Alors que l'accès à diverses ressources du réseau nous est de plus en plus refusé, la question du contournement du blocage devient de plus en plus urgente, ce qui signifie que la question « Comment contourner le blocage plus rapidement ? » devient de plus en plus pertinente.
Laissons le sujet de l'efficacité en termes de contournement des listes blanches DPI pour un autre cas, et comparons simplement les performances des outils de contournement de bloc populaires.
Attention : il y aura beaucoup de photos sous spoilers dans l'article.
Avertissement : cet article compare les performances des solutions proxy VPN populaires dans des conditions proches de « idéales ». Les résultats obtenus et décrits ici ne coïncident pas nécessairement avec vos résultats sur le terrain. Parce que le nombre indiqué dans le test de vitesse ne dépend souvent pas de la puissance de l'outil de contournement, mais de la manière dont votre fournisseur le limite.
La méthodologie
3 VPS ont été achetés auprès d'un fournisseur de cloud (DO) dans différents pays du monde. 2 aux Pays-Bas, 1 en Allemagne. Le VPS le plus productif (en nombre de cœurs) a été sélectionné parmi ceux disponibles pour le compte dans le cadre de l'offre de crédits de coupons.
Un serveur iperf3 privé est déployé sur le premier serveur néerlandais.
Sur le deuxième serveur néerlandais, différents serveurs d'outils de contournement de blocs sont déployés un à un.
Une image Linux de bureau (xubuntu) avec VNC et un bureau virtuel est déployée sur le VPS allemand. Ce VPN est un client conditionnel sur lequel divers clients proxy VPN sont installés et lancés tour à tour.
Les mesures de vitesse sont effectuées trois fois, nous nous concentrons sur la moyenne, nous utilisons 3 outils : dans Chromium via un web speed test ; dans Chrome via fast.com ; depuis la console via iperf3 via proxychains4 (où vous devez mettre le trafic iperf3 dans le proxy).
Une connexion directe « client »-serveur iperf3 donne un débit de 2 Gbps en iperf3, et un peu moins en fastspeedtest.
Un lecteur curieux peut demander : « pourquoi n’avez-vous pas choisi speedtest-cli ? » et il aura raison.
Speedtest-cli s'est avéré peu fiable et constitue un moyen inadéquat de mesurer le débit, pour des raisons que je ne connais pas. Trois mesures consécutives pourraient donner trois résultats complètement différents, ou, par exemple, montrer un débit bien supérieur à la vitesse du port de mon VPS. Le problème vient peut-être de ma main matraquée, mais il semblait impossible de mener des recherches avec un tel outil.
Quant aux résultats des trois méthodes de mesure (speedtest fastiperf), je considère les indicateurs iperf comme les plus précis et fiables, et le fastspeedtest comme référence. Mais certains outils de contournement ne permettaient pas d'effectuer 3 mesures via iperf3 et dans de tels cas, vous pouvez compter sur speedtestfast.
le test de vitesse donne des résultats différents
Инструментарий
Au total, 24 outils de contournement différents ou leurs combinaisons ont été testés, pour chacun d'eux je donnerai de petites explications et mes impressions sur leur utilisation. Mais essentiellement, l'objectif était de comparer les vitesses des shadowsocks (et d'un tas de différents obfuscateurs) openVPN et wireguard.
Dans cet article, je n'aborderai pas en détail la question de savoir « comment masquer au mieux le trafic pour ne pas être déconnecté », car contourner le blocage est une mesure réactive - nous nous adaptons à ce que la censure utilise et agissons sur cette base.
résultats
Strongswanipsec
D’après mes impressions, il est très simple à installer et fonctionne de manière assez stable. L’un des avantages est qu’il est véritablement multiplateforme, sans qu’il soit nécessaire de rechercher des clients pour chaque plateforme.
téléchargement - 993 Mbits ; téléchargement - 770 Mbits
Tunnel SSH
Il est probable que seuls les paresseux n'ont pas écrit sur l'utilisation de SSH comme outil de tunnel. L'un des inconvénients est la « béquille » de la solution, c'est-à-dire le déployer à partir d’un client pratique et esthétique sur chaque plate-forme ne fonctionnera pas. Les avantages sont de bonnes performances, il n'est pas du tout nécessaire d'installer quoi que ce soit sur le serveur.
téléchargement - 1270 Mbits ; téléchargement - 1140 Mbits
OpenVPN
OpenVPN a été testé dans 4 modes de fonctionnement : tcp, tcp+sslh, tcp+stunnel, udp.
