Þar sem okkur er í auknum mæli meinaður aðgangur að ýmsum auðlindum á netinu, verður málið um að komast framhjá lokun meira og meira aðkallandi, sem þýðir að spurningin „Hvernig á að komast framhjá lokun hraðar?“ verður meira og meira viðeigandi.
Við skulum skilja efnið eftir skilvirkni hvað varðar framhjá DPI hvítlista fyrir annað tilvik og einfaldlega bera saman árangur vinsælra blokkahjáveitutækja.
Athygli: Það verður mikið af myndum undir spoilerum í greininni.
Fyrirvari: Þessi grein ber saman árangur vinsælra VPN proxy-lausna við aðstæður nálægt „tilvali“. Niðurstöðurnar sem fást og lýst er hér eru ekki endilega í samræmi við niðurstöður þínar á reitunum. Vegna þess að talan í hraðaprófinu mun oft ekki ráðast af því hversu öflugt framhjáhaldstækið er, heldur af því hvernig veitandinn þinn stöðvar það.
Aðferðafræði
3 VPS voru keyptir frá skýjaveitu (DO) í mismunandi löndum um allan heim. 2 í Hollandi, 1 í Þýskalandi. Afkastamesta VPS (miðað við fjölda kjarna) var valið úr þeim sem voru tiltækar fyrir reikninginn undir tilboði um afsláttarmiða.
Einkaþjónn iperf3 er settur á fyrsta hollenska netþjóninn.
Á öðrum hollenska netþjóninum eru ýmsir netþjónar með blokkahjáveituverkfærum settir upp einn í einu.
Linux skrifborðsmynd (xubuntu) með VNC og sýndarskjáborði er sett á þýska VPS. Þetta VPN er skilyrt viðskiptavinur og ýmsir VPN proxy viðskiptavinir eru settir upp og settir af stað á hann.
Hraðamælingar eru gerðar þrisvar sinnum, við leggjum áherslu á meðaltalið, við notum 3 verkfæri: í Chromium í gegnum vefhraðapróf; í Chromium í gegnum fast.com; frá stjórnborðinu í gegnum iperf3 í gegnum proxychains4 (þar sem þú þarft að setja iperf3 umferð inn í proxy).
Bein tenging „viðskiptavinur“-þjónn iperf3 gefur 2 Gbps hraða í iperf3 og aðeins minna í fastspeedtest.
Forvitinn lesandi gæti spurt: "af hverju valdir þú ekki speedtest-cli?" og hann mun hafa rétt fyrir sér.
Speedtest-cli reyndist vera óáreiðanlegt og ófullnægjandi leið til að mæla afköst, af ástæðum sem mér eru óþekktar. Þrjár mælingar í röð gætu gefið þrjár gjörólíkar niðurstöður, eða til dæmis sýnt afköst sem er miklu hærri en porthraði VPS minnar. Kannski er vandamálið í klúbbhöndinni minni, en það virtist ómögulegt að framkvæma rannsóknir með slíku tæki.
Hvað varðar niðurstöðurnar fyrir mælingaraðferðirnar þrjár (speedtest fastiperf), þá tel ég iperf-vísana vera nákvæmasta og áreiðanlegasta og hraðaprófið sem viðmiðun. En sum framhjáhlaupsverkfæri leyfðu ekki að klára 3 mælingar í gegnum iperf3 og í slíkum tilfellum geturðu reitt þig á speedtestfast.
hraðapróf gefur mismunandi niðurstöður
Verkfæri
Alls voru 24 mismunandi framhjáveitutæki eða samsetningar þeirra prófuð, fyrir hvert þeirra mun ég gefa litlar skýringar og tilfinningar mínar um að vinna með þau. En í meginatriðum var markmiðið að bera saman hraða skuggasokka (og fullt af mismunandi obfuscators fyrir það) openVPN og wireguard.
Í þessu efni mun ég ekki fjalla ítarlega um spurninguna um „hvernig best er að fela umferð svo að hún verði ekki aftengd,“ vegna þess að framhjá blokkun er viðbragðsráðstöfun - við aðlögum okkur að því sem ritskoðandinn notar og bregðumst við á þessum grundvelli.
