Ndërsa na mohohet gjithnjë e më shumë qasja në burime të ndryshme në rrjet, çështja e anashkalimit të bllokimit bëhet gjithnjë e më urgjente, që do të thotë se pyetja "Si të anashkalojmë bllokimin më shpejt?" bëhet gjithnjë e më e rëndësishme.
Le ta lëmë temën e efikasitetit në drejtim të anashkalimit të listave të bardha të DPI për një rast tjetër dhe thjesht të krahasojmë performancën e mjeteve popullore të anashkalimit të bllokut.
Kujdes: Në artikull do të ketë shumë fotografi nën spoiler.
Mohim përgjegjësie: ky artikull krahason performancën e zgjidhjeve të njohura proxy VPN në kushte afër "ideale". Rezultatet e marra dhe të përshkruara këtu nuk përkojnë domosdoshmërisht me rezultatet tuaja në fusha. Sepse numri në testin e shpejtësisë shpesh nuk varet nga sa i fuqishëm është mjeti i anashkalimit, por nga mënyra se si ofruesi juaj e mbyt atë.
metodologji
3 VPS janë blerë nga një ofrues cloud (DO) në vende të ndryshme anembanë botës. 2 në Holandë, 1 në Gjermani. VPS-ja më produktive (sipas numrit të bërthamave) u zgjodh nga ato të disponueshme për llogarinë nën ofertën për kreditë kupon.
Një server privat iperf3 është vendosur në serverin e parë holandez.
Në serverin e dytë holandez, serverë të ndryshëm të mjeteve të anashkalimit të bllokut vendosen një nga një.
Një imazh Linux desktop (xubuntu) me VNC dhe një desktop virtual është vendosur në VPS gjermane. Ky VPN është një klient i kushtëzuar, dhe klientë të ndryshëm proxy VPN janë instaluar dhe lëshuar në të nga ana tjetër.
Matjet e shpejtësisë kryhen tre herë, ne fokusohemi në mesataren, përdorim 3 mjete: në Chromium përmes një testi të shpejtësisë në internet; në Chromium nëpërmjet fast.com; nga tastiera nëpërmjet iperf3 nëpërmjet proxychains4 (ku duhet të vendosni trafikun iperf3 në proxy).
Një lidhje e drejtpërdrejtë "klient"-server iperf3 jep një shpejtësi prej 2 Gbps në iperf3, dhe pak më pak në testin e shpejtë.
Një lexues kureshtar mund të pyesë, "pse nuk zgjodhët speedtest-cli?" dhe ai do të ketë të drejtë.
Speedtest-cli doli të ishte jo i besueshëm dhe një mënyrë joadekuate për të matur xhiron, për arsye të panjohura për mua. Tre matje të njëpasnjëshme mund të japin tre rezultate krejtësisht të ndryshme, ose, për shembull, të tregojnë një xhiro shumë më të lartë se shpejtësia e portit të VPS-së sime. Ndoshta problemi është dora ime me shkopinj, por më dukej e pamundur të kryeja kërkime me një mjet të tillë.
Për sa i përket rezultateve për tre metodat e matjes (speedtest fastiperf), unë i konsideroj treguesit iperf si më të saktët dhe më të besueshëm, dhe më të shpejtët si referencë. Por disa mjete anashkalimi nuk lejuan kryerjen e 3 matjeve përmes iperf3 dhe në raste të tilla, mund të mbështeteni në speedtestfast.
testi i shpejtësisë jep rezultate të ndryshme
mjete
Në total janë testuar 24 mjete të ndryshme bypass ose kombinime të tyre, për secilin prej tyre do të jap shpjegime të vogla dhe përshtypjet e mia nga puna me to. Por në thelb, qëllimi ishte të krahasonim shpejtësitë e shadowsocks (dhe një grup pengesash të ndryshëm për të) openVPN dhe wireguard.
Në këtë material, unë nuk do të diskutoj në detaje pyetjen "si më mirë të fshihet trafiku në mënyrë që të mos shkëputet", sepse anashkalimi i bllokimit është një masë reaktive - ne përshtatemi me atë që përdor censori dhe veprojmë mbi këtë bazë.
Gjetjet
Strongswanipsec
Sipas përshtypjeve të mia, është shumë e lehtë për t'u vendosur dhe funksionon mjaft stabile. Një nga avantazhet është se është me të vërtetë ndër-platformë, pa nevojën për të kërkuar klientë për secilën platformë.
shkarkim - 993 mbits; ngarkimi - 770 mbits
tuneli SSH
Ndoshta vetëm dembelët nuk kanë shkruar për përdorimin e SSH si një mjet tuneli. Një nga disavantazhet është "paterica" e zgjidhjes, d.m.th. vendosja e tij nga një klient i përshtatshëm dhe i bukur në çdo platformë nuk do të funksionojë. Përparësitë janë performanca e mirë, nuk ka nevojë të instaloni asgjë në server fare.
shkarkim - 1270 mbits; ngarkimi - 1140 mbits
OpenVPN
OpenVPN u testua në 4 mënyra funksionimi: tcp, tcp+sslh, tcp+stunnel, udp.
