TÄ kÄ mums arvien vairÄk tiek liegta piekļuve dažÄdiem tÄ«kla resursiem, arvien aktuÄlÄks kļūst jautÄjums par bloÄ·ÄÅ”anas apieÅ”anu, kas nozÄ«mÄ, ka arvien aktuÄlÄks kļūst jautÄjums āKÄ ÄtrÄk apiet bloÄ·ÄÅ”anu?ā.
AtstÄsim tÄmu par efektivitÄti saistÄ«bÄ ar DPI balto sarakstu apieÅ”anu citam gadÄ«jumam un vienkÄrÅ”i salÄ«dzinÄsim populÄro bloku apieÅ”anas rÄ«ku veiktspÄju.
UzmanÄ«bu: rakstÄ zem spoileriem bÅ«s daudz bilžu.
Atruna: Å”ajÄ rakstÄ ir salÄ«dzinÄta populÄro VPN starpniekservera risinÄjumu veiktspÄja apstÄkļos, kas ir tuvu āideÄlajamā. Å eit iegÅ«tie un aprakstÄ«tie rezultÄti ne vienmÄr sakrÄ«t ar jÅ«su rezultÄtiem laukos. TÄ kÄ Ätrums Ätruma pÄrbaudÄ bieži vien bÅ«s atkarÄ«gs nevis no tÄ, cik jaudÄ«gs ir apvedceļa rÄ«ks, bet gan no tÄ, kÄ pakalpojumu sniedzÄjs to droseles.
Metodika
3 VPS tika iegÄdÄti no mÄkoÅa pakalpojumu sniedzÄja (DO) dažÄdÄs valstÄ«s visÄ pasaulÄ. 2 NÄ«derlandÄ, 1 VÄcijÄ. VisproduktÄ«vÄkÄ VPS (pÄc kodolu skaita) tika izvÄlÄta no tÄm, kas bija pieejamas kontam saskaÅÄ ar kuponu kredÄ«tu piedÄvÄjumu.
PirmajÄ holandieÅ”u serverÄ« ir izvietots privÄts iperf3 serveris.
OtrajÄ holandieÅ”u serverÄ« pa vienam tiek izvietoti dažÄdi bloku apieÅ”anas rÄ«ku serveri.
VÄcu VPS ir izvietots darbvirsmas Linux attÄls (xubuntu) ar VNC un virtuÄlo darbvirsmu. Å is VPN ir nosacÄ«ts klients, un tajÄ pÄc kÄrtas tiek instalÄti un palaisti dažÄdi VPN starpniekservera klienti.
Ätruma mÄrÄ«jumi tiek veikti trÄ«s reizes, mÄs koncentrÄjamies uz vidÄjo, mÄs izmantojam 3 rÄ«kus: Chromium, izmantojot tÄ«mekļa Ätruma testu; pÄrlÅ«kÄ Chromium, izmantojot vietni fast.com; no konsoles, izmantojot iperf3, izmantojot proxychains4 (kur jums jÄievieto iperf3 trafika starpniekserverÄ«).
TieÅ”Ä savienojuma āklientsā-serveris iperf3 nodroÅ”ina 2 Gbps Ätrumu iperf3 un nedaudz mazÄku fastspeedtest.
ZiÅkÄrÄ«gs lasÄ«tÄjs var jautÄt: "kÄpÄc jÅ«s neizvÄlÄjÄties speedtest-cli?" un viÅam bÅ«s taisnÄ«ba.
Speedtest-cli izrÄdÄ«jÄs neuzticams un neadekvÄts veids, kÄ izmÄrÄ«t caurlaidspÄju man nezinÄmu iemeslu dÄļ. TrÄ«s secÄ«gi mÄrÄ«jumi var dot trÄ«s pilnÄ«gi atŔķirÄ«gus rezultÄtus vai, piemÄram, uzrÄdÄ«t caurlaidspÄju, kas ir daudz lielÄka par mana VPS porta Ätrumu. IespÄjams, problÄma ir manÄ nÅ«jotajÄ rokÄ, taÄu Ŕķita, ka nav iespÄjams veikt pÄtÄ«jumu ar Å”Ädu rÄ«ku.
