Желідегі әртүрлі ресурстарға қол жеткізуден бас тартқан сайын, бұғаттауды айналып өту мәселесі барған сайын өзекті бола түсуде, бұл «Блоктауды қалай тез айналып өтуге болады?» Деген сұрақтың өзектілігі арта түседі.
Басқа жағдай үшін DPI ақ тізімдерін айналып өту тұрғысынан тиімділік тақырыбын қалдырайық және танымал блокты айналып өту құралдарының өнімділігін салыстырайық.
Назар аударыңыз: мақалада спойлер астында көптеген суреттер болады.
Жауапкершіліктен бас тарту: бұл мақала танымал VPN прокси шешімдерінің өнімділігін «идеалдыға» жақын жағдайларда салыстырады. Мұнда алынған және сипатталған нәтижелер өрістердегі нәтижелеріңізбен сәйкес келуі міндетті емес. Өйткені жылдамдықты тексерудегі сан көбінесе айналып өту құралының қаншалықты күшті екеніне емес, провайдеріңіз оны қалай реттейтініне байланысты болады.
Әдістеме
3 VPS әлемнің әртүрлі елдеріндегі бұлттық провайдерден (DO) сатып алынды. Нидерландыда 2, Германияда 1. Ең өнімді VPS (ядролар саны бойынша) купондық несиелер бойынша ұсыныс бойынша шот үшін қолжетімділердің ішінен таңдалды.
Жеке iperf3 сервері бірінші голландиялық серверде орналастырылған.
Екінші голландиялық серверде блокты айналып өту құралдарының әртүрлі серверлері бірінен соң бірі орналастырылған.
VNC және виртуалды жұмыс үстелі бар Linux жұмыс үстелі кескіні (xubuntu) неміс VPS жүйесінде орналастырылған. Бұл VPN шартты клиент болып табылады және оған әртүрлі VPN прокси-клиенттері кезекпен орнатылып, іске қосылады.
Жылдамдықты өлшеу үш рет жүргізіледі, біз орташа мәнге назар аударамыз, біз 3 құралды қолданамыз: Chromium жүйесінде веб жылдамдығын тексеру арқылы; fast.com арқылы Chromium жүйесінде; консольден iperf3 арқылы proxychains4 арқылы (мұнда сізге iperf3 трафигін проксиге қою керек).
Тікелей қосылым «клиент»-iperf3 сервері iperf2 жүйесінде 3 Гбит/с жылдамдықты, ал fastspeedtest-те сәл азырақ жылдамдықты береді.
Ізденімпаз оқырман: «Неге speedtest-cli таңдамадыңыз?» деп сұрауы мүмкін. және ол дұрыс болады.
Speedtest-cli маған белгісіз себептермен сенімді емес және өткізу қабілеттілігін өлшеудің жеткіліксіз әдісі болып шықты. Үш дәйекті өлшеу үш мүлдем басқа нәтиже бере алады немесе, мысалы, менің VPS портының жылдамдығынан әлдеқайда жоғары өткізу қабілеттілігін көрсетеді. Бәлкім, мәселе менің қолымдағы сойылда болуы мүмкін, бірақ мұндай құралмен зерттеу жүргізу мүмкін емес болып көрінді.
Үш өлшеу әдісіне (speedtest fastiperf) қатысты нәтижелерге келетін болсақ, мен iperf индикаторларын ең дәл және сенімді деп санаймын, ал анықтамалық ретінде fastspeedtest. Бірақ кейбір айналып өту құралдары iperf3 арқылы 3 өлшеуді орындауға мүмкіндік бермеді және мұндай жағдайларда жылдамдықты тексеруге сене аласыз.
жылдамдық сынағы әртүрлі нәтижелер береді
Құралдар жинағы
Барлығы 24 түрлі айналып өту құралдары немесе олардың комбинациясы сынақтан өтті, олардың әрқайсысына шағын түсініктемелер мен олармен жұмыс істеуден алған әсерімді беремін. Бірақ, шын мәнінде, мақсат shadowsocks жылдамдығын (және ол үшін әртүрлі обфузкаторлардың) openVPN және сым қорғаушыларының жылдамдығын салыстыру болды.
