Outline-ss-server 1.4 starpniekserveris ir izlaists, izmantojot Shadowsocks protokolu, lai slēptu trafika raksturu, apietu ugunsmūrus un viltus pakešu pārbaudes sistēmas. Serveri izstrādā Outline projekts, kas papildus nodrošina klienta lietojumprogrammu saistīšanu un vadības interfeisu, kas ļauj ātri izvietot outline-ss-server balstītus vairāku lietotāju Shadowsocks serverus publiskās mākoņa vidēs vai savā iekārtā, pārvaldīt tos, izmantojot tīmekļa saskarni, un organizēt lietotāja piekļuvi, izmantojot taustiņus. Kodu izstrādā un uztur Jigsaw — Google nodaļa, kas izveidota, lai izstrādātu rīkus cenzūras apiešanai un brīvas informācijas apmaiņas organizēšanai.
Outline-ss-server ir rakstīts Go un izplatīts saskaņā ar Apache 2.0 licenci. Par pamatu tiek izmantots Go-shadowsocks2 starpniekservera kods, ko izveidojusi Shadowsocks izstrādātāju kopiena. Pēdējā laikā Shadowsocks projekta galvenā darbība ir vērsta uz jauna servera izstrādi Rust valodā, un Go implementācija nav atjaunināta vairāk nekā gadu un manāmi atpaliek no funkcionalitātes.
Atšķirības starp outline-ss-server un go-shadowsocks2 ir saistītas ar atbalstu vairāku lietotāju savienošanai, izmantojot vienu tīkla portu, iespēju atvērt vairākus tīkla portus, lai saņemtu savienojumus, karstās restartēšanas atbalstu un konfigurācijas atjauninājumus, nepārtraucot savienojumus, iebūvētu uzraudzību. un satiksmes modifikācijas rīki, kuru pamatā ir Prometheus platforma .io.
Outline-ss-serveris arī papildina aizsardzību pret izmeklēšanas pieprasījumiem un trafika atkārtošanas uzbrukumiem. Uzbrukums, izmantojot pārbaudes pieprasījumus, ir paredzēts, lai noteiktu starpniekservera klātbūtni, piemēram, uzbrucējs var nosūtīt dažāda lieluma datu kopas mērķa Shadowsocks serverim un analizēt, cik daudz datu serveris nolasīs pirms kļūdas noteikšanas un savienojuma aizvēršanas. Atkārtošanas uzbrukuma pamatā ir sesijas nolaupīšana starp klientu un serveri un pēc tam mēģinājums atkārtoti nosūtīt nolaupītos datus, lai noteiktu, vai pastāv starpniekserveris.
Lai aizsargātos pret uzbrukumiem, izmantojot pārbaudes pieprasījumus, outline-ss-servera serveris, kad tiek saņemti nepareizi dati, nepārtrauc savienojumu un nerāda kļūdu, bet turpina saņemt informāciju, darbojoties kā sava veida melnais caurums. Lai aizsargātu pret atkārtošanu, no klienta saņemtie dati tiek papildus pārbaudīti, vai nav atkārtojumu, izmantojot kontrolsummas, kas saglabātas par pēdējiem pāris tūkstošiem rokasspiedienu secību (maksimums 40 tūkstoši, lielums tiek iestatīts servera startēšanas laikā un patērē 20 baitus atmiņas katrai secībai). Lai bloķētu atkārtotas atbildes no servera, visās servera rokasspiedienu secībās tiek izmantoti HMAC autentifikācijas kodi ar 32 bitu tagiem.
Trafika slēpšanas līmeņa ziņā Shadowsocks protokols outline-ss-servera implementācijā ir tuvu Obfs4 pievienojamajam transportam anonīmajā Tor tīklā. Protokols tika izveidots, lai apietu Ķīnas trafika cenzēšanas sistēmu ("Lielais Ķīnas ugunsmūris") un ļauj diezgan efektīvi slēpt caur citu serveri pārsūtīto trafiku (datplūsmu ir problemātiski identificēt, jo ir pievienota nejauša sēkla un simulēta nepārtraukta straume).
SOCKS5 tiek izmantots kā starpniekservera pieprasījumu protokols - lokālajā sistēmā tiek palaists starpniekserveris ar SOCKS5 atbalstu, kas pārvada trafiku uz attālo serveri, no kura faktiski tiek izpildīti pieprasījumi. Trafika starp klientu un serveri tiek ievietota šifrētā tunelī (tiek atbalstīta autentificēta šifrēšana AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM un AEAD_AES_256_GCM), kura izveides fakta slēpšana ir Shadowsocks primārais uzdevums. Tiek atbalstīta TCP un UDP tunelēšana, kā arī patvaļīgu tuneļu izveide, neaprobežojoties ar SOCKS5, izmantojot spraudņus, kas atgādina pievienojamu transportēšanu Tor.
Avots: opennet.ru