RunÄjot par rezultÄtiem trim mÄrÄ«jumu metodÄm (speedtest fastiperf), es uzskatu, ka iperf indikatori ir visprecÄ«zÄkie un uzticamÄkie, un fastspeedtest kÄ atsauci. Bet daži apieÅ”anas rÄ«ki neļÄva pabeigt 3 mÄrÄ«jumus, izmantojot iperf3, un Å”Ädos gadÄ«jumos varat paļauties uz speedtestfast.
Ätruma tests dod dažÄdus rezultÄtus
RÄ«kkopa
KopumÄ tika pÄrbaudÄ«ti 24 dažÄdi apvedceļa instrumenti vai to kombinÄcijas, par katru no tiem sniegÅ”u nelielus paskaidrojumus un savus iespaidus, strÄdÄjot ar tiem. Bet bÅ«tÄ«bÄ mÄrÄ·is bija salÄ«dzinÄt shadowsocks (un dažÄdu tam paredzÄtu obfuskatoru) openVPN un wireguard Ätrumu.
Å ajÄ materiÄlÄ es detalizÄti neapspriedÄ«Å”u jautÄjumu ākÄ vislabÄk paslÄpt trafiku, lai netiktu atvienotaā, jo bloÄ·ÄÅ”anas apieÅ”ana ir reaÄ£ÄjoÅ”s pasÄkums - mÄs pielÄgojamies cenzora izmantotajam un rÄ«kojamies, pamatojoties uz to.
rezultÄtus
Strongswanipsec
ManuprÄt, to ir ļoti viegli iestatÄ«t un tas darbojas diezgan stabili. Viena no priekÅ”rocÄ«bÄm ir tÄ, ka tÄ patieÅ”Äm ir starpplatformu, bez nepiecieÅ”amÄ«bas meklÄt klientus katrai platformai.
lejupielÄde - 993 Mbit; augÅ”upielÄde - 770 Mbit
SSH tunelis
Laikam tikai slinkie nav rakstÄ«juÅ”i par SSH izmantoÅ”anu kÄ tuneļa rÄ«ku. Viens no trÅ«kumiem ir risinÄjuma ākruÄ·isā, t.i. nedarbosies to izvietoÅ”ana no Ärta, skaista klienta katrÄ platformÄ. PriekÅ”rocÄ«bas ir laba veiktspÄja, serverÄ« vispÄr nekas nav jÄinstalÄ.
lejupielÄde - 1270 Mbit; augÅ”upielÄde - 1140 Mbit
OpenVPN
OpenVPN tika pÄrbaudÄ«ts 4 darbÄ«bas režīmos: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN serveri tika konfigurÄti automÄtiski, instalÄjot streisand.
Cik var spriest, Å”obrÄ«d pret uzlabotajiem DPI ir izturÄ«gs tikai stunnel režīms. Iemesls nenormÄlam caurlaidspÄjas pieaugumam, iesaiÅojot openVPN-tcp stunnel, man nav skaidrs, pÄrbaudes tika veiktas vairÄkos braucienos, dažÄdos laikos un dažÄdÄs dienÄs, rezultÄts bija vienÄds. IespÄjams, tas ir saistÄ«ts ar tÄ«kla steka iestatÄ«jumiem, kas instalÄti, izvietojot Streisand, rakstiet, ja jums ir idejas, kÄpÄc tas tÄ ir.
openvpntcp: lejupielÄde - 760 Mbits; augÅ”upielÄde - 659 Mbit
openvpntcp+sslh: lejupielÄde - 794 Mbits; augÅ”upielÄde - 693 Mbit
openvpntcp+stunnel: lejupielÄde - 619 Mbits; augÅ”upielÄde - 943 Mbiti
openvpnudp: lejupielÄde - 756 Mbits; augÅ”upielÄde - 580 Mbit
Atveriet savienojumu
Nav vispopulÄrÄkais rÄ«ks aizsprostojumu apieÅ”anai, tas ir iekļauts Streisand pakotnÄ, tÄpÄc nolÄmÄm arÄ« to pÄrbaudÄ«t.
