Како нам се све више ускраћује приступ разним ресурсима на мрежи, питање заобилажења блокирања постаје све актуелније, што значи да питање „Како брже заобићи блокирање?“ постаје све актуелније.
Оставимо тему ефикасности у смислу заобилажења ДПИ беле листе за други случај и једноставно упоредимо перформансе популарних алата за заобилажење блокова.
Пажња: У чланку ће бити пуно слика испод спојлера.
Одрицање од одговорности: овај чланак упоређује перформансе популарних ВПН прокси решења у условима блиским „идеалним“. Резултати добијени и описани овде не морају нужно да се поклапају са вашим резултатима на пољима. Зато што број у тесту брзине често зависи не од тога колико је моћан алат за обилазак, већ од тога како га ваш провајдер гаси.
Методологија
3 ВПС су купљена од добављача облака (ДО) у различитим земљама широм света. 2 у Холандији, 1 у Немачкој. Најпродуктивнији ВПС (по броју језгара) изабран је од оних доступних за налог у оквиру понуде за купонске кредите.
Приватни иперф3 сервер је распоређен на првом холандском серверу.
На другом холандском серверу, један по један се постављају различити сервери алата за обилазак блокова.
На немачком ВПС-у је постављена десктоп Линук слика (кубунту) са ВНЦ-ом и виртуелном радном површином. Овај ВПН је условни клијент и на њему се инсталирају и покрећу различити ВПН прокси клијенти.
Мерење брзине се врши три пута, фокусирамо се на просек, користимо 3 алата: у Цхромиум-у кроз тест брзине веба; у Цхромиум-у преко фаст.цом; са конзоле преко иперф3 преко прокицхаинс4 (где треба да ставите иперф3 саобраћај у прокси).
Директна веза „клијент“-сервер иперф3 даје брзину од 2 Гбпс у иперф3, а нешто мање у фастспеедтест-у.
Радознали читалац може питати: „Зашто нисте изабрали спеедтест-цли?“ и биће у праву.
Показало се да је Спеедтест-цли непоуздан и неадекватан начин мерења протока, из мени непознатих разлога. Три узастопна мерења могу дати три потпуно различита резултата, или, на пример, показати пропусност много већу од брзине порта мог ВПС-а. Можда је проблем у мојој руци, али је изгледало немогуће спровести истраживање са таквим алатом.
Што се тиче резултата за три методе мерења (спеедтест фастиперф), сматрам да су иперф индикатори најпрецизнији и најпоузданији, а фастспеедтест као референтни. Али неки алати за обилажење нису дозволили довршавање 3 мерења преко иперф3 и у таквим случајевима можете се ослонити на спеедтестфаст.
тест брзине даје различите резултате
Алати
Укупно су тестирана 24 различита бајпас алата или њихове комбинације, за сваки од њих ћу дати мала објашњења и своје утиске о раду са њима. Али у суштини, циљ је био да се упореде брзине схадовсоцкс-а (и гомилу различитих обфускатора за то) опенВПН-а и вирегуард-а.
У овом материјалу нећу детаљно расправљати о питању „како најбоље сакрити саобраћај да не буде искључен“, јер је заобилажење блокирања реактивна мера - прилагођавамо се ономе што цензор користи и поступамо на основу тога.
Налази
Стронгсванипсец
По мојим утисцима, врло је лако подесити и ради прилично стабилно. Једна од предности је што је заиста вишеплатформска, без потребе да се траже клијенти за сваку платформу.
преузимање - 993 бита; отпремање - 770 бита
ССХ тунел
Вероватно само лењи нису писали о коришћењу ССХ-а као тунелског алата. Један од недостатака је „штака“ решења, тј. постављање са погодног, лепог клијента на свакој платформи неће радити. Предности су добре перформансе, нема потребе да се било шта инсталира на сервер.
