Kako nam je sve više uskraćen pristup raznim resursima na mreži, pitanje zaobilaženja blokade postaje sve aktualnije, što znači da pitanje “Kako brže zaobići blokadu?” postaje sve aktualnije.
Ostavimo temu učinkovitosti u smislu zaobilaženja DPI popisa dopuštenih za neki drugi slučaj i jednostavno usporedimo performanse popularnih alata za zaobilaženje blokova.
Pažnja: U članku će biti puno slika ispod spojlera.
Izjava o odricanju od odgovornosti: ovaj članak uspoređuje izvedbu popularnih VPN proxy rješenja u uvjetima bliskim "idealnim". Ovdje dobiveni i opisani rezultati ne moraju nužno odgovarati vašim rezultatima u poljima. Budući da broj u testu brzine često ne ovisi o tome koliko je moćan alat za zaobilaženje, već o tome kako ga vaš pružatelj prigušuje.
metodologija
3 VPS-a kupljena su od pružatelja usluga oblaka (DO) u različitim zemljama diljem svijeta. 2 u Nizozemskoj, 1 u Njemačkoj. Najproduktivniji VPS (prema broju jezgri) odabran je od onih dostupnih za račun u okviru ponude za kuponske kredite.
Privatni iperf3 poslužitelj raspoređen je na prvom nizozemskom poslužitelju.
Na drugom nizozemskom poslužitelju, različiti poslužitelji alata za zaobilaženje blokova raspoređeni su jedan po jedan.
Slika radne površine Linuxa (xubuntu) s VNC-om i virtualnom radnom površinom postavljena je na njemačkom VPS-u. Ovaj VPN je uvjetni klijent, a različiti VPN proxy klijenti se redom instaliraju i pokreću na njemu.
Mjerenja brzine se provode tri puta, fokusiramo se na prosjek, koristimo 3 alata: u Chromiumu putem web testa brzine; u Chromiumu putem fast.com; s konzole preko iperf3 preko proxychains4 (gdje trebate staviti iperf3 promet u proxy).
Izravna veza “klijent”-poslužitelj iperf3 daje brzinu od 2 Gbps u iperf3, a nešto manju u fastspeedtestu.
Radoznali čitatelj može pitati, "zašto niste odabrali speedtest-cli?" i bit će u pravu.
Speedtest-cli se pokazao nepouzdanim i neadekvatnim načinom mjerenja propusnosti, iz meni nepoznatih razloga. Tri uzastopna mjerenja mogu dati tri potpuno različita rezultata ili, na primjer, pokazati propusnost mnogo veću od brzine porta mog VPS-a. Možda je problem moja batinasta ruka, ali činilo se da je nemoguće provesti istraživanje s takvim alatom.
Što se tiče rezultata za tri metode mjerenja (speedtest fastiperf), smatram da su iperf pokazatelji najprecizniji i najpouzdaniji, a fastspeedtest kao referenca. Ali neki alati za zaobilaženje nisu dopuštali dovršavanje 3 mjerenja putem iperf3 i u takvim slučajevima možete se osloniti na speedtestfast.
test brzine daje različite rezultate
alat
Ukupno su testirana 24 različita bypass alata ili njihove kombinacije, za svaki od njih dat ću mala objašnjenja i svoje dojmove rada s njima. Ali u biti, cilj je bio usporediti brzine shadowsocksa (i hrpe različitih maskatora za njega) openVPN-a i wireguarda.
U ovom materijalu neću detaljno raspravljati o pitanju „kako najbolje sakriti promet kako ne bismo bili isključeni“, jer je zaobilaženje blokiranja reaktivna mjera - prilagođavamo se onome što cenzor koristi i djelujemo na temelju toga.
