Ker nam je v omrežju vse pogosteje onemogočen dostop do različnih virov, postaja problematika obhoda blokade vedno bolj pereča, kar pomeni, da postaja vprašanje »Kako hitreje obiti blokado?« vedno bolj aktualno.
Pustimo temo učinkovitosti v smislu izogibanja belim seznamom DPI za drug primer in preprosto primerjajmo delovanje priljubljenih orodij za obhod blokov.
Pozor: v članku bo veliko slik pod spojlerji.
Zavrnitev odgovornosti: ta članek primerja delovanje priljubljenih proxy rešitev VPN pod pogoji, ki so blizu "idealnim". Tu pridobljeni in opisani rezultati ne sovpadajo nujno z vašimi rezultati na področjih. Ker številka v preizkusu hitrosti pogosto ni odvisna od tega, kako zmogljivo je orodje za obvod, ampak od tega, kako ga vaš ponudnik duši.
Metodologija
3 VPS so bili kupljeni pri ponudniku oblaka (DO) v različnih državah po svetu. 2 na Nizozemskem, 1 v Nemčiji. Najproduktivnejši VPS (glede na število jeder) je bil izbran med tistimi, ki so na voljo za račun v okviru ponudbe za kuponske kredite.
Zasebni strežnik iperf3 je nameščen na prvem nizozemskem strežniku.
Na drugem nizozemskem strežniku so drug za drugim nameščeni različni strežniki orodij za obhod blokov.
Slika namizja Linux (xubuntu) z VNC in virtualnim namizjem je nameščena na nemškem VPS. Ta VPN je pogojni odjemalec, na njem pa se po vrsti nameščajo in zaganjajo različni odjemalci proxy VPN.
Meritve hitrosti izvajamo trikrat, osredotočamo se na povprečje, uporabljamo 3 orodja: v Chromiumu preko spletnega testa hitrosti; v Chromiumu prek fast.com; iz konzole prek iperf3 prek proxychains4 (kjer morate promet iperf3 postaviti v proxy).
Neposredna povezava “odjemalec”-strežnik iperf3 daje hitrost 2 Gbps v iperf3 in malo manj v fastspeedtest.
Radovedni bralec se lahko vpraša: "Zakaj niste izbrali speedtest-cli?" in imel bo prav.
Iz meni neznanih razlogov se je izkazalo, da je Speedtest-cli nezanesljiv in neustrezen način za merjenje prepustnosti. Tri zaporedne meritve bi lahko dale tri popolnoma različne rezultate ali na primer pokazale prepustnost, veliko večjo od hitrosti vrat mojega VPS. Morda je težava v moji paličasti roki, vendar se je zdelo nemogoče opraviti raziskavo s takim orodjem.
Kar zadeva rezultate za tri metode merjenja (speedtest fastiperf), menim, da so indikatorji iperf najbolj natančni in zanesljivi, fastspeedtest pa kot referenca. Toda nekatera obvodna orodja niso omogočala dokončanja 3 meritev prek iperf3 in v takih primerih se lahko zanesete na speedtestfast.
test hitrosti daje različne rezultate
Orodje
Skupno je bilo preizkušenih 24 različnih bypass orodij ali njihovih kombinacij, za vsako od njih bom podal manjše razlage in svoje vtise o delu z njimi. Toda v bistvu je bil cilj primerjati hitrosti shadowsocks (in kup različnih obfuskatorjev zanj) openVPN in wireguard.
V tem gradivu ne bom podrobno razpravljal o vprašanju, "kako najbolje skriti promet, da ne bi bil prekinjen", ker je obvoz blokade reaktiven ukrep - prilagajamo se temu, kar uporablja cenzor, in delujemo na tej podlagi.
Ugotovitve
Strongswanipsec
Po mojih vtisih je zelo enostaven za nastavitev in deluje precej stabilno. Ena od prednosti je, da je resnično večplatformen, ne da bi bilo treba iskati stranke za vsako platformo.
prenos - 993 bitov; nalaganje - 770 bitov
SSH tunel
Verjetno samo leni niso pisali o uporabi SSH kot orodja za tuneliranje. Ena od slabosti je “bergla” rešitve, tj. uvajanje iz priročnega, lepega odjemalca na vsako platformo ne bo delovalo. Prednosti so dobra zmogljivost, na strežnik sploh ni treba ničesar nameščati.
prenos - 1270 bitov; nalaganje - 1140 bitov
OpenVPN
OpenVPN je bil testiran v 4 načinih delovanja: tcp, tcp+sslh, tcp+stunnel, udp.