lejupielÄde - 895 Mbit; augÅ”upielÄdÄt 715 mbps
Stiepļu sargs
Rietumu lietotÄju vidÅ« populÄrs hype rÄ«ks, protokola izstrÄdÄtÄji pat saÅÄma dažas dotÄcijas attÄ«stÄ«bai no aizsardzÄ«bas lÄ«dzekļiem. Darbojas kÄ Linux kodola modulis, izmantojot UDP. Nesen ir parÄdÄ«juÅ”ies Windowsios klienti.
RadÄ«tÄjs to bija iecerÄjis kÄ vienkÄrÅ”u, Ätru veidu, kÄ skatÄ«ties Netflix, atrodoties Ärpus Å”tatiem.
LÄ«dz ar to plusi un mÄ«nusi. Plusi: ļoti Ätrs protokols, relatÄ«vi vienkÄrÅ”a uzstÄdÄ«Å”ana un konfigurÄÅ”ana. TrÅ«kumi - izstrÄdÄtÄjs to sÄkotnÄji neradÄ«ja ar mÄrÄ·i apiet nopietnus aizsprostojumus, un tÄpÄc wargard ir viegli pamanÄms ar vienkÄrÅ”Äkajiem rÄ«kiem, t.sk. wireshark.
wireguard protokols programmÄ wireshark
lejupielÄde - 1681 Mbit; augÅ”upielÄdÄt 1638 mbps
Interesanti, ka treÅ”Äs puses tusafe klientÄ tiek izmantots warguard protokols, kas, izmantojot to paÅ”u warguard serveri, dod daudz sliktÄkus rezultÄtus. IespÄjams, ka Windows wargard klients parÄdÄ«s tÄdus paÅ”us rezultÄtus:
tunsafeclient: lejupielÄde - 1007 Mbits; augÅ”upielÄde - 1366 Mbit
OutlineVPN
Outline ir Shadowox servera un klienta ievieÅ”ana ar skaistu un Ärtu lietotÄja interfeisu no Google finierzÄÄ£a. OperÄtÄjsistÄmÄ Windows kontÅ«ras klients ir vienkÄrÅ”i shadowsocks-local (shadowsocks-libev klients) un badvpn (tun2socks binÄrais fails, kas novirza visu maŔīnas trafiku uz lokÄlo socks starpniekserveri) binÄro failu iesaiÅojumu kopa.
Shadowsox kÄdreiz bija izturÄ«gs pret Ķīnas lielo ugunsmÅ«ri, taÄu, pamatojoties uz jaunÄkajiem pÄrskatiem, tas vairs tÄ nav. AtŔķirÄ«bÄ no ShadowSox, tas neatbalsta savienojuma izveidoÅ”anu, izmantojot spraudÅus, bet to var izdarÄ«t manuÄli, sadarbojoties ar serveri un klientu.
lejupielÄde - 939 Mbit; augÅ”upielÄde - 930 Mbit
Änu zeÄ·esR
ShadowsocksR ir oriÄ£inÄlÄ Shadowsocks dakÅ”a, kas rakstÄ«ta Python valodÄ. BÅ«tÄ«bÄ tÄ ir Änu kaste, kurai ir cieÅ”i piespraustas vairÄkas satiksmes traucÄÅ”anas metodes.
Ir dakÅ”iÅas ssR uz libev un vÄl kaut ko. ZemÄ caurlaidspÄja, iespÄjams, ir saistÄ«ta ar koda valodu. SÄkotnÄjais shadowsox uz python nav daudz ÄtrÄks.
shadowsocksR: lejupielÄde 582 Mbiti; augÅ”upielÄde 541 Mbit.
