Om't wy hieltyd mear tagong wurde wegere ta ferskate boarnen op it netwurk, wurdt it probleem fan blokkearjen mear en mear driuwend, wat betsjut dat de fraach "Hoe blokkearje flugger omgean?" hieltyd relevanter wurdt.
Litte wy it ûnderwerp fan effisjinsje litte yn termen fan it omgean fan DPI-whitelists foar in oar gefal, en fergelykje gewoan de prestaasjes fan populêre blok-bypass-ark.
Oandacht: D'r sille in protte plaatsjes ûnder spoilers yn it artikel stean.
Disclaimer: dit artikel fergeliket de prestaasjes fan populêre VPN-proxy-oplossingen ûnder betingsten tichtby "ideaal". De hjir krigen en beskreaune resultaten falle net needsaaklik oerien mei jo resultaten yn 'e fjilden. Om't it nûmer yn 'e snelheidstest faaks net hinget fan hoe krêftich it bypass-ark is, mar fan hoe't jo provider it smoart.
Metodyk
3 VPS waarden kocht fan in wolkprovider (DO) yn ferskate lannen om 'e wrâld. 2 yn Nederlân, 1 yn Dútslân. De meast produktive VPS (troch oantal kearnen) waard selektearre út dy beskikber foar it akkount ûnder it oanbod foar coupon credits.
In privee iperf3-tsjinner wurdt ynset op de earste Nederlânske server.
Op de twadde Nederlânske server wurde ien foar ien ferskate servers fan blokbypass-ark ynset.
In buroblêd Linux-ôfbylding (xubuntu) mei VNC en in firtuele buroblêd wurdt ynset op 'e Dútske VPS. Dizze VPN is in betingst client, en ferskate VPN proxy kliïnten wurde ynstallearre en lansearre op it beurt.
Snelheidsmjittingen wurde trije kear útfierd, wy rjochtsje ús op it gemiddelde, wy brûke 3 ark: yn Chromium fia in websnelheidstest; yn Chromium fia fast.com; fan 'e konsole fia iperf3 fia proxychains4 (wêr't jo iperf3-ferkear yn 'e proxy moatte sette).
In direkte ferbining "client"-tsjinner iperf3 jout in snelheid fan 2 Gbps yn iperf3, en in bytsje minder yn fastspeedtest.
In nijsgjirrige lêzer kin freegje, "wêrom hawwe jo net foar speedtest-cli keazen?" en hy sil gelyk hawwe.
Speedtest-cli blykte ûnbetrouber te wêzen en in ûnfoldwaande manier om trochslach te mjitten, om redenen dy't my ûnbekend binne. Trije opienfolgjende mjittingen koenen jaan trije folslein ferskillende resultaten, of, bygelyks, lit in trochslach folle heger as de haven snelheid fan myn VPS. Miskien is it probleem myn clubbed hân, mar it like ûnmooglik om ûndersyk te dwaan mei sa'n ark.
Wat de resultaten foar de trije mjitmetoaden oanbelanget (speedtest fastiperf), beskôgje ik de iperf-yndikatoaren as de meast krekte en betroubere, en de fastspeedtest as referinsje. Mar guon bypass-ark lieten 3 mjittingen fia iperf3 net foltôgje en yn sokke gefallen kinne jo fertrouwe op speedtestfast.
snelheidstest jout ferskillende resultaten
Toolkit
Yn totaal waarden 24 ferskillende bypass-ark of har kombinaasjes hifke, foar elk fan harren sil ik lytse ferklearrings jaan en myn yndrukken fan it wurkjen mei har. Mar yn essinsje wie it doel om de snelheden fan shadowsocks te fergelykjen (en in bosk ferskillende obfuscators dêrfoar) openVPN en wireguard.
Yn dit materiaal sil ik net yn detail de fraach besprekke "hoe it ferkear it bêste te ferbergjen om net los te meitsjen", om't blokkearjen omgean is in reaktive maatregel - wy oanpasse oan wat de sensuer brûkt en hannelje op dizze basis.
