Lanzouse o servidor proxy outline-ss-server 1.4, utilizando o protocolo Shadowsocks para ocultar a natureza do tráfico, evitar os cortalumes e enganar os sistemas de inspección de paquetes. O servidor está a ser desenvolvido polo proxecto Outline, que ademais proporciona un marco de aplicacións cliente e unha interface de control que che permite implantar rapidamente servidores Shadowsocks multiusuario baseados en outline-ss-server en contornos de nube pública ou no teu propio equipo. xestionalos mediante unha interface web e organiza o acceso dos usuarios mediante teclas. O código está desenvolvido e mantido por Jigsaw, unha división dentro de Google creada para desenvolver ferramentas para eludir a censura e organizar o intercambio gratuíto de información.
Outline-ss-server está escrito en Go e distribúese baixo a licenza Apache 2.0. O código usado como base é o servidor proxy go-shadowsocks2, creado pola comunidade de desenvolvedores Shadowsocks. Recentemente, a actividade principal do proxecto Shadowsocks centrouse no desenvolvemento dun novo servidor na linguaxe Rust, e a implementación na linguaxe Go non se actualiza desde hai máis dun ano e está notablemente atrasada en funcións.
As diferenzas entre outline-ss-server e go-shadowsocks2 redúcense na compatibilidade para conectar varios usuarios a través dun porto de rede, a capacidade de abrir varios portos de rede para recibir conexións, o soporte para o reinicio en quente e as actualizacións de configuración sen interromper as conexións, o sistema integrado. ferramentas de seguimento e modificación de tráfico baseadas na plataforma prometheus .io.
outline-ss-server tamén engade protección contra as solicitudes de sonda e os ataques de reprodución de tráfico. Un ataque mediante solicitudes de proba ten como obxectivo determinar a presenza dun proxy; por exemplo, un atacante pode enviar conxuntos de datos de diferentes tamaños ao servidor Shadowsocks de destino e analizar cantos datos lerá o servidor antes de detectar un erro e pechar a conexión. Un ataque de repetición de tráfico baséase en interceptar unha sesión entre un cliente e un servidor e despois tentar retransmitir os datos interceptados para determinar a presenza dun proxy.
Para protexerse contra ataques mediante solicitudes de proba, o servidor outline-ss-server, cando chegan datos incorrectos, non interrompe a conexión e non mostra un erro, senón que segue recibindo información, actuando como unha especie de buraco negro. Para protexerse contra a reprodución, os datos recibidos do cliente compróbanse adicionalmente para ver as repeticións usando sumas de verificación almacenadas para os últimos miles de secuencias de apretón de mans (máximo 40 mil, o tamaño establécese cando se inicia o servidor e consome 20 bytes de memoria por secuencia). Para bloquear as respostas repetidas do servidor, todas as secuencias de enlaces do servidor usan códigos de autenticación HMAC con etiquetas de 32 bits.
En canto ao nivel de ocultación de tráfico, o protocolo Shadowsocks na implementación de outline-ss-server está próximo ao transporte do complemento Obfs4 na rede anónima Tor. O protocolo foi creado para evitar o sistema de censura de tráfico en China ("The Great Firewall of China") e permítelle ocultar de forma bastante efectiva o tráfico reenviado a través doutro servidor (o tráfico é difícil de identificar debido ao anexo dunha semente aleatoria e á simulación de un fluxo continuo).
SOCKS5 utilízase como protocolo para enviar solicitudes de proxy: lánzase un proxy con soporte SOCKS5 no sistema local, que canaliza o tráfico a un servidor remoto desde o que realmente se executan as solicitudes. O tráfico entre o cliente e o servidor sitúase nun túnel cifrado (o cifrado autenticado é compatible con AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM e AEAD_AES_256_GCM), ocultar o feito da súa creación é a tarefa principal de Shadowsocks. Admítese a organización de túneles TCP e UDP, así como a creación de túneles arbitrarios non limitados por SOCKS5 mediante o uso de complementos que lembran os transportes de complementos en Tor.
Fonte: opennet.ru