VPN ブロック バイパス ツールのパフォーマンス比較

ネットワーク上のさまざまなリソースへのアクセスがますます拒否されるようになっているため、ブロッキングをバイパスする問題はますます差し迫ったものになっており、「ブロッキングをより速くバイパスするにはどうすればよいか?」という疑問がますます重要になっています。

DPI ホワイトリストのバイパスに関する効率の話は別のケースに譲り、一般的なブロック バイパス ツールのパフォーマンスを単純に比較してみましょう。

注意：記事内にはネタバレとなる画像が多く含まれます。

免責事項: この記事では、「理想」に近い条件下で一般的な VPN プロキシ ソリューションのパフォーマンスを比較しています。 ここで得られ説明された結果は、フィールドでの結果と必ずしも一致するとは限りません。 なぜなら、速度テストの数値は多くの場合、バイパス ツールの強力さではなく、プロバイダーがそれをどのように調整するかに依存するからです。

方法論

3 つの VPS は、世界各国のクラウド プロバイダー (DO) から購入されました。 オランダに2件、ドイツに1件。 クーポン クレジットのオファーに基づいてアカウントで利用可能な VPS の中から、最も生産性の高い VPS (コア数による) が選択されました。

プライベート iperf3 サーバーが最初のオランダのサーバーにデプロイされます。

XNUMX 番目のオランダのサーバーには、ブロック バイパス ツールのさまざまなサーバーが XNUMX つずつ展開されます。

VNC と仮想デスクトップを備えたデスクトップ Linux イメージ (xubuntu) がドイツの VPS にデプロイされます。 この VPN は条件付きクライアントであり、さまざまな VPN プロキシ クライアントが順番にインストールされ、起動されます。

速度測定は 3 回実行され、平均に焦点を当て、3 つのツールを使用します。Chromium では Web 速度テストを行います。 Chromium では fast.com 経由で。 コンソールから iperf4 経由、proxychains3 経由 (iperfXNUMX トラフィックをプロキシに入れる必要があります)。

「クライアント」とサーバーの直接接続 iperf3 では、iperf2 では 3 Gbps の速度が得られますが、fastspeedtest では少し遅くなります。

好奇心旺盛な読者は、「なぜspeedtest-cliを選ばなかったのですか?」と尋ねるかもしれません。 そして彼は正しいでしょう。

Speedtest-cli は、理由は不明ですが、信頼性が低く、スループットを測定する方法としては不適切であることが判明しました。 XNUMX 回連続して測定すると、XNUMX つのまったく異なる結果が得られる場合や、たとえば、VPS のポート速度よりもはるかに高いスループットが示される場合があります。 おそらく私の棍棒状の手の問題かもしれないが、そのような道具を使って研究を行うのは不可能に思えた。

3 つの測定方法 (speedtest fastiperf) の結果については、iperf インジケーターが最も正確で信頼できると考えており、fastspeedtest は参考として使用します。 ただし、一部のバイパス ツールでは、iperf3 を介して XNUMX つの測定を完了することができませんでした。そのような場合は、speedtestfast に頼ることができます。

速度テストでは異なる結果が得られる

ツールキット

合計 24 の異なるバイパス ツールまたはその組み合わせがテストされました。それぞれについて簡単な説明と、それらを使用した感想を述べます。 しかし本質的に、目標は、Shadowsock (およびそのためのさまざまな難読化ツール) openVPN と Wireguard の速度を比較することでした。

この資料では、「接続が切断されないようにトラフィックを隠す最善の方法」という問題については詳しく説明しません。ブロッキングのバイパスは事後対応策であり、私たちは検閲が使用するものに適応し、これに基づいて行動するためです。

結果

ストロングスワニプセック

私の感想としては、セットアップがとても簡単で、動作も非常に安定しています。 利点の XNUMX つは、真のクロスプラットフォームであり、プラットフォームごとにクライアントを探す必要がないことです。

ダウンロード - 993 メガビット; アップロード - 770 メガビット

SSHトンネル

おそらく、SSH をトンネル ツールとして使用することについて書いていないのは怠け者だけでしょう。 欠点の XNUMX つは、ソリューションの「要点」です。 便利で美しいクライアントからあらゆるプラットフォームにデプロイしても機能しません。 利点は、パフォーマンスが優れていること、サーバーに何もインストールする必要がないことです。

