Omdat ons steeds meer de toegang wordt ontzegd tot verschillende bronnen op het netwerk, wordt de kwestie van het omzeilen van blokkeringen steeds urgenter, wat betekent dat de vraag “Hoe kunnen we blokkeringen sneller omzeilen?” steeds relevanter wordt.
Laten we het onderwerp efficiëntie in termen van het omzeilen van DPI-witte lijsten voor een ander geval laten liggen en eenvoudigweg de prestaties van populaire blok-bypass-tools vergelijken.
Let op: er zullen veel foto's onder spoilers in het artikel staan.
Disclaimer: dit artikel vergelijkt de prestaties van populaire VPN-proxyoplossingen onder omstandigheden die dicht bij ‘ideaal’ liggen. De hier verkregen en beschreven resultaten komen niet noodzakelijkerwijs overeen met uw resultaten in de velden. Omdat het aantal in de snelheidstest vaak niet zal afhangen van hoe krachtig de bypass-tool is, maar van hoe uw provider deze afknijpt.
methodologie
Er zijn 3 VPS gekocht bij een cloudprovider (DO) in verschillende landen over de hele wereld. 2 in Nederland, 1 in Duitsland. De meest productieve VPS (op basis van het aantal cores) werd geselecteerd uit de beschikbare VPS voor het account onder de aanbieding voor couponcredits.
Op de eerste Nederlandse server wordt een private iperf3-server ingezet.
Op de tweede Nederlandse server worden één voor één verschillende servers met block bypass tools ingezet.
Op de Duitse VPS wordt een desktop Linux-image (xubuntu) met VNC en een virtuele desktop ingezet. Deze VPN is een voorwaardelijke client en er worden afwisselend verschillende VPN-proxyclients geïnstalleerd en gestart.
Snelheidsmetingen worden drie keer uitgevoerd, we focussen op het gemiddelde, we gebruiken 3 tools: in Chromium via een websnelheidstest; in Chromium via fast.com; vanaf de console via iperf3 via proxychains4 (waar u iperf3-verkeer in de proxy moet plaatsen).
Een directe verbinding “client”-server iperf3 geeft een snelheid van 2 Gbps in iperf3, en iets minder in fastspeedtest.
Een nieuwsgierige lezer vraagt zich misschien af: “Waarom heb je niet voor speedtest-cli gekozen?” en hij zal gelijk hebben.
Speedtest-cli bleek onbetrouwbaar en een ontoereikende manier om de doorvoer te meten, om mij onbekende redenen. Drie opeenvolgende metingen kunnen drie totaal verschillende resultaten opleveren, of bijvoorbeeld een doorvoer laten zien die veel hoger is dan de poortsnelheid van mijn VPS. Misschien is het probleem mijn geknuppelde hand, maar het leek onmogelijk om met zo'n hulpmiddel onderzoek te doen.
Wat betreft de resultaten voor de drie meetmethoden (speedtest fastiperf), beschouw ik de iperf-indicatoren als de meest nauwkeurige en betrouwbare, en de fastspeedtest als referentie. Maar sommige bypass-tools lieten het niet toe om 3 metingen via iperf3 uit te voeren en in dergelijke gevallen kunt u vertrouwen op speedtestfast.
speedtest geeft verschillende resultaten
Toolkit
In totaal zijn 24 verschillende bypass-tools of hun combinaties getest, voor elk daarvan zal ik een kleine uitleg geven en mijn indrukken van het werken ermee. Maar in wezen was het doel om de snelheden van shadowsocks (en een heleboel verschillende obfuscators daarvoor), openVPN en wireguard te vergelijken.
In dit materiaal zal ik niet in detail ingaan op de vraag "hoe je het verkeer het beste kunt verbergen zodat de verbinding niet wordt verbroken", omdat het omzeilen van de blokkering een reactieve maatregel is - we passen ons aan aan wat de censor gebruikt en handelen op basis hiervan.
