Kadangi mums vis labiau atimama prieiga prie įvairių tinklo išteklių, blokavimo apėjimo problema tampa vis aktualesnė, o tai reiškia, kad klausimas „Kaip greičiau apeiti blokavimą?“ tampa vis aktualesnis.
Palikime efektyvumo temą apeinant DPI baltuosius sąrašus kitam atvejui ir tiesiog palyginkime populiarių blokų apėjimo įrankių veikimą.
Dėmesio: straipsnyje po spoileriais bus daug nuotraukų.
Atsakomybės apribojimas: šiame straipsnyje palyginamas populiarių VPN tarpinio serverio sprendimų veikimas esant „idealioms“ sąlygoms. Gauti ir čia aprašyti rezultatai nebūtinai sutampa su jūsų rezultatais laukuose. Kadangi greičio testo skaičius dažnai priklausys ne nuo apėjimo įrankio galingumo, bet nuo to, kaip jūsų paslaugų teikėjas jį droseli.
Metodika
3 VPS buvo įsigyti iš debesų paslaugų teikėjo (DO) įvairiose pasaulio šalyse. 2 Nyderlanduose, 1 Vokietijoje. Produktyviausias VPS (pagal branduolių skaičių) buvo atrinktas iš turimų paskyroje pagal kuponų kreditų pasiūlymą.
Privatus iperf3 serveris yra įdiegtas pirmajame Olandijos serveryje.
Antrajame Olandijos serveryje vienas po kito yra diegiami įvairūs blokų apėjimo įrankių serveriai.
Vokietijos VPS yra įdiegtas darbalaukio Linux vaizdas (xubuntu) su VNC ir virtualiu darbalaukiu. Šis VPN yra sąlyginis klientas, jame paeiliui įdiegiami ir paleidžiami įvairūs VPN tarpiniai klientai.
Greičio matavimai atliekami tris kartus, orientuojamės į vidurkį, naudojame 3 įrankius: „Chromium“ per žiniatinklio greičio testą; „Chromium“ per fast.com; iš konsolės per iperf3 per proxychains4 (kur reikia įdėti iperf3 srautą į tarpinį serverį).
Tiesioginio ryšio „klientas“-serveris iperf3 suteikia 2 Gbps greitį iperf3 ir šiek tiek mažesnį greitį „fastspeedtest“.
Smalsus skaitytojas gali paklausti: „Kodėl nepasirinkote speedtest-cli? ir jis bus teisus.
Speedtest-cli pasirodė esąs nepatikimas ir netinkamas pralaidumo matavimo būdas dėl man nežinomų priežasčių. Trys iš eilės matavimai gali duoti tris visiškai skirtingus rezultatus arba, pavyzdžiui, parodyti pralaidumą, daug didesnį nei mano VPS prievado greitis. Galbūt problema yra mano sukaustyta ranka, bet atrodė, kad neįmanoma atlikti tyrimų naudojant tokį įrankį.
Kalbant apie trijų matavimo metodų (speedtest fastiperf) rezultatus, manau, kad iperf rodikliai yra tiksliausi ir patikimiausi, o fastspeedtest – kaip nuoroda. Tačiau kai kurie apėjimo įrankiai neleido atlikti 3 matavimų per iperf3 ir tokiais atvejais galite pasikliauti speedtestfast.
greičio testas duoda skirtingus rezultatus
Įrankių rinkinys
Iš viso buvo išbandyti 24 skirtingi aplinkkelio įrankiai ar jų kombinacijos, prie kiekvieno iš jų pateiksiu nedidelius paaiškinimus ir darbo su jais įspūdžius. Tačiau iš esmės tikslas buvo palyginti „shadowsocks“ (ir daugybės skirtingų tam skirtų obfuskatorių) „openVPN“ ir „wireguard“ greitį.
Šioje medžiagoje išsamiai neaptarinėsiu klausimo „kaip geriausiai paslėpti srautą, kad nebūtų atjungtas“, nes blokavimo apėjimas yra reaktyvi priemonė - mes prisitaikome prie to, ką naudoja cenzorius, ir elgiamės tuo remdamiesi.
rezultatai
Strongswanipsec
Mano įspūdžiais, jį labai lengva nustatyti ir veikia gana stabiliai. Vienas iš privalumų yra tai, kad tai tikrai kelios platformos, nereikia ieškoti klientų kiekvienai platformai.
parsisiųsti - 993 Mbit; įkėlimas - 770 Mbit
SSH tunelis
Tikriausiai tik tinginiai nėra rašę apie SSH naudojimą kaip tunelinį įrankį. Vienas iš minusų – sprendimo „ramentas“, t.y. Diegti jį iš patogaus, gražaus kliento kiekvienoje platformoje neveiks. Privalumai – geras našumas, iš viso nereikia nieko diegti serveryje.
parsisiųsti - 1270 Mbit; įkėlimas - 1140 Mbit
OpenVPN
OpenVPN buvo išbandytas 4 darbo režimais: tcp, tcp+sslh, tcp+stunnel, udp.
