Poiché ci viene sempre più negato l’accesso a varie risorse sulla rete, la questione di aggirare il blocco diventa sempre più urgente, il che significa che la domanda “Come aggirare il blocco più velocemente?” diventa sempre più rilevante.
Lasciamo il tema dell'efficienza in termini di bypass delle whitelist DPI per un altro caso e confrontiamo semplicemente le prestazioni dei popolari strumenti di bypass dei blocchi.
Attenzione: nell'articolo ci saranno molte immagini sotto spoiler.
Dichiarazione di non responsabilità: questo articolo confronta le prestazioni delle popolari soluzioni proxy VPN in condizioni prossime a quelle “ideali”. I risultati ottenuti e descritti qui non coincidono necessariamente con i tuoi risultati sui campi. Perché il numero nel test di velocità spesso dipende non dalla potenza dello strumento di bypass, ma da come il tuo provider lo limita.
metodologia
Sono stati acquistati 3 VPS da un fornitore cloud (DO) in diversi paesi del mondo. 2 nei Paesi Bassi, 1 in Germania. Il VPS più produttivo (per numero di core) è stato selezionato tra quelli disponibili per l'account nell'offerta di crediti coupon.
Sul primo server olandese viene distribuito un server iperf3 privato.
Sul secondo server olandese vengono distribuiti uno per uno vari server di strumenti di bypass dei blocchi.
Sul VPS tedesco viene distribuita un'immagine desktop Linux (xubuntu) con VNC e un desktop virtuale. Questa VPN è un client condizionale e su di essa vengono installati e avviati alternativamente vari client proxy VPN.
Le misurazioni della velocità vengono effettuate tre volte, ci concentriamo sulla media, utilizziamo 3 strumenti: in Chromium attraverso un test di velocità del web; in Chromium tramite fast.com; dalla console tramite iperf3 tramite proxychains4 (dove è necessario inserire il traffico iperf3 nel proxy).
Una connessione diretta “client”-server iperf3 dà una velocità di 2 Gbps in iperf3, e un po' meno in fastspeedtest.
Un lettore curioso potrebbe chiedere: "perché non hai scelto speedtest-cli?" e avrà ragione.
Speedtest-cli si è rivelato inaffidabile e un modo inadeguato per misurare la produttività, per ragioni a me sconosciute. Tre misurazioni consecutive potrebbero dare tre risultati completamente diversi o, ad esempio, mostrare un throughput molto superiore alla velocità della porta del mio VPS. Forse il problema è la mia mano bastonata, ma mi sembrava impossibile condurre una ricerca con uno strumento del genere.
Per quanto riguarda i risultati dei tre metodi di misurazione (speedtest fastiperf), considero gli indicatori iperf i più precisi e affidabili e il fastspeedtest come riferimento. Ma alcuni strumenti di bypass non consentivano di completare 3 misurazioni tramite iperf3 e in questi casi puoi fare affidamento su speedtestfast.
il test di velocità dà risultati diversi
strumenti
In totale sono stati testati 24 diversi strumenti di bypass o loro combinazioni, per ognuno di essi darò piccole spiegazioni e le mie impressioni sul lavoro con essi. Ma essenzialmente, l’obiettivo era confrontare le velocità di shadowsocks (e di una serie di diversi offuscatori) openVPN e wireguard.
In questo materiale non discuterò in dettaglio la questione "come nascondere al meglio il traffico per non essere disconnesso", perché aggirare il blocco è una misura reattiva: ci adattiamo a ciò che utilizza il censore e agiamo su questa base.
Giudizio
Strongswanipsec
Secondo le mie impressioni, è molto facile da configurare e funziona in modo abbastanza stabile. Uno dei vantaggi è che è veramente multipiattaforma, senza la necessità di cercare client per ciascuna piattaforma.
download - 993 Mbit; caricare - 770 Mbit
Tunnel SSH
Probabilmente solo i più pigri non hanno scritto sull'utilizzo di SSH come strumento di tunneling. Uno degli svantaggi è la “stampella” della soluzione, cioè distribuirlo da un client conveniente e bello su ogni piattaforma non funzionerà. I vantaggi sono buone prestazioni, non è necessario installare nulla sul server.
download - 1270 Mbit; caricare - 1140 Mbit
OpenVPN
OpenVPN è stato testato in 4 modalità operative: tcp, tcp+sslh, tcp+stunnel, udp.
