Outline-ss-server 1.4 proxy-serveren har blitt utgitt, og bruker Shadowsocks-protokollen for å skjule trafikkens natur, omgå brannmurer og lure pakkeinspeksjonssystemer. Serveren utvikles av Outline-prosjektet, som i tillegg gir et rammeverk av klientapplikasjoner og et kontrollgrensesnitt som lar deg raskt distribuere multi-user Shadowsocks-servere basert på outline-ss-server i offentlige skymiljøer eller på ditt eget utstyr, administrer dem via et nettgrensesnitt og organiser brukertilgang med taster. Koden er utviklet og vedlikeholdt av Jigsaw, en avdeling innen Google opprettet for å utvikle verktøy for å omgå sensur og organisere fri utveksling av informasjon.
Outline-ss-server er skrevet i Go og distribuert under Apache 2.0-lisensen. Koden som brukes som grunnlag er proxy-serveren go-shadowsocks2, laget av Shadowsocks-utviklerfellesskapet. Den siste tiden har hovedaktiviteten til Shadowsocks-prosjektet vært fokusert på utvikling av en ny server på Rust-språket, og implementeringen i Go-språket har ikke blitt oppdatert på mer enn ett år og henger merkbart etter i funksjonalitet.
Forskjellene mellom outline-ss-server og go-shadowsocks2 kommer ned til støtte for tilkobling av flere brukere gjennom én nettverksport, muligheten til å åpne flere nettverksporter for å motta tilkoblinger, støtte for varm omstart og konfigurasjonsoppdateringer uten å bryte tilkoblinger, innebygd overvåkings- og trafikkmodifiseringsverktøy basert på prometheus-plattformen .io.
outline-ss-server legger også til beskyttelse mot sondeforespørsel og trafikkreplay-angrep. Et angrep gjennom testforespørsler er rettet mot å bestemme tilstedeværelsen av en proxy; for eksempel kan en angriper sende datasett av forskjellige størrelser til Shadowsocks-målserveren og analysere hvor mye data serveren vil lese før den oppdager en feil og lukker forbindelsen. Et trafikkreplay-angrep er basert på å avskjære en sesjon mellom en klient og en server og deretter forsøke å overføre de avlyttede dataene på nytt for å fastslå tilstedeværelsen av en proxy.
For å beskytte mot angrep gjennom testforespørsler, avbryter ikke outline-ss-server-serveren, når feil data kommer, tilkoblingen og viser ingen feil, men fortsetter å motta informasjon, og fungerer som et slags sort hull. For å beskytte mot omspilling blir data mottatt fra klienten i tillegg sjekket for repetisjoner ved å bruke kontrollsummer lagret for de siste flere tusen håndtrykksekvensene (maksimalt 40 tusen, størrelsen settes når serveren starter og bruker 20 byte minne per sekvens). For å blokkere gjentatte svar fra serveren bruker alle serverhåndtrykksekvenser HMAC-autentiseringskoder med 32-bits tagger.
Når det gjelder nivået på trafikkskjul, er Shadowsocks-protokollen i outline-ss-server-implementeringen nær Obfs4-plugin-transporten i Tor anonyme nettverk. Protokollen ble opprettet for å omgå trafikksensursystemet i Kina ("The Great Firewall of China") og lar deg ganske effektivt skjule trafikk som videresendes gjennom en annen server (trafikk er vanskelig å identifisere på grunn av vedlegg av et tilfeldig frø og simulering av en kontinuerlig flyt).
SOCKS5 brukes som en protokoll for proxy-forespørsler - en proxy med SOCKS5-støtte lanseres på det lokale systemet, som tunnelerer trafikk til en ekstern server som forespørslene faktisk utføres fra. Trafikk mellom klienten og serveren plasseres i en kryptert tunnel (autentisert kryptering støttes AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM og AEAD_AES_256_GCM), å skjule faktumet om opprettelsen er Shadowsocks primære oppgave. Organiseringen av TCP- og UDP-tunneler støttes, samt opprettelsen av vilkårlige tunneler som ikke er begrenset av SOCKS5 gjennom bruk av plugins som minner om plug-in-transporter i Tor.
Kilde: opennet.ru