Memandangkan kami semakin dinafikan akses kepada pelbagai sumber pada rangkaian, isu memintas menyekat menjadi semakin mendesak, yang bermaksud bahawa soalan "Bagaimana untuk memintas menyekat dengan lebih cepat?" menjadi semakin relevan.
Mari tinggalkan topik kecekapan dari segi memintas senarai putih DPI untuk kes lain, dan hanya membandingkan prestasi alat pintasan blok yang popular.
Perhatian: Akan ada banyak gambar di bawah spoiler dalam artikel itu.
Penafian: artikel ini membandingkan prestasi penyelesaian proksi VPN yang popular di bawah keadaan yang hampir "ideal". Keputusan yang diperoleh dan diterangkan di sini tidak semestinya bertepatan dengan keputusan anda dalam bidang. Kerana nombor dalam ujian kelajuan selalunya bergantung bukan pada seberapa kuat alat pintasan itu, tetapi pada cara pembekal anda mendikitnya.
Metodologi
3 VPS telah dibeli daripada pembekal awan (DO) di negara yang berbeza di seluruh dunia. 2 di Belanda, 1 di Jerman. VPS yang paling produktif (mengikut bilangan teras) telah dipilih daripada yang tersedia untuk akaun di bawah tawaran untuk kredit kupon.
Pelayan iperf3 peribadi digunakan pada pelayan Belanda pertama.
Pada pelayan Belanda kedua, pelbagai pelayan alat pintasan blok digunakan satu demi satu.
Imej Linux desktop (xubuntu) dengan VNC dan desktop maya digunakan pada VPS Jerman. VPN ini ialah klien bersyarat, dan pelbagai klien proksi VPN dipasang dan dilancarkan padanya secara bergilir.
Pengukuran kelajuan dijalankan tiga kali, kami memberi tumpuan kepada purata, kami menggunakan 3 alat: dalam Chromium melalui ujian kelajuan web; dalam Chromium melalui fast.com; daripada konsol melalui iperf3 melalui proxychains4 (di mana anda perlu meletakkan trafik iperf3 ke dalam proksi).
Sambungan langsung "klien" -pelayan iperf3 memberikan kelajuan 2 Gbps dalam iperf3, dan sedikit kurang dalam fastspeedtest.
Pembaca yang ingin tahu mungkin bertanya, "mengapa anda tidak memilih speedtest-cli?" dan dia akan betul.
Speedtest-cli ternyata tidak boleh dipercayai dan cara yang tidak mencukupi untuk mengukur daya pengeluaran, atas sebab-sebab yang tidak saya ketahui. Tiga ukuran berturut-turut boleh memberikan tiga hasil yang sama sekali berbeza, atau sebagai contoh menunjukkan daya pengeluaran jauh lebih tinggi daripada kelajuan port VPS saya. Mungkin masalahnya adalah tangan saya yang berpukul, tetapi nampaknya mustahil untuk menjalankan penyelidikan dengan alat sedemikian.
Bagi keputusan bagi tiga kaedah pengukuran (speedtest fastiperf), saya menganggap penunjuk iperf adalah yang paling tepat dan boleh dipercayai, dan fastspeedtest sebagai rujukan. Tetapi beberapa alat pintasan tidak membenarkan melengkapkan 3 pengukuran melalui iperf3 dan dalam kes sedemikian, anda boleh bergantung pada speedtestfast.
ujian kelajuan memberikan keputusan yang berbeza
Alat
Secara keseluruhan, 24 alat pintasan berbeza atau gabungannya telah diuji, untuk setiap satu daripadanya saya akan memberikan penjelasan kecil dan tanggapan saya bekerja dengannya. Tetapi pada asasnya, matlamatnya adalah untuk membandingkan kelajuan shadowsocks (dan sekumpulan obfuscators berbeza untuknya) openVPN dan wireguard.
Dalam bahan ini, saya tidak akan membincangkan secara terperinci persoalan "cara terbaik untuk menyembunyikan trafik agar tidak terputus," kerana memintas menyekat adalah langkah reaktif - kami menyesuaikan diri dengan perkara yang digunakan oleh penapis dan bertindak atas dasar ini.
Penemuan
Strongswanipsek
Dalam tanggapan saya, ia sangat mudah untuk disediakan dan berfungsi dengan agak stabil. Salah satu kelebihannya ialah ia benar-benar merentas platform, tanpa perlu mencari pelanggan untuk setiap platform.
muat turun - 993 bit; muat naik - 770 bit
terowong SSH
Mungkin hanya mereka yang malas yang belum menulis tentang menggunakan SSH sebagai alat terowong. Kelemahannya ialah penyelesaiannya adalah tongkat, i.e. mengerahkannya daripada pelanggan yang mudah dan cantik pada setiap platform tidak akan berfungsi. Kelebihannya adalah prestasi yang baik, tidak perlu memasang apa-apa pada pelayan sama sekali.
muat turun - 1270 bit; muat naik - 1140 bit
OpenVPN
OpenVPN telah diuji dalam 4 mod pengendalian: tcp, tcp+sslh, tcp+stunnel, udp.