I server OpenVPN sono stati configurati automaticamente installando streisand.
Per quanto si può giudicare, al momento solo la modalità stunnel è resistente ai DPI avanzati. Il motivo dell'aumento anomalo del throughput durante il confezionamento di openVPN-tcp in stunnel non mi è chiaro, i controlli sono stati eseguiti in più esecuzioni, in orari diversi e in giorni diversi, il risultato è stato lo stesso. Forse ciò è dovuto alle impostazioni dello stack di rete installate durante la distribuzione di Streisand, scrivi se hai qualche idea sul perché è così.
openvpntcp: download - 760 mbit; caricamento: 659 Mbit
openvpntcp+sslh: download - 794 mbit; caricamento: 693 Mbit
openvpntcp+stunnel: download - 619 mbit; caricamento: 943 Mbit
openvpnudp: download - 756 mbit; caricamento: 580 Mbit
Apri connetti
Non è lo strumento più popolare per aggirare i blocchi, è incluso nel pacchetto Streisand, quindi abbiamo deciso di testarlo.
download - 895 Mbit; caricare 715Mbps
Gabbia di protezione
Uno strumento pubblicitario molto popolare tra gli utenti occidentali, gli sviluppatori del protocollo hanno persino ricevuto alcune sovvenzioni per lo sviluppo dai fondi della difesa. Funziona come un modulo del kernel Linux tramite UDP. Recentemente sono comparsi client per Windowssios.
È stato concepito dal creatore come un modo semplice e veloce per guardare Netflix quando non sei negli Stati Uniti.
Da qui i pro e i contro. Pro: protocollo molto veloce, relativa facilità di installazione e configurazione. Svantaggi: lo sviluppatore inizialmente non lo ha creato con l'obiettivo di aggirare blocchi gravi, e quindi wargard viene facilmente rilevato dagli strumenti più semplici, incl. wireshark.
protocollo wireguard in wireshark
download - 1681 Mbit; caricare 1638Mbps
È interessante notare che il protocollo warguard viene utilizzato nel client tunsafe di terze parti, il quale, se utilizzato con lo stesso server warguard, fornisce risultati molto peggiori. È probabile che il client Wargard di Windows mostri gli stessi risultati:
tunsafeclient: download - 1007 mbit; caricamento: 1366 Mbit
ProfiloVPN
Outline è un'implementazione di un server e client shadowox con un'interfaccia utente bella e conveniente dal puzzle di Google. In Windows, il client delineato è semplicemente un insieme di wrapper per i binari shadowsocks-local (client shadowsocks-libev) e badvpn (binario tun2socks che indirizza tutto il traffico della macchina a un proxy calzini locale).
Shadowsox una volta era resistente al Great Firewall cinese, ma sulla base delle recenti revisioni, non è più così. A differenza di ShadowSox, immediatamente non supporta la connessione dell'offuscamento tramite plugin, ma questo può essere fatto manualmente armeggiando con il server e il client.
download - 939 Mbit; caricare - 930 Mbit
ShadowsocksR
ShadowsocksR è un fork dell'originale Shadowsocks, scritto in Python. In sostanza, si tratta di una shadowbox alla quale sono strettamente legati diversi metodi di offuscamento del traffico.
Ci sono fork di ssR per libev e qualcos'altro. La bassa produttività è probabilmente dovuta al linguaggio del codice. L'originale shadowsox su Python non è molto più veloce.
shadowsocksR: download 582 mbit; caricare 541 Mbps.
Shadowsocks
Uno strumento cinese per bypassare i blocchi che randomizza il traffico e interferisce con l'analisi automatica in altri modi meravigliosi. Fino a poco tempo fa, GFW non era bloccato, dicono che ora è bloccato solo se il relè UDP è acceso.
