Uvoľnil sa proxy server obrysu-ss-server 1.4, ktorý používa protokol Shadowsocks na skrytie charakteru prevádzky, obchádzanie brán firewall a oklamanie systémov kontroly paketov. Server je vyvíjaný v rámci projektu Outline, ktorý navyše poskytuje viazanie klientskych aplikácií a ovládacie rozhranie, ktoré vám umožňuje rýchlo nasadiť viacužívateľské servery Shadowsocks na serveroch Outline sss vo verejných cloudových prostrediach alebo na vašom vlastnom zariadení, spravovať ich cez webové rozhranie a organizovať užívateľský prístup podľa kľúčov. Kód je vyvinutý a udržiavaný spoločnosťou Jigsaw, divíziou v rámci spoločnosti Google vytvorenou na vývoj nástrojov na obchádzanie cenzúry a organizovanie bezplatnej výmeny informácií.
Outline-ss-server je napísaný v Go a distribuovaný pod licenciou Apache 2.0. Ako základ sa používa kód proxy servera go-shadowsocks2, ktorý vytvorila komunita vývojárov Shadowsocks. V poslednej dobe sa hlavná aktivita projektu Shadowsocks sústredila na vývoj nového servera v jazyku Rust, pričom implementácia Go nebola aktualizovaná už viac ako rok a vo funkčnosti je citeľne pozadu.
Rozdiely medzi outline-ss-server a go-shadowsocks2 spočívajú v podpore pripojenia viacerých používateľov cez jeden sieťový port, možnosti otvoriť viacero sieťových portov na prijímanie pripojení, podpore horúceho reštartu a aktualizácii konfigurácie bez prerušenia pripojenia, vstavanému monitorovaniu a nástroje na úpravu návštevnosti založené na platforme prometheus .io.
Output-ss-server tiež pridáva ochranu pred požiadavkami sondy a útokmi na prehratie prevádzky. Útok prostredníctvom overovacích požiadaviek je zameraný na určenie prítomnosti proxy, napríklad útočník môže poslať súbory údajov rôznych veľkostí na cieľový server Shadowsocks a analyzovať, koľko údajov server prečíta pred určením chyby a ukončením pripojenia. . Útok opakovaného prehrávania je založený na únose relácie medzi klientom a serverom a následnom pokuse o opätovné odoslanie unesených údajov, aby sa zistila prítomnosť servera proxy.
Na ochranu pred útokmi prostredníctvom požiadaviek na overenie server obrys-ss-server, keď prídu nesprávne údaje, neukončí spojenie a nezobrazí chybu, ale naďalej prijíma informácie a pôsobí ako druh čiernej diery. Na ochranu pred opakovaním sú dáta prijaté od klienta dodatočne kontrolované na opakovanie pomocou kontrolných súčtov uložených pre posledných niekoľko tisíc sekvencií handshake (maximálne 40 tisíc, veľkosť je nastavená pri štarte servera a spotrebuje 20 bajtov pamäte na sekvenciu). Na blokovanie opakujúcich sa odpovedí zo servera všetky sekvencie handshake servera používajú autentifikačné kódy HMAC s 32-bitovými značkami.
Pokiaľ ide o úroveň skrytia prevádzky, protokol Shadowsocks v implementácii obrys-ss-server je blízky zásuvnému prenosu Obfs4 v anonymnej sieti Tor. Protokol bol vytvorený s cieľom obísť čínsky systém cenzúry návštevnosti („Veľký čínsky firewall“) a umožňuje vám pomerne efektívne skryť prenos smerovaný cez iný server (identifikácia prenosu je problematická kvôli pripojeniu náhodného semena a simulácii nepretržitého toku).
SOCKS5 sa používa ako protokol pre proxy požiadavky - na lokálnom systéme je spustený proxy s podporou SOCKS5, ktorý tuneluje prevádzku na vzdialený server, z ktorého sú požiadavky skutočne vykonávané. Komunikácia medzi klientom a serverom je umiestnená v šifrovanom tuneli (podporované je overené šifrovanie AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM a AEAD_AES_256_GCM), čo skrýva skutočnosť, že vytvorenie je primárnou úlohou Shadowsocks. Je podporovaná organizácia TCP a UDP tunelov, ako aj vytváranie ľubovoľných tunelov, ktoré nie sú obmedzené na SOCKS5, pomocou pluginov, ktoré pripomínajú zásuvné transporty v Tor.
Zdroj: opennet.ru