Nalazi
Strongswanipsec
Po mojim dojmovima, vrlo se lako postavlja i radi prilično stabilno. Jedna od prednosti je to što je doista višeplatformski, bez potrebe da tražite klijente za svaku platformu.
preuzimanje - 993 bita; upload - 770 bita
SSH tunel
Vjerojatno samo lijeni nisu pisali o korištenju SSH kao alata za tuneliranje. Jedan od nedostataka je “štaka” rješenja, tj. implementacija iz prikladnog, lijepog klijenta na svakoj platformi neće funkcionirati. Prednosti su dobre performanse, nema potrebe instalirati ništa na poslužitelj.
preuzimanje - 1270 bita; upload - 1140 bita
OpenVPN
OpenVPN je testiran u 4 načina rada: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN poslužitelji automatski su konfigurirani instaliranjem streisanda.
Koliko se može procijeniti, trenutno je samo stunnel mod otporan na napredne DPI. Nije mi jasan razlog abnormalnog povećanja propusnosti prilikom omotavanja openVPN-tcp-a u stunnel, provjere su rađene u nekoliko pokreta, u različito vrijeme i različitim danima, rezultat je bio isti. Možda je to zbog postavki mrežnog skupa instaliranih prilikom postavljanja Streisanda, napišite ako imate bilo kakvu ideju zašto je to tako.
openvpntcp: preuzimanje - 760 bita; upload - 659 bita
openvpntcp+sslh: preuzimanje - 794 bita; upload - 693 bita
openvpntcp+stunnel: preuzimanje - 619 bita; upload - 943 bita
openvpnudp: preuzimanje - 756 bita; upload - 580 bita
Openconnect
Nije najpopularniji alat za zaobilaženje blokada, uključen je u Streisand paket, pa smo i njega odlučili testirati.
preuzimanje - 895 bita; upload 715 mbps
žica straža
Alat za hype koji je popularan među zapadnim korisnicima, programeri protokola čak su dobili i neke potpore za razvoj iz fondova za obranu. Radi kao modul Linux kernela putem UDP-a. Nedavno su se pojavili klijenti za windowsios.
Tvorac ga je zamislio kao jednostavan, brz način gledanja Netflixa dok niste u Sjedinjenim Državama.
Otuda prednosti i mane. Prednosti: vrlo brzi protokol, relativna jednostavnost instalacije i konfiguracije. Nedostaci - programer ga u početku nije stvorio s ciljem zaobilaženja ozbiljnih blokada, pa se wargard lako otkriva najjednostavnijim alatima, uklj. wireshark.
wireguard protokol u wiresharku
preuzimanje - 1681 bita; upload 1638 mbps
Zanimljivo je da se u tunsafe klijentu treće strane koristi warguard protokol koji, kada se koristi s istim warguard serverom, daje puno lošije rezultate. Vjerojatno će Windows wargard klijent pokazati iste rezultate:
tunsafeclient: preuzimanje - 1007 bita; upload - 1366 bita
OutlineVPN
Outline je implementacija shadowox poslužitelja i klijenta s lijepim i praktičnim korisničkim sučeljem iz Googleove slagalice. U sustavu Windows, outline klijent je jednostavno skup omotača za shadowsocks-local (shadowsocks-libev client) i badvpn (tun2socks binary koji usmjerava sav strojni promet na lokalni socks proxy) binary.
Shadowsox je nekoć bio otporan na Veliki kineski vatrozid, ali na temelju nedavnih recenzija to više nije slučaj. Za razliku od ShadowSoxa, izvan okvira ne podržava maskiranje povezivanja putem dodataka, ali to se može učiniti ručno petljanjem s poslužiteljem i klijentom.
preuzimanje - 939 bita; upload - 930 bita
SjenkeR
ShadowsocksR je fork originalnog Shadowsocksa, napisan u Pythonu. U biti, to je shadowbox uz koji je čvrsto vezano nekoliko metoda zamagljivanja prometa.
Postoje vilice ssR na libev i još nešto. Niska propusnost vjerojatno je posljedica jezika koda. Originalni shadowsox na pythonu nije mnogo brži.
shadowsocksR: preuzimanje 582 bita; upload 541 bita.
Shadowsocks
Kineski alat za zaobilaženje blokova koji randomizira promet i ometa automatsku analizu na druge prekrasne načine. GFW do nedavno nije bio blokiran, kažu da je sada blokiran samo ako je uključen UDP relej.
