Wéi mir ëmmer méi Zougang zu verschiddene Ressourcen am Netz verweigert ginn, gëtt d'Fro vum Contournement vun der Blockéierung ëmmer méi dréngend, wat heescht datt d'Fro "Wéi méi séier d'Blockéierung ëmgoen?" ëmmer méi relevant gëtt.
Loosst eis d'Thema vun der Effizienz am Sënn vun der Contournement vun DPI Whitelists fir en anere Fall verloossen, a vergläicht einfach d'Leeschtung vu populäre Block Bypass Tools.
Opgepasst: Et gëtt vill Biller ënner Spoiler am Artikel.
Verzichterklärung: dësen Artikel vergläicht d'Performance vu populäre VPN Proxy-Léisungen ënner Bedéngungen no bei "ideal". D'Resultater, déi hei kritt a beschriwwe ginn, falen net onbedéngt mat Äre Resultater an de Felder. Well d'Zuel am Geschwindegkeetstest hänkt dacks net of wéi mächteg de Bypass-Tool ass, mee wéi Äre Provider et dréit.
Methodik
3 VPS goufen vun engem Cloud Provider (DO) a verschiddene Länner ronderëm d'Welt kaaft. 2 an Holland, 1 an Däitschland. Déi produktivst VPS (no der Unzuel vun de Kären) gouf aus deene fir de Kont ënner der Offer fir Couponkreditter ausgewielt.
E private iperf3 Server gëtt um éischten hollännesche Server ofgesat.
Um zweeten hollännesche Server gi verschidde Servere vu Block Bypass Tools een nom aneren ofgesat.
En Desktop Linux Image (xubuntu) mat VNC an engem virtuelle Desktop gëtt op der däitscher VPS ofgesat. Dëse VPN ass e bedingte Client, a verschidde VPN Proxy Clienten ginn installéiert a lancéiert.
Geschwindegkeetsmessungen ginn dräimol duerchgefouert, mir fokusséieren op der Moyenne, mir benotzen 3 Tools: am Chromium duerch e Webgeschwindegkeetstest; am Chromium iwwer fast.com; vun der Konsole iwwer iperf3 iwwer proxychains4 (wou Dir den iperf3 Traffic an de Proxy muss setzen).
Eng direkt Verbindung "Client"-Server iperf3 gëtt eng Geschwindegkeet vun 2 Gbps an iperf3, an e bësse manner an fastspeedtest.
En virwëtzeg Lieser kann froen: "Firwat hutt Dir net Speedtest-Cli gewielt?" an hie wäert Recht ginn.
Speedtest-cli huet sech als onzouverlässeg erausgestallt an en inadequate Wee fir den Duerchsatz ze moossen, aus Grënn fir mech onbekannt. Dräi hannereneen Miessunge kéint dräi komplett verschidden Resultater ginn, oder, zum Beispill, weisen eng Débit vill méi héich wéi d'port Vitesse vun mengem VPS. Vläicht ass de Problem meng clubbed Hand, awer et war onméiglech fir Fuerschung mat sou engem Tool ze maachen.
Wat d'Resultater fir déi dräi Messmethoden (Speedtest Fastiperf) ugeet, betruechten ech d'Iperf Indikatoren als déi genaust an zouverlässeg, an de Fastspeedtest als Referenz. Awer e puer Bypass Tools hunn et net erlaabt 3 Miessunge duerch iperf3 ofzeschléissen an an esou Fäll kënnt Dir op speedtestfast vertrauen.
Geschwindegkeetstest gëtt verschidde Resultater
Tools
Am Ganzen goufen 24 verschidde Bypass-Tools oder hir Kombinatioune getest, fir jidderee vun hinnen ginn ech kleng Erklärungen a meng Impressioune fir mat hinnen ze schaffen. Awer am Wesentlechen war d'Zil d'Geschwindegkeete vu Shadowsocks ze vergläichen (an eng Rëtsch verschidden Obfuscatoren dofir) openVPN a wireguard.
An dësem Material wäert ech net am Detail iwwer d'Fro diskutéieren "wéi de Verkéier am beschten ze verstoppen fir net ze trennen", well d'Blockéierung ëmgoen ass eng reaktiv Moossnam - mir passen un wat de Zensur benotzt an handelen op dëser Basis.