Bevindingen
Sterke zwaan sec
Naar mijn mening is het heel eenvoudig in te stellen en werkt het redelijk stabiel. Een van de voordelen is dat het echt platformonafhankelijk is, zonder dat je voor elk platform naar klanten hoeft te zoeken.
downloaden - 993 mbt; uploaden - 770 mbt
SSH-tunnel
Waarschijnlijk hebben alleen de luie mensen niet geschreven over het gebruik van SSH als tunneltool. Een van de nadelen is de ‘kruk’ van de oplossing, d.w.z. het implementeren ervan vanaf een handige, mooie client op elk platform zal niet werken. De voordelen zijn goede prestaties, u hoeft helemaal niets op de server te installeren.
downloaden - 1270 mbt; uploaden - 1140 mbt
OpenVPN
OpenVPN is getest in 4 bedrijfsmodi: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN-servers werden automatisch geconfigureerd door streisand te installeren.
Voor zover je kunt beoordelen is op dit moment alleen de stunnelmodus bestand tegen geavanceerde DPI’s. De reden voor de abnormale toename van de doorvoer bij het inpakken van openVPN-tcp in stunnel is mij niet duidelijk, de controles werden in verschillende runs uitgevoerd, op verschillende tijdstippen en op verschillende dagen, het resultaat was hetzelfde. Misschien komt dit door de netwerkstackinstellingen die zijn geïnstalleerd bij het implementeren van Streisand. Schrijf als je enig idee hebt waarom dit zo is.
openvpntcp: downloaden - 760 mbits; uploaden - 659 mbt
openvpntcp+sslh: downloaden - 794 mbits; uploaden - 693 mbt
openvpntcp+stunnel: downloaden - 619 mbs; uploaden - 943 mbt
openvpnudp: downloaden - 756 mbs; uploaden - 580 mbt
Openverbinden
Niet het meest populaire hulpmiddel om blokkades te omzeilen, het zit in het Streisand-pakket, dus we besloten het ook te testen.
downloaden - 895 mbt; upload 715mbps
Wireguard
Een hype-tool die populair is onder westerse gebruikers; de ontwikkelaars van het protocol ontvingen zelfs enkele ontwikkelingssubsidies uit defensiefondsen. Werkt als een Linux-kernelmodule via UDP. Onlangs zijn er clients voor Windowsios verschenen.
Het is door de maker bedacht als een eenvoudige, snelle manier om Netflix te kijken terwijl je niet in de Verenigde Staten bent.
Vandaar de voor- en nadelen. Voordelen: zeer snel protocol, relatief gemak van installatie en configuratie. Nadelen - de ontwikkelaar heeft het in eerste instantie niet gemaakt met het doel ernstige blokkades te omzeilen, en daarom wordt wargard gemakkelijk gedetecteerd door de eenvoudigste tools, incl. draadhaai.
wireguard-protocol in wireshark
downloaden - 1681 mbt; upload 1638mbps
Interessant is dat het warguard-protocol wordt gebruikt in de tunsafe-client van derden, die, wanneer gebruikt met dezelfde warguard-server, veel slechtere resultaten oplevert. Het is waarschijnlijk dat de Windows wargard-client dezelfde resultaten zal laten zien:
tunsafeclient: downloaden - 1007 mbs; uploaden - 1366 mbt
OverzichtVPN
Outline is een implementatie van een shadowox-server en -client met een mooie en handige gebruikersinterface uit de puzzel van Google. In Windows is de overzichtsclient eenvoudigweg een set wrappers voor de binaire bestanden shadowsocks-local (shadowsocks-libev-client) en badvpn (binair tun2socks dat al het machineverkeer naar een lokale sokkenproxy stuurt).
Shadowsox was ooit resistent tegen de Grote Firewall van China, maar op basis van recente beoordelingen is dit niet langer het geval. In tegenstelling tot ShadowSox ondersteunt het out-of-the-box geen verbindingsverduistering via plug-ins, maar dit kan handmatig worden gedaan door aan de server en de client te sleutelen.
downloaden - 939 mbt; uploaden - 930 mbt
ShadowsocksR
ShadowsocksR is een vork van de originele Shadowsocks, geschreven in Python. In wezen is het een schaduwbox waaraan verschillende methoden voor verkeersverduistering nauw zijn verbonden.
Er zijn vorken van ssR naar libev en nog iets anders. De lage doorvoer is waarschijnlijk te wijten aan de codetaal. De originele shadowsox op Python is niet veel sneller.
shadowsocksR: download 582 mbs; upload 541 mbt.
Shadowsocks
Een Chinese tool voor het omzeilen van blokken die verkeer willekeurig maakt en op andere prachtige manieren de automatische analyse verstoort. Tot voor kort werd GFW niet geblokkeerd; ze zeggen dat het nu alleen wordt geblokkeerd als het UDP-relais is ingeschakeld.
