Salaku urang beuki nampik aksés ka sagala rupa sumber dina jaringan, isu bypassing meungpeuk jadi beuki mencet, nu hartina "Kumaha mun bypass blocking gancang" janten beuki relevan.
Hayu urang ninggalkeun topik efisiensi dina watesan bypassing DPI whitelists pikeun pasualan sejen, tur saukur ngabandingkeun kinerja parabot block bypass populér.
Perhatosan: Bakal aya seueur gambar dina spoiler dina tulisan.
Bantahan: artikel ieu ngabandingkeun kinerja solusi proxy VPN populér dina kaayaan deukeut "ideal". Hasil anu dicandak sareng dijelaskeun di dieu henteu merta coincide sareng hasil anjeun dina widang. Kusabab jumlah dina tes laju sering henteu gumantung kana kumaha kuatna alat bypass, tapi kumaha panyayogikeun anjeun.
Métodologi
3 VPS dibeuli ti panyadia awan (DO) di nagara béda sakuliah dunya. 2 di Walanda, 1 di Jerman. VPS paling produktif (ku jumlah cores) dipilih ti nu sadia pikeun akun dina tawaran pikeun sks Kupon.
A server iperf3 swasta ieu deployed dina server Walanda munggaran.
Dina server Walanda kadua, sababaraha server alat bypass blok disebarkeun hiji-hiji.
Gambar desktop Linux (xubuntu) sareng VNC sareng desktop virtual dipasang dina VPS Jerman. VPN ieu mangrupikeun klien kondisional, sareng sababaraha klien proxy VPN dipasang sareng diluncurkeun dina gilirannana.
Pangukuran laju dilaksanakeun tilu kali, kami fokus kana rata-rata, kami nganggo 3 alat: dina Chromium ngalangkungan uji kacepetan wéb; dina Chromium via fast.com; ti konsol via iperf3 via proxychains4 (dimana anjeun kudu nempatkeun lalulintas iperf3 kana proxy nu).
A sambungan langsung "klien" -server iperf3 méré laju 2 Gbps di iperf3, sarta saeutik kirang di fastspeedtest.
Pamaca anu hoyong terang tiasa naros, "naha anjeun henteu milih speedtest-cli?" sarta anjeunna bakal bener.
Speedtest-cli tétéla teu bisa dipercaya jeung cara inadequate pikeun ngukur throughput, alesan kanyahoan ku kuring. Tilu pangukuran padeukeut tiasa masihan tilu hasil anu béda-béda, atanapi, contona, nunjukkeun hasil anu langkung luhur tibatan laju port VPS kuring. Panginten masalahna nyaéta panangan anu dicabut, tapi sigana teu mungkin pikeun ngalaksanakeun panalungtikan nganggo alat sapertos kitu.
Sedengkeun pikeun hasil pikeun tilu métode pangukuran (speedtest fastiperf), kuring nganggap indikator iperf paling akurat tur dipercaya, sarta fastspeedtest salaku rujukan. Tapi sababaraha alat bypass henteu ngamungkinkeun ngalengkepan 3 pangukuran ngaliwatan iperf3 sareng dina kasus sapertos kitu, anjeun tiasa ngandelkeun speedtestfast.
test speed méré hasil béda
Parabot
Dina total, 24 alat bypass anu béda-béda atanapi kombinasina diuji, pikeun masing-masingna kuring bakal masihan panjelasan leutik sareng kesan kuring pikeun damel sareng aranjeunna. Tapi dasarna, tujuanana nyaéta pikeun ngabandingkeun kagancangan shadowsocks (sareng sakumpulan obfuscators anu béda pikeun éta) openVPN sareng wireguard.
Dina bahan ieu, kuring moal ngabahas di jéntré sual "kumaha pangalusna pikeun nyumputkeun lalulintas ku kituna teu jadi dipegatkeun," sabab bypassing meungpeuk mangrupakeun ukuran réaktif - urang adaptasi jeung naon nu sensor ngagunakeun sarta meta dina dasar ieu.
Hasil
Strongswanipsek
Dina tayangan kuring, éta gampang pisan nyetél sareng tiasa dianggo sacara stabil. Salah sahiji kaunggulan éta sabenerna cross-platform, tanpa kudu néangan klien pikeun tiap platform.
ngundeur - 993 bits; unggah - 770 bit
torowongan SSH
Meureun ngan nu puguh teu nulis ngeunaan ngagunakeun SSH salaku alat torowongan. Salah sahiji kalemahan nyaéta "kruk" solusi, nyaéta. deploying eta ti merenah, klien geulis on unggal platform moal jalan. Kauntungannana nyaéta kinerja alus, teu perlu install nanaon dina server pisan.
ngundeur - 1270 bits; unggah - 1140 bit
OpenVPN
OpenVPN diuji dina 4 modeu operasi: tcp, tcp+sslh, tcp+stunnel, udp.
Server OpenVPN dikonpigurasi sacara otomatis ku cara masang streisand.