Бұл материалда мен «ажыраспау үшін трафикті қалай жасыру керек» деген сұрақты егжей-тегжейлі талқыламаймын, өйткені бұғаттауды айналып өту реактивті шара болып табылады - біз цензор қолданатын нәрсеге бейімделеміз және осы негізде әрекет етеміз.
нәтижелері
Strongswanipsec
Менің әсерім бойынша, оны орнату өте оңай және өте тұрақты жұмыс істейді. Артықшылықтарының бірі - бұл шын мәнінде кросс-платформа, әр платформа үшін клиенттерді іздеудің қажеті жоқ.
жүктеп алу - 993 Мбит; жүктеп салу - 770 Мбит
SSH туннелі
SSH-ті туннель құралы ретінде пайдалану туралы тек жалқаулар жазбаған шығар. Кемшілігі - бұл шешім балдақ, яғни. оны ыңғайлы, әдемі клиенттен әрбір платформада орналастыру жұмыс істемейді. Артықшылықтары - жақсы өнімділік, серверге ештеңе орнатудың қажеті жоқ.
жүктеп алу - 1270 Мбит; жүктеп салу - 1140 Мбит
Openvpn
OpenVPN 4 жұмыс режимінде тексерілді: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN серверлері streisand орнату арқылы автоматты түрде конфигурацияланды.
Бағалай алатындай, қазіргі уақытта тек stunnel режимі озық DPI-ге төзімді. OpenVPN-tcp-ті стюннельге орау кезінде өткізу қабілетінің қалыпты ұлғаюының себебі маған түсініксіз, тексерулер бірнеше жұмыста, әртүрлі уақытта және әртүрлі күндерде жасалды, нәтиже бірдей болды. Мүмкін бұл Streisand қолданбасын орналастыру кезінде орнатылған желілік стек параметрлеріне байланысты болуы мүмкін, неге бұлай болғаны туралы түсініктеріңіз болса жазыңыз.
openvpntcp: жүктеу - 760 мбит; жүктеп салу - 659 Мбит
openvpntcp+sslh: жүктеу - 794 мбит; жүктеп салу - 693 Мбит
openvpntcp+stunnel: жүктеу - 619 мбит; жүктеп салу - 943 Мбит
openvpnudp: жүктеу - 756 мбит; жүктеп салу - 580 Мбит
Openconnect
Кедергілерді айналып өтудің ең танымал құралы емес, ол Стрейзанд пакетіне кіреді, сондықтан біз оны да сынап көруді шештік.
жүктеп алу - 895 Мбит; 715 Мбит/с жүктеп салу
Сымды қорғау
Батыстық пайдаланушылар арасында танымал болып табылатын хайп құралы, хаттаманы әзірлеушілер тіпті қорғаныс қорларынан әзірлеуге бірнеше гранттар алды. UDP арқылы Linux ядросының модулі ретінде жұмыс істейді. Жақында windowsios үшін клиенттер пайда болды.
Оны құрушы штатта болмаған кезде Netflix-ті көрудің қарапайым, жылдам әдісі ретінде ойластырған.
Сондықтан артықшылықтар мен кемшіліктер. Артықшылықтары: өте жылдам протокол, орнатудың және конфигурацияның салыстырмалы қарапайымдылығы. Кемшіліктері - әзірлеуші оны бастапқыда күрделі тосқауылдарды айналып өту мақсатымен жасамады, сондықтан wargard қарапайым құралдармен оңай анықталады, соның ішінде. Wireshark.
