Nalika kita tambah akeh ditolak akses menyang macem-macem sumber daya ing jaringan, masalah pamblokiran pamblokiran saya tambah akeh, sing tegese pitakonan "Kepiye cara ngatasi pamblokiran luwih cepet?" dadi luwih relevan.
Ayo ninggalake topik efisiensi babagan nglewati dhaptar putih DPI kanggo kasus liyane, lan mung mbandhingake kinerja alat bypass blok sing populer.
Manungsa waé: Bakal ana akeh gambar ing spoiler ing artikel kasebut.
Penafian: artikel iki mbandhingake kinerja solusi proxy VPN sing populer ing kahanan sing cedhak karo "becik". Asil sing dipikolehi lan diterangake ing kene ora mesthi cocog karo asil sampeyan ing lapangan. Amarga nomer ing tes kacepetan asring ora gumantung ing sepira kuat alat bypass kasebut, nanging kepiye panyedhiya sampeyan nyepetake.
Metodologi
3 VPS dituku saka panyedhiya maya (DO) ing macem-macem negara ing saindenging jagad. 2 ing Walanda, 1 ing Jerman. VPS paling produktif (kanthi jumlah intine) dipilih saka sing kasedhiya kanggo akun miturut tawaran kanggo kridit kupon.
Server iperf3 pribadi dipasang ing server Walanda pisanan.
Ing server Walanda kapindho, macem-macem server alat bypass blok disebarake siji-siji.
Gambar Linux desktop (xubuntu) karo VNC lan desktop virtual disebarake ing VPS Jerman. VPN iki minangka klien bersyarat, lan macem-macem klien proxy VPN diinstal lan diluncurake kanthi giliran.
Pangukuran kacepetan ditindakake kaping telu, kita fokus ing rata-rata, nggunakake 3 alat: ing Chromium liwat tes kacepetan web; ing Chromium liwat fast.com; saka console liwat iperf3 liwat proxychains4 (ing ngendi sampeyan kudu sijine lalu lintas iperf3 menyang proxy).
Sambungan langsung "klien" -server iperf3 menehi kacepetan 2 Gbps ing iperf3, lan sethitik kurang ing fastspeedtest.
Pembaca sing kepengin weruh bisa takon, "kenapa sampeyan ora milih speedtest-cli?" lan dheweke bakal bener.
Speedtest-cli dadi ora bisa dipercaya lan cara sing ora nyukupi kanggo ngukur throughput, amarga alasan sing ora dingerteni. Telung pangukuran berturut-turut bisa menehi telung asil sing beda, utawa, contone, nuduhake throughput sing luwih dhuwur tinimbang kecepatan port VPSku. Mungkin masalahe yaiku tanganku sing diklumpukake, nanging ora bisa nindakake riset nganggo alat kasebut.
Minangka asil kanggo telung cara pangukuran (speedtest fastiperf), aku nganggep indikator iperf paling akurat lan dipercaya, lan fastspeedtest minangka referensi. Nanging sawetara alat bypass ora ngidini ngrampungake 3 pangukuran liwat iperf3 lan ing kasus kaya mengkono, sampeyan bisa ngandelake speedtestfast.
test kacepetan menehi asil beda
Piranti
Secara total, 24 alat bypass sing beda-beda utawa kombinasi sing dites, kanggo saben wong aku bakal menehi panjelasan cilik lan kesan babagan nggarap dheweke. Nanging intine, tujuane yaiku kanggo mbandhingake kecepatan shadowsocks (lan akeh macem-macem obfuscator) openVPN lan wireguard.
Ing materi iki, aku ora bakal ngrembug kanthi rinci babagan "carane paling apik kanggo ndhelikake lalu lintas supaya ora dicopot," amarga pamblokiran pamblokiran minangka langkah reaktif - kita adaptasi karo apa sing digunakake sensor lan tumindak kanthi basis iki.
