Keďže je nám čoraz viac odopieraný prístup k rôznym zdrojom v sieti, otázka obchádzania blokovania sa stáva čoraz naliehavejšou, čo znamená, že otázka „Ako rýchlejšie obísť blokovanie?“ sa stáva čoraz aktuálnejšou.
Nechajme tému efektívnosti z hľadiska obchádzania bielych zoznamov DPI na iný prípad a jednoducho porovnajme výkon populárnych nástrojov na obchádzanie blokov.
Pozor: V článku bude veľa obrázkov pod spoilermi.
Zrieknutie sa zodpovednosti: Tento článok porovnáva výkon populárnych proxy riešení VPN za podmienok blízkych „ideálnym“. Tu získané a opísané výsledky sa nemusia nevyhnutne zhodovať s vašimi výsledkami v poliach. Pretože číslo v rýchlostnom teste bude často závisieť nie od toho, aký silný je nástroj bypass, ale od toho, ako ho váš poskytovateľ obmedzí.
metodológie
3 VPS boli zakúpené od poskytovateľa cloudu (DO) v rôznych krajinách sveta. 2 v Holandsku, 1 v Nemecku. Najproduktívnejší VPS (podľa počtu jadier) bol vybraný z dostupných pre účet v rámci ponuky kupónových kreditov.
Na prvom holandskom serveri je nasadený súkromný server iperf3.
Na druhom holandskom serveri sú postupne nasadené rôzne servery nástrojov blokového obchádzania.
Na nemeckom VPS je nasadený desktopový Linux image (xubuntu) s VNC a virtuálnym desktopom. Táto sieť VPN je podmienený klient a postupne sa na nej inštalujú a spúšťajú rôzni klienti proxy VPN.
Merania rýchlosti sa vykonávajú trikrát, zameriavame sa na priemer, používame 3 nástroje: v prehliadači Chromium prostredníctvom testu rýchlosti webu; v prehliadači Chromium cez fast.com; z konzoly cez iperf3 cez proxychains4 (kde je potrebné vložiť prevádzku iperf3 do proxy).
Priame spojenie „klient“-server iperf3 dáva rýchlosť 2 Gbps v iperf3 a o niečo menej vo fastspeedteste.
Zvedavý čitateľ sa môže opýtať: „Prečo ste si nevybrali speedtest-cli?“ a bude mať pravdu.
Speedtest-cli sa z mne neznámych dôvodov ukázal ako nespoľahlivý a neadekvátny spôsob merania priepustnosti. Tri po sebe idúce merania by mohli poskytnúť tri úplne odlišné výsledky, alebo napríklad ukázať priepustnosť oveľa vyššiu ako je rýchlosť portu môjho VPS. Možno je problém v mojej paličkovej ruke, ale zdalo sa nemožné vykonať výskum s takýmto nástrojom.
Čo sa týka výsledkov pre tri metódy merania (speedtest fastiperf), za najpresnejšie a najspoľahlivejšie považujem indikátory iperf a za referenčné považujem fastspeedtest. Niektoré bypassové nástroje však neumožňovali vykonať 3 merania cez iperf3 av takýchto prípadoch sa môžete spoľahnúť na speedtestfast.
test rýchlosti dáva rôzne výsledky
náradie
Celkovo bolo testovaných 24 rôznych bypass nástrojov alebo ich kombinácií, ku každému z nich uvediem malé vysvetlivky a moje dojmy z práce s nimi. Ale v podstate bolo cieľom porovnať rýchlosti shadowsocks (a veľa rôznych obfuskátorov) openVPN a wireguard.
V tomto materiáli nebudem podrobne diskutovať o otázke „ako najlepšie skryť premávku, aby nebola odpojená“, pretože obídenie blokovania je reaktívne opatrenie - prispôsobujeme sa tomu, čo cenzor používa, a na tomto základe konáme.
výsledky
Strongswanipsec
Podľa mojich dojmov je nastavenie veľmi jednoduché a funguje celkom stabilne. Jednou z výhod je, že je skutočne multiplatformový, bez nutnosti hľadať klientov pre každú platformu.
sťahovanie - 993 Mbit; upload - 770 mbit
SSH tunel
Asi len leniví nepísali o použití SSH ako tunelového nástroja. Jednou z nevýhod je „barlička“ riešenia, t.j. nasadenie z pohodlného a krásneho klienta na každej platforme nebude fungovať. Výhodou je dobrý výkon, na server nie je potrebné inštalovať vôbec nič.
sťahovanie - 1270 Mbit; upload - 1140 mbit
OpenVPN
OpenVPN bol testovaný v 4 prevádzkových režimoch: tcp, tcp+sslh, tcp+stunnel, udp.
