Тармактагы ар кандай ресурстарга кирүү мүмкүнчүлүгүнөн улам барган сайын четке кагылган сайын, бөгөт коюуну айланып өтүү маселеси барган сайын актуалдуу болуп баратат, бул “Бөгөттөөнү кантип тезирээк айланып өтүүгө болот?” деген суроо барган сайын актуалдуу болуп баратат.
Башка учур үчүн DPI ак тизмелерин айланып өтүү жагынан натыйжалуулук темасын калтырып, популярдуу блокторду айланып өтүү куралдарынын иштешин салыштырып көрөлү.
Көңүл буруңуз: Макалада спойлерлердин астында көптөгөн сүрөттөр болот.
Жоопкерчиликтен баш тартуу: бул макалада "идеалдуу" шарттарда популярдуу VPN прокси чечимдеринин иштеши салыштырылат. Бул жерде алынган жана сүрөттөлгөн натыйжалар талаалардагы натыйжаларыңыз менен дал келбейт. Анткени ылдамдыкты текшерүүдөгү сан көбүнчө айланып өтүү куралынын канчалык күчтүү экенине эмес, провайдериңиз аны кантип тескегенине жараша болот.
методологиясы
3 VPS дүйнө жүзү боюнча ар кайсы өлкөлөрдө булут провайдеринен (DO) сатылып алынган. Голландияда 2, Германияда 1. Эң жемиштүү VPS (өзөктөрдүн саны боюнча) купондук кредиттер боюнча сунуштун алкагында эсеп үчүн жеткиликтүү болгондордун ичинен тандалды.
Жеке iperf3 сервери биринчи голландиялык серверде жайгаштырылган.
Экинчи голландиялык серверде блокторду айланып өтүү куралдарынын ар кандай серверлери биринин артынан бири жайгаштырылат.
VNC жана виртуалдык иш тактасы бар рабочий Linux сүрөтү (xubuntu) Германиянын VPSинде орнотулган. Бул VPN шарттуу кардар жана ар кандай VPN прокси кардарлары орнотулуп, ага кезеги менен ишке киргизилет.
Ылдамдыкты өлчөө үч жолу жүргүзүлөт, биз орто эсепке көңүл бурабыз, биз 3 куралды колдонобуз: Chromium-да веб ылдамдыгын текшерүү аркылуу; fast.com аркылуу Chromium'да; консолдон iperf3 аркылуу proxychains4 аркылуу (бул жерде сиз проксиге iperf3 трафигин киргизишиңиз керек).
Түз туташуу "кардар"-сервер iperf3 iperf2'те 3 Гбит/сек ылдамдыкты берет, ал эми fastspeedtest'те бир аз азыраак.
Кызыккан окурман: "Эмне үчүн speedtest-cli тандаган жоксуз?" жана ал туура болот.
Speedtest-cli мага белгисиз себептерден улам ишенимсиз жана өткөрүү жөндөмдүүлүгүн өлчөөнүн жетишсиз ыкмасы болуп чыкты. Үч ырааттуу өлчөө үч такыр башка натыйжаларды бере алат, же, мисалы, менин VPS портунун ылдамдыгынан бир топ жогору өткөрүү жөндөмдүүлүгүн көрсөтөт. Балким, көйгөй менин колумда болсо керек, бирок мындай курал менен изилдөө жүргүзүү мүмкүн эместей сезилди.
Үч өлчөө ыкмасы боюнча жыйынтыктарга келсек (speedtest fastiperf), мен iperf көрсөткүчтөрүн эң так жана ишенимдүү, ал эми fastspeedtest шилтеме катары эсептейм. Бирок кээ бир айланып өтүү куралдары iperf3 аркылуу 3 өлчөөнү бүтүрүүгө мүмкүндүк берген жок жана мындай учурларда сиз ылдамдыктын ылдамдыгына ишенсеңиз болот.
