VPN bloku apiešanas rīku veiktspējas salīdzinājums

Tā kā mums arvien vairāk tiek liegta piekļuve dažādiem tīkla resursiem, arvien aktuālāks kļūst jautājums par bloķēšanas apiešanu, kas nozīmē, ka arvien aktuālāks kļūst jautājums “Kā ātrāk apiet bloķēšanu?”.

Atstāsim tēmu par efektivitāti saistībā ar DPI balto sarakstu apiešanu citam gadījumam un vienkārši salīdzināsim populāro bloku apiešanas rīku veiktspēju.

Uzmanību: rakstā zem spoileriem būs daudz bilžu.

Atruna: šajā rakstā ir salīdzināta populāro VPN starpniekservera risinājumu veiktspēja apstākļos, kas ir tuvu “ideālajam”. Šeit iegūtie un aprakstītie rezultāti ne vienmēr sakrīt ar jūsu rezultātiem laukos. Tā kā ātrums ātruma pārbaudē bieži vien būs atkarīgs nevis no tā, cik jaudīgs ir apvedceļa rīks, bet gan no tā, kā pakalpojumu sniedzējs to droseles.

Metodika

3 VPS tika iegādāti no mākoņa pakalpojumu sniedzēja (DO) dažādās valstīs visā pasaulē. 2 Nīderlandē, 1 Vācijā. Visproduktīvākā VPS (pēc kodolu skaita) tika izvēlēta no tām, kas bija pieejamas kontam saskaņā ar kuponu kredītu piedāvājumu.

Pirmajā holandiešu serverī ir izvietots privāts iperf3 serveris.

Otrajā holandiešu serverī pa vienam tiek izvietoti dažādi bloku apiešanas rīku serveri.

Vācu VPS ir izvietots darbvirsmas Linux attēls (xubuntu) ar VNC un virtuālo darbvirsmu. Šis VPN ir nosacīts klients, un tajā pēc kārtas tiek instalēti un palaisti dažādi VPN starpniekservera klienti.

Ātruma mērījumi tiek veikti trīs reizes, mēs koncentrējamies uz vidējo, mēs izmantojam 3 rīkus: Chromium, izmantojot tīmekļa ātruma testu; pārlūkā Chromium, izmantojot vietni fast.com; no konsoles, izmantojot iperf3, izmantojot proxychains4 (kur jums jāievieto iperf3 trafika starpniekserverī).

Tiešā savienojuma “klients”-serveris iperf3 nodrošina 2 Gbps ātrumu iperf3 un nedaudz mazāku fastspeedtest.

Ziņkārīgs lasītājs var jautāt: "kāpēc jūs neizvēlējāties speedtest-cli?" un viņam būs taisnība.

Speedtest-cli izrādījās neuzticams un neadekvāts veids, kā izmērīt caurlaidspēju man nezināmu iemeslu dēļ. Trīs secīgi mērījumi var dot trīs pilnīgi atšķirīgus rezultātus vai, piemēram, uzrādīt caurlaidspēju, kas ir daudz lielāka par mana VPS porta ātrumu. Iespējams, problēma ir manā nūjotajā rokā, taču šķita, ka nav iespējams veikt pētījumu ar šādu rīku.

Runājot par rezultātiem trim mērījumu metodēm (speedtest fastiperf), es uzskatu, ka iperf indikatori ir visprecīzākie un uzticamākie, un fastspeedtest kā atsauci. Bet daži apiešanas rīki neļāva pabeigt 3 mērījumus, izmantojot iperf3, un šādos gadījumos varat paļauties uz speedtestfast.

ātruma tests dod dažādus rezultātus

Rīkkopa

Kopumā tika pārbaudīti 24 dažādi apvedceļa instrumenti vai to kombinācijas, par katru no tiem sniegšu nelielus paskaidrojumus un savus iespaidus, strādājot ar tiem. Bet būtībā mērķis bija salīdzināt shadowsocks (un dažādu tam paredzētu obfuskatoru) openVPN un wireguard ātrumu.

Šajā materiālā es detalizēti neapspriedīšu jautājumu “kā vislabāk paslēpt trafiku, lai netiktu atvienota”, jo bloķēšanas apiešana ir reaģējošs pasākums - mēs pielāgojamies cenzora izmantotajam un rīkojamies, pamatojoties uz to.

rezultātus

Strongswanipsec

Manuprāt, to ir ļoti viegli iestatīt un tas darbojas diezgan stabili. Viena no priekšrocībām ir tā, ka tā patiešām ir starpplatformu, bez nepieciešamības meklēt klientus katrai platformai.

lejupielāde - 993 Mbit; augšupielāde - 770 Mbit

SSH tunelis

Laikam tikai slinkie nav rakstījuši par SSH izmantošanu kā tuneļa rīku. Viens no trūkumiem ir risinājuma “kruķis”, t.i. nedarbosies to izvietošana no ērta, skaista klienta katrā platformā. Priekšrocības ir laba veiktspēja, serverī vispār nekas nav jāinstalē.

lejupielāde - 1270 Mbit; augšupielāde - 1140 Mbit

OpenVPN

OpenVPN tika pārbaudīts 4 darbības režīmos: tcp, tcp+sslh, tcp+stunnel, udp.

