Karena kita semakin ditolak aksesnya ke berbagai sumber daya di jaringan, masalah melewati pemblokiran menjadi semakin mendesak, yang berarti pertanyaan “Bagaimana cara melewati pemblokiran lebih cepat?” menjadi semakin relevan.
Mari kita tinggalkan topik efisiensi dalam hal melewati daftar putih DPI untuk kasus lain, dan cukup membandingkan kinerja alat bypass blok yang populer.
Perhatian: Akan ada banyak gambar di bawah spoiler di artikel.
Penafian: artikel ini membandingkan kinerja solusi proksi VPN populer dalam kondisi yang mendekati “ideal”. Hasil yang diperoleh dan dijelaskan di sini belum tentu sesuai dengan hasil Anda di lapangan. Karena angka dalam tes kecepatan seringkali tidak bergantung pada seberapa kuat alat bypassnya, namun pada bagaimana penyedia Anda membatasinya.
Metodologi
3 VPS dibeli dari penyedia cloud (DO) di berbagai negara di dunia. 2 di Belanda, 1 di Jerman. VPS paling produktif (berdasarkan jumlah inti) dipilih dari yang tersedia untuk akun berdasarkan penawaran kredit kupon.
Server iperf3 pribadi dikerahkan di server Belanda pertama.
Di server Belanda kedua, berbagai server alat bypass blok dikerahkan satu per satu.
Gambar desktop Linux (xubuntu) dengan VNC dan desktop virtual diterapkan pada VPS Jerman. VPN ini adalah klien bersyarat, dan berbagai klien proksi VPN diinstal dan diluncurkan secara bergantian.
Pengukuran kecepatan dilakukan tiga kali, kami fokus pada rata-rata, kami menggunakan 3 alat: di Chromium melalui tes kecepatan web; di Chromium melalui fast.com; dari konsol melalui iperf3 melalui proxychains4 (di mana Anda perlu memasukkan lalu lintas iperf3 ke proxy).
Koneksi langsung "klien" -server iperf3 memberikan kecepatan 2 Gbps di iperf3, dan sedikit lebih rendah di fastspeedtest.
Pembaca yang penasaran mungkin bertanya, “mengapa Anda tidak memilih speedtest-cli?” dan dia akan benar.
Speedtest-cli ternyata tidak dapat diandalkan dan merupakan cara yang tidak memadai untuk mengukur throughput, karena alasan yang tidak saya ketahui. Tiga pengukuran berturut-turut dapat memberikan tiga hasil yang sangat berbeda, atau, misalnya, menunjukkan throughput yang jauh lebih tinggi daripada kecepatan port VPS saya. Mungkin masalahnya adalah tangan saya yang dipukul, tapi sepertinya mustahil melakukan penelitian dengan alat seperti itu.
Adapun hasil dari ketiga metode pengukuran (speedtest fastiperf), saya anggap indikator iperf paling akurat dan terpercaya, dan fastspeedtest sebagai acuan. Namun beberapa alat bypass tidak mengizinkan menyelesaikan 3 pengukuran melalui iperf3 dan dalam kasus seperti itu, Anda dapat mengandalkan speedtestfast.
tes kecepatan memberikan hasil yang berbeda-beda
Toolkit
Secara total, 24 alat bypass yang berbeda atau kombinasinya diuji, untuk masing-masing alat tersebut saya akan memberikan sedikit penjelasan dan kesan saya bekerja dengannya. Namun pada dasarnya, tujuannya adalah untuk membandingkan kecepatan shadowocks (dan sekumpulan obfuscator yang berbeda) openVPN dan wireguard.
Dalam materi ini, saya tidak akan membahas secara detail pertanyaan “bagaimana cara terbaik menyembunyikan lalu lintas agar tidak terputus”, karena melewati pemblokiran adalah tindakan reaktif - kami beradaptasi dengan apa yang digunakan sensor dan bertindak atas dasar ini.
Temuan
Swanipsec yang kuat
Menurut kesan saya, pengaturannya sangat mudah dan bekerja dengan cukup stabil. Salah satu kelebihannya adalah benar-benar lintas platform, tanpa perlu mencari klien untuk setiap platform.
unduh - 993 Mbit; unggah - 770 Mbps
Terowongan SSH
Mungkin hanya para pemalas yang belum menulis tentang penggunaan SSH sebagai alat terowongan. Salah satu kelemahannya adalah “penopang” solusinya, yaitu. menyebarkannya dari klien yang nyaman dan cantik di setiap platform tidak akan berhasil. Kelebihannya adalah performanya bagus, tidak perlu menginstal apa pun di server sama sekali.
unduh - 1270 Mbit; unggah - 1140 Mbps
OpenVPN
OpenVPN diuji dalam 4 mode operasi: tcp, tcp+sslh, tcp+stunnel, udp.
