Her ku em her ku diçe gihandina çavkaniyên cihêreng ên li ser torê têne red kirin, pirsgirêka dorpêçkirina astengkirinê her ku diçe girantir dibe, ku tê vê wateyê ku pirsa "Çawa meriv blokê zû derbas dike?" her ku diçe têkildar dibe.
Werin em mijara karîgeriyê di warê derbaskirina navnîşên spî yên DPI-yê de ji bo dozek din bihêlin, û bi tenê performansa amûrên bloka dorpêça populer bidin ber hev.
Hişyarî: Di gotarê de dê di binê spoileran de gelek wêne hebin.
Daxuyanî: ev gotar performansa çareseriyên proxy VPN yên populer di bin şert û mercên nêzîkê "îdeal" de dide ber hev. Encamên ku hatine bidestxistin û li vir têne diyar kirin ne hewce ye ku bi encamên we yên li qadan re li hev bikin. Ji ber ku jimareya di ceribandina lezê de pir caran dê ne bi wê yekê ve girêdayî be ku amûra derbazkirinê çiqasî bi hêz e, lê bi ka çawa pêşkêşkarê we wê diqulipîne.
Metodolojî
3 VPS ji dabînkerek ewr (DO) li welatên cihê yên cîhanê hatin kirîn. 2 li Hollanda, 1 li Almanya. VPS-a herî berhemdar (ji hêla hejmara navokan ve) ji yên ku ji bo hesabê di bin pêşniyara krediyên kuponê de hene, hate hilbijartin.
Pêşkêşkarek iperf3 ya taybet li ser yekem servera Hollandî tête bicîh kirin.
Li ser servera duyemîn a Hollandî, serverên cihêreng ên amûrên dorpêçkirina blokê yek bi yek têne bicîh kirin.
Wêneyek Linux-a sermaseyê (xubuntu) bi VNC û sermaseyek virtual li ser VPS-a Almanî tête bicîh kirin. Ev VPN xerîdarek şert e, û xerîdarên proxy VPN yên cihêreng li ser wê têne saz kirin û dest pê kirin.
Pîvandinên lezê sê caran têne kirin, em bala xwe didin ser navîn, em 3 amûran bikar tînin: di Chromium de bi ceribandinek leza malperê; li Chromium bi rêya fast.com; ji konsolê bi iperf3 bi navgîniya proxychains4 (ku hûn hewce ne ku seyrûsefera iperf3 têxin nav proxy).
Girêdana rasterast "muwekîlê" - server iperf3 leza 2 Gbps di iperf3 de, û hinekî kêmtir di fastspeedtest de dide.
Dibe ku xwendevanek lêkolîner bipirse, "çima we speedtest-cli hilnebijart?" û ew ê rast be.
Speedtest-cli ji ber sedemên ku ji min re nenas e, ji bo pîvandina rêwiyan nebawer û rêyek ne têr bû. Sê pîvandinên li pey hev dikarin sê encamên bi tevahî cûda bidin, an jî, mînakî, rêgezek ji leza porta VPS-a min pir bilindtir nîşan bidin. Dibe ku pirsgirêk destê min ê klûb be, lê ne gengaz bû ku bi amûrek wusa lêkolînê bikim.
Di derbarê encamên sê rêbazên pîvandinê de (speedtest fastiperf), ez nîşanên iperf-ê yên herî rast û pêbawer, û zûtirîn-test-ê wekî referans dihesibînim. Lê hin amûrên derbazkirinê destûr nedan ku 3 pîvandin bi iperf3 biqedînin û di rewşên weha de, hûn dikarin xwe bispêrin speedtestfast.
testa lezê encamên cûda dide
Amûr
Bi tevahî, 24 amûrên cihêreng ên derbazkirinê an berhevokên wan hatin ceribandin, ji bo her yek ji wan ez ê ravekirinên piçûk û nerînên xwe yên xebata bi wan re bidim. Lê bi eslê xwe, armanc ew bû ku bi lez û bezên siyayan (û ji bo wê komek obfuscatorên cihêreng) openVPN û wireguard bidin ber hev.