Strežniki OpenVPN so bili samodejno konfigurirani z namestitvijo streisanda.
Kolikor je mogoče soditi, je trenutno samo način stunnel odporen na napredne DPI. Razlog za nenormalno povečanje prepustnosti pri zavijanju openVPN-tcp v stunnel mi ni jasen, preverjanja so bila opravljena v več zagonih, ob različnih urah in ob različnih dnevih, rezultat je bil enak. Morda je to posledica nastavitev omrežnega sklada, nameščenih ob uvajanju Streisanda, napišite, če imate kakšno idejo, zakaj je tako.
openvpntcp: prenos - 760 bitov; nalaganje - 659 bitov
openvpntcp+sslh: prenos - 794 bitov; nalaganje - 693 bitov
openvpntcp+stunnel: prenos - 619 bitov; nalaganje - 943 bitov
openvpnudp: prenos - 756 bitov; nalaganje - 580 bitov
Odpri povezavo
Ni najbolj priljubljeno orodje za obvoz blokad, vključeno je v paket Streisand, zato smo se odločili, da ga preizkusimo tudi mi.
prenos - 895 bitov; nalaganje 715 mbps
Žični ščitnik
Orodje za hype, ki je priljubljeno med zahodnimi uporabniki, so razvijalci protokola celo prejeli nekaj nepovratnih sredstev za razvoj iz obrambnih skladov. Deluje kot modul jedra Linuxa prek UDP. Pred kratkim so se pojavili odjemalci za windowsios.
Ustvarjalec si ga je zamislil kot preprost in hiter način za gledanje Netflixa, ko niste v državah.
Od tod prednosti in slabosti. Prednosti: zelo hiter protokol, relativno enostavna namestitev in konfiguracija. Slabosti - razvijalec ga sprva ni ustvaril s ciljem, da bi obšel resne blokade, zato je wargard zlahka zaznan z najpreprostejšimi orodji, vklj. wireshark.
protokol wireguard v wiresharku
prenos - 1681 bitov; nalaganje 1638 mbps
Zanimivo je, da se v zunanjem odjemalcu tunsafe uporablja protokol warguard, ki ob uporabi z istim strežnikom warguard daje precej slabše rezultate. Verjetno bo odjemalec Windows wargard pokazal enake rezultate:
tunsafeclient: prenos - 1007 bitov; nalaganje - 1366 bitov
OutlineVPN
Outline je implementacija strežnika in odjemalca shadowox s čudovitim in priročnim uporabniškim vmesnikom iz Googlove sestavljanke. V sistemu Windows je orisni odjemalec preprosto nabor ovojev za binarne datoteke shadowsocks-local (odjemalec shadowsocks-libev) in badvpn (binarna datoteka tun2socks, ki usmerja ves strojni promet na lokalni proxy socks).
Shadowsox je bil nekoč odporen na Veliki kitajski požarni zid, vendar na podlagi nedavnih pregledov temu ni več tako. V nasprotju s ShadowSoxom ne podpira zakrivanja povezav prek vtičnikov, vendar je to mogoče storiti ročno s poigravanjem s strežnikom in odjemalcem.
prenos - 939 bitov; nalaganje - 930 bitov
Senčne nogaviceR
ShadowsocksR je fork izvirnega Shadowsocksa, napisanega v Pythonu. V bistvu gre za senčni okvir, na katerega je tesno pripetih več načinov zakrivanja prometa.
Obstajajo vilice ssR za libev in še kaj. Nizka prepustnost je verjetno posledica jezika kode. Originalni shadowsox na pythonu ni dosti hitrejši.
shadowsocksR: prenos 582 bitov; nalaganje 541 bitov.
Shadowsocks
Kitajsko orodje za obhod blokov, ki naključno razvrsti promet in posega v samodejno analizo na druge čudovite načine. Do nedavnega GFW ni bil blokiran, pravijo, da je zdaj blokiran samo, če je vklopljen UDP rele.