„OpenVPN“ serveriai buvo sukonfigūruoti automatiškai, įdiegiant streisand.
Kiek galima spręsti, šiuo metu tik stunnel režimas yra atsparus pažangiems DPI. Priežastis dėl nenormalaus pralaidumo padidėjimo vyniojant openVPN-tcp į stunnel man nėra aiški, patikrinimai buvo atlikti keliais paleidimais, skirtingu laiku ir skirtingomis dienomis, rezultatas buvo toks pat. Galbūt taip yra dėl tinklo kamino nustatymų, įdiegtų diegiant Streisand, parašykite, jei turite idėjų, kodėl taip yra.
openvpntcp: atsisiuntimas - 760 Mbit; įkėlimas - 659 Mbit
openvpntcp+sslh: atsisiuntimas - 794 Mbits; įkėlimas - 693 Mbit
openvpntcp+stunnel: atsisiuntimas - 619 Mbits; įkėlimas – 943 Mbit
openvpnudp: atsisiuntimas - 756 Mbit; įkėlimas - 580 Mbit
Atidarykite ryšį
Ne pati populiariausia priemonė kamščiams apeiti, ji įtraukta į Streisand paketą, todėl nusprendėme išbandyti ir mes.
parsisiųsti - 895 Mbit; įkelti 715 mbps
Laidininkas
Vakarų vartotojų pamėgtas ažiotažas įrankis, protokolo kūrėjai netgi gavo tam tikrų subsidijų plėtrai iš gynybos fondų. Veikia kaip Linux branduolio modulis per UDP. Pastaruoju metu atsirado klientų windowsios.
Kūrėjas jį sumanė kaip paprastą ir greitą būdą žiūrėti „Netflix“ ne valstijose.
Taigi pliusai ir minusai. Argumentai "už": labai greitas protokolas, gana paprastas diegimas ir konfigūravimas. Trūkumai – kūrėjas iš pradžių jį sukūrė ne turėdamas tikslą apeiti rimtus užsikimšimus, todėl wargard lengvai aptinkamas paprasčiausiais įrankiais, įskaitant. wireshark.
vielos apsaugos protokolas Wireshark
parsisiųsti - 1681 Mbit; įkelti 1638 mbps
Įdomu tai, kad trečiosios šalies tusafe kliente naudojamas warguard protokolas, kurį naudojant su tuo pačiu warguard serveriu gaunami daug prastesni rezultatai. Tikėtina, kad „Windows wargard“ klientas parodys tuos pačius rezultatus:
tunsafeclient: atsisiuntimas - 1007 Mbits; įkėlimas – 1366 Mbit
„OutlineVPN“.
„Outline“ yra „Shadowox“ serverio ir kliento įdiegimas su gražia ir patogia vartotojo sąsaja iš „Google“ dėlionės. Sistemoje „Windows“ kontūro klientas yra tiesiog „shadowsocks-local“ (shadowsocks-libev klientas) ir „badvpn“ (dvejetainė programa tun2socks, nukreipianti visą mašinos srautą į vietinį kojinių tarpinį serverį) paketų rinkinys.
„Shadowsox“ kažkada buvo atsparus Didžiajai Kinijos ugniasienei, tačiau, remiantis naujausiomis apžvalgomis, tai nebėra. Skirtingai nuo „ShadowSox“, jis nepalaiko sujungimo užmaskavimo naudojant papildinius, tačiau tai galima padaryti rankiniu būdu, derinant serverį ir klientą.
parsisiųsti - 939 Mbit; įkėlimas - 930 Mbit
„ShadowsocksR“
„ShadowsocksR“ yra originalaus „Shadowsocks“, parašyto Python, šakutė. Iš esmės tai yra šešėlių dėžė, prie kurios yra tvirtai pritvirtinti keli eismo užtemdymo būdai.
Yra ssR šakės iki libev ir dar kažkas. Mažas pralaidumas tikriausiai yra dėl kodo kalbos. Originalus shadowsox ant python nėra daug greitesnis.
shadowsocksR: atsisiųskite 582 Mbit; įkelti 541 Mbit.
Shadowsocks
Kinijos blokų apėjimo įrankis, atsitiktinai suskirstantis srautą ir kitais nuostabiais būdais trukdantis automatinei analizei. Dar visai neseniai GFW nebuvo užblokuotas; jie sako, kad dabar jis blokuojamas tik įjungus UDP relę.