ダウンロード - 1270 メガビット; アップロード - 1140 メガビット

OpenVPN

OpenVPN は、tcp、tcp+sslh、tcp+stunnel、udp の 4 つの動作モードでテストされました。

OpenVPN サーバーは、streisand をインストールすることによって自動的に構成されました。

判断できる限り、現時点では高度な DPI に耐性があるのは stunnel モードだけです。 openVPN-tcp を stunnel でラップするとスループットが異常に増加する理由はわかりませんが、チェックは異なる時間と異なる日に数回実行されましたが、結果は同じでした。 おそらくこれは、Streisand のデプロイ時にインストールされたネットワーク スタック設定が原因であると考えられます。なぜそうなるのか考えがある場合は、書いてください。

openvpntcp: ダウンロード - 760 メガビット; アップロード - 659 メガビット

openvpntcp+sslh: ダウンロード - 794 メガビット; アップロード - 693 メガビット

openvpntcp+stunnel: ダウンロード - 619 メガビット; アップロード - 943 メガビット

openvpnudp: ダウンロード - 756 メガビット; アップロード - 580 メガビット

オープンコネクト

詰まりを回避するための最も一般的なツールではありませんが、Streisand パッケージに含まれているため、私たちもそれをテストすることにしました。

ダウンロード - 895 メガビット; アップロード 715 mbps

ワイヤーガード

西側ユーザーの間で人気のある誇大宣伝ツールであり、プロトコルの開発者は国防基金から開発のための助成金も受け取りました。 UDP経由でLinuxカーネルモジュールとして動作します。 最近ではwindowsios対応のクライアントも登場しています。

これは、米国にいないときに Netflix を視聴するためのシンプルで迅速な方法として作成者によって考案されました。

したがって、長所と短所があります。 長所: プロトコルが非常に高速で、インストールと構成が比較的簡単です。 欠点 - 開発者は当初、深刻な障害を回避することを目的としてそれを作成したわけではないため、wargard は最も単純なツールで簡単に検出されます。 ワイヤーシャーク。

Wireshark のワイヤーガード プロトコル
ダウンロード - 1681 メガビット; アップロード 1638 mbps

興味深いことに、warguard プロトコルはサードパーティの tunsafe クライアントで使用されており、同じ warguard サーバーで使用すると、さらに悪い結果が得られます。 Windows wargard クライアントでも同じ結果が表示される可能性があります。

tunsafeclient: ダウンロード - 1007 メガビット; アップロード - 1366 メガビット

概要VPN

アウトラインは、Google のジグソーの美しく便利なユーザー インターフェイスを備えたShadowox サーバーとクライアントの実装です。 Windows では、アウトライン クライアントは、shadowsocks-local (shadowsocks-libev クライアント) および badvpn (すべてのマシン トラフィックをローカルの Socks プロキシに送信する tun2socks バイナリ) バイナリのラッパーのセットにすぎません。

Shadowsox はかつて中国のグレート ファイアウォールに耐性がありましたが、最近のレビューによると、これはもう当てはまりません。 ShadowSox とは異なり、そのままではプラグインを介した接続難読化はサポートされていませんが、これはサーバーとクライアントをいじることによって手動で行うことができます。

ダウンロード - 939 メガビット; アップロード - 930 メガビット

シャドーソックスR

ShadowsocksR は、Python で書かれたオリジナルの Shadowsocks のフォークです。 本質的に、これはトラフィック難読化のいくつかの方法がしっかりと固定されているシャドウボックスです。

ssR から liev などへのフォークがあります。 スループットが低いのは、コード言語が原因である可能性があります。 Python 上のオリジナルのshadowsox はそれほど高速ではありません。

ShadowsocksR: ダウンロード 582 メガビット; 541 メガビットをアップロードします。

シャドーソックス

トラフィックをランダム化し、他の素晴らしい方法で自動分析を妨害する中国のブロック バイパス ツール。 最近まで GFW はブロックされていませんでしたが、現在は UDP リレーがオンになっている場合にのみブロックされるそうです。