Результаты
Strongswanipsek
Ing kesanku, gampang banget kanggo nyiyapake lan bisa digunakake kanthi stabil. Salah sawijining kaluwihan yaiku bener-bener lintas platform, tanpa perlu golek klien kanggo saben platform.
download - 993 mbts; upload - 770 bit
trowongan SSH
Mbokmenawa mung wong kesed sing ora nulis babagan nggunakake SSH minangka alat trowongan. Salah sijine kekurangan yaiku "kruk" solusi, yaiku. deploying saka trep, klien ayu ing saben platform ora bakal bisa. Kaluwihan iku kinerja apik, ana ora perlu kanggo nginstal apa-apa ing server ing kabeh.
download - 1270 mbts; upload - 1140 bit
OpenVPN
OpenVPN diuji ing 4 mode operasi: tcp, tcp+sslh, tcp+stunnel, udp.
Server OpenVPN dikonfigurasi kanthi otomatis kanthi nginstal streisand.
Minangka adoh minangka siji bisa ngadili, ing wayahe mung mode stunnel tahan kanggo DPIs majeng. Alesan kanggo kenaikan throughput sing ora normal nalika mbungkus openVPN-tcp ing stunnel ora jelas kanggo aku, priksa ditindakake ing pirang-pirang putaran, ing wektu sing beda lan ing dina sing beda, asile padha. Mbok iki amarga setelan tumpukan jaringan diinstal nalika deploying Streisand, nulis yen sampeyan duwe gagasan apa iki.
openvpntcp: download - 760 mbits; unggahan - 659 bit
openvpntcp+sslh: download - 794 mbits; unggahan - 693 bit
openvpntcp+stunnel: download - 619 bit; unggahan - 943 bit
openvpnudp: download - 756 mbits; upload - 580 bit
Openconnect
Ora alat sing paling populer kanggo ngliwati blockages, kalebu ing paket Streisand, mula kita uga mutusake kanggo nyoba.
download - 895 mbts; upload 715 mbps
penjaga kawat
Alat hype sing misuwur ing kalangan pangguna Barat, pangembang protokol kasebut malah nampa sawetara hibah kanggo pangembangan saka dana pertahanan. Dianggo minangka modul kernel Linux liwat UDP. Bubar, klien kanggo windowsios wis muncul.
Iki disusun dening pangripta minangka cara sing gampang lan cepet kanggo nonton Netflix nalika ora ana ing negara.
Mulane pro lan cons. Pros: protokol cepet banget, relatif gampang instalasi lan konfigurasi. Cacat - pangembang ora nggawe wiwitan kanthi tujuan kanggo ngatasi pamblokiran serius, mula wargard gampang dideteksi kanthi alat sing paling gampang, kalebu. wireshark.
protokol wireguard ing wireshark
download - 1681 mbts; upload 1638 mbps
Apike, protokol warguard digunakake ing klien tunsafe pihak katelu, kang, nalika digunakake karo server warguard padha, menehi asil luwih elek. Kemungkinan klien wargard Windows bakal nuduhake asil sing padha:
tunsafeclient: download - 1007 mbits; upload - 1366 bit
OutlineVPN
Outline minangka implementasi saka server lan klien shadowox kanthi antarmuka pangguna sing apik lan trep saka jigsaw Google. Ing Windows, klien outline mung minangka set bungkus kanggo binari shadowsocks-lokal (klien shadowsocks-libev) lan badvpn (biner tun2socks sing ngarahake kabeh lalu lintas mesin menyang proxy socks lokal).
Shadowsox biyen tahan karo Great Firewall of China, nanging adhedhasar review anyar, iki ora ana maneh. Boten kados ShadowSox, metu saka kothak ora ndhukung obfuscation nyambungake liwat Plugins, nanging iki bisa rampung kanthi manual dening tinkering karo server lan klien.
download - 939 mbts; upload - 930 bit
BayanganR
ShadowsocksR minangka garpu saka Shadowsocks asli, ditulis ing Python. Intine, iki minangka kothak bayangan ing ngendi sawetara cara obfuscation lalu lintas dipasang.
Ana garpu ssR kanggo libev lan liya-liyane. Kapasitas sing kurang bisa uga amarga basa kode. Shadowsox asli ing python ora luwih cepet.
shadowsocksR: download 582 mbits; upload 541 mbits.
Shadowsocks
Alat bypass blok Cina sing ngacak lalu lintas lan ngganggu analisis otomatis kanthi cara liyane sing apik. Nganti saiki, GFW ora diblokir, ujar manawa saiki diblokir mung yen relay UDP diuripake.