Server OpenVPN dikonfigurasi secara otomatis dengan menginstal streisand.
Sejauh yang bisa dinilai, saat ini hanya mode stunnel yang tahan terhadap DPI tingkat lanjut. Alasan peningkatan throughput yang tidak normal saat membungkus openVPN-tcp dengan stunnel tidak jelas bagi saya, pemeriksaan dilakukan dalam beberapa kali proses, pada waktu yang berbeda dan pada hari yang berbeda, hasilnya sama. Mungkin ini karena pengaturan tumpukan jaringan yang dipasang saat menggunakan Streisand, tulis jika Anda tahu mengapa demikian.
openvpntcp: unduh - 760 Mbit; unggah - 659 Mbps
openvpntcp+sslh: unduh - 794 mbit; unggah - 693 Mbit
openvpntcp+stunnel: unduh - 619 mbit; unggah - 943 Mbit
openvpnudp: unduh - 756 mbit; unggah - 580 Mbps
Koneksi terbuka
Bukan alat paling populer untuk melewati penyumbatan, alat ini disertakan dalam paket Streisand, jadi kami memutuskan untuk mengujinya juga.
unduh - 895 Mbps; unggah 715 mbps
Penjaga kawat
Sebuah alat hype yang populer di kalangan pengguna Barat, para pengembang protokol bahkan menerima sejumlah hibah untuk pengembangan dari dana pertahanan. Bekerja sebagai modul kernel Linux melalui UDP. Baru-baru ini, klien untuk windowsios telah muncul.
Ini dirancang oleh pembuatnya sebagai cara sederhana dan cepat untuk menonton Netflix saat tidak berada di Amerika.
Makanya pro dan kontra. Kelebihan: protokol yang sangat cepat, instalasi dan konfigurasi yang relatif mudah. Kekurangan - pengembang awalnya tidak membuatnya dengan tujuan melewati penyumbatan yang serius, dan oleh karena itu wargard mudah dideteksi dengan alat yang paling sederhana, termasuk. wireshark.
protokol wireguard di wireshark
unduh - 1681 Mbps; unggah 1638 mbps
Menariknya, protokol warguard digunakan di klien tunsafe pihak ketiga, yang bila digunakan dengan server warguard yang sama, memberikan hasil yang jauh lebih buruk. Kemungkinan klien Windows wargard akan menunjukkan hasil yang sama:
tunsafeclient: unduh - 1007 mbit; unggah - 1366 Mbps
Garis BesarVPN
Outline adalah implementasi server dan klien shadowox dengan antarmuka pengguna yang indah dan nyaman dari puzzle Google. Di Windows, klien garis besar hanyalah sekumpulan pembungkus untuk biner shadowocks-local (klien shadowsocks-libev) dan badvpn (biner tun2socks yang mengarahkan semua lalu lintas mesin ke proxy kaus kaki lokal).
Shadowsox dulunya tahan terhadap Great Firewall Tiongkok, namun berdasarkan ulasan terbaru, hal ini tidak lagi terjadi. Tidak seperti ShadowSox, ia tidak mendukung penyambungan kebingungan melalui plugin, tetapi ini dapat dilakukan secara manual dengan mengutak-atik server dan klien.
unduh - 939 Mbit; unggah - 930 Mbps
ShadowsocksR
ShadowsocksR adalah fork dari Shadowsocks asli, yang ditulis dengan Python. Pada dasarnya, ini adalah sebuah kotak bayangan (shadowbox) yang mana beberapa metode pengaburan lalu lintas disematkan secara ketat.
Ada cabang ssR ke libev dan yang lainnya. Throughput yang rendah mungkin disebabkan oleh bahasa kode. Shadowox asli di python tidak jauh lebih cepat.
shadowocksR: unduh 582 mbit; unggah 541 Mbps.
Shadowsocks
Alat bypass blok Cina yang mengacak lalu lintas dan mengganggu analisis otomatis dengan cara luar biasa lainnya. Sampai saat ini, GFW tidak diblokir, katanya sekarang diblokir hanya jika relai UDP dihidupkan.