Änas
ĶīnieÅ”u bloku apieÅ”anas rÄ«ks, kas nejauÅ”i sadala trafiku un citos brÄ«niŔķīgos veidos traucÄ automÄtiskai analÄ«zei. VÄl nesen GFW nebija bloÄ·Äts; viÅi saka, ka tagad tas tiek bloÄ·Äts tikai tad, ja ir ieslÄgts UDP relejs.
Cross-platform (ir klienti jebkurai platformai), atbalsta darbu ar PT lÄ«dzÄ«gi kÄ Thor's obfuscators, ir vairÄki savi vai tai pielÄgoti obfuscatori, Ätri.
Ir virkne shadowox klientu un serveru implementÄciju dažÄdÄs valodÄs. TestÄÅ”anÄ shadowsocks-libev darbojÄs kÄ serveris, dažÄdi klienti. ÄtrÄkais Linux klients izrÄdÄ«jÄs shadowsocks2, kas tika izplatÄ«ts kÄ noklusÄjuma klients streisandÄ, es nevaru pateikt, cik daudz produktÄ«vÄks ir shadowsocks-windows. LielÄkajÄ daÄ¼Ä turpmÄko testu kÄ klients tika izmantots shadowsocks2. EkrÄnuzÅÄmumi, kas pÄrbauda tÄ«ru shadowsocks-libev, netika uzÅemti Ŕīs ievieÅ”anas acÄ«mredzamÄs nobÄ«des dÄļ.
shadowsocks2: lejupielÄde - 1876 Mbits; augÅ”upielÄde - 1981 Mbit.
shadowsocks-rust: lejupielÄde - 1605 Mbits; augÅ”upielÄde - 1895 Mbit.
Shadowsocks-libev: lejupielÄde - 1584 Mbits; augÅ”upielÄde - 1265 Mbit.
VienkÄrÅ”Ä obfs
Shadowsox spraudnis tagad ir ānolietojumaā statusÄ, taÄu joprojÄm darbojas (lai gan ne vienmÄr labi). LielÄ mÄrÄ to aizstÄj v2ray spraudnis. AizÄno datplÅ«smu vai nu HTTP tÄ«mekļa ligzdÄ (un ļauj maldinÄt galamÄrÄ·a galveni, izliekoties, ka neskatÄ«sities pornhub, bet, piemÄram, Krievijas FederÄcijas konstitÅ«cijas vietni), vai pseido-tls (pseido). , jo tas neizmanto nekÄdus sertifikÄtus, vienkÄrÅ”Äkie DPI, piemÄram, bezmaksas nDPI, tiek noteikti kÄ ātls no certā. Tls režīmÄ vairs nav iespÄjams maldinÄt galvenes).
Diezgan Ätrs, instalÄts no repo ar vienu komandu, konfigurÄts ļoti vienkÄrÅ”i, ir iebÅ«vÄta kļūmjpÄrlÄces funkcija (kad trafika no ne-simple-obfs klienta nonÄk portÄ, kuru klausÄs simple-obfs, tas pÄrsÅ«ta to uz adresi kur norÄdÄt iestatÄ«jumos - piemÄram, Å”Ädi TÄdÄ veidÄ jÅ«s varat izvairÄ«ties no porta 80 manuÄlas pÄrbaudes, piemÄram, vienkÄrÅ”i novirzot uz vietni ar http, kÄ arÄ« bloÄ·Äjot, izmantojot savienojuma zondes).
shadowsockss-obfs-tls: lejupielÄde - 1618 Mbits; augÅ”upielÄde 1971 Mbit.
shadowsockss-obfs-http: lejupielÄde - 1582 Mbits; augÅ”upielÄde - 1965 Mbit.