ылдамдык тест ар кандай натыйжаларды берет
аспаптар
Бардыгы болуп 24 түрдүү айланып өтүүчү аспаптар же алардын айкалыштары сыналды, алардын ар бири үчүн мен чакан түшүндүрмөлөрдү жана алар менен иштөөдөгү таасирлеримди берем. Бирок, негизинен, максат shadowsocks ылдамдыгын салыштыруу (жана ал үчүн бир катар ар кандай obfuscators) openVPN жана wireguard.
Бул материалда мен "ажырабаш үчүн трафикти кантип жашыруу керек" деген суроону майда-чүйдөсүнө чейин талкуулабайм, анткени бөгөт коюуну айланып өтүү реактивдүү чара - биз цензор колдонгон нерсеге көнүп, ошонун негизинде иш-аракет кылабыз.
натыйжалары
Strongswanipsec
Менин таасирлерим боюнча, аны орнотуу абдан оңой жана туруктуу иштейт. Артыкчылыктарынын бири - бул ар бир платформа үчүн кардарларды издөөнүн кереги жок, чындап эле кросс-платформа.
жүктөп алуу - 993 Мбит; жүктөө - 770 Мбит
SSH туннели
Кыязы, жалкоолор гана SSHти туннель куралы катары колдонуу жөнүндө жазган эмес. Кемчиликтердин бири - чечимдин "балдак", б.а. аны ар бир платформада ыңгайлуу, кооз кардардан жайгаштыруу иштебейт. Артыкчылыктары - жакшы иштөө, серверге эч нерсе орнотуунун кереги жок.
жүктөп алуу - 1270 Мбит; жүктөө - 1140 Мбит
OpenVPN
OpenVPN 4 иштөө режиминде сыналды: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN серверлери streisand орнотуу менен автоматтык түрдө конфигурацияланган.
Баалоого болот, учурда бир гана stunnel режими өнүккөн DPIге туруктуу. OpenVPN-tcp стюннелге ороп жатканда өткөрүү жөндөмдүүлүгүнүн анормалдуу көбөйүшүнүн себеби мага түшүнүксүз, текшерүүлөр бир нече жолу, ар кайсы убакта жана ар кандай күндөрдө жүргүзүлдү, натыйжа бирдей болду. Балким, бул Стрейзандды жайылтууда орнотулган тармак стекинин орнотууларына байланыштуу болушу мүмкүн, эмне үчүн мындай деген ойуңуз болсо жазыңыз.
openvpntcp: жүктөө - 760 мбит; жүктөө - 659 Мбит
openvpntcp+sslh: жүктөө - 794 мбит; жүктөө - 693 Мбит
openvpntcp+stunnel: жүктөө - 619 мбит; жүктөө - 943 Мбит
openvpnudp: жүктөө - 756 мбит; жүктөө - 580 Мбит
Openconnect
Бөгөттөрдү айланып өтүү үчүн эң популярдуу курал эмес, ал Стрейзанд пакетине киргизилген, ошондуктан биз аны да сынап көрүүнү чечтик.
жүктөө - 895 Мбит; жүктөө 715 mbps
зым коргоочу
Батыш колдонуучуларынын арасында популярдуу болгон сейрек инструмент, протоколду иштеп чыгуучулар коргонуу фонддорунан өнүктүрүү үчүн бир нече гранттарды алышкан. UDP аркылуу Linux ядро модулу катары иштейт. Жакында эле, windowsios үчүн кардарлар пайда болду.
Бул түзүүчү тарабынан Netflixти штаттарда жокто көрүүнүн жөнөкөй, тез жолу катары иштелип чыккан.