Cross-platform (postoje klijenti za bilo koju platformu), podržava rad s PT-om slično Thorovim obfuscatorima, postoji nekoliko vlastitih ili njemu prilagođenih obfuscatora, brz.
Postoji hrpa implementacija shadowox klijenata i poslužitelja, na različitim jezicima. U testiranju je shadowsocks-libev djelovao kao poslužitelj, različiti klijenti. Ispostavilo se da je najbrži Linux klijent shadowsocks2 on go, distribuiran kao zadani klijent u streisandu, ne mogu reći koliko je shadowsocks-windows produktivniji. U većini daljnjih testova kao klijent je korišten shadowsocks2. Snimke zaslona koje testiraju čisti shadowsocks-libev nisu napravljene zbog očitog kašnjenja ove implementacije.
shadowsocks2: preuzimanje - 1876 bita; upload - 1981 bita.
shadowsocks-rust: preuzimanje - 1605 bita; upload - 1895 bita.
Shadowsocks-libev: preuzimanje - 1584 bita; upload - 1265 bita.
Jednostavan-obfs
Dodatak za shadowsox sada je u statusu "amortiziran", ali i dalje radi (iako ne uvijek dobro). U velikoj mjeri istisnut v2ray-pluginom. Zamagljuje promet bilo pod HTTP websocketom (i omogućuje vam lažiranje odredišnog zaglavlja, pretvarajući se da nećete gledati pornhub, već, na primjer, web stranicu Ustava Ruske Federacije) ili pod pseudo-tls (pseudo , budući da ne koristi nikakve certifikate, najjednostavniji DPI kao što je besplatni nDPI otkrivaju se kao "tls no cert." U tls načinu rada više nije moguće lažirati zaglavlja).
Prilično brzo, instalirano iz repoa jednom naredbom, konfigurirano vrlo jednostavno, ima ugrađenu failover funkciju (kada promet s non-simple-obfs klijenta dođe na port koji simple-obfs sluša, on ga prosljeđuje na adresu gdje navedete u postavkama - ovako. Na ovaj način možete izbjeći ručnu provjeru porta 80, na primjer, jednostavnim preusmjeravanjem na web stranicu s httpom, kao i blokiranje putem sondi veze).
shadowsockss-obfs-tls: preuzimanje - 1618 bita; upload 1971 bita.
shadowsockss-obfs-http: preuzimanje - 1582 bita; upload - 1965 bita.
Simple-obfs u HTTP modu također može raditi preko CDN obrnutog proxyja (na primjer, cloudflare), tako da će za našeg pružatelja promet izgledati kao HTTP-plaintext promet prema cloudflareu, to nam omogućuje da malo bolje sakrijemo naš tunel, a na istovremeno odvojite ulaznu točku i izlaz prometa - pružatelj vidi da vaš promet ide prema CDN IP adresi, a ekstremni lajkovi na slikama se postavljaju u ovom trenutku s VPS IP adrese. Mora se reći da s-obfs kroz CF radi dvosmisleno, povremeno ne otvarajući neke HTTP resurse, na primjer. Dakle, nije bilo moguće testirati upload koristeći iperf preko shadowsockss-obfs+CF, ali sudeći prema rezultatima testa brzine, propusnost je na razini shadowsocksv2ray-plugin-tls+CF. Ne prilažem snimke zaslona iz iperf3 jer... Ne biste se trebali oslanjati na njih.
preuzimanje (test brzine) - 887; upload (test brzine) - 1154.
Preuzimanje (iperf3) - 1625; upload (iperf3) - nije dostupno.
v2ray-dodatak
V2ray-plugin zamijenio je jednostavne obfs kao glavni "službeni" obfuscator za ss libs. Za razliku od jednostavnih obf-ova, on još nije u spremištima i trebate ili preuzeti unaprijed sastavljenu binarnu datoteku ili je sami kompajlirati.
