Ettersom vi i økende grad nektes tilgang til ulike ressurser på nettverket, blir spørsmålet om å omgå blokkering mer og mer presserende, noe som betyr at spørsmålet "Hvordan omgå blokkering raskere?" blir mer og mer aktuelt.
La oss forlate temaet effektivitet når det gjelder å omgå DPI-hvitelister for et annet tilfelle, og ganske enkelt sammenligne ytelsen til populære blokkeringsbypass-verktøy.
OBS: Det kommer mange bilder under spoilere i artikkelen.
Ansvarsfraskrivelse: denne artikkelen sammenligner ytelsen til populære VPN-proxy-løsninger under forhold nær "ideelle". Resultatene som er oppnådd og beskrevet her, er ikke nødvendigvis sammenfallende med resultatene dine i feltene. Fordi tallet i hastighetstesten ofte ikke vil avhenge av hvor kraftig bypass-verktøyet er, men av hvordan leverandøren din struper det.
metodikk
3 VPS ble kjøpt fra en skyleverandør (DO) i forskjellige land rundt om i verden. 2 i Nederland, 1 i Tyskland. Den mest produktive VPS (etter antall kjerner) ble valgt fra de tilgjengelige for kontoen under tilbudet om kupongkreditter.
En privat iperf3-server er distribuert på den første nederlandske serveren.
På den andre nederlandske serveren er ulike servere med blokkeringsbypass-verktøy utplassert én etter én.
Et desktop Linux-bilde (xubuntu) med VNC og et virtuelt skrivebord er distribuert på den tyske VPS. Denne VPN-en er en betinget klient, og ulike VPN-proxy-klienter er installert og lansert på den etter tur.
Hastighetsmålinger utføres tre ganger, vi fokuserer på gjennomsnittet, vi bruker 3 verktøy: i Chromium gjennom en netthastighetstest; i Chromium via fast.com; fra konsollen via iperf3 via proxychains4 (hvor du må sette iperf3-trafikk inn i proxyen).
En direkte tilkobling "klient"-server iperf3 gir en hastighet på 2 Gbps i iperf3, og litt mindre i fastspeedtest.
En nysgjerrig leser kan spørre: "hvorfor valgte du ikke speedtest-cli?" og han vil ha rett.
Speedtest-cli viste seg å være upålitelig og en utilstrekkelig måte å måle gjennomstrømning på, av årsaker ukjente for meg. Tre påfølgende målinger kan gi tre helt forskjellige resultater, eller for eksempel vise en gjennomstrømning som er mye høyere enn porthastigheten til min VPS. Problemet er kanskje min klubbede hånd, men det virket umulig å forske med et slikt verktøy.
Når det gjelder resultatene for de tre målemetodene (speedtest fastiperf), anser jeg iperf-indikatorene som de mest nøyaktige og pålitelige, og fastspeedtesten som referanse. Men noen bypass-verktøy tillot ikke å fullføre 3 målinger gjennom iperf3, og i slike tilfeller kan du stole på speedtestfast.
hastighetstest gir forskjellige resultater
Инструментарий
Totalt ble 24 forskjellige bypass-verktøy eller deres kombinasjoner testet, for hver av dem vil jeg gi små forklaringer og mine inntrykk av å jobbe med dem. Men i hovedsak var målet å sammenligne hastighetene til shadowsocks (og en haug med forskjellige obfuscators for det) openVPN og wireguard.
I dette materialet vil jeg ikke diskutere i detalj spørsmålet om "hvordan best å skjule trafikk for ikke å bli frakoblet," fordi omgåelse av blokkering er et reaktivt tiltak - vi tilpasser oss hva sensuren bruker og handler på dette grunnlaget.
Funn
Strongswanipsec
Etter mine inntrykk er det veldig enkelt å sette opp og fungerer ganske stabilt. En av fordelene er at det virkelig er på tvers av plattformer, uten behov for å lete etter kunder for hver plattform.
nedlasting - 993 mbits; opplasting - 770 mbits
SSH-tunnel
Det er nok bare de late som ikke har skrevet om å bruke SSH som tunnelverktøy. En av ulempene er løsningens "krykke", dvs. å distribuere den fra en praktisk, vakker klient på hver plattform vil ikke fungere. Fordelene er god ytelse, det er ikke nødvendig å installere noe på serveren i det hele tatt.
nedlasting - 1270 mbits; opplasting - 1140 mbits
OpenVPN
OpenVPN ble testet i 4 driftsmoduser: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN-servere ble konfigurert automatisk ved å installere streisand.
