjien keskuudessa suosittu hype-työkalu, protokollan kehittäjät jopa saivat kehitysapurahoja puolustusrahastoista. Toimii Linuxin ydinmoduulina UDP:n kautta. Viime aikoina on ilmestynyt Windowsios-asiakkaita.
Tekijä piti sen yksinkertaisena, nopeana tapana katsella Netflixiä osavaltioiden ulkopuolella.
Siksi plussat ja miinukset. Plussat: erittäin nopea protokolla, suhteellisen helppo asennus ja konfigurointi. Haitat - kehittäjä ei alun perin luonut sitä tarkoituksenaan kiertää vakavia tukoksia, ja siksi wargard havaitaan helposti yksinkertaisimmilla työkaluilla, mukaan lukien. wireshark.
wireguard-protokolla wiresharkissa
lataus - 1681 Mbit; latausnopeus 1638 Mbps
Mielenkiintoista on, että warguard-protokollaa käytetään kolmannen osapuolen tusafe-asiakasohjelmassa, joka, kun sitä käytetään saman warguard-palvelimen kanssa, antaa paljon huonompia tuloksia. On todennäköistä, että Windows wargard -asiakasohjelma näyttää samat tulokset:
tunsafeclient: lataus - 1007 Mbits; lataus - 1366 Mbit
OutlineVPN
Outline on shadowox-palvelimen ja -asiakkaan toteutus kauniilla ja kätevällä käyttöliittymällä Googlen palapelistä. Windowsissa outline-asiakasohjelma on yksinkertaisesti joukko kääreitä shadowsocks-local (shadowsocks-libev client) ja badvpn (tun2socks-binaari, joka ohjaa kaiken koneliikenteen paikalliseen socks-välityspalvelimeen) binäärit.
Shadowsox vastusti aikoinaan Kiinan suurta palomuuria, mutta viimeaikaisten arvostelujen perusteella näin ei enää ole. Toisin kuin ShadowSox, se ei heti tue yhdistämistä liitännäisten kautta, mutta tämä voidaan tehdä manuaalisesti palvelimen ja asiakkaan kanssa.
lataus - 939 Mbit; lataus - 930 Mbit
VarjostimetR
ShadowsocksR on haarukka alkuperäisestä Shadowsocksista, joka on kirjoitettu Pythonilla. Pohjimmiltaan se on varjolaatikko, johon on kiinnitetty tiukasti useita liikenteen hämärtämismenetelmiä.
Libeville on ssR:n haarukat ja jotain muuta. Alhainen suorituskyky johtuu todennäköisesti koodikielestä. Pythonin alkuperäinen shadowsox ei ole paljon nopeampi.
shadowsocksR: lataus 582 Mbit; latausnopeus 541 Mbit.
Shadowsocks
Kiinalainen lohkon ohitustyökalu, joka satunnaistaa liikenteen ja häiritsee automaattista analysointia muilla upeilla tavoilla. Viime aikoihin asti GFW:tä ei estetty; he sanovat, että nyt se on estetty vain, jos UDP-rele on päällä.
Cross-platform (asiakkaita on mille tahansa alustalle), tukee työskentelyä PT:n kanssa samankaltaisesti kuin Thorin obfuskaattorit, on olemassa useita omia tai siihen mukautettuja obfuskaattoreita, nopeasti.
Shadowox-asiakkaille ja -palvelimille on olemassa joukko toteutuksia eri kielillä. Testauksessa shadowsocks-libev toimi palvelimena, eri asiakkaina. Nopeimmaksi Linux-asiakkaaksi osoittautui shadowsocks2 on go, joka jaettiin oletusasiakkaana streisandissa, en osaa sanoa kuinka paljon tuottavampi shadowsocks-windows on. Useimmissa lisätesteissä asiakkaana käytettiin shadowsocks2:ta. Kuvakaappauksia, jotka testasivat puhdasta shadowsocks-libeviä, ei tehty tämän toteutuksen ilmeisen viiveen vuoksi.
shadowsocks2: lataus - 1876 Mbit; lataus - 1981 Mbit.
shadowsocks-rust: lataus - 1605 Mbit; lataus - 1895 Mbit.