Демек, жакшы жана жаман жактары. Артыкчылыктары: абдан тез протокол, орнотуунун жана конфигурациянын салыштырмалуу жөнөкөйлүгү. Кемчиликтери - иштеп чыгуучу алгач олуттуу бөгөттөрдү айланып өтүү максатында аны жараткан эмес, ошондуктан Wargard жөнөкөй куралдар менен, анын ичинде, оңой аныкталат. wireshark.
wireshark ичиндеги wireguard протоколу
жүктөө - 1681 Мбит; жүктөө 1638 mbps
Кызыктуусу, warguard протоколу үчүнчү тараптын tunsafe кардарында колдонулат, ал ошол эле Warguard сервери менен колдонулганда, андан да жаман натыйжаларды берет. Балким, Windows wargard кардары ошол эле натыйжаларды көрсөтөт:
tunsafeclient: жүктөө - 1007 мбит; жүктөө - 1366 Мбит
OutlineVPN
Outline - бул Google'дун Jigsaw'дун кооз жана ыңгайлуу интерфейси бар shadowox серверинин жана кардарынын ишке ашырылышы. Windows'та контур кардары - бул shadowsocks-локалдык (shadowsocks-libev кардары) жана badvpn (бардык машина трафигин жергиликтүү байпак проксиге багыттаган tun2socks бинардык) бинардык файлдары үчүн орогучтардын жыйындысы.
Shadowsox бир кездерде Кытайдын Улуу Firewallына туруштук берген, бирок акыркы сын-пикирлердин негизинде бул мындан ары андай эмес. ShadowSox'тан айырмаланып, ал плагиндер аркылуу туташтырууну колдобойт, бирок муну сервер жана кардар менен иштөө аркылуу кол менен жасоого болот.
жүктөп алуу - 939 Мбит; жүктөө - 930 Мбит
ShadowsocksR
ShadowsocksR Python тилинде жазылган түпнуска Shadowsocks айрысы. Чындыгында, бул көлөкө куту болуп саналат, ага трафиктин бир нече ыкмалары бекем кадалган.
либевге ssR айрыктары жана башка нерселер бар. Төмөн өткөрүү жөндөмдүүлүгү, балким, код тилине байланыштуу. Питондогу оригиналдуу shadowsox тезирээк эмес.
shadowsocksR: жүктөө 582 мбит; жүктөө 541 Мбит.
Shadowsocks
Трафикти рандомизациялоочу жана башка сонун жолдор менен автоматтык анализге тоскоолдук кылган кытайлык блокторду айланып өтүү куралы. Жакында эле GFW бөгөттөлгөн эмес, алар азыр UDP релеси күйгүзүлгөндө гана бөгөттөлгөн деп айтышат.
Кросс-платформа (ар кандай платформа үчүн кардарлар бар), Thor's obfuscators окшош PT менен иштөөнү колдойт, бир нече өзүнүн же ага ылайыкташтырылган абфузкаторлору бар, тез.
Shadowox кардарларынын жана серверлеринин ар кандай тилдерде ишке ашырууларынын бир тобу бар. Сыноодо shadowsocks-libev сервердин, ар кандай кардарлардын ролун аткарган. Эң ылдам Linux кардары стрейзандда демейки кардар катары таратылган shadowsocks2 болуп чыкты, мен shadowsocks-windows канчалык жемиштүү экенин айта албайм. Көпчүлүк кийинки сыноолордо, shadowsocks2 кардар катары колдонулган. Таза shadowsocks-libevди сынаган скриншоттор бул ишке ашыруунун ачык артта калышынан улам жасалган эмес.
shadowsocks2: жүктөө - 1876 мбит; жүктөө - 1981 Мбит.
shadowsocks-rust: жүктөө - 1605 мбит; жүктөө - 1895 Мбит.
Shadowsocks-libev: жүктөө - 1584 мбит; жүктөө - 1265 Мбит.
Simple-obfs
Shadowsox плагини азыр "аскери жок" статуста, бирок дагы эле иштейт (ар дайым эле жакшы эмес). Негизинен v2ray-плагин менен алмаштырылган. HTTP веб-розеткасы (жана pornhub эмес, мисалы, Россия Федерациясынын Конституциясынын веб-сайты) же псевдо-tls (псевдо) менен көрө тургандай түр көрсөтүп, көздөгөн аталышын бурмалоого мүмкүндүк берет. , эч кандай сертификаттарды колдонбогондуктан, бекер nDPI сыяктуу эң жөнөкөй DPI "tls no cert" катары аныкталат. tls режиминде баш аттарды бурмалоо мүмкүн болбой калды).