Resultater
Strongswanipsec
A mengen Andréck ass et ganz einfach opzestellen a funktionnéiert ganz stabil. Ee vun de Virdeeler ass datt et wierklech Cross-Plattform ass, ouni de Besoin fir Cliente fir all Plattform ze sichen.
download - 993 Mbits; eropluede - 770 Mbit
SSH Tunnel
Wahrscheinlech nëmmen déi faul hunn net geschriwwen iwwer d'Benotzung vun SSH als Tunnelinstrument. Ee vun den Nodeeler ass d'"Krütt" vun der Léisung, d.h. et vun engem prakteschen, schéine Client op all Plattform z'installéieren funktionnéiert net. D'Virdeeler si gutt Leeschtung, et ass net néideg eppes um Server ze installéieren.
download - 1270 Mbits; eropluede - 1140 Mbit
OpenVPN
OpenVPN gouf a 4 Operatiounsmodi getest: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN Servere goufen automatesch konfiguréiert andeems Dir Streisand installéiert.
Souwäit ee kann beurteelen, ass am Moment nëmmen de Stunnelmodus resistent géint fortgeschratt DPIs. De Grond fir déi anormal Erhéijung vum Duerchgang beim Wrap vun OpenVPN-tcp am Stunnel ass mir net kloer, d'Kontrollen goufen a verschiddene Runen gemaach, zu verschiddenen Zäiten an op verschiddenen Deeg, d'Resultat war datselwecht. Vläicht ass dëst wéinst den Netzwierkstack-Astellungen installéiert wann Dir Streisand ofsetzt, schreift wann Dir Iddien hutt firwat dat esou ass.
openvpntcp: download - 760 Mbits; eropluede - 659 Mbit
openvpntcp+sslh: eroflueden - 794 Mbits; eropluede - 693 Mbit
openvpntcp+stunnel: download - 619 Mbits; eropluede - 943 Mbit
openvpnudp: download - 756 Mbits; eropluede - 580 Mbit
Openconnect
Net dat populärste Tool fir Blockaden z'iwwergoen, et ass am Streisand Package abegraff, also hu mir beschloss et och ze testen.
download - 895 Mbits; eropluede 715 mbps
Drot Gard
En Hype-Tool dat populär ass bei westleche Benotzer, d'Entwéckler vum Protokoll kruten souguer e puer Stipendien fir d'Entwécklung vu Verteidegungsfongen. Schafft als Linux Kernel Modul iwwer UDP. Viru kuerzem sinn Cliente fir windowsios erschéngen.
Et gouf vum Schëpfer als en einfachen, schnelle Wee geduecht fir Netflix ze kucken wann net an de Staaten.
Dofir sinn d'Virdeeler an Nodeeler. Virdeeler: ganz séier Protokoll, relativ einfacher Installatioun a Konfiguratioun. Nodeeler - den Entwéckler huet et am Ufank net erstallt mam Zil fir sérieux Blockaden z'iwwergoen, an dofir ass Wargard einfach duerch déi einfachst Tools festgestallt, inkl. wireshark.
wireguard Protokoll an wireshark
download - 1681 Mbits; eropluede 1638 mbps
Interessanterweis gëtt de Warguard-Protokoll am Drëtt-Partei-Tunsafe Client benotzt, deen, wann se mam selwechte Warguard-Server benotzt gëtt, vill méi schlecht Resultater gëtt. Et ass méiglech datt de Windows Wargard Client déiselwecht Resultater weist:
tunsafeclient: download - 1007 Mbits; eropluede - 1366 Mbit
OutlineVPN
Outline ass eng Implementatioun vun engem Shadowox Server a Client mat enger schéiner a praktescher User-Interface vum Google Puzzlestéck. A Windows ass den Outline Client einfach e Set vu Wrapper fir de Shadowsocks-local (shadowsocks-libev Client) a badvpn (tun2socks binär déi all Maschinnverkéier op e lokalen Socks Proxy dirigéiert) Binär.
Shadowsox war eemol resistent géint d'Grouss Firewall vu China, awer baséiert op rezente Rezensiounen ass dëst net méi de Fall. Am Géigesaz zu ShadowSox, aus der Këscht ënnerstëtzt et net d'Verbindung vun der Verdueblung duerch Plugins, awer dëst kann manuell gemaach ginn andeems Dir mam Server an dem Client dréckt.
download - 939 Mbits; eropluede - 930 Mbit
Shadowsocks R
ShadowsocksR ass eng Gabel vun den originelle Shadowsocks, geschriwwen am Python. Am Wesentlechen ass et eng Shadowbox, op déi verschidde Methode vun der Traffic-Obfuscatioun fest festgehalen sinn.
Et gi Gabel vun ssR zu libev an soss eppes. Den nidderegen Duerchsatz ass wahrscheinlech wéinst der Codesprooch. Den originelle Shadowsox um Python ass net vill méi séier.
shadowsocksR: download 582 Mbits; eropluede 541 Mbit.
Shadowsocks
E chinesesche Blockbypass-Tool dat de Verkéier randomiséiert an d'automatesch Analyse op aner wonnerbar Manéier stéiert. Bis viru kuerzem war GFW net blockéiert; Si soen datt et elo nëmme blockéiert ass wann den UDP Relais ageschalt ass.