Les serveurs OpenVPN ont été configurés automatiquement en installant Streisand.
Pour autant que l'on puisse en juger, pour le moment, seul le mode Stunnel résiste aux DPI avancés. La raison de l'augmentation anormale du débit lors de l'emballage d'openVPN-tcp dans stunnel n'est pas claire pour moi, les contrôles ont été effectués en plusieurs exécutions, à des moments et des jours différents, le résultat était le même. Cela est peut-être dû aux paramètres de la pile réseau installés lors du déploiement de Streisand, écrivez si vous avez une idée de la raison pour laquelle il en est ainsi.
openvpntcp : téléchargement - 760 mbits ; téléchargement - 659 Mbits
openvpntcp+sslh : téléchargement - 794 mbits ; téléchargement - 693 Mbits
openvpntcp+stunnel : téléchargement - 619 mbits ; téléchargement - 943 Mbits
openvpnudp : téléchargement - 756 Mbits ; téléchargement - 580 Mbits
Connexion ouverte
Ce n'est pas l'outil le plus populaire pour contourner les blocages, il est inclus dans le package Streisand, nous avons donc décidé de le tester également.
téléchargement - 895 Mbits ; télécharger 715 Mbps
Wireguard
Outil à la mode très populaire parmi les utilisateurs occidentaux, les développeurs du protocole ont même reçu des subventions pour le développement de la part de fonds de défense. Fonctionne comme un module du noyau Linux via UDP. Récemment, des clients pour Windowsios sont apparus.
Il a été conçu par le créateur comme un moyen simple et rapide de regarder Netflix lorsque vous n'êtes pas aux États-Unis.
D'où les avantages et les inconvénients. Avantages : protocole très rapide, relative facilité d’installation et de configuration. Inconvénients - le développeur ne l'a pas initialement créé dans le but de contourner de graves blocages, et donc wargard est facilement détecté par les outils les plus simples, incl. fil de fer.
protocole wireguard dans Wireshark
téléchargement - 1681 Mbits ; télécharger 1638 Mbps
Fait intéressant, le protocole warguard est utilisé dans le client tunsafe tiers, qui, lorsqu'il est utilisé avec le même serveur warguard, donne des résultats bien pires. Il est probable que le client Windows Wargard affichera les mêmes résultats :
tunsafeclient : téléchargement - 1007 Mbits ; téléchargement - 1366 Mbits
AperçuVPN
Outline est une implémentation d'un serveur et d'un client shadowox avec une interface utilisateur belle et pratique issue du puzzle de Google. Sous Windows, le client outline est simplement un ensemble de wrappers pour les binaires shadowsocks-local (client shadowsocks-libev) et badvpn (binaire tun2socks qui dirige tout le trafic de la machine vers un proxy chaussettes local).
Shadowsox était autrefois résistant au grand pare-feu de Chine, mais à en juger par les critiques récentes, ce n'est plus le cas. Contrairement à ShadowSox, il ne prend pas en charge l'obfuscation de connexion via des plugins, mais cela peut être fait manuellement en bricolant le serveur et le client.
téléchargement - 939 Mbits ; téléchargement - 930 Mbits
ShadowsocksR
ShadowsocksR est un fork des Shadowsocks originaux, écrit en Python. Essentiellement, il s’agit d’une shadowbox à laquelle plusieurs méthodes d’obscurcissement du trafic sont étroitement liées.
Il y a des forks de RSS vers Libev et autre chose. Le faible débit est probablement dû au langage de code. Le shadowsox original sur python n'est pas beaucoup plus rapide.
shadowsocksR : téléchargement 582 mbits ; télécharger 541 Mbits.
Shadowsocks
Un outil chinois de contournement de blocs qui randomise le trafic et interfère avec l'analyse automatique d'autres manières merveilleuses. Jusqu'à récemment, GFW n'était pas bloqué, on dit qu'il n'est désormais bloqué que si le relais UDP est activé.