Serverët OpenVPN u konfiguruan automatikisht duke instaluar streisand.
Për aq sa mund të gjykohet, për momentin vetëm modaliteti stunnel është rezistent ndaj DPI-ve të avancuara. Arsyeja e rritjes jonormale të xhiros kur mbështillni openVPN-tcp në stunnel nuk është e qartë për mua, kontrollet u bënë në disa ekzekutime, në kohë të ndryshme dhe në ditë të ndryshme, rezultati ishte i njëjtë. Ndoshta kjo është për shkak të cilësimeve të rrjetit të instaluar gjatë vendosjes së Streisand, shkruani nëse keni ndonjë ide pse është kështu.
openvpntcp: shkarkim - 760 mbits; ngarkimi - 659 mbits
openvpntcp+sslh: shkarkim - 794 mbits; ngarkimi - 693 mbits
openvpntcp+stunnel: shkarkim - 619 mbits; ngarkimi - 943 mbits
openvpnudp: shkarkim - 756 mbits; ngarkimi - 580 mbits
Hap lidhjen
Jo mjeti më i popullarizuar për anashkalimin e bllokimeve, ai është i përfshirë në paketën Streisand, kështu që vendosëm ta testonim edhe atë.
shkarkim - 895 mbits; ngarkoni 715 mbps
Rojtari i telit
Një mjet hype që është i popullarizuar në mesin e përdoruesve perëndimorë, zhvilluesit e protokollit madje morën disa grante për zhvillim nga fondet e mbrojtjes. Punon si një modul kernel Linux përmes UDP. Kohët e fundit janë shfaqur klientë për windowsios.
Ajo u konceptua nga krijuesi si një mënyrë e thjeshtë dhe e shpejtë për të parë Netflix ndërsa nuk jeni në shtete.
Prandaj të mirat dhe të këqijat. Pro: protokoll shumë i shpejtë, lehtësi relative e instalimit dhe konfigurimit. Disavantazhet - zhvilluesi nuk e krijoi fillimisht atë me qëllim të anashkalimit të bllokimeve serioze, dhe për këtë arsye wargard zbulohet lehtësisht nga mjetet më të thjeshta, përfshirë. teli.
protokolli i mbrojtjes së telit në wireshark
shkarkim - 1681 mbits; ngarkoni 1638 mbps
Është interesante se protokolli warguard përdoret në klientin tunsafe të palës së tretë, i cili, kur përdoret me të njëjtin server warguard, jep rezultate shumë më të këqija. Ka të ngjarë që klienti i Windows wargard të tregojë të njëjtat rezultate:
tunsafeclient: shkarkim - 1007 mbits; ngarkimi - 1366 mbits
OutlineVPN
Outline është një implementim i një serveri dhe klienti shadowox me një ndërfaqe të bukur dhe të përshtatshme përdoruesi nga bashkim pjesësh figure e Google. Në Windows, klienti skicë është thjesht një grup mbështjellësish për binaret shadowsocks-local (klient shadowsocks-libev) dhe badvpn (binary tun2socks që drejton të gjithë trafikun e makinës te një përfaqësues lokal i çorapeve).
Shadowsox dikur ishte rezistent ndaj Firewall-it të Madh të Kinës, por bazuar në rishikimet e fundit, ky nuk është më rasti. Ndryshe nga ShadowSox, ai nuk mbështet lidhjen e turbullimit përmes shtojcave, por kjo mund të bëhet manualisht duke ndërhyrë me serverin dhe klientin.
shkarkim - 939 mbits; ngarkimi - 930 mbits
ShadowsocksR
ShadowsocksR është një fork i Shadowsocks origjinal, i shkruar në Python. Në thelb, është një kuti hijesh në të cilën janë të lidhura fort disa metoda të errësimit të trafikut.
Ka pirunë të ssR deri te libev dhe diçka tjetër. Rrjedha e ulët është ndoshta për shkak të gjuhës së kodit. Shadowsox origjinal në python nuk është shumë më i shpejtë.
shadowsocksR: shkarko 582 mbits; ngarkoni 541 mbits.
Shadowsocks
Një mjet kinez i anashkalimit të bllokut që randomizon trafikun dhe ndërhyn në analizën automatike në mënyra të tjera të mrekullueshme. Deri vonë, GFW nuk ishte i bllokuar; ata thonë se tani është i bllokuar vetëm nëse stafeta UDP është e ndezur.