Cross-platform (yra klientų bet kuriai platformai), palaiko darbą su PT panašiai kaip Thor obfuscators, yra keletas savų arba jai pritaikytų obfuskatorių, greiti.
Yra daugybė „shadowox“ klientų ir serverių diegimų įvairiomis kalbomis. Testuojant „shadowsocks-libev“ veikė kaip serveris, skirtingi klientai. Greičiausias Linux klientas pasirodė esąs shadowsocks2 on go, platinamas kaip numatytasis klientas streisand, negaliu pasakyti, kiek shadowsocks-windows yra produktyvesnis. Daugumoje tolesnių bandymų „shadowsocks2“ buvo naudojamas kaip klientas. Ekrano kopijos, bandančios gryną shadowsocks-libev, nebuvo padarytos dėl akivaizdaus šio įgyvendinimo vėlavimo.
shadowsocks2: atsisiuntimas - 1876 Mbit; įkėlimas – 1981 Mbit.
shadowsocks-rust: atsisiuntimas - 1605 Mbit; įkėlimas - 1895 Mbit.
Shadowsocks-libev: atsisiuntimas - 1584 Mbit; įkėlimas - 1265 Mbit.
Paprasti obfs
„Shadowsox“ papildinys dabar yra „nusidėvėjęs“, bet vis tiek veikia (nors ir ne visada gerai). Daugeliu atvejų jį išstūmė v2ray įskiepis. Užtemdo srautą naudojant HTTP žiniatinklio lizdą (ir leidžia suklastoti paskirties antraštę, apsimetant, kad žiūrėsite ne pornhub, o, pavyzdžiui, Rusijos Federacijos Konstitucijos svetainę) arba pseudo-tls (pseudo , kadangi jame nenaudojami jokie sertifikatai, paprasčiausi DPI, tokie kaip nemokamas nDPI, aptinkami kaip „tls no cert“. Tls režimu nebeįmanoma suklaidinti antraščių).
Gana greitas, įdiegtas iš repo su viena komanda, sukonfigūruotas labai paprastai, turi integruotą perkrovimo funkciją (kai srautas iš ne paprasto obfs kliento ateina į prievadą, kurio klauso simple-obfs, persiunčia jį adresu kur nurodote nustatymuose - kaip tai Tokiu būdu galite išvengti rankinio 80 prievado tikrinimo, pavyzdžiui, tiesiog nukreipdami į svetainę su http, taip pat blokuodami per ryšio zondus).
shadowsockss-obfs-tls: atsisiuntimas - 1618 Mbit; įkelti 1971 Mbit.
shadowsockss-obfs-http: atsisiuntimas - 1582 Mbits; įkėlimas - 1965 Mbit.
Paprasti obfs HTTP režimu taip pat gali veikti per CDN atvirkštinį tarpinį serverį (pvz., „Cloudflare“), todėl mūsų teikėjui srautas atrodys kaip HTTP paprasto teksto srautas į „Cloudflare“, tai leidžia šiek tiek geriau paslėpti tunelį ir tuo pačiu metu atskirkite įėjimo tašką ir srauto išėjimą – tiekėjas mato, kad jūsų srautas eina link CDN IP adreso, o ekstremistiniai simpatijos paveikslėliams šiuo metu dedami iš VPS IP adreso. Reikia pasakyti, kad s-obfs per CF veikia dviprasmiškai, periodiškai neatidaro, pavyzdžiui, kai kurių HTTP išteklių. Taigi, nepavyko išbandyti įkėlimo naudojant iperf per shadowsockss-obfs+CF, tačiau sprendžiant iš greičio testo rezultatų, pralaidumas yra shadowsocksv2ray-plugin-tls+CF lygyje. Nepridedu ekrano kopijų iš iperf3, nes... Jūs neturėtumėte jais pasikliauti.
parsisiųsti (speedtest) - 887; įkelti (speedtest) - 1154.
Atsisiųsti (iperf3) - 1625; įkelti (iperf3) – NA.
v2ray įskiepis
V2ray papildinys pakeitė paprastus obfs kaip pagrindinį „oficialų“ ss libs obfuskatorių. Skirtingai nuo paprastų obfs, jos dar nėra saugyklose, todėl jums reikia arba atsisiųsti iš anksto surinktą dvejetainį failą, arba patiems jį kompiliuoti.