Niðurstöður
Strongswanipsec
Að mínu mati er það mjög auðvelt að setja það upp og virkar nokkuð stöðugt. Einn af kostunum er að það er sannarlega þvert á vettvang, án þess að þurfa að leita að viðskiptavinum fyrir hvern vettvang.
niðurhal - 993 mbits; upphleðsla - 770 mbits
SSH göng
Sennilega hafa aðeins latir ekki skrifað um að nota SSH sem jarðgangaverkfæri. Einn af ókostunum er „hækja“ lausnarinnar, þ.e. að dreifa því frá þægilegum, fallegum viðskiptavinum á hverjum vettvangi mun ekki virka. Kostirnir eru góð frammistaða, það er engin þörf á að setja neitt upp á netþjóninn.
niðurhal - 1270 mbits; upphleðsla - 1140 mbits
OpenVPN
OpenVPN var prófað í 4 rekstrarhamum: tcp, tcp+sslh, tcp+tunnel, udp.
OpenVPN netþjónar voru stilltir sjálfkrafa með því að setja upp streisand.
Eins langt og hægt er að dæma er í augnablikinu aðeins tunnel hamurinn ónæmur fyrir háþróaðri DPI. Ástæðan fyrir óeðlilegri aukningu á afköstum við að vefja openVPN-tcp inn í tunnel er mér ekki ljós, athuganir voru gerðar í nokkrum keyrslum, á mismunandi tímum og á mismunandi dögum, niðurstaðan var sú sama. Kannski er þetta vegna netstaflastillinganna sem settar voru upp þegar Streisand var sett upp, skrifaðu ef þú hefur einhverjar hugmyndir hvers vegna þetta er svo.
openvpntcp: niðurhal - 760 mbits; upphleðsla - 659 mb
openvpntcp+sslh: niðurhal - 794 mbits; upphleðsla - 693 mbit
openvpntcp+stunnel: niðurhal - 619 mbits; upphleðsla - 943 mbit
openvpnudp: niðurhal - 756 mbits; upphleðsla - 580 mbits
Openconnect
Ekki vinsælasta tækið til að komast framhjá stíflum, það er innifalið í Streisand pakkanum, svo við ákváðum að prófa það líka.
niðurhal - 895 mbits; hlaða upp 715 mbps
Verndarvörður
Hype tól sem er vinsælt meðal vestrænna notenda, verktaki samskiptareglunnar fengu jafnvel nokkra styrki til þróunar frá varnarsjóðum. Virkar sem Linux kjarnaeining í gegnum UDP. Nýlega hafa birst viðskiptavinir fyrir windowsios.
Það var hugsað af skaparanum sem einföld, fljótleg leið til að horfa á Netflix á meðan hann er ekki í fylkjunum.
Þess vegna kostir og gallar. Kostir: mjög hröð samskiptaregla, tiltölulega auðveld uppsetning og stillingar. Ókostir - verktaki skapaði það ekki upphaflega með það að markmiði að komast framhjá alvarlegum stíflum og því er wargard auðveldlega greindur með einföldustu verkfærum, þ.m.t. vírhákarl.
wireguard siðareglur í wireshark
niðurhal - 1681 mbits; hlaða upp 1638 mbps
Athyglisvert er að warguard samskiptareglur eru notaðar í þriðja aðila tunsafe biðlaranum, sem, þegar það er notað með sama warguard miðlara, gefur mun verri niðurstöður. Líklegt er að Windows wargard biðlarinn muni sýna sömu niðurstöður:
tunsafeclient: niðurhal - 1007 mbits; upphleðsla - 1366 mbits
OutlineVPN
Outline er útfærsla á shadowox netþjóni og biðlara með fallegu og þægilegu notendaviðmóti frá Google jigsaw. Í Windows er outline viðskiptavinurinn einfaldlega sett af umbúðum fyrir shadowsocks-local (shadowsocks-libev biðlarann) og badvpn (tun2socks tvöfaldur sem beinir allri vélaumferð til staðbundins socks proxy) tvöfalda.
Shadowsox var einu sinni ónæmur fyrir Great Firewall of China, en miðað við nýlegar umsagnir er þetta ekki lengur raunin. Ólíkt ShadowSox, út úr kassanum styður það ekki að tengja þoku í gegnum viðbætur, en þetta er hægt að gera handvirkt með því að fikta við netþjóninn og viðskiptavininn.
niðurhal - 939 mbits; upphleðsla - 930 mbits
SkuggasokkarR
ShadowsocksR er gaffal af upprunalegu Shadowsocks, skrifað í Python. Í meginatriðum er það skuggakassa sem nokkrar aðferðir til að hylja umferð eru þétt festar við.
Það eru gafflar af ssR til libev og eitthvað fleira. Lítið afköst stafar líklega af kóðamálinu. Upprunalega shadowsox á python er ekki mikið hraðari.
shadowsocksR: niðurhal 582 mbits; hlaða upp 541 mb.