Servery OpenVPN boli nakonfigurované automaticky inštaláciou streisand.
Pokiaľ možno posúdiť, v súčasnosti je odolný voči pokročilým DPI iba režim stunnel. Dôvod abnormálneho zvýšenia priepustnosti pri balení openVPN-tcp v stunneli mi nie je jasný, kontroly sa robili vo viacerých behoch, v rôznych časoch a v rôzne dni, výsledok bol rovnaký. Možno je to spôsobené nastavením sieťového zásobníka nainštalovaným pri nasadzovaní Streisand, napíšte, ak máte nejaké nápady, prečo je to tak.
openvpntcp: sťahovanie - 760 mbit; upload - 659 Mbit
openvpntcp+sslh: sťahovanie - 794 mbit; upload - 693 mbit
openvpntcp+stunnel: sťahovanie - 619 mbit; upload - 943 Mbit
openvpnudp: sťahovanie - 756 mbit; upload - 580 mbit
Openconnect
Nie je to najobľúbenejší nástroj na obchádzanie blokád, je súčasťou balenia Streisand, preto sme sa ho rozhodli otestovať.
sťahovanie - 895 mbit; upload 715 Mb/s
drôt Guard
Tento nástroj, ktorý je populárny medzi západnými používateľmi, vývojári protokolu dokonca dostali nejaké granty na vývoj z obranných fondov. Funguje ako modul linuxového jadra cez UDP. Nedávno sa objavili klienti pre windowsios.
Tvorca ho vymyslel ako jednoduchý a rýchly spôsob, ako sledovať Netflix, keď nie ste v štátoch.
Preto tie pre a proti. Výhody: veľmi rýchly protokol, relatívna jednoduchosť inštalácie a konfigurácie. Nevýhody - vývojár ho pôvodne nevytvoril s cieľom obísť vážne blokády, a preto je wargard ľahko detekovaný najjednoduchšími nástrojmi, vrátane. wireshark.
protokol wireguard vo wireshark
sťahovanie - 1681 mbit; upload 1638 Mb/s
Zaujímavé je, že protokol warguard sa používa v klientovi tunsafe tretej strany, ktorý pri použití s rovnakým serverom warguard poskytuje oveľa horšie výsledky. Je pravdepodobné, že klient Windows wargard ukáže rovnaké výsledky:
tunsafeclient: sťahovanie - 1007 mbitov; upload - 1366 Mbit
OutlineVPN
Outline je implementácia servera a klienta shadowox s krásnym a pohodlným používateľským rozhraním zo skladačky Google. V systéme Windows je klient obrysu jednoducho súpravou obalov pre binárne súbory shadowsocks-local (klient shadowsocks-libev) a badvpn (binárny súbor tun2socks, ktorý nasmeruje všetku prevádzku stroja na lokálny server socks).
Shadowsox bol kedysi odolný voči Great Firewall of China, no na základe nedávnych recenzií to už neplatí. Na rozdiel od ShadowSox, hneď po vybalení nepodporuje pripojenie zahmlievania pomocou pluginov, ale to sa dá urobiť ručne pohrávaním sa so serverom a klientom.
sťahovanie - 939 Mbit; upload - 930 mbit
ShadowsocksR
ShadowsocksR je fork pôvodných Shadowsocks napísaných v Pythone. V podstate ide o shadowbox, ku ktorému je pevne prišpendlených niekoľko metód zahmlievania dopravy.
Existujú forky ssR na libev a niečo iné. Nízka priepustnosť je pravdepodobne spôsobená jazykom kódu. Pôvodný shadowsox na pythone nie je oveľa rýchlejší.
shadowsocksR: sťahovanie 582 mbitov; upload 541 mbit.
Shadowsocks
Čínsky nástroj na obchádzanie blokov, ktorý randomizuje premávku a zasahuje do automatickej analýzy inými úžasnými spôsobmi. Až donedávna nebol GFW blokovaný, hovoria, že teraz je blokovaný iba vtedy, ak je zapnuté relé UDP.