Shadowsocks-libev: lataus - 1584 Mbit; lataus - 1265 Mbit.
Simple-obfs
Shadowox-laajennus on nyt "poistettu" -tilassa, mutta toimii edelleen (vaikkakaan ei aina hyvin). Suurelta osin syrjäytynyt v2ray-pluginilla. Hämärtää liikennettä joko HTTP-verkkopistorasiassa (ja antaa sinun huijata kohdeotsikkoa teeskennellen, että et katso pornohubia, vaan esimerkiksi Venäjän federaation perustuslain verkkosivustoa) tai pseudo-tls:n (pseudo , koska se ei käytä varmenteita, yksinkertaisimmat DPI:t, kuten ilmainen nDPI, tunnistetaan nimellä "tls no cert". Tls-tilassa ei ole enää mahdollista huijata otsikoita).
Melko nopea, asennettu reposta yhdellä komennolla, konfiguroitu hyvin yksinkertaisesti, siinä on sisäänrakennettu vikasietotoiminto (kun liikenne ei-simple-obfs-asiakkaalta tulee porttiin, jota simple-obfs kuuntelee, se välittää sen osoitteeseen jossa määrität asetuksissa - näin Tällä tavalla voit välttää portin 80 manuaalisen tarkistuksen esimerkiksi yksinkertaisesti uudelleenohjaamalla verkkosivustolle, jossa on http, sekä estämällä yhteystunnistimien kautta).
shadowsockss-obfs-tls: lataus - 1618 Mbit; latausnopeus 1971 Mbit.
shadowsockss-obfs-http: lataus - 1582 Mbit; lataus - 1965 Mbit.
HTTP-tilassa olevat yksinkertaiset obfit voivat toimia myös CDN-käänteisen välityspalvelimen (esim. cloudflare) kautta, joten palveluntarjoajaltamme liikenne näyttää HTTP-plaintext-liikenteeltä cloudflareen, jolloin voimme piilottaa tunnelimme hieman paremmin, ja erota samalla sisääntulopiste ja liikenteen poistumispiste - palveluntarjoaja näkee, että liikenne kulkee kohti CDN IP-osoitetta, ja äärimmäiset tykkäykset kuviin sijoitetaan tällä hetkellä VPS IP-osoitteesta. On sanottava, että s-obfs CF:n kautta toimii epäselvästi, ei ajoittain avaa esimerkiksi joitain HTTP-resursseja. Latausta ei siis voitu testata iperf:llä shadowsockss-obfs+CF:n kautta, mutta nopeustestin tulosten perusteella läpimenonopeus on shadowsocksv2ray-plugin-tls+CF tasolla. En liitä kuvakaappauksia iperf3:sta, koska... Sinun ei pitäisi luottaa niihin.
lataus (nopeustesti) - 887; lataus (nopeustesti) - 1154.
Lataa (iperf3) - 1625; lataus (iperf3) - NA.
v2ray-liitännäinen
V2ray-plugin on korvannut yksinkertaiset obfs:t ss-libs-tiedostojen tärkeimpänä "virallisena" obfuskaattorina. Toisin kuin yksinkertainen obfs, se ei ole vielä arkistoissa, ja sinun on joko ladattava valmiiksi koottu binaari tai käännettävä se itse.
Tukee 3 toimintatilaa: oletus, HTTP-verkkoyhteys (tuki kohdeisäntäotsikoiden huijaukselle); tls-websocket (toisin kuin s-obfs, tämä on täysimittaista tls-liikennettä, jonka mikä tahansa käänteinen välityspalvelinverkkopalvelin tunnistaa ja jonka avulla voit esimerkiksi määrittää tls-päätteen cloudfler-palvelimissa tai nginxissä); quic - toimii udp:n kautta, mutta valitettavasti quicin suorituskyky v2reyssä on erittäin alhainen.