Så vidt man kan bedømme er det for øyeblikket kun tunnelmodusen som er motstandsdyktig mot avanserte DPIer. Årsaken til den unormale økningen i gjennomstrømning ved innpakning av openVPN-tcp i stunnel er ikke klar for meg, kontroller ble gjort i flere kjøringer, til forskjellige tider og på forskjellige dager, resultatet ble det samme. Kanskje dette skyldes nettverksstabelinnstillingene som er installert når du distribuerer Streisand, skriv hvis du har noen ideer om hvorfor det er slik.
openvpntcp: nedlasting - 760 mbits; opplasting - 659 mbits
openvpntcp+sslh: nedlasting - 794 mbits; opplasting - 693 mbits
openvpntcp+stunnel: nedlasting - 619 mbits; opplasting - 943 mbits
openvpnudp: nedlasting - 756 mbits; opplasting - 580 mbits
Åpne tilkobling
Ikke det mest populære verktøyet for å omgå blokkeringer, det er inkludert i Streisand-pakken, så vi bestemte oss for å teste det også.
nedlasting - 895 mbits; last opp 715 mbps
wire vakt
Et hypeverktøy som er populært blant vestlige brukere, utviklerne av protokollen mottok til og med noen tilskudd til utvikling fra forsvarsfond. Fungerer som en Linux-kjernemodul via UDP. Nylig har det dukket opp klienter for windowsios.
Det ble tenkt av skaperen som en enkel, rask måte å se Netflix på mens du ikke er i USA.
Derav fordeler og ulemper. Fordeler: veldig rask protokoll, relativ enkel installasjon og konfigurasjon. Ulemper - utvikleren opprettet det ikke i utgangspunktet med mål om å omgå alvorlige blokkeringer, og derfor oppdages wargard lett av de enkleste verktøyene, inkl. wirehai.
wireguard-protokoll i wireshark
nedlasting - 1681 mbits; last opp 1638 mbps
Interessant nok brukes warguard-protokollen i tredjeparts tunsafe-klienten, som, når den brukes med samme warguard-server, gir mye dårligere resultater. Det er sannsynlig at Windows wargard-klienten vil vise de samme resultatene:
tunsafeclient: nedlasting - 1007 mbits; opplasting - 1366 mbits
OutlineVPN
Outline er en implementering av en shadowox-server og -klient med et vakkert og praktisk brukergrensesnitt fra Googles stikksag. I Windows er outline-klienten ganske enkelt et sett med wrappers for binærfilene shadowsocks-local (shadowsocks-libev-klienten) og badvpn (tun2socks binær som dirigerer all maskintrafikk til en lokal socks-proxy).
Shadowsox var en gang motstandsdyktig mot Great Firewall of China, men basert på nylige anmeldelser er dette ikke lenger tilfelle. I motsetning til ShadowSox, støtter den ikke ut av esken tilkobling av obfuskasjon gjennom plugins, men dette kan gjøres manuelt ved å fikle med serveren og klienten.
nedlasting - 939 mbits; opplasting - 930 mbits
ShadowsocksR
ShadowsocksR er en gaffel av de originale Shadowsocks, skrevet i Python. I hovedsak er det en skyggeboks som flere metoder for trafikkobfuskering er tett festet til.
Det er gafler av ssR til libev og noe annet. Den lave gjennomstrømningen skyldes sannsynligvis kodespråket. Den originale shadowsox på python er ikke mye raskere.
shadowsocksR: last ned 582 mbits; last opp 541 mbits.
Shadowsocks
Et kinesisk blokkeringsbypass-verktøy som randomiserer trafikk og forstyrrer automatisk analyse på andre fantastiske måter. Inntil nylig var ikke GFW blokkert; de sier at nå er det bare blokkert hvis UDP-reléet er slått på.