Pelayan OpenVPN telah dikonfigurasikan secara automatik dengan memasang streisand.
Setakat yang boleh dinilai, pada masa ini hanya mod stunnel yang tahan terhadap DPI lanjutan. Sebab peningkatan luar biasa dalam daya pemprosesan semasa membungkus openVPN-tcp dalam stunnel tidak jelas kepada saya, semakan dilakukan dalam beberapa larian, pada masa yang berbeza dan pada hari yang berbeza, hasilnya adalah sama. Mungkin ini disebabkan oleh tetapan tindanan rangkaian yang dipasang semasa menggunakan Streisand, tulis jika anda mempunyai sebarang idea mengapa ini berlaku.
openvpntcp: muat turun - 760 mbits; muat naik - 659 bit
openvpntcp+sslh: muat turun - 794 mbits; muat naik - 693 bit
openvpntcp+stunnel: muat turun - 619 mbits; muat naik - 943 bit
openvpnudp: muat turun - 756 mbits; muat naik - 580 bit
Openconnect
Bukan alat yang paling popular untuk memintas sekatan, ia termasuk dalam pakej Streisand, jadi kami memutuskan untuk mengujinya juga.
muat turun - 895 bit; muat naik 715 mbps
Pengawal Wire
Alat gembar-gembur yang popular di kalangan pengguna Barat, pembangun protokol itu malah menerima beberapa geran untuk pembangunan daripada dana pertahanan. Berfungsi sebagai modul kernel Linux melalui UDP. Baru-baru ini, pelanggan untuk windowsios telah muncul.
Ia difikirkan oleh pencipta sebagai cara yang mudah dan pantas untuk menonton Netflix semasa tidak berada di negeri.
Oleh itu kebaikan dan keburukan. Kelebihan: protokol yang sangat pantas, kemudahan pemasangan dan konfigurasi relatif. Kelemahan - pembangun pada mulanya tidak menciptanya dengan matlamat untuk memintas sekatan yang serius, dan oleh itu wargard mudah dikesan oleh alat yang paling mudah, termasuk. wireshark.
protokol wireguard dalam wireshark
muat turun - 1681 bit; muat naik 1638 mbps
Menariknya, protokol warguard digunakan dalam klien tunsafe pihak ketiga, yang, apabila digunakan dengan pelayan warguard yang sama, memberikan hasil yang lebih buruk. Kemungkinan klien wargard Windows akan menunjukkan hasil yang sama:
tunsafeclient: muat turun - 1007 mbits; muat naik - 1366 bit
OutlineVPN
Outline ialah pelaksanaan pelayan dan pelanggan shadowox dengan antara muka pengguna yang cantik dan mudah daripada jigsaw Google. Dalam Windows, klien garis besar hanyalah satu set pembalut untuk perduaan shadowsocks-local (klien shadowsocks-libev) dan badvpn (binari tun2socks yang mengarahkan semua trafik mesin ke proksi stoking tempatan).
Shadowsox pernah tahan terhadap Great Firewall of China, tetapi berdasarkan ulasan terbaru, ini tidak lagi berlaku. Tidak seperti ShadowSox, di luar kotak ia tidak menyokong penyambungan kekeliruan melalui pemalam, tetapi ini boleh dilakukan secara manual dengan bermain-main dengan pelayan dan pelanggan.
muat turun - 939 bit; muat naik - 930 bit
ShadowsocksR
ShadowsocksR ialah garpu daripada Shadowsocks asal, yang ditulis dalam Python. Pada dasarnya, ia adalah kotak bayangan di mana beberapa kaedah pengeliruan lalu lintas disematkan dengan ketat.
Terdapat garpu ssR ke libev dan sesuatu yang lain. Daya pengeluaran yang rendah mungkin disebabkan oleh bahasa kod. Shadowsox asal pada python tidak jauh lebih pantas.
shadowsocksR: muat turun 582 mbits; muat naik 541 bit.
Shadowsocks
Alat pintasan blok Cina yang merawak trafik dan mengganggu analisis automatik dengan cara lain yang menarik. Sehingga baru-baru ini, GFW tidak disekat; mereka mengatakan bahawa kini ia disekat hanya jika geganti UDP dihidupkan.