Kräiz-Plattform (et gi Clienten fir all Plattform), ënnerstëtzt schaffen mat PT ähnlechen zu Thor d'Obfuscators, ginn et e puer vun hiren eegene oder ugepasst et obfuscators, séier.
Et ginn eng Rëtsch Implementatioune vu Shadowox Clienten a Serveren, a verschiddene Sproochen. Beim Testen huet Shadowsocks-libev als Server gehandelt, verschidde Clienten. De schnellsten Linux Client huet sech erausgestallt Shadowsocks2 on Go, als Standard Client zu streisand verdeelt, ech kann net soen wéi vill méi produktiv Shadowsocks-Fensteren ass. An de meeschte weideren Tester gouf Shadowsocks2 als Client benotzt. Screenshots déi pure Shadowsocks-libev testen goufen net gemaach wéinst der offensichtlecher Lag vun dëser Implementatioun.
shadowsocks2: download - 1876 Mbits; eropluede - 1981 Mbits.
shadowsocks-rust: download - 1605 mbits; eropluede - 1895 Mbit.
Shadowsocks-libev: download - 1584 Mbits; eropluede - 1265 Mbit.
Einfach-obfs
De Plugin fir Shadowsox ass elo am "ofgeschat" Status awer funktionnéiert nach ëmmer (obwuel net ëmmer gutt). Grouss ersat vum v2ray-Plugin. Obfuscéiert Traffic entweder ënner engem HTTP-Websocket (an erlaabt Iech den Destinatiounsheader ze spoofen, virzegoen datt Dir net e Pornhub kuckt, awer zum Beispill d'Websäit vun der Verfassung vun der Russescher Federatioun) oder ënner Pseudo-tls (Pseudo) , well et keng Zertifikater benotzt, ginn déi einfachst DPI wéi gratis nDPI als "tls no cert" entdeckt.
Zimlech séier, aus dem Repo mat engem Kommando installéiert, ganz einfach konfiguréiert, huet eng agebaute Failover Funktioun (wann de Traffic vun engem net-einfache-obfs Client an den Hafen kënnt op deen einfach-obfs nolauschtert, schéckt et op d'Adress weider wou Dir an den Astellunge spezifizéiert - wéi dëst Op dës Manéier kënnt Dir d'manuell Iwwerpréiwung vum Port 80 vermeiden, zum Beispill, andeems Dir einfach op eng Websäit mat http ëmgeleet, wéi och duerch Verbindungssonden blockéiert).
shadowsockss-obfs-tls: download - 1618 Mbits; eropluede 1971 Mbit.
shadowsockss-obfs-http: download - 1582 Mbits; eropluede - 1965 Mbit.
Einfach-obfs am HTTP-Modus kënnen och duerch e CDN Reverse Proxy (zum Beispill Cloudflare) funktionnéieren, sou datt fir eise Provider de Traffic ausgesäit wéi HTTP-Kleintext Traffic op Cloudflare, dëst erlaabt eis eisen Tunnel e bësse besser ze verstoppen, an um gläichzäiteg trennt den Entrée an de Verkéiersausgang - de Provider gesäit datt Äre Verkéier op d'CDN IP Adress geet, an extremistesch Likes op Biller ginn am Moment vun der VPS IP Adress gesat. Et muss gesot ginn datt et s-obfs duerch CF ass, déi zweedeiteg funktionnéiert, periodesch net e puer HTTP-Ressourcen opmaachen, zum Beispill. Also, et war net méiglech den Eroplueden mat iperf iwwer shadowsockss-obfs+CF ze testen, awer no de Resultater vum Geschwindegkeetstest beurteelen, ass den Duerchgang um Niveau vun shadowsocksv2ray-plugin-tls+CF. Ech befestegt keng Screenshots vun iperf3, well ... Dir sollt net op hinnen vertrauen.
download (speedtest) - 887; eropluede (Speedtest) - 1154.
Download (iperf3) - 1625; eropluede (iperf3) - NA.
v2ray-plugin
V2ray-Plugin huet einfach obfs als Haapt "offiziell" Obfuscator fir ss libs ersat. Am Géigesaz zu einfachen obfs ass et nach net an de Repositories, an Dir musst entweder e pre-assembléierte Binär eroflueden oder et selwer kompiléieren.
Ënnerstëtzt 3 Operatiounsmodi: Standard, HTTP Websocket (mat Ënnerstëtzung fir Spoofing Header vum Destinatiounshost); tls-websocket (am Géigesaz zu s-obfs, dëst ass vollwäerteg tls Traffic, dee vun all ëmgedréint Proxy Webserver unerkannt gëtt an z. quic - funktionnéiert iwwer udp, awer leider ass d'Leeschtung vu quic an v2rey ganz niddereg.