クロスプラットフォーム (どのプラットフォームにもクライアントがあります)、Thor の難読化ツールと同様の PT での作業をサポートしており、独自の難読化ツールまたはそれに適応した高速な難読化ツールがいくつかあります。

さまざまな言語でのShadowoxクライアントとサーバーの実装が多数あります。 テストでは、shadowsocks-libev はサーバーとして、異なるクライアントとして機能しました。 最速の Linux クライアントは、sreisand のデフォルト クライアントとして配布されているshadowsocks2 on go であることが判明しました。shadowsocks-windows がどれだけ生産性が高いかはわかりません。 その後のほとんどのテストでは、shadowsocks2 がクライアントとして使用されました。 純粋なshadowsocks-libevをテストするスクリーンショットは、この実装の明らかな遅れのため作成されませんでした。

シャドウソックス 2: ダウンロード - 1876 メガビット; アップロード - 1981 メガビット。

シャドウソックス-Rust: ダウンロード - 1605 メガビット; アップロード - 1895 メガビット。

Shadowsocks-libev: ダウンロード - 1584 メガビット; アップロード - 1265 メガビット。

単純なオブジェクト

Shadowsox のプラグインは現在「廃止」ステータスになっていますが、まだ動作します (必ずしもうまくいくわけではありません)。 主に v2ray プラグインに取って代わられます。 HTTP Web ソケット (ポルノハブではなく、たとえばロシア連邦憲法の Web サイトを見るつもりであるかのように装って、宛先ヘッダーをスプーフィングすることができます) または疑似 TLS (疑似、証明書を使用しないため、無料の nDPI などの最も単純な DPI は「tls no cert」として検出されます。tls モードでは、ヘッダーを偽装することはできなくなります)。

非常に高速で、80 つのコマンドでリポジトリからインストールされ、非常に簡単に構成され、フェイルオーバー機能が組み込まれています (simple-obfs 以外のクライアントからのトラフィックが simple-obfs がリッスンするポートに到達すると、そのトラフィックを次のアドレスに転送します)設定で指定する場所 - このようにすることで、たとえば http を使用して Web サイトにリダイレクトしたり、接続プローブを介してブロックしたりすることで、ポート XNUMX の手動チェックを回避できます。

Shadowsockss-obfs-tls: ダウンロード - 1618 メガビット; 1971 メガビットをアップロードします。

Shadowsockss-obfs-http: ダウンロード - 1582 メガビット; アップロード - 1965 メガビット。

HTTP モードの Simple-obfs は、CDN リバース プロキシ (cloudflare など) 経由でも機能するため、プロバイダーにとってトラフィックは、cloudflare への HTTP 平文トラフィックのように見えます。これにより、トンネルをもう少しうまく隠すことができます。同時に、トラフィックの入口ポイントと出口を分離します。プロバイダーは、トラフィックが CDN IP アドレスに向かっていることを認識し、写真に対する過激派の「いいね」は、この時点で VPS IP アドレスから配置されます。 CF を介した s-obfs はあいまいに機能し、たとえば一部の HTTP リソースが定期的に開かれないと言わざるを得ません。 そのため、shadowsockss-obfs+CF 経由で iperf を使用したアップロードをテストすることはできませんでしたが、速度テストの結果から判断すると、スループットはshadowsocksv2ray-plugin-tls+CF のレベルにあります。 iperf3 のスクリーンショットは添付しません。なぜなら... それらに頼るべきではありません。

ダウンロード (スピードテスト) - 887; アップロード (スピードテスト) - 1154。

ダウンロード (iperf3) - 1625; アップロード (iperf3) - NA。

v2ray プラグイン

V2ray-plugin は、ss ライブラリのメインの「公式」難読化ツールとして単純な obfs を置き換えました。 単純な obf とは異なり、まだリポジトリに存在しないため、事前にアセンブルされたバイナリをダウンロードするか、自分でコンパイルする必要があります。

3 つの動作モードをサポートします: デフォルト、HTTP Web ソケット (宛先ホストのスプーフィング ヘッダーのサポートあり)。 tls-websocket (s-obfs とは異なり、これは本格的な tls トラフィックであり、リバース プロキシ Web サーバーによって認識され、たとえば、cloudfler サーバーまたは nginx で tls 終了を構成できます)。 quic - udp 経由で動作しますが、残念ながら v2rey での quic のパフォーマンスは非常に低いです。