Cross-platform (det finnes klienter for alle plattformer), støtter arbeid med PT som ligner på Thors obfuscators, det finnes flere egne eller tilpasset obfuscators, raskt.
Det er en haug med implementeringer av shadowox-klienter og servere, på forskjellige språk. I testing fungerte shadowsocks-libev som en server, forskjellige klienter. Den raskeste Linux-klienten viste seg å være shadowsocks2 on go, distribuert som standardklient i streisand, jeg kan ikke si hvor mye mer produktive shadowsocks-windows er. I de fleste videre tester ble shadowsocks2 brukt som klient. Skjermbilder som tester pure shadowsocks-libev ble ikke laget på grunn av den åpenbare forsinkelsen til denne implementeringen.
shadowsocks2: nedlasting - 1876 mbits; opplasting - 1981 mbits.
shadowsocks-rust: nedlasting - 1605 mbits; opplasting - 1895 mbits.
Shadowsocks-libev: nedlasting - 1584 mbits; opplasting - 1265 mbits.
Enkel-obfs
Programtillegget for shadowsox er nå i "avskrevet" status, men fungerer fortsatt (men ikke alltid bra). Stort sett erstattet av v2ray-plugin. Tilslører trafikk enten under en HTTP-websocket (og lar deg forfalske destinasjonsoverskriften, late som om du ikke skal se en pornohub, men for eksempel nettstedet til den russiske føderasjonens grunnlov) eller under pseudo-tls (pseudo , fordi den ikke bruker noen sertifikater, blir den enkleste DPI som gratis nDPI oppdaget som "tls no cert." I tls-modus er det ikke lenger mulig å forfalske overskrifter).
Ganske raskt, installert fra repo med én kommando, konfigurert veldig enkelt, har en innebygd failover-funksjon (når trafikk fra en ikke-simple-obfs-klient kommer til porten som simple-obfs lytter til, videresender den den til adressen hvor du spesifiserer i innstillingene - som dette På denne måten kan du unngå manuell sjekking av port 80, for eksempel ved ganske enkelt å omdirigere til en nettside med http, samt blokkere gjennom tilkoblingsprober).
shadowsockss-obfs-tls: nedlasting - 1618 mbits; last opp 1971 mbits.
shadowsockss-obfs-http: nedlasting - 1582 mbits; opplasting - 1965 mbits.
Simple-obfs i HTTP-modus kan også fungere gjennom en CDN omvendt proxy (for eksempel cloudflare), så for vår leverandør vil trafikken se ut som HTTP-klartekst trafikk til cloudflare, dette gjør at vi kan skjule tunnelen vår litt bedre, og kl. samtidig skiller inngangspunkt og trafikkutgang - leverandøren ser at trafikken din går mot CDN IP-adressen, og ekstremistiske likes på bilder plasseres i dette øyeblikket fra VPS IP-adressen. Det skal sies at det er s-obfs gjennom CF som fungerer tvetydig, for eksempel ikke åpne noen HTTP-ressurser. Så det var ikke mulig å teste opplastingen ved å bruke iperf via shadowsockss-obfs+CF, men å dømme etter resultatene fra hastighetstesten er gjennomstrømningen på nivå med shadowsocksv2ray-plugin-tls+CF. Jeg legger ikke ved skjermbilder fra iperf3, fordi... Du bør ikke stole på dem.
nedlasting (hastighetstest) - 887; opplasting (hastighetstest) - 1154.
Last ned (iperf3) - 1625; opplasting (iperf3) - NA.
v2ray-plugin
V2ray-plugin har erstattet enkle obfs som den viktigste "offisielle" obfuscatoren for ss libs. I motsetning til enkle obfs, er den ennå ikke i depotene, og du må enten laste ned en forhåndsmontert binær eller kompilere den selv.
Støtter 3 driftsmoduser: standard, HTTP websocket (med støtte for forfalskning av overskrifter til destinasjonsverten); tls-websocket (i motsetning til s-obfs, er dette fullverdig tls-trafikk, som gjenkjennes av enhver omvendt proxy-webserver og for eksempel lar deg konfigurere tls-terminering på cloudfler-servere eller i nginx); quic - fungerer via udp, men dessverre er ytelsen til quic i v2rey veldig lav.