Cross-platform (ana klien kanggo platform sembarang), ndhukung nggarap PT padha obfuscators Thor, ana sawetara dhewe utawa dicocogake kanggo obfuscators, cepet.
Ana akeh implementasi klien lan server shadowox, ing macem-macem basa. Ing testing, shadowsocks-libev tumindak minangka server, klien beda. Klien Linux paling cepet dadi shadowsocks2 on go, disebarake minangka klien standar ing streisand, Aku ora bisa ngomong carane luwih produktif shadowsocks-windows. Ing sawetara tes luwih lanjut, shadowsocks2 digunakake minangka klien. Screenshot testing murni shadowsocks-libev ora digawe amarga lag ketok implementasine iki.
shadowsocks2: download - 1876 mbits; upload - 1981 mbits.
shadowsocks-karat: download - 1605 mbits; upload - 1895 bit.
Shadowsocks-libev: download - 1584 mbits; upload - 1265 bit.
Prasaja-obfs
Plugin kanggo shadowsox saiki ana ing status "nyusut" nanging isih bisa digunakake (sanajan ora mesthi apik). Umume diganti dening v2ray-plugin. Obfuscates lalu lintas salah siji ing HTTP websocket (lan ngijini sampeyan kanggo spoof header tujuan, pura-pura yen sampeyan ora arep nonton pornhub, nanging, contone, situs web Konstitusi Federasi Rusia) utawa ing pseudo-tls (pseudo , amarga ora nggunakake sertifikat apa wae, DPI sing paling gampang kayata nDPI gratis dideteksi minangka "tls no cert." Ing mode tls, ora bisa spoof header maneh).
Cukup cepet, diinstal saka repo karo siji printah, diatur banget prasaja, wis dibangun ing fungsi failover (nalika lalu lintas saka klien non-simple-obfs teka menyang port sing prasaja-obfs ngrungokake, iku nerusake menyang alamat ing ngendi sampeyan nemtokake ing setelan - kaya iki Kanthi cara iki, sampeyan bisa ngindhari mriksa manual port 80, contone, kanthi mung ngarahake menyang situs web kanthi http, uga mblokir liwat probe sambungan).
shadowsockss-obfs-tls: download - 1618 mbits; upload 1971 mbits.
shadowsockss-obfs-http: download - 1582 mbits; upload - 1965 mbits.
Simple-obfs ing mode HTTP uga bisa digunakake liwat proxy reverse CDN (contone, cloudflare), dadi kanggo panyedhiya kita lalu lintas bakal katon kaya lalu lintas HTTP-plaintext menyang cloudflare, iki ngidini kita ndhelikake trowongan kita luwih apik, lan ing ing wektu sing padha misahake titik entri lan lalu lintas metu - panyedhiya weruh yen lalu lintas sampeyan arep menyang alamat IP CDN, lan ekstremis seneng ing gambar diselehake ing wektu iki saka alamat IP VPS. Sampeyan kudu ngandika iku s-obfs liwat CF sing dianggo ambiguously, periodik ora mbukak sawetara sumber HTTP, contone,. Dadi, ora bisa nyoba upload nggunakake iperf liwat shadowsockss-obfs+CF, nanging miturut asil tes kacepetan, throughput ana ing tingkat shadowsocksv2ray-plugin-tls+CF. Aku ora masang gambar saka iperf3, amarga ... Sampeyan ngirim ora gumantung ing wong.
download (speedtest) - 887; unggahan (speedtest) - 1154.
Ngundhuh (iperf3) - 1625; upload (iperf3) - NA.
v2ray-plugin
V2ray-plugin wis diganti obfs prasaja minangka "resmi" obfuscator utama kanggo ss libs. Ora kaya obfs sing prasaja, durung ana ing repositori, lan sampeyan kudu ngundhuh binar sing wis dirakit utawa ngumpulake dhewe.
Ndhukung 3 mode operasi: standar, soket web HTTP (kanthi dhukungan kanggo header spoofing saka host tujuan); tls-websocket (ora kaya s-obfs, iki minangka lalu lintas tls lengkap, sing diakoni dening server web proxy mbalikke lan, contone, ngidini sampeyan ngatur mandap tls ing server cloudfler utawa ing nginx); quic - dianggo liwat udp, nanging sayangé kinerja quic ing v2rey banget kurang.