OpenVPN serveri tika konfigurēti automātiski, instalējot streisand.

Cik var spriest, šobrīd pret uzlabotajiem DPI ir izturīgs tikai stunnel režīms. Iemesls nenormālam caurlaidspējas pieaugumam, iesaiņojot openVPN-tcp stunnel, man nav skaidrs, pārbaudes tika veiktas vairākos braucienos, dažādos laikos un dažādās dienās, rezultāts bija vienāds. Iespējams, tas ir saistīts ar tīkla steka iestatījumiem, kas instalēti, izvietojot Streisand, rakstiet, ja jums ir idejas, kāpēc tas tā ir.

openvpntcp: lejupielāde - 760 Mbits; augšupielāde - 659 Mbit

openvpntcp+sslh: lejupielāde - 794 Mbits; augšupielāde - 693 Mbit

openvpntcp+stunnel: lejupielāde - 619 Mbits; augšupielāde - 943 Mbiti

openvpnudp: lejupielāde - 756 Mbits; augšupielāde - 580 Mbit

Atveriet savienojumu

Nav vispopulārākais rīks aizsprostojumu apiešanai, tas ir iekļauts Streisand pakotnē, tāpēc nolēmām arī to pārbaudīt.

lejupielāde - 895 Mbit; augšupielādēt 715 mbps

Stiepļu sargs

Rietumu lietotāju vidū populārs hype rīks, protokola izstrādātāji pat saņēma dažas dotācijas attīstībai no aizsardzības līdzekļiem. Darbojas kā Linux kodola modulis, izmantojot UDP. Nesen ir parādījušies Windowsios klienti.

Radītājs to bija iecerējis kā vienkāršu, ātru veidu, kā skatīties Netflix, atrodoties ārpus štatiem.

Līdz ar to plusi un mīnusi. Plusi: ļoti ātrs protokols, relatīvi vienkārša uzstādīšana un konfigurēšana. Trūkumi - izstrādātājs to sākotnēji neradīja ar mērķi apiet nopietnus aizsprostojumus, un tāpēc wargard ir viegli pamanāms ar vienkāršākajiem rīkiem, t.sk. wireshark.

wireguard protokols programmā wireshark
lejupielāde - 1681 Mbit; augšupielādēt 1638 mbps

Interesanti, ka trešās puses tusafe klientā tiek izmantots warguard protokols, kas, izmantojot to pašu warguard serveri, dod daudz sliktākus rezultātus. Iespējams, ka Windows wargard klients parādīs tādus pašus rezultātus:

tunsafeclient: lejupielāde - 1007 Mbits; augšupielāde - 1366 Mbit

OutlineVPN

Outline ir Shadowox servera un klienta ieviešana ar skaistu un ērtu lietotāja interfeisu no Google finierzāģa. Operētājsistēmā Windows kontūras klients ir vienkārši shadowsocks-local (shadowsocks-libev klients) un badvpn (tun2socks binārais fails, kas novirza visu mašīnas trafiku uz lokālo socks starpniekserveri) bināro failu iesaiņojumu kopa.

Shadowsox kādreiz bija izturīgs pret Ķīnas lielo ugunsmūri, taču, pamatojoties uz jaunākajiem pārskatiem, tas vairs tā nav. Atšķirībā no ShadowSox, tas neatbalsta savienojuma izveidošanu, izmantojot spraudņus, bet to var izdarīt manuāli, sadarbojoties ar serveri un klientu.

lejupielāde - 939 Mbit; augšupielāde - 930 Mbit

Ēnu zeķesR

ShadowsocksR ir oriģinālā Shadowsocks dakša, kas rakstīta Python valodā. Būtībā tā ir ēnu kaste, kurai ir cieši piespraustas vairākas satiksmes traucēšanas metodes.

Ir dakšiņas ssR uz libev un vēl kaut ko. Zemā caurlaidspēja, iespējams, ir saistīta ar koda valodu. Sākotnējais shadowsox uz python nav daudz ātrāks.

shadowsocksR: lejupielāde 582 Mbiti; augšupielāde 541 Mbit.

Ēnas

Ķīniešu bloku apiešanas rīks, kas nejauši sadala trafiku un citos brīnišķīgos veidos traucē automātiskai analīzei. Vēl nesen GFW nebija bloķēts; viņi saka, ka tagad tas tiek bloķēts tikai tad, ja ir ieslēgts UDP relejs.