Multipiattaforma (ci sono client per qualsiasi piattaforma), supporta il lavoro con PT simile agli offuscatori di Thor, ci sono diversi offuscatori nostri o adattati ad esso, velocemente.
Esistono numerose implementazioni di client e server shadowox, in diverse lingue. Durante i test, shadowsocks-libev ha funzionato come server, client diversi. Il client Linux più veloce si è rivelato essere shadowsocks2 on go, distribuito come client predefinito in streisand, non posso dire quanto sia più produttivo shadowsocks-windows. Nella maggior parte dei test successivi, shadowsocks2 è stato utilizzato come client. Gli screenshot per testare il puro shadowsocks-libev non sono stati realizzati a causa dell'evidente ritardo di questa implementazione.
shadowsocks2: download - 1876 mbit; caricamento - 1981 Mbit.
shadowsocks-rust: download - 1605 mbit; caricamento: 1895 Mbit.
Shadowsocks-libev: download - 1584 mbit; caricamento: 1265 Mbit.
Semplice-obfs
Il plugin per shadowsox è ora in stato “svalutato” ma funziona ancora (anche se non sempre bene). In gran parte soppiantato dal plugin v2ray. Offusca il traffico sotto un websocket HTTP (e ti consente di falsificare l'intestazione di destinazione, fingendo che non guarderai un pornohub, ma, ad esempio, il sito web della Costituzione della Federazione Russa) o sotto pseudo-tls (pseudo , poiché non utilizza alcun certificato, i DPI più semplici come nDPI gratuiti vengono rilevati come "tls no cert". In modalità tls, non è più possibile eseguire lo spoofing delle intestazioni).
Abbastanza veloce, installato dal repository con un comando, configurato in modo molto semplice, ha una funzione di failover incorporata (quando il traffico da un client non simple-obfs arriva alla porta su cui simple-obfs è in ascolto, lo inoltra all'indirizzo dove specifichi nelle impostazioni - in questo modo In questo modo puoi evitare il controllo manuale della porta 80, ad esempio, semplicemente reindirizzando a un sito Web con http, nonché bloccando tramite sondaggi di connessione).
shadowsockss-obfs-tls: download - 1618 mbit; carica 1971 Mbit.
shadowsockss-obfs-http: download - 1582 mbit; caricamento - 1965 Mbit.
Simple-obfs in modalità HTTP può funzionare anche tramite un proxy inverso CDN (ad esempio, cloudflare), quindi per il nostro provider il traffico apparirà come traffico HTTP-testo in chiaro verso cloudflare, questo ci consente di nascondere un po' meglio il nostro tunnel, e a allo stesso tempo separa il punto di ingresso e l'uscita del traffico: il provider vede che il tuo traffico è diretto verso l'indirizzo IP del CDN e i Mi piace estremisti sulle immagini vengono posizionati in questo momento dall'indirizzo IP del VPS. Va detto che è s-obfs tramite CF che funziona in modo ambiguo, ad esempio non aprendo periodicamente alcune risorse HTTP. Pertanto, non è stato possibile testare il caricamento utilizzando iperf tramite shadowsockss-obfs+CF, ma a giudicare dai risultati del test di velocità, il throughput è al livello di shadowsocksv2ray-plugin-tls+CF. Non allego screenshot da iperf3, perché... Non dovresti fare affidamento su di loro.
download (test di velocità) - 887; caricamento (test di velocità) - 1154.
Scarica (iperf3) - 1625; caricare (iperf3) - NA.
plug-in v2ray
Il plugin V2ray ha sostituito il semplice obfs come principale offuscatore “ufficiale” per le librerie ss. A differenza del semplice obfs, non è ancora nei repository ed è necessario scaricare un binario preassemblato o compilarlo da soli.