Resultaten
Strongswanipsec
Yn myn yndrukken is it heul maklik yn te stellen en wurket it frij stabyl. Ien fan 'e foardielen is dat it wirklik cross-platfoarm is, sûnder de needsaak om te sykjen nei kliïnten foar elk platfoarm.
download - 993 mbits; upload - 770 mbits
SSH tunnel
Wierskynlik hawwe allinich de lui net skreaun oer it brûken fan SSH as tunnelark. Ien fan 'e neidielen is de "kruk" fan 'e oplossing, d.w.s. it ynsetten fan in handige, prachtige klant op elk platfoarm sil net wurkje. De foardielen binne goede prestaasjes, d'r is hielendal net nedich om neat op 'e tsjinner te ynstallearjen.
download - 1270 mbits; upload - 1140 mbits
OpenVPN
OpenVPN waard hifke yn 4 bestjoeringsmodus: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN-tsjinners waarden automatysk konfigureare troch it ynstallearjen fan streisand.
Foar safier't men kin oardielje, is op it stuit allinich de stunnelmodus resistint foar avansearre DPI's. De reden foar de abnormale ferheging fan trochset by it ynpakken fan openVPN-tcp yn stunnel is my net dúdlik, kontrôles waarden dien yn ferskate runen, op ferskillende tiden en op ferskate dagen, it resultaat wie itselde. Miskien komt dit troch de ynstellings foar netwurkstapel ynstalleare by it ynsetten fan Streisand, skriuw as jo ideeën hawwe wêrom dit sa is.
openvpntcp: download - 760 mbits; upload - 659 mbits
openvpntcp+sslh: download - 794 mbits; upload - 693 Mbit
openvpntcp+stunnel: download - 619 mbits; upload - 943 Mbit
openvpnudp: download - 756 mbits; upload - 580 mbits
Openconnect
Net it populêrste ark foar it omgean fan blokkades, it is opnommen yn it Streisand-pakket, dus wy besletten it ek te testen.
download - 895 mbits; upload 715 Mbps
wire guard
In hype-ark dat populêr is ûnder westerske brûkers, de ûntwikkelders fan it protokol krigen sels wat subsydzjes foar ûntwikkeling fan definsjefûnsen. Wurket as in Linux kernel module fia UDP. Koartlyn binne kliïnten foar windowsios ferskynd.
It waard betocht troch de skepper as in ienfâldige, rappe manier om Netflix te besjen wylst net yn 'e steaten.
Dêrom de foar- en neidielen. Pros: hiel fluch protokol, relatyf gemak fan ynstallaasje en konfiguraasje. Neidielen - de ûntwikkelder makke it yn earste ynstânsje net mei it doel om serieuze blokkades te omgean, en dêrom wurdt wargard maklik ûntdutsen troch de ienfâldichste ark, ynklusyf. wireshark.
wireguard protokol yn wireshark
download - 1681 mbits; upload 1638 Mbps
Ynteressant wurdt it warguard-protokol brûkt yn 'e tunsafe-client fan tredden, dy't, as brûkt mei deselde warguard-tsjinner, folle slimmer resultaten jout. It is wierskynlik dat de Windows wargard-kliïnt deselde resultaten sil sjen litte:
tunsafeclient: download - 1007 mbits; upload - 1366 mbits
OutlineVPN
Outline is in ymplemintaasje fan in shadowox-tsjinner en client mei in prachtige en handige brûkersynterface fan Google's puzzel. Yn Windows is de outline client gewoan in set fan wrappers foar de shadowsocks-local (shadowsocks-libev client) en badvpn (tun2socks binêr dat alle masineferkear rjochtet nei in lokale socks proxy) binaries.
Shadowsox wie eartiids resistint foar de Grutte Firewall fan Sina, mar basearre op resinte resinsjes is dit net mear it gefal. Oars as ShadowSox, stipet it út 'e doaze gjin ferbining fan obfuscation fia plugins, mar dit kin manuell dien wurde troch te tinken mei de server en client.
download - 939 mbits; upload - 930 mbits
Shadowsocks R
ShadowsocksR is in foarke fan 'e oarspronklike Shadowsocks, skreaun yn Python. Yn essinsje is it in shadowbox dêr't ferskate metoaden fan ferkearsferkearing strak fêst binne.
D'r binne foarken fan ssR nei libev en wat oars. De lege trochslach komt nei alle gedachten troch de koadetaal. De orizjinele shadowsox op python is net folle flugger.
shadowsocksR: download 582 mbits; upload 541 Mbit.
Shadowsocks
In Sineesk blok-bypass-ark dat ferkear randomisearret en ynterfereart mei automatyske analyse op oare prachtige manieren. Oant koartlyn waard GFW net blokkearre; se sizze dat it no allinich blokkearre is as it UDP-relais ynskeakele is.
