Leis gu bheil sinn a 'sìor fhàs a' diùltadh cothrom air diofar ghoireasan air an lìonra, tha a 'cheist mu bhith a' seachnadh bacadh a 'fàs nas èiginn, agus tha sin a' ciallachadh gu bheil a 'cheist "Ciamar a thèid bacadh a chur air bacadh nas luaithe?" a' fàs nas buntainniche.
Fàgaidh sinn cuspair èifeachdais a thaobh a bhith a’ dol seachad air liostaichean geala DPI airson cùis eile, agus dìreach dèan coimeas eadar coileanadh innealan seach-rathad bloc mòr-chòrdte.
An aire: Bidh tòrr dhealbhan fo luchd-milleadh san artaigil.
Àicheadh: tha an artaigil seo a’ dèanamh coimeas eadar coileanadh fuasglaidhean proxy VPN mòr-chòrdte fo chumhachan faisg air “freagarrach”. Chan eil na toraidhean a gheibhear agus a tha air am mìneachadh an seo gu riatanach a’ co-chòrdadh ris na toraidhean agad anns na raointean. Leis gum bi an àireamh san deuchainn astair gu tric an urra chan ann air dè cho cumhachdach sa tha an inneal seach-rathad, ach air mar a bhios an solaraiche agad ga smeòrach.
Dòigh-obrach
Chaidh 3 VPS a cheannach bho sholaraiche sgòthan (DO) ann an diofar dhùthchannan air feadh an t-saoghail. 2 anns an Òlaind, 1 sa Ghearmailt. Chaidh an VPS as cinneasaiche (a rèir àireamh de choraichean) a thaghadh bhon fheadhainn a bha rim faighinn airson a’ chunntas fon tairgse airson creideasan cùpain.
Tha frithealaiche prìobhaideach iperf3 air a chleachdadh air a’ chiad fhrithealaiche Duitseach.
Air an dàrna frithealaiche Duitseach, bidh diofar luchd-frithealaidh innealan seach-rathad bloc gan cleachdadh aon ri aon.
Tha ìomhaigh Linux desktop (xubuntu) le VNC agus deasg mas-fhìor air a chleachdadh air VPS na Gearmailt. Tha an VPN seo na neach-dèiligidh gun chumhachan, agus tha grunn teachdaichean proxy VPN air an stàladh agus air an cur air bhog mu seach.
Bithear a’ dèanamh tomhasan astair trì tursan, bidh sinn a’ cuimseachadh air a’ chuibheasachd, bidh sinn a’ cleachdadh 3 innealan: ann an Chromium tro dheuchainn astar lìn; ann an Chromium tro fast.com; bhon consol tro iperf3 tro proxychains4 (far am feum thu trafaic iperf3 a chuir a-steach don neach-ionaid).
Tha ceangal dìreach “client” -server iperf3 a’ toirt astar 2 Gbps ann an iperf3, agus beagan nas lugha ann an fastspeedtest.
Faodaidh leughadair fiosrachail faighneachd, “carson nach do thagh thu speedtest-cli?” agus bithidh e ceart.
Thionndaidh Speedtest-cli a-mach mar dhòigh neo-earbsach agus neo-iomchaidh airson tomhas a dhèanamh, airson adhbharan nach robh fios agam. Dh’ fhaodadh trì tomhasan leantainneach trì toraidhean gu tur eadar-dhealaichte a thoirt seachad, no, mar eisimpleir, sealltainn trochur mòran nas àirde na astar port mo VPS. Is dòcha gur e mo làmh clubbed an duilgheadas, ach bha e coltach gu robh e do-dhèanta rannsachadh a dhèanamh le inneal mar sin.
A thaobh nan toraidhean airson nan trì dòighean tomhais (fastiperf as luaithe), tha mi den bheachd gur e na comharran iperf an fheadhainn as ceart agus as earbsaiche, agus an astar as luaithe mar iomradh. Ach cha do leig cuid de na h-innealan seach-rathad 3 tomhasan a chrìochnachadh tro iperf3 agus ann an leithid de chùisean, faodaidh tu a bhith an urra ri speedtestfast.
bheir deuchainn luaths toraidhean eadar-dhealaichte
Pasgan-obrach
Gu h-iomlan, chaidh 24 diofar innealan seach-rathad no an cothlamadh aca a dhearbhadh, airson gach fear dhiubh bheir mi mìneachadh beaga agus mo bheachdan air a bhith ag obair còmhla riutha. Ach gu bunaiteach, b’ e an t-amas coimeas a dhèanamh eadar astaran dubhar (agus dòrlach de dhiofar obfuscators air a shon) openVPN agus geàrd-uèir.