単純な obfs と比較した利点としては、v2rey プラグインは、HTTP WebSocket モードの CF 経由でどのようなトラフィックでも問題なく動作し、TLS モードでは本格的な TLS トラフィックとなり、操作に証明書が必要です (たとえば、Let's encrypt や self など)。 -署名済み)。

shadowsocksv2ray-plugin-http: ダウンロード - 1404 メガビット; 1938メガビットをアップロードします。

shadowsocksv2ray-plugin-tls: ダウンロード - 1214 メガビット; 1898メガビットをアップロードします。

shadowsocksv2ray-plugin-quic: ダウンロード - 183 メガビット; 384 メガビットをアップロードします。

すでに述べたように、v2ray はヘッダーを設定できるため、リバース プロキシ CDN (cloudfler など) を介して vXNUMXray を操作できます。 これにより、トンネルの検出が複雑になる一方で、ラグがわずかに増加する (場合によっては減少する) 可能性があります。すべてはユーザーとサーバーの位置によって異なります。 CF は現在、quic での動作をテスト中ですが、このモードはまだ利用できません (少なくとも無料アカウントでは)。

shadowsocksv2ray-plugin-http+CF: ダウンロード - 1284 メガビット; 1785メガビットをアップロードします。

shadowsocksv2ray-plugin-tls+CF: ダウンロード - 1261 メガビット; 1881メガビットをアップロードします。

クローク

シュレッドは、GoQuiet 難読化ツールのさらなる開発の結果です。 TLS トラフィックをシミュレートし、TCP 経由で動作します。 現在、作者はプラグインの 2 番目のバージョンである cloak-XNUMX をリリースしていますが、これは元の cloak とは大きく異なります。

開発者によると、プラグインの最初のバージョンは、tls 1.2 セッション再開メカニズムを使用して、tls の宛先アドレスを偽装していました。 新しいバージョン (クロック 2) のリリース後、このメカニズムを説明する Github 上のすべての wiki ページが削除されました; 難読化暗号化の現在の説明にはこれについての言及がありません。 著者の説明によると、シュレッドの最初のバージョンは「暗号通貨に重大な脆弱性」が存在するため使用されません。 テストの時点では、クロークの最初のバージョンしか存在しておらず、そのバイナリはまだ Github にあり、他のすべてに加えて、重大な脆弱性はそれほど重要ではありませんでした。 shadowsox は、クロークを使用しない場合と同じ方法でトラフィックを暗号化します。クロークは、shadowsox の暗号化には影響しません。

シャドウソックスクローク: ダウンロード - 1533; アップロード - 1970 メガビット

クプトゥン

kcptunをトランスポートとして使用する KCPプロトコル 一部の特殊なケースでは、スループットの向上が可能になります。 残念ながら (または幸いなことに)、これは主に中国のユーザーに関係しており、一部のモバイル オペレーターは TCP を大幅に抑制し、UDP には触れていません。

Kcptun は非常に電力を消費し、100 つのクライアントでテストすると 4 つの zion コアを簡単に 1% ロードします。 さらに、プラグインは「遅い」ため、iperf3 を使用するとテストが最後まで完了しません。 ブラウザでの速度テストを見てみましょう。

shadowsockskcptun: ダウンロード (スピードテスト) - 546 メガビット; アップロード (スピードテスト) 854 メガビット。

まとめ

マシン全体からのトラフィックを停止するためのシンプルで高速な VPN が必要ですか? その場合、あなたの選択はウォーガードです。 プロキシ (選択的なトンネリングまたは仮想人物フローの分離のため) が必要ですか? それとも、重大なブロックからトラフィックを難読化することの方が重要ですか? 次に、tlshttp 難読化を備えたシャドウボックスを見てみましょう。 インターネットが動作している限り、インターネットが動作することを確認したいですか? 重要な CDN を介してトラフィックをプロキシすることを選択すると、国内のインターネットの半分の障害につながるブロックが発生します。

ダウンロード順に並べ替えたピボット テーブル

出所： habr.com