Cross-platform (terdapat pelanggan untuk mana-mana platform), menyokong bekerja dengan PT serupa dengan obfuscators Thor, terdapat beberapa obfuscators kami sendiri atau disesuaikan dengannya, dengan pantas.
Terdapat sekumpulan pelaksanaan pelanggan dan pelayan shadowox, dalam bahasa yang berbeza. Dalam ujian, shadowsocks-libev bertindak sebagai pelayan, pelanggan yang berbeza. Pelanggan Linux terpantas ternyata shadowsocks2 on go, diedarkan sebagai pelanggan lalai dalam streisand, saya tidak dapat mengatakan betapa lebih produktif shadowsocks-windows. Dalam kebanyakan ujian lanjut, shadowsocks2 digunakan sebagai pelanggan. Tangkapan skrin yang menguji shadowsocks-libev tulen tidak dibuat kerana ketinggalan jelas pelaksanaan ini.
shadowsocks2: muat turun - 1876 mbits; muat naik - 1981 mbits.
shadowsocks-rust: muat turun - 1605 mbits; muat naik - 1895 bit.
Shadowsocks-libev: muat turun - 1584 mbits; muat naik - 1265 bit.
Simple-obfs
Pemalam untuk shadowsox kini berada dalam status "susut nilai" tetapi masih berfungsi (walaupun tidak selalu baik). Sebahagian besarnya digantikan oleh v2ray-plugin. Mengelirukan trafik sama ada di bawah soket web HTTP (dan membolehkan anda memalsukan pengepala destinasi, berpura-pura bahawa anda tidak akan menonton pornhub, tetapi, sebagai contoh, tapak web Perlembagaan Persekutuan Rusia) atau di bawah pseudo-tls (pseudo , kerana ia tidak menggunakan sebarang sijil, DPI paling mudah seperti nDPI percuma dikesan sebagai "tls no cert." Dalam mod tls, pengepala tidak boleh lagi dipalsukan).
Agak pantas, dipasang daripada repo dengan satu arahan, dikonfigurasikan dengan sangat mudah, mempunyai fungsi failover terbina dalam (apabila trafik daripada klien bukan mudah-obfs datang ke port yang didengari oleh simple-obfs, ia memajukannya ke alamat di mana anda tentukan dalam tetapan - seperti ini Dengan cara ini, anda boleh mengelakkan pemeriksaan manual port 80, sebagai contoh, dengan hanya mengubah hala ke tapak web dengan http, serta menyekat melalui probe sambungan).
shadowsockss-obfs-tls: muat turun - 1618 mbits; muat naik 1971 mbits.
shadowsockss-obfs-http: muat turun - 1582 mbits; muat naik - 1965 mbits.
Simple-obfs dalam mod HTTP juga boleh berfungsi melalui proksi terbalik CDN (contohnya, cloudflare), jadi bagi pembekal kami, trafik akan kelihatan seperti trafik HTTP-plaintext ke cloudflare, ini membolehkan kami menyembunyikan terowong kami dengan lebih baik sedikit, dan pada pada masa yang sama memisahkan titik masuk dan laluan keluar trafik - pembekal melihat bahawa trafik anda menuju ke alamat IP CDN, dan suka ekstremis pada gambar diletakkan pada masa ini dari alamat IP VPS. Ia mesti dikatakan bahawa ia adalah s-obfs melalui CF yang berfungsi secara samar-samar, secara berkala tidak membuka beberapa sumber HTTP, sebagai contoh. Jadi, tidak mungkin untuk menguji muat naik menggunakan iperf melalui shadowsockss-obfs+CF, tetapi berdasarkan keputusan ujian kelajuan, daya pemprosesan adalah pada tahap shadowsocksv2ray-plugin-tls+CF. Saya tidak melampirkan tangkapan skrin daripada iperf3, kerana... Anda tidak sepatutnya bergantung pada mereka.
muat turun (paling laju) - 887; muat naik (paling laju) - 1154.
Muat turun (iperf3) - 1625; muat naik (iperf3) - NA.
v2ray-plugin
V2ray-plugin telah menggantikan obf mudah sebagai obfuscator "rasmi" utama untuk ss libs. Tidak seperti obf mudah, ia belum lagi berada dalam repositori dan anda perlu sama ada memuat turun binari yang telah dipasang sebelumnya atau menyusunnya sendiri.