Anns an stuth seo, cha bhith mi a ’bruidhinn gu mionaideach air a’ cheist “mar as fheàrr trafaic fhalach gus nach tèid a dhì-cheangal,” oir is e ceum ath-ghnìomhach a th ’ann a bhith a’ dol seachad air bacadh - bidh sinn ag atharrachadh a rèir na bhios an censor a ’cleachdadh agus ag obair air a’ bhunait seo.
Toraidhean
Suaineach làidir
Anns na beachdan agam, tha e gu math furasta a stèidheachadh agus ag obair gu math seasmhach. Is e aon de na buannachdan gu bheil e dha-rìribh tar-àrd-ùrlar, gun fheum a bhith a’ coimhead airson teachdaichean airson gach àrd-ùrlar.
luchdachadh sìos - 993 mbits; luchdachadh suas - 770 MB
Tunail SSH
Is dòcha nach eil ach an leisg air sgrìobhadh mu bhith a’ cleachdadh SSH mar inneal tunail. Is e aon de na h-eas-bhuannachdan “crutch” an fhuasglaidh, i.e. cha bhith e ga chleachdadh bho neach-dèiligidh goireasach, brèagha air gach àrd-ùrlar. Is e na buannachdan deagh choileanadh, chan eil feum air dad a chuir a-steach air an fhrithealaiche idir.
luchdachadh sìos - 1270 mbits; luchdachadh suas - 1140 MB
OpenVPN
Chaidh OpenVPN a dhearbhadh ann an 4 modhan obrachaidh: tcp, tcp + sslh, tcp + stunnel, udp.
Chaidh frithealaichean OpenVPN a rèiteachadh gu fèin-ghluasadach le bhith a’ stàladh streisand.
Cho fad ‘s as urrainn dhuinn breithneachadh, aig an àm seo chan eil ach am modh stunnel a’ seasamh an aghaidh DPIan adhartach. Chan eil an adhbhar airson an àrdachadh neo-àbhaisteach ann an gluasad a-steach nuair a bha mi a’ pasgadh openVPN-tcp ann an stunnel soilleir dhomh, chaidh sgrùdaidhean a dhèanamh ann an grunn ruith, aig amannan eadar-dhealaichte agus air diofar làithean, bha an toradh mar a bha e. Is dòcha gu bheil seo mar thoradh air na roghainnean stac lìonra a chaidh a chuir a-steach nuair a bhios tu a’ cleachdadh Streisand, sgrìobh ma tha beachd sam bith agad carson a tha seo fìor.
openvpntcp: luchdachadh sìos - 760 mbits; luchdachadh sìos - 659 MB
openvpntcp + sslh: luchdachadh sìos - 794 mbits; luchdachadh sìos - 693 MB
openvpntcp + stunnel: luchdachadh sìos - 619 mbits; luchdachadh suas - 943 MB
openvpnudp: luchdachadh sìos - 756 mbits; luchdachadh sìos - 580 MB
Fosgail ceangal
Chan e an inneal as mòr-chòrdte airson a bhith a’ seachnadh bacaidhean, tha e air a ghabhail a-steach sa phasgan Streisand, agus mar sin chuir sinn romhainn deuchainn a dhèanamh air cuideachd.
luchdachadh sìos - 895 Mbits; Luchdaich a-nuas 715 mbps
Geàrd-uèir
Inneal hype a tha mòr-chòrdte am measg luchd-cleachdaidh an Iar, fhuair luchd-leasachaidh a ’phròtacail eadhon cuid de thabhartasan airson leasachadh bho mhaoin dìon. Ag obair mar mhodal kernel Linux tro UDP. O chionn ghoirid, tha teachdaichean airson windowsios air nochdadh.
Chaidh a dhealbhadh leis an neach-cruthachaidh mar dhòigh sìmplidh, luath air Netflix fhaicinn fhad ‘s nach eil e anns na stàitean.
Mar sin na buannachdan agus na h-eas-bhuannachdan. Nithean matha: protocol gu math luath, furasta an stàladh agus an rèiteachadh. Eas-bhuannachdan - cha do chruthaich an leasaiche an toiseach e leis an amas a bhith a 'seachnadh droch bhacaidhean, agus mar sin tha wargard furasta a lorg leis na h-innealan as sìmplidh, a' gabhail a-steach. siorc-uèir.