Cross-platform (er zijn klanten voor elk platform), ondersteunt het werken met PT vergelijkbaar met de obfuscators van Thor, er zijn verschillende eigen of daaraan aangepaste obfuscators, snel.
Er zijn een heleboel implementaties van shadowox-clients en -servers, in verschillende talen. Tijdens het testen fungeerde shadowsocks-libev als server en verschillende clients. De snelste Linux-client bleek shadowsocks2 on go te zijn, gedistribueerd als standaardclient in streisand. Ik kan niet zeggen hoeveel productiever shadowsocks-windows is. Bij de meeste verdere tests werd shadowsocks2 als client gebruikt. Schermafbeeldingen die pure shadowsocks-libev testen, zijn niet gemaakt vanwege de duidelijke vertraging van deze implementatie.
shadowsocks2: downloaden - 1876 mbs; uploaden - 1981 mbt.
shadowsocks-roest: download - 1605 mbits; uploaden - 1895 mbt.
Shadowsocks-libev: download - 1584 mbits; uploaden - 1265 mbt.
Simpel-obfs
De plug-in voor shadowsox heeft nu de status “afgeschreven” maar werkt nog steeds (hoewel niet altijd goed). Grotendeels verdrongen door de v2ray-plug-in. Verduistert verkeer onder een HTTP-websocket (en stelt u in staat de bestemmingsheader te spoofen, waarbij u doet alsof u niet naar een pornhub gaat kijken, maar bijvoorbeeld naar de website van de Grondwet van de Russische Federatie) of onder pseudo-tls (pseudo , omdat er geen certificaten worden gebruikt, worden de eenvoudigste DPI, zoals gratis nDPI, gedetecteerd als "tls no cert." In de tls-modus is het niet langer mogelijk om headers te spoofen).
Vrij snel, geïnstalleerd vanuit de repository met één commando, heel eenvoudig geconfigureerd, heeft een ingebouwde failover-functie (wanneer verkeer van een niet-simple-obfs-client naar de poort komt waar simple-obfs naar luistert, stuurt het het door naar het adres waar u dit opgeeft in de instellingen - zoals deze. Op deze manier kunt u handmatige controle van poort 80 vermijden, bijvoorbeeld door eenvoudigweg om te leiden naar een website met http, en door verbindingssondes te blokkeren).
shadowsockss-obfs-tls: downloaden - 1618 mbits; upload 1971 mbt.
shadowsockss-obfs-http: downloaden - 1582 mbits; uploaden - 1965 mbt.
Simple-obfs in HTTP-modus kunnen ook werken via een CDN reverse proxy (bijvoorbeeld cloudflare), dus voor onze provider zal het verkeer eruitzien als HTTP-plaintext-verkeer naar cloudflare, hierdoor kunnen we onze tunnel een beetje beter verbergen, en op scheid tegelijkertijd het toegangspunt en de verkeersuitgang - de provider ziet dat uw verkeer naar het CDN IP-adres gaat, en extremistische likes op foto's worden op dit moment vanaf het VPS IP-adres geplaatst. Het moet gezegd worden dat het s-obfs via CF is die dubbelzinnig werkt, waarbij bijvoorbeeld periodiek sommige HTTP-bronnen niet worden geopend. Het was dus niet mogelijk om de upload te testen met iperf via shadowsockss-obfs+CF, maar afgaande op de resultaten van de snelheidstest ligt de doorvoer op het niveau van shadowsocksv2ray-plugin-tls+CF. Ik voeg geen screenshots van iperf3 toe, omdat... Je moet niet op hen vertrouwen.
downloaden (snelheidstest) - 887; uploaden (snelheidstest) - 1154.
Downloaden (iperf3) - 1625; uploaden (iperf3) - NA.
v2ray-plug-in
De V2ray-plug-in heeft eenvoudige obfs vervangen als de belangrijkste “officiële” obfuscator voor ss-libs. In tegenstelling tot eenvoudige obfs staat het nog niet in de repository's en moet je een vooraf samengesteld binair bestand downloaden of het zelf compileren.
Ondersteunt 3 bedrijfsmodi: standaard, HTTP-websocket (met ondersteuning voor spoofing-headers van de bestemmingshost); tls-websocket (in tegenstelling tot s-obfs is dit volwaardig tls-verkeer, dat wordt herkend door elke reverse proxy-webserver en waarmee u bijvoorbeeld tls-beëindiging kunt configureren op cloudfler-servers of in nginx); quic - werkt via udp, maar helaas zijn de prestaties van quic in v2rey erg laag.