Shadowsocks
Kínverskt tól til framhjáhjáhalds sem veldur umferð af handahófi og truflar sjálfvirka greiningu á annan frábæran hátt. Þar til nýlega var GFW ekki læst; þeir segja að nú sé það aðeins lokað ef kveikt er á UDP gengi.
Cross-platform (það eru viðskiptavinir fyrir hvaða vettvang sem er), styður að vinna með PT svipað og Thors obfuscators, það eru nokkrir af honum eða aðlagaðir að því obfuscators, hratt.
Það eru fullt af útfærslum af shadowox viðskiptavinum og netþjónum, á mismunandi tungumálum. Í prófunum virkaði shadowsocks-libev sem þjónn, mismunandi viðskiptavinir. Hraðasta Linux viðskiptavinurinn reyndist vera Shadowsocks2 on go, dreift sem sjálfgefinn viðskiptavinur í streisand, ég get ekki sagt hversu miklu afkastaminni shadowsocks-windows er. Í flestum frekari prófunum voru shadowsocks2 notaðir sem viðskiptavinur. Skjámyndir sem prófa pure shadowsocks-libev voru ekki gerðar vegna augljósrar seinkun þessarar útfærslu.
shadowsocks2: niðurhal - 1876 mbits; upphleðsla - 1981 mbits.
shadowsocks-ryð: niðurhal - 1605 mbits; upphleðsla - 1895 mbits.
Shadowsocks-libev: niðurhal - 1584 mbits; upphleðsla - 1265 mbits.
Einfalt-obfs
Viðbótin fyrir shadowsox er nú í „afskrifuð“ stöðu en virkar samt (þó ekki alltaf vel). Að mestu skipt út af v2ray-viðbótinni. Skýrir umferð annaðhvort undir HTTP veftengi (og gerir þér kleift að blekkja áfangahausinn og láta eins og þú ætlir ekki að horfa á klámhub, heldur til dæmis vefsíðu stjórnarskrár Rússlands) eða undir gervi-tls (gervi) , vegna þess að það notar engin vottorð, þá er einfaldasta DPI eins og ókeypis nDPI greint sem "tls no cert." Í tls ham er ekki lengur hægt að spilla hausum).
Nokkuð hratt, sett upp frá endurhverfunni með einni skipun, stillt á mjög einfaldan hátt, hefur innbyggða bilunaraðgerð (þegar umferð frá óeinfaldum obfs biðlara kemur að höfninni sem simple-obfs hlustar á, sendir það hana áfram á heimilisfangið þar sem þú tilgreinir í stillingunum - svona. Þannig geturðu forðast handvirkt athugun á port 80, til dæmis með því einfaldlega að beina á vefsíðu með http, auk þess að loka í gegnum tengingarrannsóknir).
shadowsockss-obfs-tls: niðurhal - 1618 mbits; hlaða upp 1971 mbits.
shadowsockss-obfs-http: niðurhal - 1582 mbits; upphleðsla - 1965 mbits.
Simple-obfs í HTTP ham geta líka virkað í gegnum CDN reverse proxy (til dæmis cloudflare), þannig að fyrir þjónustuveituna okkar mun umferðin líta út eins og HTTP-plaintext umferð til cloudflare, þetta gerir okkur kleift að fela göngin okkar aðeins betur, og kl. á sama tíma aðskilið inngangspunkt og umferðarútgang - veitandinn sér að umferðin þín fer í átt að CDN IP tölunni og öfgafullir líkar við myndir eru settar á þessari stundu frá VPS IP tölunni. Það verður að segjast að það er s-obfs í gegnum CF sem virkar óljóst, reglulega opnar ekki til dæmis einhverjar HTTP auðlindir. Þannig að það var ekki hægt að prófa upphleðsluna með iperf gegnum shadowsockss-obfs+CF, en miðað við niðurstöður hraðaprófsins er afköst á stigi shadowsocksv2ray-plugin-tls+CF. Ég er ekki að hengja skjámyndir frá iperf3, vegna þess að... Þú ættir ekki að treysta á þá.
niðurhal (hraðapróf) - 887; hlaða upp (hraðapróf) - 1154.
Niðurhal (iperf3) - 1625; hlaða upp (iperf3) - NA.
v2ray-viðbót
V2ray-plugin hefur komið í stað einfaldra obfs sem aðal „opinbera“ obfuscator fyrir ss libs. Ólíkt einföldum obfs er það ekki enn í geymslunum og þú þarft annaðhvort að hlaða niður fyrirfram samsettri tvískrá eða setja það saman sjálfur.