protocol geàrd uèir ann an wireshark
luchdachadh sìos - 1681 Mbits; Luchdaich a-nuas 1638 mbps
Gu inntinneach, tha am pròtacal geàrd-cogaidh air a chleachdadh anns an neach-dèiligidh tunsafe treas-phàrtaidh, a bheir, nuair a thèid a chleachdadh leis an aon fhrithealaiche dìon-cogaidh, toraidhean mòran nas miosa. Tha e coltach gun seall an neach-dèiligidh wargard Windows na h-aon toraidhean:
tunsafeclient: luchdaich sìos - 1007 mbits; luchdachadh sìos - 1366 bits
Geàrr-chunntas VPN
Tha Outline na bhuileachadh air frithealaiche shadowox agus teachdaiche le eadar-aghaidh cleachdaiche brèagha agus goireasach bho jigsaw Google. Ann an Windows, chan eil anns an neach-dèiligidh geàrr-chunntas ach seata de luchd-gleidhidh airson binaries shadowsocks-local (cliant shadowsocks-libev) agus badvpn (tun2socks binary a bhios a’ stiùireadh trafaic inneil gu neach-ionaid stocainnean ionadail).
Bha Shadowsox uaireigin an aghaidh Balla Teine Mòr Shìona, ach stèidhichte air lèirmheasan o chionn ghoirid, chan eil seo fìor tuilleadh. Eu-coltach ri ShadowSox, a-mach às a ’bhogsa chan eil e a’ toirt taic do bhith a ’ceangal obfuscation tro plugins, ach faodar seo a dhèanamh le làimh le bhith a’ tinkering leis an t-seirbheisiche agus an neach-dèiligidh.
luchdachadh sìos - 939 mbits; luchdachadh suas - 930 MB
ShadowsocksR
Tha ShadowsocksR na forc de na Shadowsocks tùsail, sgrìobhte ann am Python. Gu dearbh, is e bogsa sgàil a th’ ann far a bheil grunn dhòighean air bacadh trafaic air an ceangal gu teann.
Tha forcaichean de ssR gu libev agus rudeigin eile. Is dòcha gu bheil an gluasad ìosal mar thoradh air cànan a’ chòd. Chan eil an shadowsox tùsail air python fada nas luaithe.
shadowsocksR: luchdachadh sìos 582 mbits; Luchdaich a-nuas 541 bits.
Faileasan
Inneal seach-rathad bloc Sìneach a bheir trafaic air thuaiream agus a chuireas bacadh air mion-sgrùdadh fèin-ghluasadach ann an dòighean iongantach eile. Gu ruige o chionn ghoirid, cha deach GFW a bhacadh; tha iad ag ràdh nach eil e a-nis air a bhacadh ach ma thèid an t-sealaidheachd UDP a thionndadh air.
Tar-àrd-ùrlar (tha luchd-dèiligidh ann airson àrd-ùrlar sam bith), taic a bhith ag obair le PT coltach ri obfuscators Thor, tha grunn de na obfuscators aige fhèin no air an atharrachadh gu luath.
Tha dòrlach de bhuileachadh de luchd-dèiligidh agus frithealaichean shadowox, ann an diofar chànanan. Ann an deuchainnean, bha shadowsocks-libev ag obair mar fhrithealaiche, luchd-dèiligidh eadar-dhealaichte. Thionndaidh an neach-dèiligidh Linux as luaithe gu bhith na shadowsocks2 air adhart, air a chuairteachadh mar neach-dèiligidh bunaiteach ann an streisand, chan urrainn dhomh a ràdh dè an ìre as cinneasaiche a tha ann an shadowsocks-windows. Anns a’ mhòr-chuid de dheuchainnean eile, chaidh shadowsocks2 a chleachdadh mar neach-dèiligidh. Cha deach seallaidhean-sgrìn a’ dèanamh deuchainn air shadowsocks-libev fìor air sgàth cho fada ‘s a bha am buileachadh seo.
shadowsocks2: luchdaich sìos - 1876 mbits; luchdachadh suas - 1981 bits.
shadowsocks-meirge: luchdachadh sìos - 1605 mbits; luchdachadh suas - 1895 MB.
Shadowsocks-libev: luchdachadh sìos - 1584 mbits; luchdachadh sìos - 1265 Mbit.
Simple-obfs
Tha am plugan airson shadowsox a-nis ann an inbhe “ìsleachadh” ach tha e fhathast ag obair (ged nach eil e an-còmhnaidh math). Gu ìre mhòr air a chuir na àite leis a’ phlugan v2ray. A ’cur bacadh air trafaic an dàrna cuid fo phòcaid lìn HTTP (agus a’ leigeil leat ceann-uidhe a ’chinn-uidhe a spoof, a’ leigeil a-mach nach eil thu a ’dol a choimhead air pornhub, ach, mar eisimpleir, làrach-lìn Bun-stèidh Caidreachas na Ruis) no fo pseudo-tls ( pseudo , leis nach eil e a’ cleachdadh teisteanasan sam bith, thathas a’ lorg an DPI as sìmplidh leithid nDPI an-asgaidh mar “tls no cert.” Ann am modh tls, chan eil e comasach cinn-cinn spoof a dhèanamh tuilleadh).