Cross-platform (existujú klienti pre akúkoľvek platformu), podporuje prácu s PT podobne ako Thorove obfuskátory, existuje niekoľko vlastných alebo na to prispôsobených obfuskátorov, rýchle.
Existuje množstvo implementácií klientov a serverov shadowox v rôznych jazykoch. Pri testovaní sa shadowsocks-libev správali ako server, rôzni klienti. Najrýchlejším klientom Linuxu sa ukázal byť shadowsocks2 on go, distribuovaný ako predvolený klient v streisande, nemôžem povedať, o koľko produktívnejšie sú shadowsocks-windows. Vo väčšine ďalších testov bol ako klient použitý shadowsocks2. Screenshoty testujúce čisté shadowsocks-libev neboli urobené kvôli zjavnému oneskoreniu tejto implementácie.
shadowsocks2: stiahnutie - 1876 mbitov; upload - 1981 mbit.
shadowsocks-rust: download - 1605 mbits; upload - 1895 mbit.
Shadowsocks-libev: stiahnutie - 1584 mbitov; upload - 1265 mbit.
Jednoduché-obfs
Doplnok pre shadowsox je teraz v stave „odpisovaný“, ale stále funguje (aj keď nie vždy dobre). Z veľkej časti nahradený doplnkom v2ray. Zahmlieva prevádzku buď pod HTTP websocket (a umožňuje vám sfalšovať cieľovú hlavičku predstieraním, že nejdete pozerať pornhub, ale napríklad webovú stránku Ústavy Ruskej federácie) alebo pod pseudo-tls (pseudo , pretože nepoužíva žiadne certifikáty, najjednoduchšie DPI, ako napríklad voľné nDPI, sú detegované ako „tls no cert.“ V režime tls už nie je možné sfalšovať hlavičky).
Celkom rýchly, nainštalovaný z repo jedným príkazom, nakonfigurovaný veľmi jednoducho, má zabudovanú funkciu núdzového prepnutia (keď prevádzka z klienta non-simple-obfs príde na port, ktorý simple-obfs počúva, prepošle ho na adresu kde určíte v nastaveniach - takto Takto sa môžete vyhnúť ručnej kontrole portu 80, napríklad jednoduchým presmerovaním na webovú stránku s http, ako aj blokovaním cez sondy pripojenia).
shadowsockss-obfs-tls: stiahnutie - 1618 mbit; upload 1971 mbit.
shadowsockss-obfs-http: stiahnutie - 1582 mbit; upload - 1965 mbit.
Simple-obfs v režime HTTP môžu fungovať aj cez reverzný proxy server CDN (napríklad cloudflare), takže pre nášho poskytovateľa bude návštevnosť vyzerať ako návštevnosť z HTTP-čistého textu do cloudflare, čo nám umožňuje skryť náš tunel o niečo lepšie a pri zároveň oddeľte vstupný bod a výstup prevádzky - poskytovateľ vidí, že vaša prevádzka smeruje na CDN IP adresu a extrémistické lajky na obrázkoch sú v tomto momente umiestňované z VPS IP adresy. Treba povedať, že práve s-obfs cez CF funguje nejednoznačne, napríklad pravidelne neotvára niektoré HTTP zdroje. Takže upload pomocou iperf cez shadowsockss-obfs+CF nebolo možné otestovať, ale súdiac podľa výsledkov rýchlostného testu je priepustnosť na úrovni shadowsocksv2ray-plugin-tls+CF. Nepripájam screenshoty z iperf3, pretože... Nemali by ste sa na ne spoliehať.
stiahnutie (rýchlosť) - 887; upload (speedtest) - 1154.
Stiahnuť (iperf3) - 1625; upload (iperf3) - NA.
v2ray-plugin
V2ray-plugin nahradil jednoduché obfs ako hlavný „oficiálny“ obfuskátor pre ss libs. Na rozdiel od jednoduchých obfs ešte nie je v repozitároch a musíte si stiahnuť vopred zostavený binárny súbor alebo ho skompilovať sami.
Podporuje 3 prevádzkové režimy: predvolený, HTTP websocket (s podporou spoofingových hlavičiek cieľového hostiteľa); tls-websocket (na rozdiel od s-obfs ide o plnohodnotnú prevádzku tls, ktorú rozpozná každý webový server reverzného proxy a napríklad vám umožňuje nakonfigurovať ukončenie tls na serveroch cloudfler alebo v nginx); quic - funguje cez udp, ale bohužiaľ výkon quic vo v2rey je veľmi nízky.