Cross-platform (ir klienti jebkurai platformai), atbalsta darbu ar PT līdzīgi kā Thor's obfuscators, ir vairāki savi vai tai pielāgoti obfuscatori, ātri.

Ir virkne shadowox klientu un serveru implementāciju dažādās valodās. Testēšanā shadowsocks-libev darbojās kā serveris, dažādi klienti. Ātrākais Linux klients izrādījās shadowsocks2, kas tika izplatīts kā noklusējuma klients streisandā, es nevaru pateikt, cik daudz produktīvāks ir shadowsocks-windows. Lielākajā daļā turpmāko testu kā klients tika izmantots shadowsocks2. Ekrānuzņēmumi, kas pārbauda tīru shadowsocks-libev, netika uzņemti šīs ieviešanas acīmredzamās nobīdes dēļ.

shadowsocks2: lejupielāde - 1876 Mbits; augšupielāde - 1981 Mbit.

shadowsocks-rust: lejupielāde - 1605 Mbits; augšupielāde - 1895 Mbit.

Shadowsocks-libev: lejupielāde - 1584 Mbits; augšupielāde - 1265 Mbit.

Vienkāršā obfs

Shadowsox spraudnis tagad ir “nolietojuma” statusā, taču joprojām darbojas (lai gan ne vienmēr labi). Lielā mērā to aizstāj v2ray spraudnis. Aizēno datplūsmu vai nu HTTP tīmekļa ligzdā (un ļauj maldināt galamērķa galveni, izliekoties, ka neskatīsities pornhub, bet, piemēram, Krievijas Federācijas konstitūcijas vietni), vai pseido-tls (pseido). , jo tas neizmanto nekādus sertifikātus, vienkāršākie DPI, piemēram, bezmaksas nDPI, tiek noteikti kā “tls no cert”. Tls režīmā vairs nav iespējams maldināt galvenes).

Diezgan ātrs, instalēts no repo ar vienu komandu, konfigurēts ļoti vienkārši, ir iebūvēta kļūmjpārlēces funkcija (kad trafika no ne-simple-obfs klienta nonāk portā, kuru klausās simple-obfs, tas pārsūta to uz adresi kur norādāt iestatījumos - piemēram, šādi Tādā veidā jūs varat izvairīties no porta 80 manuālas pārbaudes, piemēram, vienkārši novirzot uz vietni ar http, kā arī bloķējot, izmantojot savienojuma zondes).

shadowsockss-obfs-tls: lejupielāde - 1618 Mbits; augšupielāde 1971 Mbit.

shadowsockss-obfs-http: lejupielāde - 1582 Mbits; augšupielāde - 1965 Mbit.

Simple-obfs HTTP režīmā var darboties arī, izmantojot CDN reverso starpniekserveri (piemēram, cloudflare), tāpēc mūsu pakalpojumu sniedzējam trafika izskatīsies kā HTTP vienkārša teksta trafika uz cloudflare, tas ļauj mums nedaudz labāk paslēpt mūsu tuneli un plkst. vienlaikus atdaliet ieejas punktu un trafika izeju - pakalpojumu sniedzējs redz, ka jūsu trafika virzās uz CDN IP adresi, un ekstrēmistiski patīk attēli tiek ievietoti šajā brīdī no VPS IP adreses. Jāsaka, ka tieši s-obfs caur CF strādā neviennozīmīgi, periodiski neatverot, piemēram, kādus HTTP resursus. Tātad augšupielādi nebija iespējams pārbaudīt, izmantojot iperf caur shadowsockss-obfs+CF, taču, spriežot pēc ātruma testa rezultātiem, caurlaidspēja ir shadowsocksv2ray-plugin-tls+CF līmenī. Es nepievienoju ekrānuzņēmumus no iperf3, jo... Jums nevajadzētu paļauties uz tiem.

lejupielāde (ātrpārbaude) - 887; augšupielāde (ātrpārbaude) - 1154.

Lejupielādēt (iperf3) - 1625; augšupielāde (iperf3) — NA.

v2ray-spraudnis

V2ray spraudnis ir aizstājis vienkāršus obfus kā galveno “oficiālo” ss libs aptumšotāju. Atšķirībā no vienkāršajiem obfs, tas vēl nav krātuvēs, un jums ir vai nu jālejupielādē iepriekš salikts binārs vai jākompilē pats.

Atbalsta 3 darbības režīmus: noklusējuma HTTP tīmekļa ligzda (ar atbalstu galamērķa resursdatora galveņu viltošanai); tls-websocket (atšķirībā no s-obfs šī ir pilnvērtīga tls trafika, ko atpazīst jebkurš reversais starpniekservera tīmekļa serveris un, piemēram, ļauj konfigurēt tls pārtraukšanu cloudfler serveros vai nginx); quic - darbojas caur udp, bet diemžēl quic veiktspēja v2rey ir ļoti zema.