Podržava 3 načina rada: zadani, HTTP websocket (s podrškom za lažiranje zaglavlja odredišnog hosta); tls-websocket (za razliku od s-obfs, ovo je potpuni tls promet, koji prepoznaje bilo koji obrnuti proxy web poslužitelj i, na primjer, omogućuje vam da konfigurirate tls terminaciju na cloudfler poslužiteljima ili u nginxu); quic - radi preko udp-a, ali nažalost performanse quic-a u v2rey-u su vrlo niske.
Među prednostima u usporedbi s jednostavnim obf-ovima: v2ray dodatak radi bez problema putem CF-a u HTTP-websocket načinu rada s bilo kojim prometom, u TLS načinu rada to je punopravni TLS promet, za rad su mu potrebni certifikati (na primjer, od Let's encrypt ili self -potpisano).
shadowsocksv2ray-plugin-http: preuzimanje - 1404 bita; upload 1938 bita.
shadowsocksv2ray-plugin-tls: preuzimanje - 1214 bita; upload 1898 bita.
shadowsocksv2ray-plugin-quic: preuzimanje - 183 bita; upload 384 bita.
Kao što sam već rekao, v2ray može postavljati zaglavlja, pa tako možete raditi s njim kroz obrnuti proxy CDN (cloudfler na primjer). S jedne strane, to komplicira otkrivanje tunela, s druge strane, može malo povećati (a ponekad i smanjiti) kašnjenje - sve ovisi o lokaciji vas i poslužitelja. CF trenutno testira rad s quicom, ali ovaj način još nije dostupan (barem za besplatne račune).
shadowsocksv2ray-plugin-http+CF: preuzimanje - 1284 bita; upload 1785 bita.
shadowsocksv2ray-plugin-tls+CF: preuzimanje - 1261 bita; upload 1881 bita.
Plašt
Shred je rezultat daljnjeg razvoja GoQuiet maskatora. Simulira TLS promet i radi preko TCP-a. Trenutno je autor izdao drugu verziju dodatka, cloak-2, koja se značajno razlikuje od originalnog plašta.
Prema programeru, prva verzija dodatka koristila je tls 1.2 mehanizam nastavka sesije za lažiranje odredišne adrese za tls. Nakon izdavanja nove verzije (clock-2), sve wiki stranice na Githubu koje opisuju ovaj mehanizam su obrisane; to se ne spominje u trenutnom opisu enkripcije maskiranja. Prema opisu autora, prva verzija shreda se ne koristi zbog prisutnosti "kritičnih ranjivosti u kripto." U vrijeme testiranja postojala je samo prva verzija plašta, njegove binarne datoteke su još uvijek na Githubu, a osim svega kritične ranjivosti nisu previše bitne, jer shadowsox šifrira promet na isti način kao i bez plašta, a cloac nema utjecaja na shadowsoxov kripto.
shadowsockscloak: preuzimanje - 1533; upload - 1970 bita
Kcptun
koristi kcptun kao transport a u nekim posebnim slučajevima omogućuje postizanje povećane propusnosti. Nažalost (ili nasreću), ovo je uvelike relevantno za korisnike iz Kine, čiji neki mobilni operateri jako guše TCP i ne diraju UDP.
Kcptun je prokleto gladan energije i lako učitava 100 zion jezgre na 4% kada ga je testirao 1 klijent. Osim toga, dodatak je "spor", a kada radi kroz iperf3 ne dovršava testove do kraja. Pogledajmo test brzine u pregledniku.
shadowsockskcptun: preuzimanje (test brzine) - 546 bita; upload (test brzine) 854 bita.
Zaključak
Trebate li jednostavan, brz VPN za zaustavljanje prometa s cijelog vašeg stroja? Onda je vaš izbor Warguard. Želite li proxyje (za selektivno tuneliranje ili odvajanje tokova virtualnih osoba) ili vam je važnije zamagliti promet od ozbiljnog blokiranja? Zatim pogledajte shadowbox s tlshttp maskiranjem. Želite li biti sigurni da će vaš Internet raditi sve dok Internet uopće radi? Odaberite proxy promet kroz važne CDN-ove, čije blokiranje će dovesti do kvara polovice interneta u zemlji.
Zaokretna tablica, razvrstana po preuzimanju
Izvor: www.habr.com