Абдан тез, реподан бир буйрук менен орнотулган, абдан жөнөкөй конфигурацияланган, орнотулган иштебей калуу функциясы бар (жөнөкөй эмес obfs кардарынан трафик жөнөкөй-obfs угуучу портко келгенде, аны дарекке багыттайт Сиз жөндөөлөрүңүздө көрсөтүңүз - ушул сыяктуу Ошентип, сиз 80 портун кол менен текшерүүдөн качсаңыз болот, мисалы, жөн гана http менен веб-сайтка багыттоо, ошондой эле туташуу зонддору аркылуу бөгөт коюу).
shadowsockss-obfs-tls: жүктөө - 1618 мбит; жүктөө 1971 Мбит.
shadowsockss-obfs-http: жүктөө - 1582 мбит; жүктөө - 1965 Мбит.
HTTP режиминдеги жөнөкөй-obfs CDN тескери прокси аркылуу да иштей алат (мисалы, cloudflare), ошондуктан биздин провайдерибиз үчүн трафик Bulutflare үчүн HTTP-ачык текст трафиги сыяктуу көрүнөт, бул бизге туннелибизди бир аз жакшыраак жашырууга мүмкүндүк берет. ошол эле учурда кирүү чекити менен трафиктин чыгышын бөлүңүз - провайдер сиздин трафигиңиз CDN IP дарегине баратканын көрөт, ал эми сүрөттөргө экстремисттик жактыруулар ушул учурда VPS IP дарегинен жайгаштырылат. Айта кетчү нерсе, бул CF аркылуу s-obfs, мисалы, кээ бир HTTP ресурстарын мезгил-мезгили менен ачпай, эки ача иштейт. Ошентип, shadowsockss-obfs+CF аркылуу iperf аркылуу жүктөөнү сынап көрүү мүмкүн болгон жок, бирок ылдамдыкты текшерүүнүн жыйынтыгы боюнча, өткөрүү жөндөмдүүлүгү shadowsocksv2ray-plugin-tls+CF деңгээлинде. Мен iperf3 скриншотторун тиркеген жокмун, анткени... Сиз аларга таянбашыңыз керек.
жүктөө (тез тест) - 887; жүктөө (тез тест) - 1154.
Жүктөө (iperf3) - 1625; жүктөө (iperf3) - NA.
v2ray-плагин
V2ray-плагин ss libs үчүн негизги "расмий" obfuscator катары жөнөкөй obfs алмаштырылды. Жөнөкөй obfs айырмаланып, ал азырынча репозиторийлерде жок жана сиз алдын ала чогултулган бинардык файлды жүктөп алышыңыз керек же аны өзүңүз компиляциялооңуз керек.
3 иштөө режимин колдойт: демейки, HTTP веб розеткасы (демекчи хосттун баш аттарын спуфинг колдоосу менен); tls-websocket (s-obfsден айырмаланып, бул ар кандай тескери прокси веб-сервер тарабынан таанылган жана, мисалы, cloudfler серверлеринде же nginxте tls токтотууну конфигурациялоого мүмкүндүк берүүчү толук кандуу tls трафиги); quic - udp аркылуу иштейт, бирок, тилекке каршы, v2reyде quicтин иштеши өтө төмөн.
Жөнөкөй obfs менен салыштырганда артыкчылыктардын арасында: v2ray плагини HTTP-websocket режиминде CF аркылуу эч кандай трафик менен көйгөйсүз иштейт, TLS режиминде бул толук кандуу TLS трафиги, иштөө үчүн сертификаттарды талап кылат (мисалы, Let's encrypt or self-тен) -кол коюлган).
shadowsocksv2ray-plugin-http: жүктөө - 1404 мбит; жүктөө 1938 Мбит.
shadowsocksv2ray-plugin-tls: жүктөө - 1214 мбит; жүктөө 1898 Мбит.
shadowsocksv2ray-plugin-quic: жүктөө - 183 Мбит; жүктөө 384 Мбит.