преузимање - 1270 бита; отпремање - 1140 бита
ОпенВПН
ОпенВПН је тестиран у 4 режима рада: тцп, тцп+сслх, тцп+стуннел, удп.
ОпенВПН сервери су аутоматски конфигурисани инсталирањем стреисанда.
Колико се може проценити, тренутно је само стуннел режим отпоран на напредне ДПИ. Разлог ненормалног повећања пропусности при умотавању опенВПН-тцп-а у стуннел ми није јасан, провере су рађене у неколико рунди, у различито време и различитим данима, резултат је био исти. Можда је то због подешавања мрежног стека инсталираних приликом постављања Стреисанда, напишите ако имате било какву идеју зашто је то тако.
опенвпнтцп: преузимање - 760 бита; отпремање - 659 бита
опенвпнтцп+сслх: преузимање - 794 бита; отпремање - 693 бита
опенвпнтцп+стуннел: преузимање - 619 бита; отпремање - 943 бита
опенвпнудп: преузимање - 756 бита; отпремање - 580 бита
Опенцоннецт
Није најпопуларнија алатка за заобилажење блокада, укључена је у Стреисанд пакет, па смо одлучили да и њега тестирамо.
преузимање - 895 бита; уплоад 715 Мбпс
Вирегуард
Алат за хипе који је популаран међу западним корисницима, програмери протокола су чак добили неке грантове за развој из одбрамбених фондова. Ради као Линук кернел модул преко УДП-а. Недавно су се појавили клијенти за виндовсиос.
Креатор га је замислио као једноставан, брз начин да гледате Нетфлик док нисте у државама.
Отуда и предности и мане. Предности: веома брз протокол, релативна лакоћа инсталације и конфигурације. Недостаци - програмер га у почетку није креирао са циљем да заобиђе озбиљне блокаде, па се варгард лако открива најједноставнијим алатима, укљ. виресхарк.
вирегуард протокол у виресхарк-у
преузимање - 1681 бита; уплоад 1638 Мбпс
Занимљиво је да се Варгуард протокол користи у тунсафе клијенту треће стране, који, када се користи са истим варгард сервером, даје много лошије резултате. Вероватно ће Виндовс варгард клијент показати исте резултате:
тунсафецлиент: преузимање - 1007 бита; уплоад - 1366 бита
ОутлинеВПН
Оутлине је имплементација схадовок сервера и клијента са прелепим и практичним корисничким интерфејсом из Гоогле-ове слагалице. У Виндовс-у, оутлине клијент је једноставно скуп омота за схадовсоцкс-лоцал (схадовсоцкс-либев цлиент) и бадвпн (тун2соцкс бинарни фајл који усмерава сав машински саобраћај на локални соцкс проки) бинарне датотеке.
Схадовсок је некада био отпоран на Велики кинески заштитни зид, али на основу недавних рецензија, то више није случај. За разлику од СхадовСок-а, ван кутије не подржава повезивање замагљивања преко додатака, али то се може урадити ручно петљањем са сервером и клијентом.
преузимање - 939 бита; отпремање - 930 бита
СхадовсоцксР
СхадовсоцксР је форк оригиналног Схадовсоцкс-а, написаног у Питхон-у. У суштини, то је кутија за сенке за коју је чврсто причвршћено неколико метода замагљивања саобраћаја.
Постоје виљушке ссР до либева и још нешто. Ниска пропусност је вероватно због језика кода. Оригинални схадовсок на питону није много бржи.
схадовсоцксР: преузимање 582 бита; уплоад 541 бита.
Схадовсоцкс
Кинески алат за заобилажење блокова који насумично намеће саобраћај и омета аутоматску анализу на друге дивне начине. До недавно ГФВ није био блокиран, кажу да је сада блокиран само ако је укључен УДП релеј.
Унакрсна платформа (постоје клијенти за било коју платформу), подржава рад са ПТ слично Тхоровим обфускаторима, постоји неколико сопствених или за њега прилагођених обфускатора, брзих.