Lintas platform (ada klien untuk platform apa pun), mendukung bekerja dengan PT mirip dengan obfuscator Thor, ada beberapa obfuscatornya sendiri atau disesuaikan dengannya, cepat.
Ada banyak implementasi klien dan server shadowox, dalam berbagai bahasa. Dalam pengujian, shadowocks-libev bertindak sebagai server, klien yang berbeda. Klien Linux tercepat ternyata adalah shadowocks2 saat bepergian, didistribusikan sebagai klien default di streisand, saya tidak bisa mengatakan seberapa produktifnya shadowocks-windows. Dalam sebagian besar pengujian lebih lanjut, shadowocks2 digunakan sebagai klien. Tangkapan layar yang menguji shadowocks-libev murni tidak dibuat karena kelambatan yang jelas dalam implementasi ini.
shadowocks2: unduh - 1876 mbit; unggah - 1981 mbit.
shadowocks-rust: unduh - 1605 mbits; unggah - 1895 Mbps.
Shadowsocks-libev: unduh - 1584 mbit; unggah - 1265 Mbps.
Obfs sederhana
Plugin untuk shadowox sekarang berada dalam status “depresiasi” tetapi masih berfungsi (walaupun tidak selalu baik). Sebagian besar digantikan oleh plugin v2ray. Mengaburkan lalu lintas baik di bawah soket web HTTP (dan memungkinkan Anda memalsukan header tujuan, berpura-pura bahwa Anda tidak akan menonton pornhub, tetapi, misalnya, situs web Konstitusi Federasi Rusia) atau di bawah pseudo-tls (pseudo , karena tidak menggunakan sertifikat apa pun, DPI paling sederhana seperti nDPI gratis terdeteksi sebagai "tls no cert." Dalam mode tls, header palsu tidak dapat lagi dipalsukan).
Cukup cepat, diinstal dari repo dengan satu perintah, dikonfigurasi dengan sangat sederhana, memiliki fungsi failover bawaan (ketika lalu lintas dari klien non-simple-obfs datang ke port yang didengarkan simple-obfs, ia meneruskannya ke alamat di mana Anda menentukan dalam pengaturan - seperti ini Dengan cara ini, Anda dapat menghindari pemeriksaan manual port 80, misalnya, hanya dengan mengarahkan ulang ke situs web dengan http, serta memblokir melalui probe koneksi).
shadowockss-obfs-tls: unduh - 1618 mbit; unggah 1971 mbit.
shadowockss-obfs-http: unduh - 1582 mbits; unggah - 1965 mbit.
Obf sederhana dalam mode HTTP juga dapat bekerja melalui proxy balik CDN (misalnya, cloudflare), jadi untuk penyedia kami, lalu lintasnya akan terlihat seperti lalu lintas teks biasa HTTP ke cloudflare, ini memungkinkan kami menyembunyikan terowongan kami sedikit lebih baik, dan di pada saat yang sama pisahkan titik masuk dan keluar lalu lintas - penyedia melihat bahwa lalu lintas Anda menuju ke alamat IP CDN, dan suka ekstrem pada gambar ditempatkan saat ini dari alamat IP VPS. Harus dikatakan bahwa s-obfs melalui CF bekerja secara ambigu, secara berkala tidak membuka beberapa sumber daya HTTP, misalnya. Jadi, pengujian upload menggunakan iperf tidak dapat dilakukan melalui shadowockss-obfs+CF, namun dilihat dari hasil uji kecepatan, throughputnya berada pada level shadowocksv2ray-plugin-tls+CF. Saya tidak melampirkan screenshot dari iperf3, karena... Anda tidak harus bergantung pada mereka.
unduh (tes kecepatan) - 887; unggah (tes kecepatan) - 1154.
Unduh (iperf3) - 1625; unggah (iperf3) - TIDAK.
plugin v2ray
Plugin V2ray telah menggantikan obfs sederhana sebagai obfuscator "resmi" utama untuk ss libs. Tidak seperti obf sederhana, obf ini belum ada di repositori, dan Anda perlu mengunduh biner yang sudah dirakit sebelumnya atau mengkompilasinya sendiri.
Mendukung 3 mode operasi: default, soket web HTTP (dengan dukungan untuk spoofing header dari host tujuan); tls-websocket (tidak seperti s-obfs, ini adalah lalu lintas tls lengkap yang dikenali oleh server web proxy terbalik mana pun dan, misalnya, memungkinkan Anda mengonfigurasi penghentian tls di server cloudfler atau di nginx); quic - bekerja melalui udp, tapi sayangnya kinerja quic di v2rey sangat rendah.