Cross-platform (obstajajo odjemalci za katero koli platformo), podpira delo s PT podobno kot Thorjevi obfuscatorji, obstaja več lastnih ali njim prilagojenih obfuscatorjev, hitro.
Obstaja kup izvedb odjemalcev in strežnikov shadowox v različnih jezikih. Pri testiranju je shadowsocks-libev deloval kot strežnik, različni odjemalci. Izkazalo se je, da je najhitrejši odjemalec Linux shadowsocks2 on go, distribuiran kot privzeti odjemalec v streisandu, ne morem reči, koliko produktivnejši je shadowsocks-windows. V večini nadaljnjih testov je bil kot odjemalec uporabljen shadowsocks2. Posnetki zaslona za preizkušanje čistega shadowsocks-libev niso bili narejeni zaradi očitnega zaostajanja te izvedbe.
shadowsocks2: prenos - 1876 bitov; nalaganje - 1981 bitov.
shadowsocks-rust: prenos - 1605 bitov; nalaganje - 1895 bitov.
Shadowsocks-libev: prenos - 1584 bitov; nalaganje - 1265 bitov.
Simple-obfs
Vtičnik za shadowox je zdaj v statusu »amortiziran«, vendar še vedno deluje (čeprav ne vedno dobro). V veliki meri ga je nadomestil vtičnik v2ray. Omogoča promet bodisi pod spletno vtičnico HTTP (in vam omogoča, da ponaredite ciljno glavo, tako da se pretvarjate, da ne boste gledali pornhub, ampak na primer spletno stran ustave Ruske federacije) ali pod psevdo-tls (psevdo , ker ne uporablja nobenih potrdil, so najpreprostejši DPI, kot je prosti nDPI, zaznani kot »tls no cert«. V načinu tls ni več mogoče ponarejati glav).
Precej hiter, nameščen iz repoja z enim ukazom, konfiguriran zelo preprosto, ima vgrajeno funkcijo preklopa (ko promet iz odjemalca non-simple-obfs pride na vrata, ki jih posluša simple-obfs, ga posreduje na naslov kjer določite v nastavitvah - takole. Na ta način se lahko izognete ročnemu preverjanju vrat 80, na primer s preprosto preusmeritvijo na spletno stran s http, kot tudi blokiranju prek povezovalnih sond).
shadowsockss-obfs-tls: prenos - 1618 bitov; naloži 1971 bitov.
shadowsockss-obfs-http: prenos - 1582 bitov; nalaganje - 1965 bitov.
Simple-obfs v načinu HTTP lahko deluje tudi prek povratnega proxyja CDN (na primer cloudflare), tako da bo za našega ponudnika promet videti kot promet HTTP-plaintext proti cloudflare, to nam omogoča, da nekoliko bolje skrijemo svoj tunel in pri istočasno ločite vstopno točko in izhod prometa - ponudnik vidi, da gre vaš promet proti CDN IP naslovu, ekstremistični všečki na slikah pa se v tem trenutku postavljajo z VPS IP naslova. Povedati je treba, da s-obfs prek CF deluje dvoumno, na primer občasno ne odpre nekaterih virov HTTP. Torej ni bilo mogoče testirati nalaganja z uporabo iperf prek shadowsockss-obfs+CF, vendar je sodeč po rezultatih hitrostnega testa prepustnost na ravni shadowsocksv2ray-plugin-tls+CF. Ne prilagam posnetkov zaslona iz iperf3, ker ... Ne bi se smeli zanašati na njih.
prenos (preizkus hitrosti) - 887; nalaganje (preizkus hitrosti) - 1154.
Prenos (iperf3) - 1625; nalaganje (iperf3) - NI.
v2ray-plugin
Vtičnik V2ray je nadomestil preproste obfs kot glavni »uradni« zakrivalnik za ss libs. V nasprotju s preprostimi obf-ji še ni v repozitorijih in morate prenesti vnaprej sestavljeno dvojiško datoteko ali jo prevesti sami.