Supporta 3 modalità operative: predefinita, websocket HTTP (con supporto per spoofing intestazioni dell'host di destinazione); tls-websocket (a differenza di s-obfs, questo è traffico tls a tutti gli effetti, che viene riconosciuto da qualsiasi server web proxy inverso e, ad esempio, consente di configurare la terminazione tls sui server cloudfler o in nginx); quic - funziona tramite udp, ma sfortunatamente le prestazioni di quic in v2rey sono molto basse.
Tra i vantaggi rispetto al semplice obfs: il plugin v2rey funziona senza problemi tramite CF in modalità HTTP-websocket con qualsiasi traffico, in modalità TLS è traffico TLS a tutti gli effetti, richiede certificati per il funzionamento (ad esempio, da Crittografiamo o self -firmato).
shadowsocksv2ray-plugin-http: download - 1404 mbit; carica 1938 Mbit.
shadowsocksv2ray-plugin-tls: download - 1214 mbit; carica 1898 Mbit.
shadowsocksv2ray-plugin-quic: download - 183 mbit; caricare 384 Mbit.
Come ho già detto, v2ray può impostare le intestazioni e quindi puoi lavorarci tramite un CDN proxy inverso (cloudfler per esempio). Da un lato, ciò complica il rilevamento del tunnel, dall'altro può aumentare leggermente (e talvolta ridurre) il ritardo: tutto dipende dalla tua posizione e dai server. CF sta attualmente testando il funzionamento con quic, ma questa modalità non è ancora disponibile (almeno per gli account gratuiti).
shadowsocksv2ray-plugin-http+CF: download - 1284 mbit; carica 1785 Mbps.
shadowsocksv2ray-plugin-tls+CF: download - 1261 mbit; carica 1881 Mbps.
Mantello
Il trituratore è il risultato dell'ulteriore sviluppo dell'offuscatore GoQuiet. Simula il traffico TLS e funziona tramite TCP. Al momento l'autore ha rilasciato la seconda versione del plugin, cloak-2, che è significativamente diversa dal cloak originale.
Secondo lo sviluppatore, la prima versione del plugin utilizzava il meccanismo di ripresa della sessione tls 1.2 per falsificare l'indirizzo di destinazione di tls. Dopo il rilascio della nuova versione (clock-2), tutte le pagine wiki su Github che descrivono questo meccanismo sono state cancellate; non se ne fa menzione nell'attuale descrizione della crittografia di offuscamento. Secondo la descrizione dell'autore, la prima versione dello shred non viene utilizzata a causa della presenza di "vulnerabilità critiche nelle criptovalute". Al momento dei test esisteva solo la prima versione del mantello, i suoi binari sono ancora su Github e, oltre a tutto il resto, le vulnerabilità critiche non sono molto importanti, perché shadowsox crittografa il traffico come senza cloac e il cloac non ha alcun effetto sulla crittografia di shadowsox.
shadowsockscloak: download - 1533; caricamento - 1970 Mbit
Kcptun
usa kcptun come trasporto e in alcuni casi speciali consente di ottenere una maggiore produttività. Sfortunatamente (o fortunatamente), questo è in gran parte rilevante per gli utenti cinesi, alcuni dei cui operatori di telefonia mobile limitano pesantemente il TCP e non toccano l’UDP.
Kcptun è dannatamente assetato di energia e carica facilmente 100 core zion al 4% quando testato da 1 client. Inoltre il plugin è “lento” e quando si lavora con iperf3 non completa i test fino in fondo. Diamo un'occhiata al test di velocità nel browser.
shadowsockskcptun: download (speedtest) - 546 mbit; caricare (speedtest) 854 mbit.
conclusione
Hai bisogno di una VPN semplice e veloce per bloccare il traffico proveniente dall'intero computer? Allora la tua scelta è Warguard. Desideri proxy (per tunneling selettivo o separazione di flussi di persone virtuali) o è più importante per te offuscare il traffico da blocchi gravi? Quindi guarda shadowbox con offuscamento tlshttp. Vuoi essere sicuro che Internet funzionerà finché funzionerà? Scegli di delegare il traffico attraverso importanti CDN, il blocco che porterà al fallimento di metà di Internet nel paese.
Tabella pivot, ordinata per download
Fonte: habr.com