Gu math luath, air a chuir a-steach bhon repo le aon àithne, air a rèiteachadh gu sìmplidh, tha gnìomh fàilligidh togte (nuair a thig trafaic bho neach-dèiligidh neo-sìmplidh chun phort a dh’ èisteas sìmplidh-obfs ris, cuiridh e air adhart e chun t-seòladh far a bheil thu a’ sònrachadh anns na roghainnean - mar seo San dòigh seo, faodaidh tu sgrùdadh làimhe air port 80 a sheachnadh, mar eisimpleir, dìreach le bhith ag ath-stiùireadh gu làrach-lìn le http, a bharrachd air a bhith a’ bacadh tro probes ceangail).
shadowsockss-obfs-tls: download - 1618 mbits; 1971 bit luchdadh a-nuas.
shadowsockss-obfs-http: luchdaich sìos - 1582 mbits; luchdachadh suas - 1965 bits.
Faodaidh obfs sìmplidh ann am modh HTTP cuideachd obrachadh tro neach-ionaid cùl CDN (mar eisimpleir, cloudflare), agus mar sin airson ar solaraiche bidh an trafaic coltach ri trafaic HTTP-plaintext gu cloudflare, leigidh seo leinn an tunail againn fhalach beagan nas fheàrr, agus aig an aon àm dealaich an t-àite inntrigidh agus an trafaic a-mach - tha an solaraiche a’ faicinn gu bheil an trafaic agad a’ dol a dh’ ionnsaigh seòladh IP CDN, agus tha daoine a tha dèidheil air dealbhan air an cur aig an àm seo bho sheòladh IP VPS. Feumar a ràdh gur e s-obfs tro CF a bhios ag obair gu dà-sheaghach, bho àm gu àm gun a bhith a’ fosgladh cuid de ghoireasan HTTP, mar eisimpleir. Mar sin, cha robh e comasach an luchdachadh suas a dhearbhadh le bhith a’ cleachdadh iperf tro shadowsockss-obfs + CF, ach a’ breithneachadh a rèir toraidhean an deuchainn astair, tha an t-slighe a-steach aig ìre shadowsocksv2ray-plugin-tls+CF. Chan eil mi a’ ceangal dealbhan-sgrìn bho iperf3, oir... Cha bu chòir dhut a bhith an urra riutha.
luchdachadh a-nuas (as luaithe) - 887; luchdachadh suas (as luaithe) - 1154.
Luchdaich a-nuas (iperf3) - 1625; luchdachadh suas (iperf3) - NA.
v2ray-plug
Tha V2ray-plugin air a dhol an àite obfs sìmplidh mar am prìomh obfuscator “oifigeil” airson ss libs. Eu-coltach ri obfs sìmplidh, chan eil e fhathast anns na stòran, agus feumaidh tu an dàrna cuid binary ro-chruinnichte a luchdachadh sìos no a chuir ri chèile thu fhèin.
A ’toirt taic do 3 modhan obrachaidh: bunaiteach, socaid lìn HTTP (le taic airson cinn spoofing an aoigh ceann-uidhe); tls-websocket (eu-coltach ri s-obfs, is e trafaic tls làn-chuimseach a tha seo, a tha aithnichte le frithealaiche lìn proxy cùil sam bith agus, mar eisimpleir, a leigeas leat crìochnachadh tls a rèiteachadh air frithealaichean cloudfler no ann an nginx); quic - ag obair tro udp, ach gu mì-fhortanach tha coileanadh quic ann an v2rey gu math ìosal.
Am measg nam buannachdan an taca ri obfs sìmplidh: bidh am plugan v2ray ag obair gun duilgheadasan tro CF ann am modh HTTP-websocket le trafaic sam bith, ann am modh TLS tha e na thrafaig TLS làn-chuimseach, feumaidh e teisteanasan airson obrachadh (mar eisimpleir, bho Leig leinn a chrioptachadh no fèin - air a shoidhnigeadh).
shadowsocksv2ray-plugin-http: luchdaich sìos - 1404 mbits; Luchdaich a-nuas 1938 bits.
shadowsocksv2ray-plugin-tls: luchdachadh sìos - 1214 mbits; Luchdaich a-nuas 1898 bits.
shadowsocksv2ray-plugin-quic: luchdachadh sìos - 183 mbits; 384 bit luchdadh a-nuas.