Medzi výhody oproti jednoduchým obfs: plugin v2ray funguje bez problémov cez CF v režime HTTP-websocket s akoukoľvek prevádzkou, v režime TLS je to plnohodnotná prevádzka TLS, na prevádzku vyžaduje certifikáty (napríklad od Let's encrypt alebo self -podpísané).
shadowsocksv2ray-plugin-http: stiahnutie - 1404 mbit; upload 1938 mbit.
shadowsocksv2ray-plugin-tls: stiahnutie - 1214 mbit; upload 1898 mbit.
shadowsocksv2ray-plugin-quic: sťahovanie - 183 mbit; upload 384 Mbit.
Ako som už povedal, v2ray dokáže nastaviť hlavičky, a teda s ním môžete pracovať cez reverzné proxy CDN (napríklad cloudfler). Na jednej strane to komplikuje detekciu tunela, na druhej strane to môže mierne zvýšiť (a niekedy aj znížiť) oneskorenie - všetko závisí od vašej polohy a serverov. CF momentálne testuje prácu s quic, ale tento režim zatiaľ nie je dostupný (aspoň pre bezplatné účty).
shadowsocksv2ray-plugin-http+CF: stiahnutie - 1284 mbit; upload 1785 mbit.
shadowsocksv2ray-plugin-tls+CF: sťahovanie - 1261 mbit; upload 1881 mbit.
plášť
Shred je výsledkom ďalšieho vývoja obfuskátora GoQuiet. Simuluje prenos TLS a funguje cez TCP. Momentálne autor vydal druhú verziu pluginu, cloak-2, ktorá sa výrazne líši od pôvodného cloaku.
Podľa vývojára prvá verzia doplnku používala mechanizmus obnovenia relácie tls 1.2 na sfalšovanie cieľovej adresy pre tls. Po vydaní novej verzie (clock-2) boli všetky wiki stránky na Github popisujúce tento mechanizmus vymazané, v aktuálnom popise zahmlievacieho šifrovania o tom nie je žiadna zmienka. Podľa autorovho popisu sa prvá verzia skartovania nepoužíva z dôvodu prítomnosti „kritických zraniteľností v krypto“. V čase testov existovala iba prvá verzia plášťa, jeho binárne súbory sú stále na Github a okrem všetkého ostatného nie sú kritické zraniteľnosti veľmi dôležité, pretože shadowsox šifruje prevádzku rovnakým spôsobom ako bez maskovania a cloac nemá žiadny vplyv na krypto shadowsox.
shadowsockscloak: stiahnutie - 1533; upload - 1970 mbit
Kcptun
používa kcptun ako transport a v niektorých špeciálnych prípadoch umožňuje dosiahnuť zvýšenú priepustnosť. Bohužiaľ (alebo našťastie) je to do značnej miery relevantné pre používateľov z Číny, z ktorých niektorí mobilní operátori výrazne obmedzujú TCP a nedotýkajú sa UDP.
Kcptun je sakramentsky náročný na energiu a pri testovaní 100 klientom ľahko načíta 4 jadrá zion na 1 %. Okrem toho je plugin „pomalý“ a pri práci cez iperf3 nedokončí testy až do konca. Poďme sa pozrieť na test rýchlosti v prehliadači.
shadowsockskcptun: download (speedtest) - 546 mbit; upload (speedtest) 854 mbit.
Záver
Potrebujete jednoduchú a rýchlu sieť VPN na zastavenie prevádzky z celého vášho počítača? Potom je vašou voľbou vojnový strážca. Chcete proxy (na selektívne tunelovanie alebo oddelenie tokov virtuálnych osôb) alebo je pre vás dôležitejšie oblafnúť premávku pred vážnym blokovaním? Potom sa pozrite na shadowbox s tlshttp obfuscation. Chcete mať istotu, že váš internet bude fungovať, pokiaľ bude vôbec fungovať? Vyberte si prenos cez dôležité siete CDN, pričom blokovanie povedie k zlyhaniu polovice internetu v krajine.
Kontingenčná tabuľka zoradená podľa stiahnutia
Zdroj: hab.com