Een van de voordelen ten opzichte van eenvoudige obfs: de v2ray-plug-in werkt zonder problemen via CF in HTTP-websocket-modus met elk verkeer, in TLS-modus is het volwaardig TLS-verkeer, er zijn certificaten nodig voor de werking (bijvoorbeeld van Let's encrypt of self -ondertekend).
shadowsocksv2ray-plugin-http: downloaden - 1404 mbs; upload 1938 mbt.
shadowsocksv2ray-plugin-tls: downloaden - 1214 mbs; upload 1898 mbt.
shadowsocksv2ray-plugin-quic: downloaden - 183 mbits; upload 384 mbt.
Zoals ik al zei, kan v2ray headers instellen, en dus kun je ermee werken via een reverse proxy CDN (bijvoorbeeld cloudfler). Aan de ene kant bemoeilijkt dit de detectie van de tunnel, aan de andere kant kan het de vertraging enigszins vergroten (en soms verminderen) - het hangt allemaal af van de locatie van jou en de servers. CF test momenteel het werken met quic, maar deze modus is nog niet beschikbaar (tenminste voor gratis accounts).
shadowsocksv2ray-plugin-http+CF: downloaden - 1284 mbs; upload 1785 mbt.
shadowsocksv2ray-plugin-tls+CF: downloaden - 1261 mbits; upload 1881 mbt.
Mantel
De versnippering is het resultaat van de verdere ontwikkeling van de GoQuiet-obfuscator. Simuleert TLS-verkeer en werkt via TCP. Op dit moment heeft de auteur de tweede versie van de plug-in uitgebracht, cloak-2, die aanzienlijk verschilt van de originele cloak.
Volgens de ontwikkelaar gebruikte de eerste versie van de plug-in het tls 1.2-hervattingssessiemechanisme om het bestemmingsadres voor tls te vervalsen. Na de release van de nieuwe versie (klok-2) zijn alle wikipagina's op Github die dit mechanisme beschrijven verwijderd; er wordt hierover geen melding gemaakt in de huidige beschrijving van verduisteringsversleuteling. Volgens de beschrijving van de auteur wordt de eerste versie van het fragment niet gebruikt vanwege de aanwezigheid van ‘kritieke kwetsbaarheden in crypto’. Ten tijde van de tests was er alleen de eerste versie van de mantel, de binaire bestanden ervan staan nog steeds op Github en afgezien van al het andere zijn kritieke kwetsbaarheden niet erg belangrijk, omdat shadowsox codeert verkeer op dezelfde manier als zonder mantel, en de cloac heeft geen effect op de crypto van shadowsox.
schaduwsokkenmantel: download - 1533; uploaden - 1970 mbt
Kcptun
gebruikt kcptun als transportmiddel en maakt het in sommige speciale gevallen mogelijk een grotere doorvoer te bereiken. Helaas (of gelukkig) is dit grotendeels relevant voor gebruikers uit China, waarvan sommige mobiele operators TCP zwaar beperken en UDP niet aanraken.
Kcptun is verdomd hongerig naar energie en laadt gemakkelijk 100 zion-cores op 4% wanneer getest door 1 klant. Bovendien is de plug-in “traag” en bij het werken via iperf3 voltooit hij de tests niet tot het einde. Laten we eens kijken naar de snelheidstest in de browser.
shadowsockskcptun: downloaden (snelheidstest) - 546 mbits; upload (snelheidstest) 854 mbts.
Conclusie
Heeft u een eenvoudige, snelle VPN nodig om het verkeer van uw hele machine tegen te houden? Dan is jouw keuze oorlogswacht. Wilt u proxy's (voor selectieve tunneling of scheiding van virtuele persoonsstromen) of is het belangrijker dat u verkeer verbergt voor ernstige blokkering? Kijk dan naar shadowbox met tlshttp-verduistering. Wilt u er zeker van zijn dat uw internet blijft werken zolang het internet überhaupt werkt? Kies ervoor om verkeer via belangrijke CDN's te proxyen, waardoor blokkering zal leiden tot het uitvallen van de helft van het internet in het land.
Draaitabel, gesorteerd op download
Bron: www.habr.com