Sajauh anu tiasa ditilik, ayeuna ngan ukur mode stunnel anu tahan ka DPI canggih. Alesan pikeun paningkatan anu teu normal dina throughput nalika ngabungkus openVPN-tcp dina stunnel henteu écés pikeun kuring, pamariksaan dilakukeun dina sababaraha waktos, dina waktos anu béda sareng dina dinten anu béda, hasilna sami. Panginten ieu kusabab setélan tumpukan jaringan anu dipasang nalika nyebarkeun Streisand, nyerat upami anjeun ngagaduhan ideu kunaon kitu.
openvpntcp: ngundeur - 760 bits; unggah - 659 bit
openvpntcp+sslh: undeuran - 794 mbits; unggah - 693 bit
openvpntcp + stunnel: undeuran - 619 mbits; unggah - 943 bit
openvpnudp: undeuran - 756 mbits; unggah - 580 bit
Openconnect
Sanes alat anu paling populér pikeun ngaliwat sumbatan, éta kalebet dina pakét Streisand, janten kami ogé mutuskeun pikeun nguji éta.
ngundeur - 895 bits; unggah 715 mbps
penjaga kawat
Alat hype anu populer di kalangan pangguna Kulon, pamekar protokol malah nampi sababaraha hibah pikeun pangwangunan tina dana pertahanan. Gawéna salaku modul kernel Linux Ubuntu via UDP. Anyar-anyar ieu, klien pikeun windowsios parantos muncul.
Éta katimu ku panyipta salaku cara anu saderhana sareng gancang pikeun lalajo Netflix bari henteu di nagara-nagara.
Kituna pro jeung kontra. Pro: protokol pisan gancang, relatif betah instalasi tur konfigurasi. Kakurangan - pamekar teu mimitina nyieun eta kalawan tujuan bypassing blockages serius, sarta ku kituna wargard gampang dideteksi ku parabot pangbasajanna, kaasup. wireshark.
protokol wireguard di wireshark
ngundeur - 1681 bits; unggah 1638 mbps
Narikna, protokol warguard dipaké dina klien tunsafe pihak-katilu, nu, lamun dipaké kalawan server warguard sarua, méré hasil loba goréng. Éta kamungkinan yén klien wargard Windows bakal nunjukkeun hasil anu sami:
tunsafeclient: undeuran - 1007 mbits; unggah - 1366 bit
OutlineVPN
Outline mangrupikeun palaksanaan server sareng klien shadowox kalayan antarmuka pangguna anu saé sareng merenah tina jigsaw Google. Dina Windows, klien outline ngan saukur sakumpulan wrappers pikeun shadowsocks-lokal (klien Shadowsocks-libev) jeung badvpn (tun2socks binér nu ngarahkeun sakabéh lalulintas mesin ka proxy kaos kaki lokal) binaries.
Shadowsox sakali tahan ka Great Firewall of China, tapi dumasar kana ulasan panganyarna, ieu henteu deui masalahna. Teu kawas ShadowSox, out of the box teu ngarojong nyambungkeun obfuscation ngaliwatan plugins, tapi ieu bisa dipigawé sacara manual ku tinkering jeung server na klien.
ngundeur - 939 bits; unggah - 930 bit
BayanganR
ShadowsocksR mangrupakeun garpu tina Shadowsocks aslina, ditulis dina Python. Intina, éta mangrupikeun kotak bayangan dimana sababaraha metode obfuscation lalu lintas dipasang.
Aya garpu ssR ka libev sareng anu sanésna. The throughput low meureun alatan basa kode. The shadowsox aslina on python teu leuwih gancang.
shadowsocksR: ngundeur 582 mbits; unggah 541 bit.
Bayangan
Hiji alat bypass blok Cina nu randomizes lalulintas sarta interferes analisis otomatis ku cara éndah lianna. Nepi ka ayeuna, GFW henteu diblokir; aranjeunna nyarios yén ayeuna diblokir ngan upami relay UDP dihurungkeun.
Cross-platform (aya klien pikeun platform naon), ngarojong gawé bareng PT sarupa obfuscators Thor urang, aya sababaraha sorangan atawa diadaptasi kana eta obfuscators, gancang.
Aya seueur palaksanaan klien sareng server shadowox, dina basa anu béda. Dina nguji, shadowsocks-libev acted salaku server, klien béda. Klién Linux panggancangna tétéla shadowsocks2 on go, disebarkeun salaku klien standar di streisand, Abdi teu bisa nyebutkeun sabaraha langkung produktif shadowsocks-jandela. Dina kalolobaan tés salajengna, shadowsocks2 dipaké salaku klien nu. Potret layar anu nguji shadowsocks-libev murni henteu dilakukeun kusabab lag atra tina palaksanaan ieu.
shadowsocks2: ngundeur - 1876 mbits; unggah - 1981 bit.
shadowsocks-karat: download - 1605 mbits; unggah - 1895 bit.
Shadowsocks-libev: undeuran - 1584 mbits; unggah - 1265 bit.