Simple-obfs HTTP režīmÄ var darboties arÄ«, izmantojot CDN reverso starpniekserveri (piemÄram, cloudflare), tÄpÄc mÅ«su pakalpojumu sniedzÄjam trafika izskatÄ«sies kÄ HTTP vienkÄrÅ”a teksta trafika uz cloudflare, tas ļauj mums nedaudz labÄk paslÄpt mÅ«su tuneli un plkst. vienlaikus atdaliet ieejas punktu un trafika izeju - pakalpojumu sniedzÄjs redz, ka jÅ«su trafika virzÄs uz CDN IP adresi, un ekstrÄmistiski patÄ«k attÄli tiek ievietoti Å”ajÄ brÄ«dÄ« no VPS IP adreses. JÄsaka, ka tieÅ”i s-obfs caur CF strÄdÄ neviennozÄ«mÄ«gi, periodiski neatverot, piemÄram, kÄdus HTTP resursus. TÄtad augÅ”upielÄdi nebija iespÄjams pÄrbaudÄ«t, izmantojot iperf caur shadowsockss-obfs+CF, taÄu, spriežot pÄc Ätruma testa rezultÄtiem, caurlaidspÄja ir shadowsocksv2ray-plugin-tls+CF lÄ«menÄ«. Es nepievienoju ekrÄnuzÅÄmumus no iperf3, jo... Jums nevajadzÄtu paļauties uz tiem.
lejupielÄde (ÄtrpÄrbaude) - 887; augÅ”upielÄde (ÄtrpÄrbaude) - 1154.
LejupielÄdÄt (iperf3) - 1625; augÅ”upielÄde (iperf3) ā NA.
v2ray-spraudnis
V2ray spraudnis ir aizstÄjis vienkÄrÅ”us obfus kÄ galveno āoficiÄloā ss libs aptumÅ”otÄju. AtŔķirÄ«bÄ no vienkÄrÅ”ajiem obfs, tas vÄl nav krÄtuvÄs, un jums ir vai nu jÄlejupielÄdÄ iepriekÅ” salikts binÄrs vai jÄkompilÄ pats.
Atbalsta 3 darbÄ«bas režīmus: noklusÄjuma HTTP tÄ«mekļa ligzda (ar atbalstu galamÄrÄ·a resursdatora galveÅu viltoÅ”anai); tls-websocket (atŔķirÄ«bÄ no s-obfs Ŕī ir pilnvÄrtÄ«ga tls trafika, ko atpazÄ«st jebkurÅ” reversais starpniekservera tÄ«mekļa serveris un, piemÄram, ļauj konfigurÄt tls pÄrtraukÅ”anu cloudfler serveros vai nginx); quic - darbojas caur udp, bet diemžÄl quic veiktspÄja v2rey ir ļoti zema.
Starp priekÅ”rocÄ«bÄm salÄ«dzinÄjumÄ ar vienkÄrÅ”iem obfs: spraudnis v2ray bez problÄmÄm darbojas caur CF HTTP-websocket režīmÄ ar jebkuru trafiku, TLS režīmÄ tas ir pilnvÄrtÄ«gs TLS trafiks, tÄ darbÄ«bai nepiecieÅ”ami sertifikÄti (piemÄram, no Let's encrypt vai self - parakstÄ«ts).
shadowsocksv2ray-plugin-http: lejupielÄde - 1404 Mbits; augÅ”upielÄde 1938 Mbiti.
shadowsocksv2ray-plugin-tls: lejupielÄde - 1214 Mbits; augÅ”upielÄde 1898 Mbiti.
shadowsocksv2ray-plugin-quic: lejupielÄde - 183 Mbits; augÅ”upielÄde 384 Mbit.