wireshark ішіндегі wireguard протоколы
жүктеп алу - 1681 Мбит; 1638 Мбит/с жүктеп салу
Бір қызығы, warguard протоколы үшінші тараптың tunsafe клиентінде қолданылады, ол сол warguard серверімен пайдаланылғанда әлдеқайда нашар нәтиже береді. Windows wargard клиенті бірдей нәтижелерді көрсетуі мүмкін:
tunsafeclient: жүктеу - 1007 мбит; жүктеу - 1366 Мбит
OutlineVPN
Outline — Google джигсосының әдемі және ыңғайлы пайдаланушы интерфейсі бар shadowox сервері мен клиентін іске асыру. Windows жүйесінде контур клиенті shadowsocks-local (shadowsocks-libev клиенті) және badvpn (барлық машина трафигін жергілікті шұлықтар прокси-серверіне бағыттайтын tun2socks екілік) екілік файлдарына арналған орауыштардың жиынтығы болып табылады.
Shadowsox бір кездері Қытайдың Ұлы брандмауэріне төзімді болды, бірақ соңғы шолуларға сүйене отырып, бұл енді олай емес. ShadowSox-тан айырмашылығы, ол плагиндер арқылы күңгірттеуді қосуды қолдамайды, бірақ мұны сервер мен клиентпен жұмыс жасау арқылы қолмен жасауға болады.
жүктеп алу - 939 Мбит; жүктеп салу - 930 Мбит
КөлеңкелерR
ShadowsocksR - Python тілінде жазылған түпнұсқа Shadowsocks шанышқысы. Негізінде, бұл трафикті жасырудың бірнеше әдістері тығыз бекітілген көлеңкелі жәшік.
Либевке ssR шанышқылары және тағы бір нәрсе бар. Төмен өткізу қабілеті код тіліне байланысты болуы мүмкін. Питондағы түпнұсқа shadowsox әлдеқайда жылдам емес.
shadowsocksR: жүктеу 582 Мбит; жүктеп салу 541 Мбит.
Shadowsocks
Трафикті рандомизациялайтын және басқа тамаша жолдармен автоматты талдауға кедергі келтіретін қытайлық блокты айналып өту құралы. Соңғы уақытқа дейін GFW бұғатталған жоқ, олар қазір тек UDP релесі қосылған болса ғана бұғатталғанын айтады.
Кросс-платформа (кез келген платформа үшін клиенттер бар), Thor обфускаторларына ұқсас PT-мен жұмыс істеуді қолдайды, біздің жеке немесе оған бейімделген бірнеше обфускаторлар бар, жылдам.
Әртүрлі тілдерде shadowox клиенттері мен серверлерін іске асырудың топтамасы бар. Тестілеу кезінде shadowsocks-libev сервер, әртүрлі клиенттер ретінде әрекет етті. Ең жылдам Linux клиенті стрейзандта әдепкі клиент ретінде таратылған shadowsocks2 болды, мен shadowsocks-windows қаншалықты өнімдірек екенін айта алмаймын. Көптеген қосымша сынақтарда клиент ретінде shadowsocks2 пайдаланылды. Таза shadowsocks-libev сынайтын скриншоттар бұл іске асырудың айқын артта қалуына байланысты жасалмады.
shadowsocks2: жүктеу - 1876 мбит; жүктеу - 1981 мбит.
shadowsocks-rust: жүктеу - 1605 мбит; жүктеу - 1895 Мбит.
Shadowsocks-libev: жүктеу - 1584 мбит; жүктеп салу - 1265 Мбит.
Қарапайым-obfs
Shadowsox плагині қазір «тозған» күйде, бірақ әлі де жұмыс істейді (әрқашан жақсы болмаса да). Көбінесе v2ray-плагинімен ауыстырылды. HTTP веб-розеткасы (және pornhub емес, мысалы, Ресей Федерациясының Конституциясының веб-сайты) немесе жалған tls (псевдо) көргіңіз келмейтіндей кейіп танытып, тағайындалған тақырып тақырыбын бұрмалауға мүмкіндік береді. , ол ешқандай сертификаттарды пайдаланбайтындықтан, бос nDPI сияқты ең қарапайым DPI «tls no cert» ретінде анықталады. tls режимінде тақырыптарды жалғандау мүмкін емес).