Di vê materyalê de, ez ê bi hûrgulî li ser pirsa "çawa çêtirîn ku seyrûseferê veşêre da ku neyê qut kirin" nîqaş nekim, ji ber ku dorpêçkirina astengkirinê tedbîrek reaktîf e - em bi ya ku sansor bikar tîne re adapteyî dikin û li ser vê bingehê tevdigerin.
Encam
Strongswanipsec
Li gorî dîtinên min, sazkirina wê pir hêsan e û bi domdarî dixebite. Yek ji avantajan ev e ku ew bi rastî cross-platform e, bêyî ku hewce bike ku ji bo her platformê li xerîdaran bigerin.
daxistin - 993 mbits; barkirin - 770 mbits
SSH tunela
Dibe ku tenê tembelan li ser karanîna SSH wekî amûrek tunelê nenivîsandiye. Yek ji dezawantajên "qirçê" çareseriyê ye, yanî. bicihkirina wê ji xerîdarek hêsan, xweşik li ser her platformê dê nexebite. Feydeyên performansa baş in, ne hewce ye ku qet tiştek li ser serverê saz bikin.
daxistin - 1270 mbits; barkirin - 1140 mbits
OpenVPN
OpenVPN di 4 awayên xebitandinê de hate ceribandin: tcp, tcp + sslh, tcp + stunnel, udp.
Pêşkêşkerên OpenVPN bi sazkirina streisand-ê bixweber hatine mîheng kirin.
Bi qasî ku meriv dikare dadbar bike, heya niha tenê moda stunnel li hember DPI-yên pêşkeftî berxwedêr e. Sedema zêdebûna anormal a guheztinê dema ku openVPN-tcp di stunnelê de pêça ji min re ne diyar e, kontrol di gelek rêve, di demên cûda û rojên cihê de hatin kirin, encam yek bû. Dibe ku ev ji ber mîhengên stûna torê ye ku dema ku Streisand bicîh dikin hatî saz kirin, heke ramanên we hene binivîsin ka çima wusa ye.
openvpntcp: daxistin - 760 mbits; barkirin - 659 mbits
openvpntcp+sslh: daxistin - 794 mbits; barkirin - 693 mbits
openvpntcp+stunnel: daxistin - 619 mbits; barkirin - 943 mbits
openvpnudp: daxistin - 756 mbits; barkirin - 580 mbits
Vekirina girêdanê
Ne amûra herî populer a ji bo derbaskirina astengiyan, ew di pakêta Streisand de ye, ji ber vê yekê me biryar da ku em wê jî ceribandin.
daxistin - 895 mbits; barkirin 715 mbps
cerdevan têl
Amûrek hîpe ku di nav bikarhênerên rojavayî de populer e, pêşdebirên protokolê tewra ji bo pêşkeftinê ji fonên parastinê hin bexş wergirtin. Bi navgîniya UDP ve wekî modulek kernel Linux dixebite. Di van demên dawî de, xerîdarên ji bo windowsios xuya bûn.
Ew ji hêla afirîner ve wekî rêgezek hêsan û bilez a temaşekirina Netflix-ê dema ku ne li dewletan bû hate fikirîn.
Ji ber vê yekê erênî û neyînî. Pros: protokola pir bilez, hêsaniya nisbî ya sazkirinê û veavakirinê. Kêmasî - pêşdebir di destpêkê de ew bi mebesta derbaskirina astengiyên ciddî neafirandiye, û ji ber vê yekê wargard bi hêsanî ji hêla amûrên herî hêsan ve tê nas kirin, tevî. wireshark.
protokola wireguard li wireshark
daxistin - 1681 mbits; barkirin 1638 mbps
Balkêş e, protokola warguardê di xerîdarê tunsafe yê sêyemîn de tê bikar anîn, ku dema ku bi heman servera şerparêz re were bikar anîn, encamên pir xirabtir dide. Dibe ku muwekîlê wargard Windows heman encaman nîşan bide:
tunsafeclient: dakêşin - 1007 mbits; barkirin - 1366 mbits
OutlineVPN
Outline pêkanîna serverek shadowox û xerîdar e ku bi navgînek bikarhênerek xweşik û hêsan ji jigsaw-a Google-ê ye. Di Windows-ê de, xerîdar xêzker tenê komek pêçan e ji bo binarên shadowsocks-local (muwekîlê shadowsocks-libev) û badvpn (tun2socks binary ku hemî seyrûsefera makîneyê berbi proxyek sokên herêmî) ve dibe.