Starp priekšrocībām salīdzinājumā ar vienkāršiem obfs: spraudnis v2ray bez problēmām darbojas caur CF HTTP-websocket režīmā ar jebkuru trafiku, TLS režīmā tas ir pilnvērtīgs TLS trafiks, tā darbībai nepieciešami sertifikāti (piemēram, no Let's encrypt vai self - parakstīts).

shadowsocksv2ray-plugin-http: lejupielāde - 1404 Mbits; augšupielāde 1938 Mbiti.

shadowsocksv2ray-plugin-tls: lejupielāde - 1214 Mbits; augšupielāde 1898 Mbiti.

shadowsocksv2ray-plugin-quic: lejupielāde - 183 Mbits; augšupielāde 384 Mbit.

Kā jau teicu, v2ray var iestatīt galvenes, un tādējādi jūs varat strādāt ar to, izmantojot reverso starpniekservera CDN (piemēram, Cloudfler). No vienas puses, tas apgrūtina tuneļa noteikšanu, no otras puses, tas var nedaudz palielināt (un dažreiz arī samazināt) kavēšanos - tas viss ir atkarīgs no jūsu un serveru atrašanās vietas. CF pašlaik testē darbu ar quic, taču šis režīms vēl nav pieejams (vismaz bezmaksas kontiem).

shadowsocksv2ray-plugin-http+CF: lejupielāde - 1284 Mbits; augšupielāde 1785 Mbit.

shadowsocksv2ray-plugin-tls+CF: lejupielāde - 1261 Mbits; augšupielāde 1881 Mbit.

apmetnis

Sasmalcināšana ir GoQuiet obfuscator turpmākās attīstības rezultāts. Simulē TLS trafiku un darbojas, izmantojot TCP. Šobrīd autors ir izlaidis otro spraudņa versiju cloak-2, kas būtiski atšķiras no oriģinālā apmetņa.

Pēc izstrādātāja teiktā, spraudņa pirmajā versijā tika izmantots tls 1.2 atsākšanas sesijas mehānisms, lai izkrāptu tls galamērķa adresi. Pēc jaunās versijas (clock-2) izlaišanas visas Github wiki lapas, kurās aprakstīts šis mehānisms, tika dzēstas; pašreizējā neskaidrības šifrēšanas aprakstā tas nav minēts. Saskaņā ar autora aprakstu pirmā šķembu versija netiek izmantota, jo tajā ir “kriptovalūtas kritiskās ievainojamības”. Pārbaužu laikā bija tikai pirmā apmetņa versija, tās binārie faili joprojām atrodas Github, un bez visa pārējā kritiskās ievainojamības nav īpaši svarīgas, jo shadowsox šifrē trafiku tāpat kā bez apmetņa, un kloakam nav nekādas ietekmes uz Shadowsox kriptovalūtu.

shadowsockscoak: lejupielādēt - 1533; augšupielāde - 1970 Mbit

Kcptun

izmanto kcptun kā transportu KCP protokols un dažos īpašos gadījumos ļauj sasniegt palielinātu caurlaidspēju. Diemžēl (vai par laimi) tas lielā mērā attiecas uz lietotājiem no Ķīnas, no kuriem daži mobilo sakaru operatori spēcīgi ierobežo TCP un nepieskaras UDP.

Kcptun ir sasodīti izsalcis enerģijas avots, un tas viegli ielādē 100% 4 zion kodolus, ja tos testē 1 klients. Turklāt spraudnis ir “lēns”, un, strādājot ar iperf3, tas nepabeidz testus līdz galam. Apskatīsim ātruma pārbaudi pārlūkprogrammā.

shadowsockskcptun: lejupielāde (speedtest) - 546 Mbits; augšupielāde (ātruma pārbaude) 854 Mbit.

Secinājums

Vai jums ir nepieciešams vienkāršs, ātrs VPN, lai apturētu trafiku no visas ierīces? Tad jūsu izvēle ir aizsargs. Vai vēlaties starpniekserverus (selektīvai tunelēšanai vai virtuālo personu plūsmu atdalīšanai), vai arī jums ir svarīgāk novērst trafiku no nopietnas bloķēšanas? Pēc tam apskatiet shadowbox ar tlshttp obfuscation. Vai vēlaties būt pārliecināts, ka jūsu internets darbosies tik ilgi, kamēr internets vispār darbosies? Izvēlieties starpniekserveri trafiku, izmantojot svarīgus CDN, kuru bloķēšana novedīs pie puses interneta neveiksmes valstī.

Rakurstabula, sakārtota pēc lejupielādes

Avots: www.habr.com