Өте жылдам, бір пәрменмен реподан орнатылған, өте қарапайым конфигурацияланған, кірістірілген ауыстыру функциясы бар (қарапайым емес obfs клиентінен трафик simple-obfs тыңдайтын портқа келгенде, ол оны мекенжайға жібереді. параметрлерде көрсеткен жерде - осылайша, 80 портын қолмен тексеруден аулақ бола аласыз, мысалы, жай ғана http арқылы веб-сайтқа қайта бағыттау, сондай-ақ қосылым зондтары арқылы блоктау).
shadowsockss-obfs-tls: жүктеу - 1618 мбит; жүктеп салу 1971 Мбит.
shadowsockss-obfs-http: жүктеп алу - 1582 мбит; жүктеу - 1965 Мбит.
HTTP режиміндегі қарапайым-obfs CDN кері прокси арқылы да жұмыс істей алады (мысалы, cloudflare), сондықтан біздің провайдеріміз үшін трафик cloudflare-ге HTTP-ашық мәтін трафигі сияқты болады, бұл бізге туннельді сәл жақсырақ жасыруға мүмкіндік береді. бір уақытта кіру нүктесі мен трафиктің шығуын бөліңіз - провайдер сіздің трафик CDN IP мекенжайына қарай жүріп жатқанын көреді және суреттерге экстремистік ұнатулар дәл осы сәтте VPS IP мекенжайынан орналастырылады. Айта кету керек, бұл CF арқылы s-obfs, ол анық емес жұмыс істейді, мезгіл-мезгіл кейбір HTTP ресурстарын ашпайды, мысалы. Осылайша, shadowsockss-obfs+CF арқылы iperf көмегімен жүктеп салуды тексеру мүмкін болмады, бірақ жылдамдықты тексеру нәтижелері бойынша өткізу қабілеті shadowsocksv2ray-plugin-tls+CF деңгейінде. Мен iperf3 скриншоттарын тіркемеймін, себебі... Сіз оларға сенбеуіңіз керек.
жүктеу (жылдамдық тест) - 887; жүктеу (жылдамдық тесті) - 1154.
Жүктеп алу (iperf3) - 1625; жүктеп салу (iperf3) - NA.
v2ray плагині
V2ray-плагин ss libs үшін негізгі «ресми» обфузкатор ретінде қарапайым obfs ауыстырды. Қарапайым obfs-ден айырмашылығы, ол әлі репозиторийлерде жоқ және алдын ала жиналған екілік файлды жүктеп алу керек немесе оны өзіңіз құрастыру керек.
3 жұмыс режимін қолдайды: әдепкі, HTTP веб-розеткасы (тағайындалған хосттың тақырыптарының спуфингін қолдауымен); tls-websocket (s-obfs-тен айырмашылығы, бұл толыққанды tls трафигі, ол кез келген кері прокси веб-серверімен танылады және, мысалы, cloudfler серверлерінде немесе nginx-те tls тоқтатуды конфигурациялауға мүмкіндік береді); quic - udp арқылы жұмыс істейді, бірақ, өкінішке орай, v2rey ішіндегі quic өнімділігі өте төмен.
Қарапайым obfs-мен салыстырғанда артықшылықтардың арасында: v2ray плагині HTTP-websocket режимінде CF арқылы кез келген трафикпен қиындықсыз жұмыс істейді, TLS режимінде ол толыққанды TLS трафигі, ол жұмыс істеу үшін сертификаттарды қажет етеді (мысалы, Let's encrypt немесе self-тен -қол қойылған).
shadowsocksv2ray-plugin-http: жүктеп алу - 1404 мбит; жүктеп салу 1938 Мбит.
shadowsocksv2ray-plugin-tls: жүктеу - 1214 мбит; жүктеп салу 1898 Мбит.
shadowsocksv2ray-plugin-quic: жүктеу - 183 мбит; жүктеп салу 384 Мбит.