Shadowsox demekê li hember Firewallê Mezin a Chinaînê berxwedêr bû, lê li ser bingeha nirxandinên dawî, ev êdî ne wusa ye. Berevajî ShadowSox, ew ji derveyî qutiyê piştgirî nade girêdana obfuscasyonê bi navgîniya pêvekan, lê ev dikare bi destan bi guheztina server û xerîdar re were kirin.
daxistin - 939 mbits; barkirin - 930 mbits
ShadowsocksR
ShadowsocksR qalikek ji Shadowsocksa orîjînal e, ku bi Python hatî nivîsandin. Di eslê xwe de, ew siyêkek e ku çend awayên nehskirina trafîkê bi zexmî pê ve têne girêdan.
Çermên ssR yên libev û tiştekî din hene. Rêbaza kêm dibe ku ji ber zimanê kodê ye. Shadowsox-a orîjînal a li ser python ne pir zûtir e.
shadowsocksR: dakêşin 582 mbits; 541 mbit barkirin.
Shadowsocks
Amûrek dorpêçkirina bloka çînî ya ku seyrûseferê random dike û bi awayên din ên ecêb di analîza otomatîkî de asteng dike. Heya vê dawiyê, GFW ne hate asteng kirin; ew dibêjin ku naha tenê heke releya UDP vebe tê asteng kirin.
Cross-platform (ji bo her platformê xerîdar hene), piştgirî dike ku bi PT-ê re mîna obfuscatorên Thor-ê dixebitin, çend ji wan obfuscatorên wê hene an jî jê re hatine adaptekirin, bilez.
Gelek pêkanînên xerîdar û pêşkêşkerên shadowox, bi zimanên cihê hene. Di ceribandinê de, shadowsocks-libev wekî serverek, xerîdarên cûda tevdigerin. Xerîdarê Linux-ê yê herî bilez derket shadowsocks2 li ser rê, ku wekî xerîdarek xwerû li streisand hate belav kirin, ez nikarim bibêjim shadowsocks-windows çiqas berhemdartir e. Di piraniya ceribandinên din de, shadowsocks2 wekî xerîdar hate bikar anîn. Screenshots ceribandina shadowsocks-libev safî ji ber derengiya eşkere ya vê pêkanînê nehatine çêkirin.
shadowsocks2: daxistin - 1876 mbits; barkirin - 1981 mbits.
shadowsocks-rust: daxistin - 1605 mbits; barkirin - 1895 mbits.
Shadowsocks-libev: dakêşin - 1584 mbits; barkirin - 1265 mbits.
Simple-obfs
Pêveka ji bo shadowsox naha di statûya "hilweşandî" de ye lê dîsa jî dixebite (her çend ne her gav baş be). Bi piranî ji hêla v2ray-plugin ve hatî veguheztin. Trafîka di bin websocketek HTTP-ê de dişewitîne (û dihêle hûn sernavê meqsedê bixapînin, îdia bikin ku hûn ê ne pornhubek temaşe bikin, lê, mînakî, malpera Destûra Bingehîn a Federasyona Rûsyayê) an jî di bin pseudo-tls de (pseudo) , ji ber ku ew tu sertîfîkayan bikar nayîne, DPI-ya herî hêsan wekî nDPI-ya belaş wekî "tls no cert" têne destnîşankirin. Di moda tls de, êdî ne gengaz e ku sernivîsan bixapînin).