Podpira 3 načine delovanja: privzeti, HTTP websocket (s podporo za ponarejanje glav ciljnega gostitelja); tls-websocket (za razliko od s-obfs je to polnopravni promet tls, ki ga prepozna kateri koli povratni spletni strežnik proxy in vam na primer omogoča konfiguracijo zaključka tls na strežnikih cloudfler ali v nginx); quic - deluje prek udp, vendar je na žalost zmogljivost quic v v2rey zelo nizka.
Med prednostmi v primerjavi s preprostimi obfs: vtičnik v2ray deluje brez težav prek CF v načinu HTTP-websocket s kakršnim koli prometom, v načinu TLS je polnopravni promet TLS, za delovanje potrebuje potrdila (na primer od Let's encrypt ali self - podpisano).
shadowsocksv2ray-plugin-http: prenos - 1404 bitov; naloži 1938 bitov.
shadowsocksv2ray-plugin-tls: prenos - 1214 bitov; nalaganje 1898 bitov.
shadowsocksv2ray-plugin-quic: prenos - 183 bitov; naloži 384 bitov.
Kot sem že rekel, lahko v2ray nastavi glave in tako lahko z njim delate prek povratnega proxyja CDN (cloudfler na primer). Po eni strani to oteži zaznavanje tunela, po drugi strani pa lahko nekoliko poveča (in včasih zmanjša) zaostanek - vse je odvisno od lokacije vas in strežnikov. CF trenutno preizkuša delo s quic, vendar ta način še ni na voljo (vsaj za brezplačne račune).
shadowsocksv2ray-plugin-http+CF: prenos - 1284 bitov; nalaganje 1785 bitov.
shadowsocksv2ray-plugin-tls+CF: prenos - 1261 bitov; naloži 1881 bitov.
Plašč
Shred je rezultat nadaljnjega razvoja obfuscatorja GoQuiet. Simulira TLS promet in deluje prek TCP. Trenutno je avtor izdal drugo različico vtičnika, cloak-2, ki se bistveno razlikuje od prvotnega plašča.
Po navedbah razvijalca je prva različica vtičnika uporabljala mehanizem nadaljevanja seje tls 1.2 za ponarejanje ciljnega naslova za tls. Po izidu nove različice (clock-2) so bile izbrisane vse wiki strani na Githubu, ki opisujejo ta mehanizem; v trenutnem opisu šifriranja zamegljevanja to ni omenjeno. Glede na avtorjev opis se prva različica shreda ne uporablja zaradi prisotnosti "kritičnih ranljivosti v kripto." V času testiranj je obstajala le prva različica ogrinjala, njegove binarne datoteke so še vedno na Githubu, poleg vsega pa kritične ranljivosti niso zelo pomembne, saj shadowsox šifrira promet na enak način kot brez plašča in cloac nima vpliva na shadowsoxovo kripto.
shadowsockscloak: prenos - 1533; nalaganje - 1970 bitov
Kcptun
uporablja kcptun kot transport in v nekaterih posebnih primerih omogoča doseganje povečanega pretoka. Na žalost (ali na srečo) je to v veliki meri relevantno za uporabnike iz Kitajske, pri katerih nekateri mobilni operaterji močno dušijo TCP in se ne dotikajo UDP.
Kcptun je prekleto lačen energije in zlahka naloži 100 jedra zion pri 4 %, ko ga testira 1 odjemalec. Poleg tega je vtičnik "počasen" in pri delu prek iperf3 ne dokonča testov do konca. Oglejmo si test hitrosti v brskalniku.
shadowsockskcptun: prenos (speedtest) - 546 bitov; nalaganje (test hitrosti) 854 bitov.
Zaključek
Ali potrebujete preprost in hiter VPN, da zaustavite promet iz celotnega računalnika? Potem je vaša izbira Warguard. Ali želite posrednike (za selektivno tuneliranje ali ločevanje tokov virtualnih oseb) ali je za vas bolj pomembno, da zakrijete promet pred resnimi blokadami? Nato si oglejte shadowbox z zameglitvijo tlshttp. Ali želite biti prepričani, da bo vaš internet deloval, dokler internet sploh deluje? Izberite posredniški promet prek pomembnih CDN-jev, kar bo povzročilo odpoved polovice interneta v državi.
Vrtilna tabela, razvrščena po prenosu
Vir: www.habr.com