O servidor proxy outline-ss-server 1.4 foi lanzado, usando o protocolo Shadowsocks para ocultar patróns de tráfico, evitar cortafuegos e enganar os sistemas de inspección de paquetes. O servidor está a ser desenvolvido polo proxecto Outline, que ademais proporciona unha estrutura de aplicacións cliente e unha interface de xestión, o que permite o despregamento rápido de sistemas multiusuario. Shadowsocks-servidores baseados en outline-ss-server en contornas de nube pública ou hardware local, xestionalos a través dunha interface web e organizar o acceso dos usuarios mediante claves. O código é desenvolvido e mantido por Jigsaw, unha división de Google creada para desenvolver ferramentas para eludir a censura e facilitar o libre intercambio de información.
Outline-ss-server está escrito en Go e distribuído baixo a licenza Apache 2.0. Está baseado no código proxy.servidor go-shadowsocks2, creado pola comunidade de desenvolvedores ShadowsocksRecentemente, a principal actividade do proxecto Shadowsocks está centrado no desenvolvemento dun novo servidor na linguaxe Rust, mentres que a implementación de Go non se actualizou durante máis dun ano e está notablemente atrasada en funcionalidade.
As diferenzas entre outline-ss-server e go-shadowsocks2 redúcense na compatibilidade para conectar varios usuarios a través dun porto de rede, a capacidade de abrir varios portos de rede para recibir conexións, o soporte para o reinicio en quente e as actualizacións de configuración sen interromper as conexións, o sistema integrado. ferramentas de seguimento e modificación de tráfico baseadas na plataforma prometheus .io.
Outline-ss-server tamén engade protección contra ataques que implican o envío de solicitudes de verificación e a reprodución do tráfico. Un ataque de solicitude de verificación ten como obxectivo detectar a presenza dun proxy; por exemplo, un atacante pode enviar unha solicitude ao obxectivo. Shadowsocksconxuntos de datos do servidor de diferentes tamaños e analizar a cantidade de datos que lerá o servidor antes de detectar un erro e pechar a conexión. Un ataque de reprodución de tráfico baséase no secuestro da sesión entre o cliente e servidor seguido dun intento de reenviar os datos interceptados para determinar a presenza dun proxy.
Para protexerse contra ataques mediante solicitudes de proba, o servidor outline-ss-server, cando chegan datos incorrectos, non interrompe a conexión e non mostra un erro, senón que segue recibindo información, actuando como unha especie de buraco negro. Para protexerse contra a reprodución, os datos recibidos do cliente compróbanse adicionalmente para ver as repeticións usando sumas de verificación almacenadas para os últimos miles de secuencias de apretón de mans (máximo 40 mil, o tamaño establécese cando se inicia o servidor e consome 20 bytes de memoria por secuencia). Para bloquear as respostas repetidas do servidor, todas as secuencias de enlaces do servidor usan códigos de autenticación HMAC con etiquetas de 32 bits.
Polo nivel do protocolo de ocultación do tráfico Shadowsocks Na súa implementación, outline-ss-server é similar ao transporte conectable Obfs4 na rede de anonimato Tor. O protocolo foi creado para evitar o Gran Cortafuegos da China e permite unha ofuscación bastante eficaz do tráfico enrutado a través doutro servidor (o tráfico é difícil de identificar grazas á inclusión dunha semente aleatoria e á simulación dun fluxo continuo).
SOCKS5 úsase como protocolo proxy para as solicitudes. Iníciase un proxy compatible con SOCKS5 no sistema local, que canaliza o tráfico ao servidor remoto desde o que se executan realmente as solicitudes. O tráfico entre o cliente e o servidor colócase nun túnel cifrado (admítese o cifrado autenticado AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM e AEAD_AES_256_GCM), e o obxectivo principal é ocultar o feito de que se está a crear o túnel. ShadowsocksAdmítese a tunelización TCP e UDP, así como a creación de túneles personalizados non limitados a SOCKS5, mediante o uso de complementos similares aos transportes conectables de Tor.
Fonte: opennet.ru