Pir bilez, ji depoyê bi yek fermanê hatî saz kirin, pir hêsan hatî mîheng kirin, xwedan fonksiyonek têkçûnek çêkirî ye (gava ku seyrûseferek ji xerîdarek ne-obfs-ê tê ber porta ku hêsan-obfs lê guhdarî dike, ew wê berbi navnîşanê ve dike cihê ku hûn di mîhengan de diyar dikin - bi vî rengî Bi vî rengî, hûn dikarin ji kontrolkirina porta 80-ê bi destan dûr bixin, mînakî, bi tenê veguheztina malperek bi http, û her weha blokekirina bi lêkolînên pêwendiyê ve).
shadowsockss-obfs-tls: daxistin - 1618 mbits; barkirin 1971 mbits.
shadowsockss-obfs-http: dakêşin - 1582 mbits; barkirin - 1965 mbits.
Simple-obfs di moda HTTP-ê de jî dikarin bi navgîniyek berevajî ya CDN-ê bixebitin (mînak, cloudflare), ji ber vê yekê ji bo peydakiroxê me seyrûsefer dê mîna seyrûsefera HTTP-plaintext berbi cloudflare xuya bike, ev dihêle ku em tunela xwe hinekî çêtir veşêrin, û li di heman demê de xala têketinê û derketina trafîkê ji hev veqetînin - pêşkêşker dibîne ku seyrûsefera we ber bi navnîşana IP-ya CDN-ê ve diçe, û hezkiriyên tundrew ên li ser wêneyan di vê gavê de ji navnîşana IP-ya VPS-ê têne danîn. Pêdivî ye ku were gotin ku ew s-obfs bi navgîniya CF ve ye ku bi rengek nezelal dixebite, ji bo nimûne, bi awayekî periyodîk hin çavkaniyên HTTP venakin. Ji ber vê yekê, ne gengaz bû ku barkirinê bi karanîna iperf-ê bi navgîniya shadowsockss-obfs+CF ve were ceribandin, lê li gorî encamên ceribandina lezê dadbar kirin, rêgez di asta shadowsocksv2ray-plugin-tls+CF de ye. Ez dîmenên ji iperf3 girê nadim, ji ber ... Divê hûn xwe bispêrin wan.
dakêşin (leza ceribandin) - 887; barkirin (leza ceribandinê) - 1154.
Daxistin (iperf3) - 1625; barkirin (iperf3) - NA.
v2ray-pêveka
V2ray-plugin ji bo ss lib-ên obfên hêsan wekî obfuscatorê "fermî" yê sereke cîh girtiye. Berevajî obfên sade, ew hîn ne di depoyan de ye, û hûn hewce ne ku binaryek pêş-hevkirî dakêşin an bi xwe berhev bikin.
3 awayên xebitandinê piştgirî dike: xwerû, websocket HTTP (bi piştgirîya xapandina sernavên mêvandarê armancê); tls-websocket (bervajî s-obfs, ev seyrûsefera tls-ê ya bêkêmasî ye, ku ji hêla servera web-a proxy berevajî ve tê nas kirin û, mînakî, dihêle hûn li ser serverên cloudfler an di nginx de bidawîbûna tls-ê mîheng bikin); quic - bi udp dixebite, lê mixabin performansa quic di v2rey de pir kêm e.
Di nav avantajên li gorî obfsên sade: pêveka v2ray bêyî pirsgirêk bi riya CF-ê di moda HTTP-websocketê de bi her seyrûseferê re dixebite, di moda TLS de ew seyrûsefera TLS-ê ya bêkêmasî ye, ew ji bo xebitandinê sertîfîkayan hewce dike (mînak, ji Werin em şîfre bikin an bixwe -îmza kirin).
shadowsocksv2ray-plugin-http: daxistin - 1404 mbits; barkirin 1938 mbits.
shadowsocksv2ray-plugin-tls: daxistin - 1214 mbits; barkirin 1898 Mbits.
shadowsocksv2ray-plugin-quic: daxistin - 183 mbits; barkirin 384 Mbits.