Постоји гомила имплементација схадовок клијената и сервера, на различитим језицима. У тестирању, схадовсоцкс-либев је деловао као сервер, различити клијенти. Најбржи Линук клијент се показао као схадовсоцкс2 он го, дистрибуиран као подразумевани клијент у Стреисанду, не могу рећи колико је схадовсоцкс-виндовс продуктивнији. У већини даљих тестова, схадовсоцкс2 је коришћен као клијент. Снимци екрана који тестирају чист схадовсоцкс-либев нису направљени због очигледног заостајања ове имплементације.
схадовсоцкс2: преузимање - 1876 бита; уплоад - 1981 мбит.
схадовсоцкс-руст: преузимање - 1605 мбита; отпремање - 1895 бита.
Схадовсоцкс-либев: преузимање - 1584 мбита; отпремање - 1265 бита.
Симпле-обфс
Додатак за схадовсок је сада у статусу „депрецијације“, али и даље ради (иако не увек добро). У великој мери замењен в2раи-додатком. Замагљује саобраћај или под ХТТП веб-соцкетом (и омогућава вам да лажирате заглавље одредишта, претварајући се да нећете гледати порнхуб, већ, на пример, веб локацију Устава Руске Федерације) или под псеудо-тлс (псеудо , пошто не користи никакве сертификате, најједноставнији ДПИ као што је бесплатни нДПИ се детектују као „тлс но церт.“ У тлс режиму више није могуће лажирати заглавља).
Прилично брз, инсталиран из репо-а једном командом, конфигурисан врло једноставно, има уграђену функцију преласка са грешке (када саобраћај са клијента који није једноставан-обфс дође на порт који слуша симпле-обфс, он га прослеђује на адресу где одредите у подешавањима – овако. На овај начин можете избећи ручну проверу порта 80, на пример, једноставним преусмеравањем на веб локацију са хттп, као и блокирањем путем сонди везе).
схадовсоцксс-обфс-тлс: преузимање - 1618 мбита; уплоад 1971 битс.
схадовсоцксс-обфс-хттп: преузимање - 1582 бита; уплоад - 1965 бита.
Симпле-обфс у ХТТП режиму такође могу да раде преко ЦДН обрнутог проксија (на пример, цлоудфларе), тако да ће за нашег провајдера саобраћај изгледати као ХТТП-плаинтект саобраћај до цлоудфларе-а, што нам омогућава да мало боље сакријемо наш тунел и на у исто време одвојите улазну тачку и излаз из саобраћаја - провајдер види да ваш саобраћај иде ка ЦДН ИП адреси, а екстремни лајкови на сликама се у овом тренутку постављају са ВПС ИП адресе. Мора се рећи да с-обфс кроз ЦФ ради двосмислено, повремено не отварајући неке ХТТП ресурсе, на пример. Дакле, није било могуће тестирати уплоад користећи иперф преко схадовсоцксс-обфс+ЦФ, али судећи по резултатима теста брзине, пропусност је на нивоу схадовсоцксв2раи-плугин-тлс+ЦФ. Не прилажем снимке екрана са иперф3, јер... Не треба се ослањати на њих.
преузимање (тест брзине) - 887; отпремање (тест брзине) - 1154.
Довнлоад (иперф3) - 1625; уплоад (иперф3) - нема.
в2раи-плугин
В2раи-плугин је заменио једноставне обфс као главни „званични“ обфускатор за сс либ. За разлику од једноставних обф-ова, он се још увек не налази у репозиторијуму и морате или да преузмете унапред састављену бинарну датотеку или да је сами компајлирате.
Подржава 3 режима рада: подразумевани, ХТТП вебсоцкет (са подршком за лажирање заглавља одредишног хоста); тлс-вебсоцкет (за разлику од с-обфс-а, ово је пуноправни тлс саобраћај, који препознаје било који реверзни прокси веб сервер и, на пример, омогућава вам да конфигуришете тлс терминацију на цлоудфлер серверима или у нгинк-у); куиц - ради преко удп-а, али нажалост перформансе куиц-а у в2реи-у су веома ниске.