Antarane kaluwihan dibandhingake obfs prasaja: plugin v2rey dianggo tanpa masalah liwat CF ing mode HTTP-websocket karo lalu lintas sembarang, ing mode TLS iku lalu lintas TLS lengkap, mbutuhake sertifikat kanggo operasi (contone, saka Ayo encrypt utawa poto). - ditandatangani).
shadowsocksv2ray-plugin-http: download - 1404 mbits; upload 1938 mbits.
shadowsocksv2ray-plugin-tls: download - 1214 mbits; upload 1898 mbits.
shadowsocksv2ray-plugin-quic: download - 183 mbits; upload 384 bit.
Kaya sing wis dakkandhakake, v2ray bisa nyetel header, lan kanthi mangkono sampeyan bisa nggarap liwat CDN proxy mbalikke (contone cloudfler). Ing tangan siji, iki complicates deteksi trowongan, ing tangan liyane, iku bisa rada nambah (lan kadhangkala nyuda) lag - iku kabeh gumantung ing lokasi sampeyan lan server. CF lagi nyoba nggarap quic, nanging mode iki durung kasedhiya (paling ora kanggo akun gratis).
shadowsocksv2ray-plugin-http + CF: download - 1284 mbits; upload 1785 bit.
shadowsocksv2ray-plugin-tls+CF: download - 1261 mbits; upload 1881 mbits.
Jubah
Shred minangka asil pangembangan luwih lanjut saka obfuscator GoQuiet. Simulasi lalu lintas TLS lan bisa digunakake liwat TCP. Saiki, penulis wis ngrilis versi kapindho plugin, jubah-2, sing beda banget karo jubah asli.
Miturut pangembang, versi pisanan saka plugin nggunakake tls 1.2 mekanisme sesi resume kanggo spoof alamat tujuan kanggo tls. Sawisé dirilis versi anyar (jam-2), kabeh kaca wiki ing Github sing njlèntrèhaké mekanisme iki dibusak; ora ana sing kasebut ing katrangan saiki babagan enkripsi obfuscation. Miturut katrangan penulis, versi pisanan saka shred ora digunakake amarga ana "kerentanan kritis ing crypto." Ing wektu tes, mung ana versi jubah pisanan, binari isih ana ing Github, lan saliyane kabeh, kerentanan kritis ora penting banget, amarga shadowsox encrypts lalu lintas ing cara sing padha tanpa jubah, lan cloac ora duwe pengaruh ing crypto shadowsox.
shadowsockscloak: download - 1533; unggahan - 1970 bit
Kcptun
nggunakake kcptun minangka transportasi lan ing sawetara kasus khusus ngidini kanggo entuk tambah throughput. Sayange (utawa untunge), iki umume cocog kanggo pangguna saka China, sawetara operator seluler sing akeh throttle TCP lan ora ndemek UDP.
Kcptun keluwen daya, lan gampang ngemot 100 intine zion kanthi 4% nalika diuji dening 1 klien. Kajaba iku, plugin kasebut "alon", lan nalika nggarap iperf3 ora ngrampungake tes nganti pungkasan. Ayo goleki tes kacepetan ing browser.
shadowsockskcptun: download (speedtest) - 546 mbits; upload (speedtest) 854 bit.
kesimpulan
Apa sampeyan butuh VPN sing gampang lan cepet kanggo mungkasi lalu lintas saka kabeh mesin sampeyan? Banjur pilihan sampeyan yaiku warguard. Apa sampeyan pengin proxy (kanggo tunneling selektif utawa pamisahan aliran wong maya) utawa luwih penting kanggo sampeyan mbingungake lalu lintas saka pamblokiran serius? Banjur katon ing shadowbox karo tlshttp obfuscation. Apa sampeyan pengin yakin yen Internet sampeyan bakal bisa digunakake sajrone Internet bisa digunakake? Pilih lalu lintas proxy liwat CDN penting, pamblokiran sing bakal nyebabake kegagalan setengah Internet ing negara kasebut.
Tabel pivot, diurutake miturut undhuhan
Source: www.habr.com