Cross-platfoarm (der binne kliïnten foar elk platfoarm), stipet wurkjen mei PT fergelykber mei Thor syn obfuscators, der binne ferskate fan syn eigen of oanpast oan it obfuscators, fluch.
D'r binne in protte ymplemintaasjes fan shadowox-kliïnten en servers, yn ferskate talen. By testen fungearren shadowsocks-libev as tsjinner, ferskate kliïnten. De rapste Linux-kliïnt blykte te wêzen shadowsocks2 on go, ferdield as standertkliïnt yn streisand, ik kin net sizze hoefolle produktiver shadowsocks-finsters is. Yn de measte fierdere tests waard shadowsocks2 brûkt as de klant. Skermôfbyldings dy't pure shadowsocks-libev testen waarden net makke fanwegen de dúdlike efterstân fan dizze ymplemintaasje.
shadowsocks2: download - 1876 mbits; upload - 1981 mbits.
shadowsocks-rust: download - 1605 mbits; upload - 1895 mbits.
Shadowsocks-libev: download - 1584 mbits; upload - 1265 mbits.
Ienfâldige-obfs
De plugin foar shadowsox is no yn "ôfskreaun" status mar wurket noch (hoewol net altyd goed). Foar in grut part ferfongen troch de v2ray-plugin. Ferkearet ferkear of ûnder in HTTP-websocket (en lit jo de bestimmingskop spoofje, pretendearje dat jo gjin pornhub sille besjen, mar bygelyks de webside fan 'e grûnwet fan' e Russyske Federaasje) of ûnder pseudo-tls (pseudo , om't it gjin sertifikaten brûkt, wurde de ienfâldichste DPI lykas fergese nDPI ûntdutsen as "tls no cert." Yn tls-modus is it net mear mooglik om kopteksten te spoofen).
Hiel rap, ynstalleare fanút de repo mei ien kommando, heul ienfâldich konfigureare, hat in ynboude failoverfunksje (as ferkear fan in net-ienfâldige obfs-kliïnt nei de poarte komt wêr't simple-obfs nei harket, stjoert it it troch nei it adres wêr't jo yn 'e ynstellings spesifisearje - lykas dit. Op dizze manier kinne jo de hânmjittich kontrolearjen fan poarte 80 foarkomme, bygelyks troch gewoan troch te ferwizen nei in webside mei http, en ek blokkearje fia ferbiningsprobes).
shadowsockss-obfs-tls: download - 1618 mbits; upload 1971 mbits.
shadowsockss-obfs-http: download - 1582 mbits; upload - 1965 mbits.
Ienfâldige-obfs yn HTTP-modus kinne ek wurkje fia in CDN omkearde proxy (bygelyks, cloudflare), dus foar ús provider sil it ferkear lykje op HTTP-plaintext ferkear nei cloudflare, dit lit ús ús tunnel in bytsje better ferbergje, en by tagelyk skiede it yngongspunt en ferkearsútgong - de provider sjocht dat jo ferkear nei it CDN IP-adres giet, en ekstremistyske likes op foto's wurde op dit stuit pleatst fan it VPS IP-adres. It moat sein wurde dat it is s-obfs fia CF dat wurket dûbelsinnich, periodyk net iepenje guon HTTP-boarnen, bygelyks. Dat, it wie net mooglik om de upload te testen mei iperf fia shadowsockss-obfs + CF, mar beoardielje troch de resultaten fan 'e snelheidstest is de trochfier op it nivo fan shadowsocksv2ray-plugin-tls + CF. Ik hechtsje gjin skermôfbyldings fan iperf3 ta, om't ... Jo moatte net fertrouwe op harren.
download (speedtest) - 887; upload (snelheidstest) - 1154.
Download (iperf3) - 1625; upload (iperf3) - NA.
v2ray-plugin
V2ray-plugin hat ienfâldige obfs ferfongen as de wichtichste "offisjele" obfuscator foar ss libs. Oars as ienfâldige obfs is it noch net yn 'e repositories, en jo moatte of in foargearstalde binêr downloade of sels kompilearje.
Unterstützt 3 bestjoeringsmodi: standert, HTTP-websocket (mei stipe foar spoofing-headers fan 'e bestimminghost); tls-websocket (oars as s-obfs, dit is folweardich tls ferkear, dat wurdt erkend troch eltse reverse proxy web tsjinner en, bygelyks, kinne jo konfigurearje tls beëiniging op cloudfler tsjinners of yn nginx); quic - wurket fia udp, mar spitigernôch de prestaasjes fan quic yn v2rey is hiel leech.