Међу предностима у поређењу са једноставним обфс-овима: додатак в2раи ради без проблема преко ЦФ-а у ХТТП-вебсоцкет режиму са било којим саобраћајем, у ТЛС режиму је пуноправни ТЛС саобраћај, за рад су му потребни сертификати (на пример, од Лет'с енцрипт или селф -потписан).
схадовсоцксв2раи-плугин-хттп: преузимање - 1404 бита; уплоад 1938 бита.
схадовсоцксв2раи-плугин-тлс: преузимање - 1214 бита; уплоад 1898 бита.
схадовсоцксв2раи-плугин-куиц: преузимање - 183 бита; уплоад 384 бита.
Као што сам већ рекао, в2раи може подесити заглавља и тако можете радити са њим преко ЦДН-а обрнутог проксија (цлоудфлер на пример). С једне стране, ово компликује откривање тунела, са друге стране може мало повећати (а понекад и смањити) кашњење - све зависи од ваше локације и сервера. ЦФ тренутно тестира рад са куиц-ом, али овај режим још није доступан (барем за бесплатне налоге).
схадовсоцксв2раи-плугин-хттп+ЦФ: преузимање - 1284 бита; уплоад 1785 бита.
схадовсоцксв2раи-плугин-тлс+ЦФ: преузимање - 1261 мбит; уплоад 1881 битс.
Плашт
Исечак је резултат даљег развоја ГоКуиет обфускатора. Симулира ТЛС саобраћај и ради преко ТЦП-а. Тренутно је аутор објавио другу верзију додатка, огртач-2, који се значајно разликује од оригиналног огртача.
Према речима програмера, прва верзија додатка је користила механизам за наставак сесије тлс 1.2 за лажирање одредишне адресе за тлс. Након објављивања нове верзије (цлоцк-2), све вики странице на Гитхуб-у које описују овај механизам су избрисане; ово се не помиње у тренутном опису шифровања замагљивања. Према опису аутора, прва верзија схред-а се не користи због присуства „критичних рањивости у крипто“. У време тестирања постојала је само прва верзија огртача, његови бинарни фајлови су још увек на Гитхубу, а поред свега осталог, критичне рањивости нису много важне, јер схадовсок шифрира саобраћај на исти начин као без огртача, а цлоак нема ефекта на схадовсок-ов крипто.
схадовсоцксцлоак: преузимање - 1533; уплоад - 1970 бита
Кцптун
користи кцптун као транспорт а у неким посебним случајевима омогућава постизање повећане пропусности. Нажалост (или на срећу), ово је у великој мери релевантно за кориснике из Кине, чији неки мобилни оператери снажно гуше ТЦП и не додирују УДП.
Кцптун је проклето гладан енергије и лако учитава 100 зион језгра на 4% када га тестира 1 клијент. Поред тога, додатак је „спор“, а када ради кроз иперф3 не завршава тестове до краја. Хајде да погледамо тест брзине у претраживачу.
схадовсоцкскцптун: преузимање (тест брзине) - 546 бита; отпремање (тест брзине) 854 бита.
Закључак
Да ли вам је потребан једноставан, брз ВПН да бисте зауставили саобраћај са целе машине? Онда је ваш избор ратник. Да ли желите проксије (за селективно тунелирање или раздвајање виртуелних токова особа) или вам је важније да сакријете саобраћај од озбиљног блокирања? Затим погледајте схадовбок са тлсхттп замагљивањем. Да ли желите да будете сигурни да ће ваш Интернет радити све док Интернет уопште ради? Изаберите прокси саобраћај преко важних ЦДН-ова, чије блокирање ће довести до квара половине интернета у земљи.
Заокретна табела, сортирана према преузимању
Извор: ввв.хабр.цом