Palaiko 3 darbo režimus: numatytąjį, HTTP žiniatinklio lizdą (su palaikymu apgaudinėjant paskirties pagrindinio kompiuterio antraštes); tls-websocket (skirtingai nuo s-obfs, tai yra visavertis tls srautas, kurį atpažįsta bet kuris atvirkštinis tarpinis žiniatinklio serveris ir, pavyzdžiui, leidžia sukonfigūruoti tls nutraukimą „Cloudfler“ serveriuose arba „nginx“); quic – veikia per udp, bet, deja, quic našumas v2rey yra labai žemas.
Tarp privalumų, palyginti su paprastais obfs: v2ray įskiepis veikia be problemų per CF HTTP-websocket režimu su bet kokiu srautu, TLS režimu tai yra visavertis TLS srautas, jam reikalingi sertifikatai (pvz., iš Let's Encrypt arba self -pasirašyta).
shadowsocksv2ray-plugin-http: atsisiuntimas - 1404 Mbits; įkelti 1938 Mbit.
shadowsocksv2ray-plugin-tls: atsisiuntimas - 1214 Mbits; įkelti 1898 Mbit.
shadowsocksv2ray-plugin-quic: atsisiuntimas - 183 Mbits; įkelti 384 Mbit.
Kaip jau sakiau, „v2ray“ gali nustatyti antraštes, todėl galite dirbti su juo naudodami atvirkštinį tarpinį CDN (pavyzdžiui, „cloudfler“). Viena vertus, tai apsunkina tunelio aptikimą, kita vertus, gali šiek tiek padidinti (o kartais ir sumažinti) atsilikimą – viskas priklauso nuo jūsų ir serverių vietos. Šiuo metu CF bando dirbti su quic, tačiau šis režimas dar nepasiekiamas (bent jau nemokamoms paskyroms).
shadowsocksv2ray-plugin-http+CF: atsisiuntimas - 1284 Mbits; įkelti 1785 Mbit.
shadowsocksv2ray-plugin-tls+CF: atsisiuntimas - 1261 Mbit; įkelti 1881 Mbit.
apsiaustas
Susmulkinimas yra tolesnio „GoQuiet“ obfuskatoriaus tobulinimo rezultatas. Imituoja TLS srautą ir veikia per TCP. Šiuo metu autorius išleido antrąją įskiepio versiją cloak-2, kuri gerokai skiriasi nuo originalaus apsiausto.
Anot kūrėjo, pirmoji papildinio versija naudojo tls 1.2 atnaujinimo seanso mechanizmą, kad būtų suklaidintas tls paskirties adresas. Išleidus naują versiją (clock-2), visi Github wiki puslapiai, aprašantys šį mechanizmą, buvo ištrinti; dabartiniame užtemdymo šifravimo aprašyme apie tai neužsimenama. Remiantis autoriaus aprašymu, pirmoji smulkinimo versija nenaudojama dėl „kritinių kriptovaliutų spragų“. Bandymų metu buvo tik pirmoji apsiausto versija, jos dvejetainiai failai vis dar yra Github, o be viso kito, kritiniai pažeidžiamumai nėra labai svarbūs, nes shadowsox šifruoja srautą taip pat, kaip ir be apsiausto, o kloakas neturi jokios įtakos shadowsox kriptovaliutams.
shadowsockscloak: parsisiųsti - 1533; įkėlimas - 1970 Mbit
Kcptun
kaip transportą naudoja kcptun o kai kuriais ypatingais atvejais leidžia pasiekti padidintą pralaidumą. Deja (arba laimei), tai iš esmės aktualu vartotojams iš Kinijos, kurių kai kurie mobiliojo ryšio operatoriai smarkiai sumažina TCP ir neliečia UDP.
Kcptun yra velniškai alkanas energijos ir lengvai įkelia 100 zion branduolius 4%, kai išbando 1 klientas. Be to, papildinys yra „lėtas“, o dirbant per iperf3 jis neatlieka testų iki galo. Pažvelkime į greičio testą naršyklėje.
shadowsockskcptun: atsisiuntimas (speedtest) - 546 Mbit; įkėlimas (speedtest) 854 Mbit.
išvada
Ar jums reikia paprasto, greito VPN, kad sustabdytumėte srautą iš viso įrenginio? Tada jūsų pasirinkimas yra karo sargyba. Ar norite tarpinių serverių (atrankiniam tuneliavimui ar virtualių asmenų srautų atskyrimui), ar jums svarbiau užtemdyti srautą nuo rimto blokavimo? Tada pažiūrėkite į shadowbox su tlshttp užmaskavimu. Ar norite būti tikri, kad jūsų internetas veiks tol, kol internetas veiks? Pasirinkite tarpinį srautą per svarbius CDN, dėl kurių blokavimas sukels pusės interneto šalyje gedimą.
Suvestinė lentelė, surūšiuota pagal atsisiuntimą
Šaltinis: www.habr.com