Жоғарыда айтқанымдай, v2ray тақырыптарды орната алады, осылайша сіз онымен кері прокси CDN (мысалы, Cloudfler) арқылы жұмыс істей аласыз. Бір жағынан, бұл туннельді анықтауды қиындатады, екінші жағынан, артта қалуды сәл арттыруы (кейде азайтуы) мүмкін - бәрі сіздің және серверлердің орналасқан жеріне байланысты. CF қазір quic-пен жұмыс істеуді сынап жатыр, бірақ бұл режим әлі қол жетімді емес (кем дегенде тегін тіркелгілер үшін).
shadowsocksv2ray-plugin-http+CF: жүктеу - 1284 мбит; жүктеп салу 1785 Мбит.
shadowsocksv2ray-plugin-tls+CF: жүктеу - 1261 мбит; жүктеп салу 1881 Мбит.
Плащ
Ұсақтау GoQuiet обфузкаторының одан әрі дамуының нәтижесі болып табылады. TLS трафигін имитациялайды және TCP арқылы жұмыс істейді. Қазіргі уақытта автор плагиннің екінші нұсқасын шығарды, плагин-2, ол бастапқы плащтан айтарлықтай ерекшеленеді.
Әзірлеушінің айтуынша, плагиннің бірінші нұсқасы tls үшін тағайындалған мекенжайды бұрмалау үшін tls 1.2 резюме сеансы механизмін пайдаланған. Жаңа нұсқаны (сағат-2) шығарғаннан кейін Github-тағы осы механизмді сипаттайтын барлық вики-парақтар жойылды; бұл туралы шифрлаудың ағымдағы сипаттамасында айтылмаған. Автордың сипаттамасына сәйкес, бөлшектің бірінші нұсқасы «криптода маңызды осалдықтардың» болуына байланысты пайдаланылмайды. Тестілеу кезінде плащтың тек бірінші нұсқасы ғана болды, оның екілік файлдары әлі де Github-да, және басқалардан басқа, маңызды осалдықтар өте маңызды емес, өйткені shadowsox трафикті плащсыз сияқты шифрлайды және клоак shadowsox криптосына ешқандай әсер етпейді.
shadowsockscloak: жүктеп алу - 1533; жүктеу - 1970 Мбит
Kcptun
көлік ретінде kcptun пайдаланады ал кейбір ерекше жағдайларда өткізу қабілетін арттыруға мүмкіндік береді. Өкінішке орай (немесе бақытымызға орай), бұл көбінесе Қытайдан келген пайдаланушылар үшін маңызды, олардың кейбір ұялы байланыс операторлары TCP-ді қатты төмендетеді және UDP-ге қол тигізбейді.
Kcptun қуатқа мұқтаж және 100 клиент сынаған кезде 4 сиондық ядроны 1% оңай жүктейді. Сонымен қатар, плагин «баяу» және iperf3 арқылы жұмыс істегенде ол сынақтарды соңына дейін аяқтамайды. Браузердегі жылдамдықты тексеруді қарастырайық.
shadowsockskcptun: жүктеу (жылдамдық сынағы) - 546 мбит; жүктеп салу (жылдамдық сынағы) 854 Мбит.
қорытынды
Бүкіл құрылғыңыздан трафикті тоқтату үшін сізге қарапайым, жылдам VPN керек пе? Сонда сіздің таңдауыңыз - жауынгерлік. Сіз прокси-серверлерді қалайсыз ба (селективті туннельдеу немесе виртуалды адам ағындарын бөлу үшін) немесе сіз үшін трафикті елеулі бұғаттаудан жасыру маңыздырақ па? Содан кейін tlshttp түсініксіздігі бар shadowbox-ты қараңыз. Интернет жұмыс істеп тұрғанша, сіздің Интернет жұмыс істейтініне сенімді болғыңыз келе ме? Маңызды CDN арқылы прокси-трафикті таңдаңыз, бұғаттау елдегі Интернеттің жартысының істен шығуына әкеледі.
Жүктеп алу бойынша сұрыпталған жиынтық кесте
Ақпарат көзі: www.habr.com