Ënnert de Virdeeler am Verglach mat einfachen obfs: de v2rey Plugin funktionnéiert ouni Probleemer iwwer CF am HTTP-Websocket Modus mat all Traffic, am TLS Modus ass et vollwäerteg TLS Traffic, et erfuerdert Certificaten fir Operatioun (zum Beispill vu Let's encrypt or Self - ënnerschriwwen).
shadowsocksv2ray-plugin-http: download - 1404 Mbits; eropluede 1938 Mbit.
shadowsocksv2ray-plugin-tls: download - 1214 Mbits; eropluede 1898 Mbit.
shadowsocksv2ray-plugin-quic: download - 183 Mbits; eropluede 384 Mbit.
Wéi ech scho gesot hunn, kann v2ray Header setzen, an domat kënnt Dir mat engem Reverse Proxy CDN schaffen (zum Beispill Cloudfler). Engersäits komplizéiert dëst d'Erkennung vum Tunnel, op der anerer Säit kann et d'Laag liicht erhéijen (an heiansdo reduzéieren) - et hänkt alles vun der Plaz vun Iech an de Serveren of. CF testt de Moment mat quic ze schaffen, awer dëse Modus ass nach net verfügbar (op d'mannst fir gratis Konten).
shadowsocksv2ray-plugin-http+CF: download - 1284 Mbits; eropluede 1785 Mbit.
shadowsocksv2ray-plugin-tls+CF: download - 1261 Mbits; eropluede 1881 Mbit.
Kloak
De Schrack ass d'Resultat vun der Weiderentwécklung vum GoQuiet Obfuscator. Simuléiert TLS Traffic a funktionnéiert iwwer TCP. Am Moment huet den Auteur déi zweet Versioun vum Plugin verëffentlecht, cloak-2, déi wesentlech anescht ass wéi d'Originalmantel.
Laut dem Entwéckler huet déi éischt Versioun vum Plugin den tls 1.2 Resume Sessiounsmechanismus benotzt fir d'Destinatiounsadress fir tls ze spoofen. No der Verëffentlechung vun der neier Versioun (Auer-2) goufen all Wiki Säiten op Github, déi dëse Mechanismus beschreiwen, geläscht; et gëtt keng Ernimmung vun dësem an der aktueller Beschreiwung vun der Verdueblungsverschlësselung. Laut der Beschreiwung vum Auteur gëtt déi éischt Versioun vum Schred net benotzt wéinst der Präsenz vu "kriteschen Schwachstelle an der Krypto". Zu der Zäit vun den Tester gouf et nëmmen déi éischt Versioun vum Mantel, seng Binäre sinn nach ëmmer op Github, an nieft alles anescht sinn kritesch Schwachstelle net ganz wichteg, well Shadowsox verschlësselt den Traffic op déiselwecht Manéier wéi ouni Mantel, an de Cloac huet keen Effekt op Shadowsox's Krypto.
shadowsockscloak: download - 1533; eropluede - 1970 Mbit
Kcptun
benotzt kcptun als Transport an an e puer spezielle Fäll erlaabt e verstäerkten Duerchsatz z'erreechen. Leider (oder glécklecherweis) ass dëst gréisstendeels relevant fir Benotzer aus China, e puer vun deenen hir Handysbetreiber TCP staark droen an UDP net beréieren.
Kcptun ass verdammt Kraafthongereg, a lued liicht 100 Zionkären op 4% wann se vun 1 Client getest ginn. Zousätzlech ass de Plugin "lues", a wann Dir duerch iperf3 schafft, mécht et keng Tester bis zum Schluss. Loosst eis de Geschwindegkeetstest am Browser kucken.
shadowsockskcptun: download (speedtest) - 546 mbits; eropluede (speedtest) 854 Mbits.
Konklusioun
Braucht Dir en einfachen, schnelle VPN fir de Traffic vun Ärer ganzer Maschinn ze stoppen? Dann ass Äre Choix Warguard. Wëllt Dir Proxyen (fir selektiv Tunneléierung oder Trennung vu virtuelle Persounfloss) oder ass et méi wichteg fir Iech den Traffic vu seriöse Blockéierung ze verstoppen? Da kuckt op Shadowbox mat tlshttp Verdueblung. Wëllt Dir sécher sinn datt Ären Internet funktionnéiert soulaang wéi den Internet iwwerhaapt funktionnéiert? Wielt de Proxy Traffic duerch wichteg CDNs, blockéieren déi zu der Aussoe vun der Halschent vum Internet am Land féieren.
Pivot Dësch, no download zortéiert
Source: will.com