Di antara kelebihannya dibandingkan obf sederhana: plugin v2ray bekerja tanpa masalah melalui CF dalam mode HTTP-websocket dengan lalu lintas apa pun, dalam mode TLS ini adalah lalu lintas TLS lengkap, memerlukan sertifikat untuk pengoperasian (misalnya, dari Let's encrypt atau self -tertanda).
shadowocksv2ray-plugin-http: unduh - 1404 mbits; unggah 1938 mbit.
shadowocksv2ray-plugin-tls: unduh - 1214 mbits; unggah 1898 mbit.
shadowocksv2ray-plugin-quic: unduh - 183 mbits; unggah 384 Mbit.
Seperti yang sudah saya katakan, v2ray dapat mengatur header, dan dengan demikian Anda dapat bekerja dengannya melalui CDN proxy terbalik (misalnya cloudfler). Di satu sisi, hal ini mempersulit pendeteksian terowongan, di sisi lain, hal ini dapat sedikit meningkatkan (dan terkadang mengurangi) kelambatan - semuanya tergantung pada lokasi Anda dan server. CF saat ini sedang menguji bekerja dengan quic, namun mode ini belum tersedia (setidaknya untuk akun gratis).
shadowocksv2ray-plugin-http+CF: unduh - 1284 mbits; unggah 1785 Mbps.
shadowocksv2ray-plugin-tls+CF: unduh - 1261 mbit; unggah 1881 mbit.
Jubah
Rusaknya adalah hasil pengembangan lebih lanjut dari obfuscator GoQuiet. Mensimulasikan lalu lintas TLS dan bekerja melalui TCP. Saat ini, penulis telah merilis plugin versi kedua, cloak-2, yang sangat berbeda dari cloak aslinya.
Menurut pengembangnya, versi pertama plugin menggunakan mekanisme sesi resume tls 1.2 untuk memalsukan alamat tujuan tls. Setelah rilis versi baru (jam ke-2), semua halaman wiki di Github yang menjelaskan mekanisme ini telah dihapus; hal ini tidak disebutkan dalam deskripsi enkripsi kebingungan saat ini. Menurut deskripsi penulis, versi pertama dari rusaknya tidak digunakan karena adanya “kerentanan kritis dalam kripto.” Pada saat pengujian, hanya ada versi pertama dari jubah, binernya masih ada di Github, dan selain itu, kerentanan kritis tidak terlalu penting, karena Shadowox mengenkripsi lalu lintas dengan cara yang sama seperti tanpa jubah, dan cloac tidak berpengaruh pada kripto Shadowox.
jubah bayangan: unduh - 1533; unggah - 1970 mbit
Kcptun
menggunakan kcptun sebagai transportasi dan dalam beberapa kasus khusus memungkinkan untuk mencapai peningkatan throughput. Sayangnya (atau untungnya), hal ini sebagian besar relevan bagi pengguna dari Tiongkok, yang beberapa operator selulernya sangat membatasi TCP dan tidak menyentuh UDP.
Kcptun sangat haus daya, dan dengan mudah memuat 100 core zion pada 4% saat diuji oleh 1 klien. Selain itu, plugin ini “lambat”, dan saat bekerja melalui iperf3, plugin ini tidak menyelesaikan pengujian sampai akhir. Mari kita lihat tes kecepatan di browser.
shadowockskcptun: unduh (uji kecepatan) - 546 mbits; unggah (uji kecepatan) 854 mbits.
Kesimpulan
Apakah Anda memerlukan VPN yang sederhana dan cepat untuk menghentikan lalu lintas dari seluruh mesin Anda? Maka pilihan Anda adalah warguard. Apakah Anda menginginkan proxy (untuk penerowongan selektif atau pemisahan aliran orang virtual) atau lebih penting bagi Anda untuk mengaburkan lalu lintas dari pemblokiran yang serius? Kemudian lihat shadowbox dengan kebingungan tlshttp. Apakah Anda ingin yakin bahwa Internet Anda akan berfungsi selama Internet berfungsi? Pilih untuk mem-proxy lalu lintas melalui CDN penting, pemblokiran yang akan menyebabkan kegagalan separuh Internet di negara tersebut.
Tabel pivot, diurutkan berdasarkan unduhan
Sumber: www.habr.com