Blant fordelene sammenlignet med enkle obfs: v2ray-pluginen fungerer uten problemer via CF i HTTP-websocket-modus med all trafikk, i TLS-modus er det fullverdig TLS-trafikk, det krever sertifikater for drift (for eksempel fra Let's encrypt eller self -signert).
shadowsocksv2ray-plugin-http: nedlasting - 1404 mbits; last opp 1938 mbits.
shadowsocksv2ray-plugin-tls: nedlasting - 1214 mbits; last opp 1898 mbits.
shadowsocksv2ray-plugin-quic: nedlasting - 183 mbits; last opp 384 mbits.
Som jeg allerede har sagt, kan v2ray sette overskrifter, og dermed kan du jobbe med det gjennom en omvendt proxy CDN (cloudfler for eksempel). På den ene siden kompliserer dette oppdagelsen av tunnelen, på den annen side kan det øke (og noen ganger redusere) etterslepet litt - alt avhenger av plasseringen til deg og serverne. CF tester for tiden å jobbe med quic, men denne modusen er ennå ikke tilgjengelig (i hvert fall for gratis kontoer).
shadowsocksv2ray-plugin-http+CF: nedlasting - 1284 mbits; last opp 1785 mbits.
shadowsocksv2ray-plugin-tls+CF: nedlasting - 1261 mbits; last opp 1881 mbits.
Kappe
Makuleringen er et resultat av videreutvikling av GoQuiet obfuscator. Simulerer TLS-trafikk og fungerer via TCP. For øyeblikket har forfatteren gitt ut den andre versjonen av plugin, cloak-2, som er vesentlig forskjellig fra den originale kappen.
I følge utvikleren brukte den første versjonen av plugin-en tls 1.2 gjenoppta sesjonsmekanismen for å forfalske destinasjonsadressen for tls. Etter utgivelsen av den nye versjonen (klokke-2), ble alle wiki-sider på Github som beskriver denne mekanismen slettet; det er ingen omtale av dette i den nåværende beskrivelsen av obfuskeringskryptering. I følge forfatterens beskrivelse brukes ikke den første versjonen av shred på grunn av tilstedeværelsen av "kritiske sårbarheter i krypto." På tidspunktet for testene var det bare den første versjonen av kappen, binærfilene er fortsatt på Github, og i tillegg til alt annet er ikke kritiske sårbarheter veldig viktige, fordi shadowsox krypterer trafikk på samme måte som uten kappe, og cloac har ingen effekt på shadowsox sin krypto.
shadowsockscloak: last ned - 1533; opplasting - 1970 mbits
Kcptun
bruker kcptun som transport og i noen spesielle tilfeller gjør det mulig å oppnå økt gjennomstrømning. Dessverre (eller heldigvis) er dette i stor grad relevant for brukere fra Kina, hvor noen av mobiloperatørene struper TCP kraftig og ikke berører UDP.
Kcptun er jævla strømsyk, og laster enkelt inn 100 zion-kjerner på 4 % når den testes av 1 klient. I tillegg er plugin-en "treg", og når den jobber gjennom iperf3 fullfører den ikke tester til slutten. La oss ta en titt på hastighetstesten i nettleseren.
shadowsockskcptun: nedlasting (hastighetstest) - 546 mbits; last opp (hastighetstest) 854 mbits.
Konklusjon
Trenger du en enkel, rask VPN for å stoppe trafikk fra hele maskinen din? Da er ditt valg krigsvakt. Ønsker du proxyer (for selektiv tunnelering eller separering av virtuelle personstrømmer) eller er det viktigere for deg å hindre trafikk fra alvorlig blokkering? Se så på shadowbox med tlshttp obfuscation. Vil du være sikker på at Internett vil fungere så lenge Internett fungerer i det hele tatt? Velg å proxy-trafikk gjennom viktige CDN-er, blokkering som vil føre til feil på halvparten av Internett i landet.
Pivottabell, sortert etter nedlasting
Kilde: www.habr.com