Multiplateforme (il existe des clients pour n'importe quelle plate-forme), prend en charge le travail avec PT similaire aux obfuscateurs de Thor, il existe plusieurs obfuscateurs propres ou adaptés, rapide.
Il existe de nombreuses implémentations de clients et de serveurs shadowox, dans différentes langues. Lors des tests, shadowsocks-libev a agi en tant que serveur, différents clients. Le client Linux le plus rapide s'est avéré être shadowsocks2 on go, distribué comme client par défaut dans streisand, je ne peux pas dire à quel point shadowsocks-windows est plus productif. Dans la plupart des tests ultérieurs, shadowsocks2 a été utilisé comme client. Les captures d'écran testant pure shadowsocks-libev n'ont pas été réalisées en raison du décalage évident de cette implémentation.
shadowsocks2 : téléchargement - 1876 mbits ; téléchargement - 1981 Mbits.
shadowsocks-rust : téléchargement - 1605 mbits ; téléchargement - 1895 Mbits.
Shadowsocks-libev : téléchargement - 1584 mbits ; téléchargement - 1265 Mbits.
Obfs simples
Le plugin pour shadowsox est désormais dans le statut « déprécié » mais fonctionne toujours (même si pas toujours bien). Largement supplanté par le plugin v2ray. Obscurcit le trafic soit sous un websocket HTTP (et vous permet d'usurper l'en-tête de destination, en prétendant que vous n'allez pas regarder un pornhub, mais, par exemple, le site Web de la Constitution de la Fédération de Russie) ou sous pseudo-tls (pseudo , comme il n'utilise aucun certificat, les DPI les plus simples comme le nDPI gratuit sont détectés comme « tls no cert ». En mode tls, il n'est plus possible d'usurper les en-têtes).
Assez rapide, installé à partir du dépôt avec une seule commande, configuré très simplement, possède une fonction de basculement intégrée (lorsque le trafic d'un client non simple-obfs arrive au port écouté par simple-obfs, il le transmet à l'adresse où vous spécifiez dans les paramètres - comme ceci De cette façon, vous pouvez éviter la vérification manuelle du port 80, par exemple en redirigeant simplement vers un site Web avec http, ainsi qu'en bloquant via des sondes de connexion).
shadowsockss-obfs-tls : téléchargement - 1618 mbits ; télécharger 1971 Mbits.
shadowsockss-obfs-http : téléchargement - 1582 mbits ; téléchargement - 1965 Mbits.
Les simples-obfs en mode HTTP peuvent également fonctionner via un proxy inverse CDN (par exemple, cloudflare), donc pour notre fournisseur, le trafic ressemblera à du trafic HTTP en clair vers cloudflare, cela nous permet de cacher un peu mieux notre tunnel, et à séparez en même temps le point d'entrée et la sortie du trafic - le fournisseur voit que votre trafic se dirige vers l'adresse IP du CDN, et des likes extrémistes sur les images sont placés à ce moment à partir de l'adresse IP du VPS. Il faut dire que c'est s-obfs via CF qui fonctionne de manière ambiguë, n'ouvrant périodiquement pas certaines ressources HTTP par exemple. Ainsi, il n'a pas été possible de tester le téléchargement en utilisant iperf via shadowsockss-obfs+CF, mais à en juger par les résultats du test de vitesse, le débit est au niveau de shadowsocksv2ray-plugin-tls+CF. Je ne joins pas de captures d'écran d'iperf3, parce que... Vous ne devriez pas compter sur eux.
télécharger (test de vitesse) - 887 ; télécharger (test de vitesse) - 1154.
Télécharger (iperf3) - 1625 ; télécharger (iperf3) - NA.
plugin v2ray
Le plugin V2ray a remplacé le simple obfs en tant que principal obfuscateur « officiel » pour les bibliothèques SS. Contrairement aux simples obfs, il n'est pas encore dans les référentiels et vous devez soit télécharger un binaire pré-assemblé, soit le compiler vous-même.
Prend en charge 3 modes de fonctionnement : par défaut, HTTP websocket (avec prise en charge de l'usurpation d'en-têtes de l'hôte de destination) ; tls-websocket (contrairement à s-obfs, il s'agit d'un trafic tls à part entière, qui est reconnu par n'importe quel serveur Web proxy inverse et, par exemple, vous permet de configurer la terminaison tls sur les serveurs cloudfler ou dans nginx) ; quic - fonctionne via udp, mais malheureusement les performances de quic dans v2rey sont très faibles.
