De outline-ss-server 1.4 proxyserver is uitgebracht, die het Shadowsocks-protocol gebruikt om de aard van het verkeer te verbergen, firewalls te omzeilen en pakketinspectiesystemen te misleiden. De server wordt ontwikkeld door het Outline-project, dat bovendien zorgt voor een binding van client-applicaties en een besturingsinterface waarmee u snel op outline-ss-server gebaseerde Shadowsocks-servers voor meerdere gebruikers kunt implementeren in openbare cloudomgevingen of op uw eigen apparatuur. beheer ze via een webinterface en organiseer de gebruikerstoegang met sleutels. De code is ontwikkeld en wordt onderhouden door Jigsaw, een divisie binnen Google die is opgericht om tools te ontwikkelen om censuur te omzeilen en de vrije uitwisseling van informatie te organiseren.
Outline-ss-server is geschreven in Go en gedistribueerd onder de Apache 2.0-licentie. De go-shadowsocks2 proxyservercode, gemaakt door de ontwikkelaarsgemeenschap van Shadowsocks, wordt als basis gebruikt. Onlangs was de hoofdactiviteit van het Shadowsocks-project gericht op de ontwikkeling van een nieuwe server in de Rust-taal, en de Go-implementatie is al meer dan een jaar niet bijgewerkt en loopt merkbaar achter qua functionaliteit.
Verschillen tussen outline-ss-server en go-shadowsocks2 komen neer op ondersteuning voor het verbinden van meerdere gebruikers via een enkele netwerkpoort, de mogelijkheid om meerdere netwerkpoorten te openen om verbindingen te ontvangen, hot restart-ondersteuning en configuratie-updates zonder verbindingen te verbreken, ingebouwde monitoring en tools voor verkeersaanpassing op basis van het prometheus-platform .io.
De outline-ss-server voegt ook bescherming toe tegen sondeverzoeken en traffic replay-aanvallen. Een aanval door middel van verificatieverzoeken is gericht op het bepalen van de aanwezigheid van een proxy. Een aanvaller kan bijvoorbeeld gegevenssets van verschillende groottes naar de beoogde Shadowsocks-server sturen en analyseren hoeveel gegevens de server zal lezen voordat hij een fout vaststelt en de verbinding verbreekt. . Een replay-aanval is gebaseerd op het kapen van een sessie tussen een client en een server en vervolgens proberen de gekaapte gegevens opnieuw te verzenden om de aanwezigheid van een proxy vast te stellen.
Ter bescherming tegen aanvallen via verificatieverzoeken beëindigt de outline-ss-server-server, wanneer onjuiste gegevens binnenkomen, de verbinding niet en geeft geen foutmelding weer, maar blijft informatie ontvangen en fungeert als een soort zwart gat. Ter bescherming tegen opnieuw afspelen worden de van de client ontvangen gegevens bovendien gecontroleerd op herhalingen door checksums die zijn opgeslagen voor de laatste paar duizend handshake-reeksen (maximaal 40 duizend, de grootte wordt ingesteld bij het opstarten van de server en verbruikt 20 bytes geheugen per reeks). Om herhaalde reacties van de server te blokkeren, gebruiken alle handshake-reeksen van de server HMAC-authenticatiecodes met 32-bits tags.
Wat betreft het verborgen verkeer, ligt het Shadowsocks-protocol in de outline-ss-server-implementatie dicht bij het Obfs4-pluggable transport in het anonieme Tor-netwerk. Het protocol is gemaakt om het Chinese verkeerscensuursysteem (de "Grote Firewall van China") te omzeilen en stelt u in staat om verkeer dat via een andere server wordt doorgestuurd vrij effectief te verbergen (verkeer is moeilijk te identificeren vanwege het toevoegen van een willekeurige seed en het simuleren van een continue stroom).
SOCKS5 wordt gebruikt als een protocol voor proxying-verzoeken - een proxy met SOCKS5-ondersteuning wordt gelanceerd op het lokale systeem, dat verkeer naar een externe server tunnelt van waaruit verzoeken daadwerkelijk worden uitgevoerd. Het verkeer tussen de client en de server wordt in een gecodeerde tunnel geplaatst (geauthenticeerde codering AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM en AEAD_AES_256_GCM wordt ondersteund), waardoor het feit van het maken hiervan de primaire taak van Shadowsocks is. De organisatie van TCP- en UDP-tunnels wordt ondersteund, evenals het maken van willekeurige tunnels, niet beperkt tot SOCKS5, door het gebruik van plug-ins die lijken op plug-in transporten in Tor.
Bron: opennet.ru