Under de foardielen yn ferliking mei ienfâldige obfs: de v2ray-plugin wurket sûnder problemen fia CF yn HTTP-websocket-modus mei elk ferkear, yn TLS-modus is it folweardich TLS-ferkear, it fereasket sertifikaten foar operaasje (bygelyks fan Let's encrypt of sels -ûndertekene).
shadowsocksv2ray-plugin-http: download - 1404 mbits; upload 1938 mbits.
shadowsocksv2ray-plugin-tls: download - 1214 mbits; upload 1898 Mbit.
shadowsocksv2ray-plugin-quic: download - 183 mbits; upload 384 Mbit.
Lykas ik al sei, kin v2ray kopteksten ynstelle, en dus kinne jo dermei wurkje fia in omkearde proxy CDN (bygelyks wolkfler). Oan 'e iene kant komplisearret dit de deteksje fan' e tunnel, oan 'e oare kant kin it de efterstân wat ferheegje (en soms ferminderje) - it hinget allegear ôf fan' e lokaasje fan jo en de servers. CF testet op it stuit wurkjen mei quic, mar dizze modus is noch net beskikber (op syn minst foar fergese akkounts).
shadowsocksv2ray-plugin-http+CF: download - 1284 mbits; upload 1785 mbits.
shadowsocksv2ray-plugin-tls+CF: download - 1261 mbits; upload 1881 mbits.
Cloak
De shred is it resultaat fan fierdere ûntwikkeling fan de GoQuiet obfuscator. Simulearret TLS ferkear en wurket fia TCP. Op it stuit hat de skriuwer de twadde ferzje fan 'e plugin frijlitten, cloak-2, dy't signifikant oars is fan' e orizjinele mantel.
Neffens de ûntwikkelder brûkte de earste ferzje fan it plugin it tls 1.2 resume-sesjemeganisme om it bestimmingsadres foar tls te spoofjen. Nei de frijlitting fan 'e nije ferzje (klok-2) binne alle wiki-siden op Github dy't dit meganisme beskriuwe, wiske; d'r is gjin melding fan dit yn 'e hjoeddeistige beskriuwing fan obfuscaasje-fersifering. Neffens de beskriuwing fan 'e auteur wurdt de earste ferzje fan' e shred net brûkt troch de oanwêzigens fan "krityske kwetsberens yn krypto". Yn 'e tiid fan' e tests wie d'r allinich de earste ferzje fan 'e mantel, syn binaries binne noch op GitHub, en neist al it oare binne krityske kwetsberens net heul wichtich, om't shadowsox fersiferet ferkear op deselde wize as sûnder mantel, en de mantel hat gjin effekt op shadowsox's krypto.
shadowsockscloak: download - 1533; upload - 1970 mbits
Kcptun
brûkt kcptun as ferfier en yn guon bysûndere gefallen makket it mooglik te berikken ferhege trochstreaming. Spitigernôch (of gelokkich), dit is foar it grutste part relevant foar brûkers út Sina, guon fan waans mobile operators swier throttle TCP en net oanreitsje UDP.
Kcptun is ferdomd macht honger, en maklik laden 100 zion kearnen op 4% doe't hifke troch 1 klant. Derneist is de plugin "stadich", en by it wurkjen troch iperf3 foltôget it tests net oan 'e ein. Litte wy nei de snelheidstest yn 'e browser sjen.
shadowsockskcptun: download (speedtest) - 546 mbits; upload (speedtest) 854 mbits.
konklúzje
Binne jo in ienfâldige, rappe VPN nedich om ferkear fan jo heule masine te stopjen? Dan is jo kar warguard. Wolle jo proxy's (foar selektyf tunneling of skieding fan firtuele persoanstreamen) of is it wichtiger foar jo om ferkear te ferbergjen fan serieuze blokkearjen? Sjoch dan nei shadowbox mei tlshttp obfuscation. Wolle jo der wis fan wêze dat jo ynternet wurket salang't it ynternet hielendal wurket? Kies foar proxyferkear fia wichtige CDN's, blokkearjen wat sil liede ta it mislearjen fan de helte fan it ynternet yn it lân.
Pivot tabel, sortearre op download
Boarne: www.habr.com