Mar a thuirt mi mu thràth, faodaidh v2ray cinn-cinn a shuidheachadh, agus mar sin faodaidh tu obrachadh leis tro neach-ionaid cùil CDN (cloudfler mar eisimpleir). Air an aon làimh, tha seo a 'dèanamh duilgheadas ann a bhith a' lorg an tunail, air an làimh eile, faodaidh e beagan àrdachadh (agus uaireannan lùghdachadh) an lag - tha e uile an urra ris an àite a tha thu fhèin agus na frithealaichean. Tha CF an-dràsta a’ dèanamh deuchainn ag obair le quic, ach chan eil am modh seo ri fhaighinn fhathast (co-dhiù airson cunntasan an-asgaidh).
shadowsocksv2ray-plugin-http+CF: luchdaich sìos - 1284 mbits; Luchdaich a-nuas 1785 bits.
shadowsocksv2ray-plugin-tls+CF: luchdaich sìos - 1261 mbits; Luchdaich a-nuas 1881 bits.
Cliabh
Tha an shred mar thoradh air tuilleadh leasachaidh air an obfuscator GoQuiet. A ’dèanamh atharrais air trafaic TLS agus ag obair tro TCP. Aig an àm seo, tha an t-ùghdar air an dàrna dreach den plugan a leigeil ma sgaoil, cloak-2, a tha gu math eadar-dhealaichte bhon chleòc tùsail.
A rèir an leasaiche, chleachd a’ chiad dreach den plugan an uidheamachd seisean ath-thòiseachadh tls 1.2 gus an seòladh ceann-uidhe airson tls a spoof. Às deidh an dreach ùr (cloc-2) fhoillseachadh, chaidh a h-uile duilleag wiki air Github a’ toirt cunntas air an uidheamachd seo a dhubhadh às; chan eil iomradh sam bith air seo anns an tuairisgeul gnàthach air crioptachadh obfuscation. A rèir tuairisgeul an ùghdair, chan eilear a ’cleachdadh a’ chiad dreach den shred air sgàth gu bheil “so-leòntachd èiginneach ann an crypto”. Aig àm nan deuchainnean, cha robh ann ach a’ chiad dreach den chleòc, tha na binaries aige fhathast air Github, agus a bharrachd air a h-uile càil eile, chan eil so-leòntachd èiginneach glè chudromach, oir bidh shadowsox a’ cuairteachadh trafaic san aon dòigh ri às aonais cleòc, agus chan eil buaidh sam bith aig a’ chloac air crypto shadowsox.
shadowsockscloak: luchdaich sìos - 1533; luchdachadh suas - 1970 MB
Kcptun
cleachdadh kcptun mar chòmhdhail agus ann an cuid de shuidheachaidhean sònraichte a 'ceadachadh barrachd toraidh a choileanadh. Gu mì-fhortanach (no gu fortanach), tha seo gu ìre mhòr buntainneach do luchd-cleachdaidh à Sìona, le cuid den luchd-obrachaidh fòn-làimhe aca a’ smeòrach gu mòr air TCP agus nach eil a’ suathadh ri UDP.
Tha an t-acras air Kcptun le cumhachd damn, agus bidh e gu furasta a’ luchdachadh 100 cores zion aig 4% nuair a thèid a dhearbhadh le 1 neach-dèiligidh. A bharrachd air an sin, tha am plugan “slaodach”, agus nuair a bhios e ag obair tro iperf3 cha bhith e a’ dèanamh deuchainnean gu deireadh. Bheir sinn sùil air an deuchainn astair sa bhrobhsair.
shadowsockskcptun: download (speedtest) - 546 mbits; luchdachadh suas (as luaithe) 854 bits.
co-dhùnadh
A bheil feum agad air VPN sìmplidh, luath gus stad a chuir air trafaic bhon inneal agad gu lèir? An uairsin is e do roghainn geàrd-cogaidh. A bheil thu ag iarraidh proxies (airson tunail roghnach no dealachadh sruthan dhaoine brìgheil) no a bheil e nas cudromaiche dhut trafaic a chuir air falbh bho dhroch bhacadh? An uairsin thoir sùil air shadowbox le tlshttp obfuscation. A bheil thu airson a bhith cinnteach gun obraich an eadar-lìn agad fhad ‘s a bhios an eadar-lìn ag obair idir? Tagh trafaic neach-ionaid tro CDNn cudromach, bacadh a bheir gu fàilligeadh leth den eadar-lìn san dùthaich.
Clàr pivot, air a rèiteachadh le luchdachadh sìos
Source: www.habr.com