Menyokong 3 mod pengendalian: lalai, soket web HTTP (dengan sokongan untuk pengepala spoofing hos destinasi); tls-websocket (tidak seperti s-obfs, ini adalah trafik tls sepenuhnya, yang diiktiraf oleh mana-mana pelayan web proksi terbalik dan, sebagai contoh, membolehkan anda mengkonfigurasi penamatan tls pada pelayan cloudfler atau dalam nginx); quic - berfungsi melalui udp, tetapi malangnya prestasi quic dalam v2rey sangat rendah.
Antara kelebihan berbanding obf mudah: pemalam v2ray berfungsi tanpa masalah melalui CF dalam mod HTTP-websocket dengan mana-mana trafik, dalam mod TLS ia adalah trafik TLS sepenuhnya, ia memerlukan sijil untuk operasi (contohnya, dari Let's encrypt or self -ditandatangani).
shadowsocksv2ray-plugin-http: muat turun - 1404 mbits; muat naik 1938 bit.
shadowsocksv2ray-plugin-tls: muat turun - 1214 mbits; muat naik 1898 bit.
shadowsocksv2ray-plugin-quic: muat turun - 183 mbits; muat naik 384 bit.
Seperti yang telah saya katakan, v2ray boleh menetapkan pengepala, dan dengan itu anda boleh bekerja dengannya melalui CDN proksi terbalik (cloudfler sebagai contoh). Di satu pihak, ini merumitkan pengesanan terowong, sebaliknya, ia boleh meningkatkan sedikit (dan kadang-kadang mengurangkan) ketinggalan - semuanya bergantung pada lokasi anda dan pelayan. CF sedang menguji berfungsi dengan quic, tetapi mod ini belum tersedia (sekurang-kurangnya untuk akaun percuma).
shadowsocksv2ray-plugin-http+CF: muat turun - 1284 mbits; muat naik 1785 bit.
shadowsocksv2ray-plugin-tls+CF: muat turun - 1261 mbits; muat naik 1881 bit.
jubah
Carik adalah hasil pembangunan lanjut GoQuiet obfuscator. Mensimulasikan trafik TLS dan berfungsi melalui TCP. Pada masa ini, pengarang telah mengeluarkan versi kedua pemalam, jubah-2, yang jauh berbeza daripada jubah asal.
Menurut pembangun, versi pertama pemalam menggunakan mekanisme sesi resume tls 1.2 untuk memalsukan alamat destinasi untuk tls. Selepas keluaran versi baharu (jam-2), semua halaman wiki di Github yang menerangkan mekanisme ini telah dipadamkan; tidak ada sebutan mengenai perkara ini dalam perihalan semasa penyulitan pengeliruan. Menurut penerangan pengarang, versi pertama cincang tidak digunakan kerana kehadiran "kelemahan kritikal dalam crypto." Pada masa ujian, hanya terdapat versi pertama jubah, binarinya masih pada Github, dan selain segala-galanya, kelemahan kritikal tidak begitu penting, kerana shadowsox menyulitkan trafik dengan cara yang sama seperti tanpa jubah, dan cloac tidak mempunyai kesan pada crypto shadowsox.
shadowsockscloak: muat turun - 1533; muat naik - 1970 bit
Kcptun
menggunakan kcptun sebagai pengangkutan dan dalam beberapa kes khas membolehkan untuk mencapai peningkatan daya pengeluaran. Malangnya (atau untungnya), ini sebahagian besarnya berkaitan untuk pengguna dari China, sesetengah daripada pengendali mudah alih mereka sangat mendikit TCP dan tidak menyentuh UDP.
Kcptun sangat haus kuasa, dan dengan mudah memuatkan 100 teras zion pada 4% apabila diuji oleh 1 pelanggan. Di samping itu, pemalam itu "lambat", dan apabila bekerja melalui iperf3 ia tidak menyelesaikan ujian hingga akhir. Mari kita lihat ujian kelajuan dalam penyemak imbas.
shadowsockskcptun: muat turun (ujian kelajuan) - 546 mbits; muat naik (test paling laju) 854 mbits.
Kesimpulan
Adakah anda memerlukan VPN yang ringkas dan pantas untuk menghentikan trafik dari keseluruhan mesin anda? Maka pilihan anda adalah warguard. Adakah anda mahukan proksi (untuk terowong terpilih atau pengasingan aliran orang maya) atau adakah lebih penting bagi anda untuk mengelirukan trafik daripada penyekatan yang serius? Kemudian lihat shadowbox dengan tlshttp obfuscation. Adakah anda ingin memastikan bahawa Internet anda akan berfungsi selagi Internet berfungsi sama sekali? Pilih untuk proksi trafik melalui CDN penting, menyekat yang akan membawa kepada kegagalan separuh daripada Internet di negara ini.
Jadual pangsi, diisih mengikut muat turun
Sumber: www.habr.com