Ndër-platformë (ka klientë për çdo platformë), mbështet punën me PT të ngjashme me obfuscators të Thor-it, ka disa pengues të vet ose të përshtatur për të, të shpejtë.
Ka një mori implementimesh të klientëve dhe serverëve shadowox, në gjuhë të ndryshme. Në testim, shadowsocks-libev veproi si një server, klientë të ndryshëm. Klienti më i shpejtë Linux doli të ishte shadowsocks2 në lëvizje, i shpërndarë si klient i paracaktuar në streisand, nuk mund të them se sa më produktiv është shadowsocks-windows. Në shumicën e testeve të mëtejshme, shadowsocks2 u përdor si klient. Pamjet e ekranit që testojnë shadowsocks-libev të pastër nuk u bënë për shkak të vonesës së dukshme të këtij zbatimi.
shadowsocks2: shkarkim - 1876 mbits; ngarkimi - 1981 mbits.
shadowsocks-rust: shkarkim - 1605 mbits; ngarkimi - 1895 mbits.
Shadowsocks-libev: shkarkim - 1584 mbits; ngarkimi - 1265 mbits.
Simple-obfs
Shtojca për shadowsox tani është në statusin "të amortizuar", por ende funksionon (edhe pse jo gjithmonë mirë). Kryesisht i zëvendësuar nga v2ray-plugin. Errëson trafikun ose nën një uebsocket HTTP (dhe ju lejon të mashtroni kokën e destinacionit, duke pretenduar se nuk do të shikoni një pornhub, por, për shembull, faqen e internetit të Kushtetutës së Federatës Ruse) ose nën pseudo-tls (pseudo , për shkak se nuk përdor asnjë certifikatë, DPI-të më të thjeshta si p.sh.
Mjaft i shpejtë, i instaluar nga repo me një komandë, i konfiguruar shumë thjeshtë, ka një funksion të integruar të dështimit (kur trafiku nga një klient jo i thjeshtë-obfs vjen në portin që dëgjon simple-obfs, ai e përcjell atë në adresën ku specifikoni në cilësimet - si kjo Në këtë mënyrë, ju mund të shmangni kontrollin manual të portës 80, për shembull, thjesht duke ridrejtuar në një faqe interneti me http, si dhe duke bllokuar përmes sondave të lidhjes).
shadowsockss-obfs-tls: shkarkim - 1618 mbits; ngarkoni 1971 mbits.
shadowsockss-obfs-http: shkarko - 1582 mbits; ngarkimi - 1965 mbits.
Simple-obfs në modalitetin HTTP mund të funksionojnë gjithashtu përmes një përfaqësuesi të kundërt CDN (për shembull, cloudflare), kështu që për ofruesin tonë trafiku do të duket si trafiku i tekstit të thjeshtë HTTP në cloudflare, kjo na lejon të fshehim tunelin tonë pak më mirë, dhe në në të njëjtën kohë ndani pikën hyrëse dhe daljen e trafikut - ofruesi sheh që trafiku juaj po shkon drejt adresës IP të CDN dhe pëlqimet ekstremiste në foto vendosen në këtë moment nga adresa IP VPS. Duhet thënë se është s-obfs përmes CF që funksionon në mënyrë të paqartë, duke mos hapur periodikisht disa burime HTTP, për shembull. Pra, nuk ishte e mundur të testohej ngarkimi duke përdorur iperf përmes shadowsockss-obfs+CF, por duke gjykuar nga rezultatet e testit të shpejtësisë, xhiroja është në nivelin e shadowsocksv2ray-plugin-tls+CF. Nuk po bashkangjit pamjet e ekranit nga iperf3, sepse... Ju nuk duhet të mbështeteni tek ata.
shkarkim (test i shpejtësisë) - 887; ngarkimi (testi me shpejtësi) - 1154.
Shkarko (iperf3) - 1625; ngarko (iperf3) - NA.
v2ray-plugin
V2ray-plugin ka zëvendësuar obfs të thjeshtë si obfuscator kryesor "zyrtar" për ss libs. Ndryshe nga obf-të e thjeshta, ai nuk është ende në depo, dhe ju duhet ose të shkarkoni një binar të para-montuar ose ta përpiloni vetë.
Mbështet 3 mënyra funksionimi: default, websocket HTTP (me mbështetje për mashtrimin e titujve të hostit të destinacionit); tls-websocket (ndryshe nga s-obfs, ky është trafik i plotë tls, i cili njihet nga çdo server web proxy i kundërt dhe, për shembull, ju lejon të konfiguroni përfundimin tls në serverët cloudfler ose në nginx); quic - funksionon përmes udp, por për fat të keq performanca e quic në v2rey është shumë e ulët.