KÄ jau teicu, v2ray var iestatÄ«t galvenes, un tÄdÄjÄdi jÅ«s varat strÄdÄt ar to, izmantojot reverso starpniekservera CDN (piemÄram, Cloudfler). No vienas puses, tas apgrÅ«tina tuneļa noteikÅ”anu, no otras puses, tas var nedaudz palielinÄt (un dažreiz arÄ« samazinÄt) kavÄÅ”anos - tas viss ir atkarÄ«gs no jÅ«su un serveru atraÅ”anÄs vietas. CF paÅ”laik testÄ darbu ar quic, taÄu Å”is režīms vÄl nav pieejams (vismaz bezmaksas kontiem).
shadowsocksv2ray-plugin-http+CF: lejupielÄde - 1284 Mbits; augÅ”upielÄde 1785 Mbit.
shadowsocksv2ray-plugin-tls+CF: lejupielÄde - 1261 Mbits; augÅ”upielÄde 1881 Mbit.
apmetnis
SasmalcinÄÅ”ana ir GoQuiet obfuscator turpmÄkÄs attÄ«stÄ«bas rezultÄts. SimulÄ TLS trafiku un darbojas, izmantojot TCP. Å obrÄ«d autors ir izlaidis otro spraudÅa versiju cloak-2, kas bÅ«tiski atŔķiras no oriÄ£inÄlÄ apmetÅa.
PÄc izstrÄdÄtÄja teiktÄ, spraudÅa pirmajÄ versijÄ tika izmantots tls 1.2 atsÄkÅ”anas sesijas mehÄnisms, lai izkrÄptu tls galamÄrÄ·a adresi. PÄc jaunÄs versijas (clock-2) izlaiÅ”anas visas Github wiki lapas, kurÄs aprakstÄ«ts Å”is mehÄnisms, tika dzÄstas; paÅ”reizÄjÄ neskaidrÄ«bas Å”ifrÄÅ”anas aprakstÄ tas nav minÄts. SaskaÅÄ ar autora aprakstu pirmÄ Å”Ä·embu versija netiek izmantota, jo tajÄ ir ākriptovalÅ«tas kritiskÄs ievainojamÄ«basā. PÄrbaužu laikÄ bija tikai pirmÄ apmetÅa versija, tÄs binÄrie faili joprojÄm atrodas Github, un bez visa pÄrÄjÄ kritiskÄs ievainojamÄ«bas nav Ä«paÅ”i svarÄ«gas, jo shadowsox Å”ifrÄ trafiku tÄpat kÄ bez apmetÅa, un kloakam nav nekÄdas ietekmes uz Shadowsox kriptovalÅ«tu.
shadowsockscoak: lejupielÄdÄt - 1533; augÅ”upielÄde - 1970 Mbit
Kcptun
izmanto kcptun kÄ transportu
Kcptun ir sasodÄ«ti izsalcis enerÄ£ijas avots, un tas viegli ielÄdÄ 100% 4 zion kodolus, ja tos testÄ 1 klients. TurklÄt spraudnis ir ālÄnsā, un, strÄdÄjot ar iperf3, tas nepabeidz testus lÄ«dz galam. ApskatÄ«sim Ätruma pÄrbaudi pÄrlÅ«kprogrammÄ.
shadowsockskcptun: lejupielÄde (speedtest) - 546 Mbits; augÅ”upielÄde (Ätruma pÄrbaude) 854 Mbit.
SecinÄjums
Vai jums ir nepiecieÅ”ams vienkÄrÅ”s, Ätrs VPN, lai apturÄtu trafiku no visas ierÄ«ces? Tad jÅ«su izvÄle ir aizsargs. Vai vÄlaties starpniekserverus (selektÄ«vai tunelÄÅ”anai vai virtuÄlo personu plÅ«smu atdalÄ«Å”anai), vai arÄ« jums ir svarÄ«gÄk novÄrst trafiku no nopietnas bloÄ·ÄÅ”anas? PÄc tam apskatiet shadowbox ar tlshttp obfuscation. Vai vÄlaties bÅ«t pÄrliecinÄts, ka jÅ«su internets darbosies tik ilgi, kamÄr internets vispÄr darbosies? IzvÄlieties starpniekserveri trafiku, izmantojot svarÄ«gus CDN, kuru bloÄ·ÄÅ”ana novedÄ«s pie puses interneta neveiksmes valstÄ«.
Rakurstabula, sakÄrtota pÄc lejupielÄdes
Avots: www.habr.com