Parmi les avantages par rapport au simple obfs : le plugin v2ray fonctionne sans problème via CF en mode HTTP-websocket avec n'importe quel trafic, en mode TLS c'est du trafic TLS à part entière, il nécessite des certificats pour fonctionner (par exemple, de Let's encrypt ou self -signé).
shadowsocksv2ray-plugin-http : téléchargement - 1404 mbits ; télécharger 1938 Mbits.
shadowsocksv2ray-plugin-tls : téléchargement - 1214 mbits ; télécharger 1898 Mbits.
shadowsocksv2ray-plugin-quic : téléchargement - 183 mbits ; télécharger 384 Mbits.
Comme je l'ai déjà dit, v2ray peut définir des en-têtes et vous pouvez ainsi travailler avec via un CDN de proxy inverse (cloudflare, par exemple). D'une part, cela complique la détection du tunnel, d'autre part, cela peut légèrement augmenter (et parfois réduire) le décalage - tout dépend de votre emplacement et de celui des serveurs. CF teste actuellement le fonctionnement avec quic, mais ce mode n'est pas encore disponible (du moins pour les comptes gratuits).
shadowsocksv2ray-plugin-http+CF : téléchargement - 1284 mbits ; télécharger 1785 Mbits.
shadowsocksv2ray-plugin-tls+CF : téléchargement - 1261 mbits ; télécharger 1881 Mbits.
Manteau
Le shred est le résultat du développement ultérieur de l’obfuscateur GoQuiet. Simule le trafic TLS et fonctionne via TCP. À l'heure actuelle, l'auteur a publié la deuxième version du plugin, Cloak-2, qui est très différente de la Cloak originale.
Selon le développeur, la première version du plugin utilisait le mécanisme de reprise de session tls 1.2 pour usurper l'adresse de destination de tls. Après la sortie de la nouvelle version (clock-2), toutes les pages wiki sur Github décrivant ce mécanisme ont été supprimées ; il n'y a aucune mention de cela dans la description actuelle du cryptage par obfuscation. Selon la description de l’auteur, la première version de Shred n’est pas utilisée en raison de la présence de « vulnérabilités critiques dans la cryptographie ». Au moment des tests, il n'existait que la première version du cloak, ses binaires sont toujours sur Github, et entre autres, les vulnérabilités critiques ne sont pas très importantes, car shadowsox crypte le trafic de la même manière que sans cape, et le cloac n'a aucun effet sur la cryptographie de shadowsox.
shadowsockscloak : télécharger - 1533 ; téléchargement - 1970 Mbits
Kcptun
utilise kcptun comme moyen de transport et dans certains cas particuliers, il permet d'obtenir un débit accru. Malheureusement (ou heureusement), cela concerne en grande partie les utilisateurs chinois, dont certains opérateurs mobiles limitent fortement TCP et ne touchent pas à UDP.
Kcptun est très gourmand en énergie et charge facilement 100 cœurs Zion à 4 % lorsqu'il est testé par 1 client. De plus, le plugin est « lent » et lorsqu'il travaille via iperf3, il ne termine pas les tests jusqu'au bout. Jetons un coup d'œil au test de vitesse dans le navigateur.
shadowsockskcptun : téléchargement (test de vitesse) - 546 mbits ; téléchargement (test de vitesse) 854 mbits.
Conclusion
Avez-vous besoin d'un VPN simple et rapide pour arrêter le trafic de l'ensemble de votre machine ? Alors votre choix est warguard. Voulez-vous des proxys (pour le tunneling sélectif ou la séparation des flux de personnes virtuelles) ou est-il plus important pour vous d'éviter un blocage sérieux du trafic ? Ensuite, regardez shadowbox avec l'obscurcissement tlshttp. Voulez-vous être sûr que votre Internet fonctionnera aussi longtemps qu’Internet fonctionnera ? Choisissez de proxyer le trafic via des CDN importants, ce qui entraînera un blocage qui entraînera la panne de la moitié de l'Internet dans le pays.
Tableau croisé dynamique, trié par téléchargement
Source: habr.com