Ndër avantazhet në krahasim me obf-të e thjeshta: shtojca v2rey funksionon pa probleme përmes CF në modalitetin HTTP-websocket me çdo trafik, në modalitetin TLS është trafik i plotë TLS, kërkon certifikata për funksionim (për shembull, nga Let's encrypt ose self - nënshkruar).
shadowsocksv2ray-plugin-http: shkarkimi - 1404 mbits; ngarkoni 1938 mbits.
shadowsocksv2ray-plugin-tls: shkarkim - 1214 mbits; ngarkoni 1898 mbits.
shadowsocksv2ray-plugin-quic: shkarkim - 183 mbits; ngarkoni 384 mbits.
Siç thashë tashmë, v2ray mund të vendosë tituj, dhe kështu mund të punoni me të përmes një CDN të një përfaqësuesi të kundërt (për shembull, cloudfler). Nga njëra anë, kjo e ndërlikon zbulimin e tunelit, nga ana tjetër, mund të rrisë pak (dhe ndonjëherë të zvogëlojë) vonesën - gjithçka varet nga vendndodhja e jush dhe serverëve. CF aktualisht po teston duke punuar me quic, por kjo mënyrë nuk është ende e disponueshme (të paktën për llogaritë falas).
shadowsocksv2ray-plugin-http+CF: shkarkim - 1284 mbits; ngarkoni 1785 mbits.
shadowsocksv2ray-plugin-tls+CF: shkarkim - 1261 mbits; ngarkoni 1881 mbits.
mantel
Copëtimi është rezultat i zhvillimit të mëtejshëm të obfuscator GoQuiet. Simulon trafikun TLS dhe funksionon përmes TCP. Për momentin, autori ka lëshuar versionin e dytë të shtojcës, cloak-2, i cili është dukshëm i ndryshëm nga manteli origjinal.
Sipas zhvilluesit, versioni i parë i shtojcës përdori mekanizmin e sesionit të rifillimit tls 1.2 për të mashtruar adresën e destinacionit për tls. Pas lëshimit të versionit të ri (ora-2), të gjitha faqet wiki në Github që përshkruanin këtë mekanizëm u fshinë; nuk përmendet kjo në përshkrimin aktual të enkriptimit të turbullimit. Sipas përshkrimit të autorit, versioni i parë i copëzimit nuk përdoret për shkak të pranisë së "vulnerabiliteteve kritike në kripto". Në kohën e testeve, ekzistonte vetëm versioni i parë i mantelit, binarët e tij janë ende në Github, dhe përveç gjithçkaje tjetër, dobësitë kritike nuk janë shumë të rëndësishme, sepse shadowsox kodon trafikun në të njëjtën mënyrë si pa një mantel, dhe cloac nuk ka asnjë efekt në kriptomin e shadowsox.
shadowsockscloak: shkarko - 1533; ngarkimi - 1970 mbits
Kcptun
përdor kcptun si transport dhe në disa raste të veçanta mundëson arritjen e rritjes së xhiros. Fatkeqësisht (ose për fat të mirë), kjo është kryesisht e rëndësishme për përdoruesit nga Kina, disa prej operatorëve celularë të të cilëve frenojnë shumë TCP dhe nuk prekin UDP.
Kcptun është shumë i uritur për energji dhe ngarkon lehtësisht 100 bërthama zion në 4% kur testohet nga 1 klient. Për më tepër, shtojca është "e ngadaltë" dhe kur punon përmes iperf3 nuk i kryen testet deri në fund. Le të hedhim një vështrim në testin e shpejtësisë në shfletues.
shadowsockskcptun: shkarkimi (testi me shpejtësi) - 546 mbits; ngarkoni (test me shpejtësi) 854 mbits.
Përfundim
Keni nevojë për një VPN të thjeshtë dhe të shpejtë për të ndaluar trafikun nga e gjithë makina juaj? Atëherë zgjedhja juaj është roje. Dëshironi proxy (për tunelimin selektiv ose ndarjen e flukseve të personave virtual) apo është më e rëndësishme për ju që të errësoni trafikun nga bllokimi serioz? Pastaj shikoni shadowbox me turbullim tlshttp. Dëshironi të jeni të sigurt se interneti juaj do të funksionojë për sa kohë që Interneti funksionon fare? Zgjidhni të proxy trafikun përmes CDN-ve të rëndësishme, bllokimi i të cilit do të çojë në dështimin e gjysmës së internetit në vend.
Tabela kryesore, e renditur sipas shkarkimit
Burimi: www.habr.com