Styður 3 aðgerðastillingar: sjálfgefið, HTTP nettengi (með stuðningi við skopstælingarhausa á áfangastýri); tls-websocket (ólíkt s-obfs er þetta fullgild tls umferð, sem er viðurkennd af hvaða öfugri proxy vefþjóni sem er og gerir þér til dæmis kleift að stilla tls uppsögn á cloudfler netþjónum eða í nginx); quic - virkar í gegnum udp, en því miður er árangur quic í v2rey mjög lágur.
Meðal kostanna miðað við einfaldar obfs: v2ray viðbótin virkar án vandræða í gegnum CF í HTTP-vefsocket ham með hvaða umferð sem er, í TLS ham er það fullgild TLS umferð, það krefst vottorða til notkunar (til dæmis frá Let's dulkóða eða sjálf -undirritaður).
shadowsocksv2ray-plugin-http: niðurhal - 1404 mbits; hlaða upp 1938 mbits.
shadowsocksv2ray-plugin-tls: niðurhal - 1214 mbits; hlaða upp 1898 mb.
shadowsocksv2ray-plugin-quic: niðurhal - 183 mbits; hlaða upp 384 mb.
Eins og ég sagði þegar, v2ray getur stillt hausa, og þannig geturðu unnið með það í gegnum öfugt umboð CDN (skýjafler til dæmis). Annars vegar flækir þetta greiningu ganganna, hins vegar getur það aukið (og stundum dregið úr) töfinni örlítið - það veltur allt á staðsetningu þín og netþjónanna. CF er núna að prófa að vinna með quic, en þessi háttur er ekki enn í boði (að minnsta kosti fyrir ókeypis reikninga).
shadowsocksv2ray-plugin-http+CF: niðurhal - 1284 mbits; hlaða upp 1785 mbits.
shadowsocksv2ray-plugin-tls+CF: niðurhal - 1261 mbits; hlaða upp 1881 mbits.
Skikkja
Tætið er afrakstur frekari þróunar á GoQuiet obfuscator. Hermir eftir TLS umferð og virkar í gegnum TCP. Í augnablikinu hefur höfundur gefið út aðra útgáfu af viðbótinni, cloak-2, sem er verulega frábrugðin upprunalegu skikkjunni.
Samkvæmt þróunaraðilanum notaði fyrsta útgáfan af viðbótinni tls 1.2 ferilskráningarbúnaðinn til að skemma áfangastað fyrir tls. Eftir útgáfu nýju útgáfunnar (klukka-2) var öllum wiki síðum á Github sem lýsa þessu kerfi eytt; það er ekkert minnst á þetta í núverandi lýsingu á dulkóðun dulkóðunar. Samkvæmt lýsingu höfundar er fyrsta útgáfan af tætingunni ekki notuð vegna tilvistar „mikilvægra veikleika í dulmáli“. Á þeim tíma sem prófanirnar voru til var aðeins fyrsta útgáfan af skikkjunni, tvíþættir þess eru enn á Github, og fyrir utan allt annað eru mikilvægir veikleikar ekki mjög mikilvægir, vegna þess að shadowsox dulkóðar umferð á sama hátt og án skikkju og cloac hefur engin áhrif á dulmál shadowsox.
shadowsockscloak: niðurhal - 1533; upphleðsla - 1970 mbits
Kcptun
notar kcptun sem flutning og í sumum sérstökum tilfellum er hægt að ná auknu afköstum. Því miður (eða sem betur fer) á þetta að mestu leyti við fyrir notendur frá Kína, þar sem sumir farsímafyrirtæki þeirra leggja mjög mikið á TCP og snerta ekki UDP.
Kcptun er fjandinn orkusvangur og hleður auðveldlega 100 zion kjarna á 4% þegar það er prófað af 1 viðskiptavini. Að auki er viðbótin „hæg“ og þegar unnið er í gegnum iperf3 lýkur hún ekki prófunum til enda. Við skulum kíkja á hraðaprófið í vafranum.
shadowsockskcptun: niðurhal (hraðapróf) - 546 mbits; hlaða upp (hraðapróf) 854 mbit.
Ályktun
Þarftu einfalt, hratt VPN til að stöðva umferð frá allri vélinni þinni? Þá er val þitt warguard. Viltu umboð (fyrir sértæka jarðgangagerð eða aðskilnað sýndarmannaflæðis) eða er mikilvægara fyrir þig að torvelda umferð frá alvarlegri lokun? Horfðu síðan á shadowbox með tlshttp obfuscation. Viltu vera viss um að internetið þitt virki svo lengi sem internetið virkar yfirleitt? Veldu að proxy-umferð í gegnum mikilvæg CDN, lokun sem mun leiða til bilunar á helmingi internetsins í landinu.
Snúningstafla, raðað eftir niðurhali
Heimild: www.habr.com