Wekî ku min berê jî got, v2ray dikare sernivîsan saz bike, û bi vî rengî hûn dikarin bi navgînek CDN-ya berevajî (mînakek cloudfler) pê re bixebitin. Ji aliyek ve, ev tespîtkirina tunelê tevlihev dike, ji hêla din ve, ew dikare derengiyê hinekî zêde bike (û carinan kêm bike) - ew hemî bi cîhê we û serveran ve girêdayî ye. CF niha ceribandina bi quic-ê re dixebite, lê ev mod hîna peyda nabe (qet nebe ji bo hesabên belaş).
shadowsocksv2ray-plugin-http+CF: daxistin - 1284 mbits; 1785 mbit barkirin.
shadowsocksv2ray-plugin-tls+CF: daxistin - 1261 mbits; 1881 mbit barkirin.
Cloak
Parçebûn encama pêşkeftina pêşdetir a obfuscatorê GoQuiet e. Trafîka TLS-ê simul dike û bi TCP-ê re dixebite. Vê gavê, nivîskar guhertoya duyemîn a pêvekê, cloak-2 derxistiye, ku ji kincê orîjînal pir cûda ye.
Li gorî pêşdebiran, guhertoya yekem a pêvekê mekanîzmaya danişîna ji nû ve tls 1.2 bikar anî da ku navnîşana cîhê ji bo tls-ê bixapîne. Piştî serbestberdana guhertoya nû (saet-2), hemî rûpelên wiki yên li ser Github ku vê mekanîzmayê vedibêjin hatin jêbirin; di danasîna heyî ya şîfrekirina obfuscasyonê de behsa vê yekê nayê kirin. Li gorî danasîna nivîskar, guhertoya yekem a perçeyê ji ber hebûna "zehfên krîtîk ên di krîptoyê de" nayê bikar anîn. Di dema ceribandinan de, tenê guhertoya yekem a kincê hebû, binarên wê hîn jî li ser Github in, û ji bilî her tiştê din, qelsiyên krîtîk ne pir girîng in, ji ber ku shadowsox seyrûseferê bi heman awayê bêyî kincê şîfre dike, û cloak ti bandorek li ser krîptoya shadowsox nake.
shadowsockscloak: daxistin - 1533; barkirin - 1970 mbits
Kcptun
kcptun wekî veguhastinê bikar tîne û di hin rewşên taybetî de destûrê dide ku bigihîje berbi zêde. Mixabin (an jî bextewar), ev bi piranî ji bo bikarhênerên ji Chinaînê re têkildar e, hin ji wan operatorên mobîl bi giranî TCP-ê dirijînin û UDP-ê nagirin.
Kcptun birçî hêza lanet e, û dema ku ji hêla 100 xerîdar ve tê ceribandin 4 core zion bi 1% bi hêsanî bar dike. Digel vê yekê, pêvek "hêdî" ye, û dema ku bi iperf3 re dixebite ew heya dawiyê ceribandinan temam nake. Ka em li ceribandina leza gerokê binêrin.
shadowsockskcptun: dakêşin (leza ceribandin) - 546 mbits; barkirin (leza ceribandin) 854 mbits.
encamê
Ma hûn hewceyê VPN-ya hêsan û bilez in ku hûn seyrûsefera ji tevahiya makîneya xwe rawestînin? Wê hingê bijartina we cerdevan e. Ma hûn proxy dixwazin (ji bo tunekirina bijartî an veqetandina herikîna kesê virtual) an ji we re girîngtir e ku hûn seyrûseferê ji astengkirina ciddî dûr bixin? Dûv re li shadowbox-ê bi nepenîbûna tlshttp binêre. Ma hûn dixwazin pê ewle bin ku heya ku Înternet tevde bixebite înterneta we dê bixebite? Hilbijêre ku bi navgîniya CDN-yên girîng ve seyrûsefera proxy bike, astengkirina ku dê bibe sedema têkçûna nîvê Înternetê li welat.
Tabloya pivot, li gorî dakêşanê hatî rêz kirin
Source: www.habr.com