Eduista yksinkertaisiin obf:eihin verrattuna: v2ray-laajennus toimii ongelmitta CF:n kautta HTTP-websocket-tilassa minkä tahansa liikenteellä, TLS-tilassa se on täysimittaista TLS-liikennettä, vaatii toimiakseen varmenteita (esim. Let's Encryptistä tai itsestään -allekirjoitettu).
shadowsocksv2ray-plugin-http: lataus - 1404 Mbit; latausnopeus 1938 Mbit.
shadowsocksv2ray-plugin-tls: lataus - 1214 Mbit; latausnopeus 1898 Mbit.
shadowsocksv2ray-plugin-quic: lataus - 183 Mbit; latausnopeus 384 Mbit.
Kuten jo sanoin, v2ray voi asettaa otsikoita, joten voit työskennellä sen kanssa käänteisen välityspalvelimen CDN:n kautta (esimerkiksi Cloudfler). Toisaalta tämä vaikeuttaa tunnelin havaitsemista, toisaalta se voi hieman lisätä (ja joskus vähentää) viivettä - kaikki riippuu sinun ja palvelimien sijainnista. CF testaa parhaillaan quicin käyttöä, mutta tämä tila ei ole vielä saatavilla (ainakaan ilmaisilla tileillä).
shadowsocksv2ray-plugin-http+CF: lataus - 1284 Mbits; latausnopeus 1785 Mbit.
shadowsocksv2ray-plugin-tls+CF: lataus - 1261 Mbit; latausnopeus 1881 Mbit.
Viitta
Silppuaminen on tulosta GoQuiet-obfuskaattorin jatkokehityksestä. Simuloi TLS-liikennettä ja toimii TCP:n kautta. Tällä hetkellä kirjoittaja on julkaissut pluginin toisen version, cloak-2, joka eroaa merkittävästi alkuperäisestä viittasta.
Kehittäjän mukaan laajennuksen ensimmäinen versio käytti tls 1.2 -istunnon jatkamismekanismia tls:n kohdeosoitteen huijaamiseen. Uuden version (kello-2) julkaisun jälkeen kaikki tätä mekanismia kuvaavat Githubin wikisivut poistettiin; tästä ei mainita nykyisessä hämäräsalauksen kuvauksessa. Kirjoittajan kuvauksen mukaan silppuamisen ensimmäistä versiota ei käytetä "kriittisten haavoittuvuuksien krypton vuoksi". Testien aikana viittasta oli vain ensimmäinen versio, sen binaarit ovat edelleen Githubissa, ja kaiken muun lisäksi kriittiset haavoittuvuudet eivät ole kovin tärkeitä, koska shadowsox salaa liikenteen samalla tavalla kuin ilman peittoa, eikä kloaakilla ole vaikutusta shadowsoxin kryptoon.
shadowsockscoak: lataus - 1533; lataus - 1970 Mbit
Kcptun
käyttää kcptunia kuljetuksena ja joissakin erikoistapauksissa mahdollistaa suuremman suorituskyvyn saavuttamisen. Valitettavasti (tai onneksi) tämä koskee suurelta osin kiinalaisia käyttäjiä, joiden matkapuhelinoperaattorit kurottavat voimakkaasti TCP:tä eivätkä koske UDP:hen.
Kcptun on hemmetin nälkäinen, ja se lataa helposti 100 zion-ydintä 4-prosenttisesti, kun yksi asiakas on testannut sen. Lisäksi laajennus on "hidas", eikä iperf1:n kautta työskennellessään suorita testejä loppuun asti. Katsotaanpa selaimen nopeustestiä.
shadowsockskcptun: lataus (nopeustesti) - 546 Mbit; lataus (nopeustesti) 854 Mbit.
Johtopäätös
Tarvitsetko yksinkertaisen, nopean VPN:n pysäyttämään liikenteen koko koneeltasi? Sitten valintasi on vartija. Haluatko välityspalvelimia (selektiiviseen tunnelointiin tai virtuaalisten henkilövirtojen erottamiseen) vai onko sinulle tärkeämpää hämärtää liikennettä vakavalta estolta? Tarkastele sitten shadowboxia tlshttp-hämiöinnillä. Haluatko olla varma, että Internet toimii niin kauan kuin Internet toimii? Valitse välittää liikenne tärkeiden CDN-verkkojen kautta, mikä estää puolet maan Internetistä.
Pivot-taulukko, lajiteltu latauksen mukaan
Lähde: will.com