Мен буга чейин айткандай, v2ray аталыштарды орното алат, ошентип сиз аны менен тескери прокси CDN (мисалы, Cloudfler) аркылуу иштей аласыз. Бир жагынан, бул туннелди аныктоону кыйындатат, экинчи жагынан, артта калуу бир аз жогорулашы (кээде азайтышы) мүмкүн - мунун баары сиздин жана серверлердин жайгашкан жеринен көз каранды. CF учурда quic менен иштөөнү сынап жатат, бирок бул режим азырынча жеткиликтүү эмес (жок дегенде бекер аккаунттар үчүн).
shadowsocksv2ray-plugin-http+CF: жүктөө - 1284 мбит; жүктөө 1785 Мбит.
shadowsocksv2ray-plugin-tls+CF: жүктөө - 1261 мбит; жүктөө 1881 Мбит.
Cloak
майдалоо GoQuiet obfuscator андан ары өнүктүрүү натыйжасы болуп саналат. TLS трафигин окшоштурат жана TCP аркылуу иштейт. Учурда автор плагиндин экинчи версиясын, плагин-2ди чыгарды, ал баштапкы плащтан кыйла айырмаланат.
Иштеп чыгуучунун айтымында, плагиндин биринчи версиясында tls үчүн көздөгөн даректи бурмалоо үчүн tls 1.2 резюме сессиясынын механизми колдонулган. Жаңы версия (саат-2) чыккандан кийин, Githubдагы бул механизмди сүрөттөгөн бардык вики-баракчалар жок кылынган; бул жөнүндө азыркы кездеги бүдөмүк шифрлөө сыпаттамасында эч кандай сөз жок. Автордун сыпаттамасы боюнча, майдалоонун биринчи версиясы “криптодо олуттуу кемчиликтердин” бар болушунан улам колдонулбайт. Сыноолор учурунда плащтын биринчи версиясы гана бар болчу, анын экиликтери дагы эле Githubда, жана башка бардык нерселерден тышкары, критикалык алсыздыктар өтө маанилүү эмес, анткени shadowsox трафикти плащсыз эле шифрлейт жана клоак shadowsox криптосуна эч кандай таасир этпейт.
shadowsockscloak: жүктөө - 1533; жүктөө - 1970 Мбит
Kcptun
транспорт катары kcptun колдонот ал эми кээ бир өзгөчө учурларда жогорулатуу өткөрүүгө жетишүүгө мүмкүндүк берет. Тилекке каршы (же бактыга жараша), бул негизинен Кытайдан келген колдонуучулар үчүн актуалдуу, алардын кээ бир уюлдук операторлору TCPти катуу тескеп, UDPди кармашпайт.
Kcptun кубаты абдан ачка жана 100 кардар сынагандан кийин 4 сион өзөгүн 1% жүктөйт. Мындан тышкары, плагин "жай" жана iperf3 аркылуу иштөөдө ал сыноолорду аягына чейин бүтүрбөйт. Браузердеги ылдамдыкты текшерүүнү карап көрөлү.
shadowsockskcptun: жүктөө (тез тест) - 546 мбит; жүктөө (тез тест) 854 Мбит.
жыйынтыктоо
Бүтүндөй машинаңыздан трафикти токтотуу үчүн сизге жөнөкөй, тез VPN керекпи? Андан кийин сиздин тандооңуз - согушкер. Сиз проксилерди каалайсызбы (тилективдүү туннелдөө же виртуалдык адам агымдарын бөлүү үчүн) же сиз үчүн трафикти олуттуу бөгөттөөдөн тоскоол кылуу маанилүүбү? Андан кийин tlshttp бүдөмүк менен shadowbox караңыз. Интернет такыр эле иштеп турганда, сиздин Интернет иштей тургандыгына ишенгиңиз келеби? Маанилүү CDN аркылуу прокси-трафикти тандаңыз, бөгөттөө өлкөдөгү интернеттин жарымынын иштебей калышына алып келет.
Пивот таблицасы, жүктөп алуу боюнча иреттелген
Source: www.habr.com