Basajan-obfs
Plugin pikeun shadowsox ayeuna dina status "depreciated" tapi tetep jalan (sanaos henteu saé). Sakitu legana diganti ku v2ray-plugin. Obfuscates patalimarga boh dina hiji websocket HTTP (jeung ngidinan Anjeun pikeun spoof lulugu tujuan, pura-pura yén anjeun teu bade lalajo pornhub, tapi, contona, ramatloka Konstitusi Féderasi Rusia) atawa dina pseudo-tls (pseudo). , sabab henteu nganggo sertipikat naon waé, DPI pangbasajanna sapertos nDPI gratis dideteksi salaku "tls no cert." Dina modeu tls, teu mungkin deui pikeun spoof header).
Cukup gancang, dipasang tina repo sareng hiji paréntah, dikonpigurasi saderhana pisan, gaduh fungsi failover anu diwangun (nalika lalu lintas ti klien non-basajan-obfs sumping ka palabuhan anu didangukeun ku basajan-obfs, éta diteruskeun ka alamatna. dimana anjeun nangtukeun dina setélan - kawas kieu Ku cara kieu, anjeun bisa nyingkahan mariksa manual port 80, contona, ku saukur Mindahkeun ka ramatloka kalawan http, kitu ogé blocking ngaliwatan panyilidikan sambungan).
shadowsockss-obfs-tls: undeuran - 1618 mbits; unggah 1971 mbits.
shadowsockss-obfs-http: undeuran - 1582 mbits; unggah - 1965 bit.
Basajan-obfs dina modeu HTTP ogé bisa dianggo ngaliwatan proxy sabalikna CDN (contona, cloudflare), jadi pikeun panyadia kami lalulintas bakal kasampak kawas lalulintas HTTP-plaintext mun cloudflare, ieu ngamungkinkeun urang pikeun nyumputkeun torowongan urang saeutik hadé, sarta di Dina waktos anu sami misahkeun titik éntri sareng jalan kaluar - panyadia ningali yén lalu lintas anjeun nuju ka alamat IP CDN, sareng ekstremis anu resep kana gambar disimpen dina waktos ayeuna tina alamat IP VPS. Ieu kudu ngomong yén éta téh s-obfs ngaliwatan cf gawéna ambiguously, périodik teu muka sababaraha sumberdaya HTTP, contona,. Ku kituna, éta teu mungkin pikeun nguji unggah maké iperf via shadowsockss-obfs + CF, tapi ditilik ku hasil test speed, throughput nu aya dina tingkat shadowsocksv2ray-plugin-tls + CF. Abdi henteu ngalampirkeun layar tina iperf3, sabab ... Anjeun teu kedah ngandelkeun aranjeunna.
download (speedtest) - 887; unggah (speedtest) - 1154.
Ngundeur (iperf3) - 1625; unggah (iperf3) - NA.
v2ray-plugin
V2ray-plugin geus diganti obfs basajan salaku "resmi" obfuscator utama pikeun ss libs. Teu kawas obfs basajan, éta teu acan aya dina repositories, jeung anjeun kudu boh ngundeur binér pre-dirakit atawa compile eta diri.
Ngarojong 3 modeu operasi: standar, HTTP websocket (kalayan rojongan pikeun spoofing headers tina host tujuan); tls-websocket (teu kawas s-obfs, ieu téh lalulintas tls full-fledged, nu dipikawanoh ku server web proxy sabalikna na, contona, ngidinan Anjeun pikeun ngonpigurasikeun terminasi tls on server cloudfler atanapi nginx); quic - jalan via udp, tapi hanjakalna kinerja quic di v2rey pisan low.
Diantara kaunggulan dibandingkeun obfs basajan: plugin v2ray jalan tanpa masalah via CF dina modeu HTTP-websocket kalawan lalulintas sagala, dina modeu TLS éta lalulintas TLS full-fledged, merlukeun sertipikat pikeun operasi (contona, ti Hayu urang encrypt atanapi diri. -ditandatanganan).
shadowsocksv2ray-plugin-http: download - 1404 mbits; unggah 1938 bits.
shadowsocksv2ray-plugin-tls: undeuran - 1214 mbits; unggah 1898 bits.
shadowsocksv2ray-plugin-quic: undeuran - 183 mbits; unggah 384 bit.
Salaku geus I ceuk, v2ray tiasa nyetél headers, sahingga anjeun tiasa dianggo kalayan eta ngaliwatan CDN proxy sabalikna (cloudfler contona). Di hiji sisi, ieu complicates deteksi torowongan, di sisi séjén, éta rada bisa ningkatkeun (jeung kadang ngurangan) lag - eta sadayana gumantung kana lokasi anjeun sarta server. CF ayeuna nuju nguji damel sareng quic, tapi mode ieu henteu acan sayogi (sahenteuna pikeun akun gratis).
shadowsocksv2ray-plugin-http + cf: undeuran - 1284 mbits; unggah 1785 bit.
shadowsocksv2ray-plugin-tls+CF: undeuran - 1261 mbits; unggah 1881 bit.
Cloak
Shred mangrupa hasil ngembangkeun salajengna tina obfuscator GoQuiet. Simulates lalu lintas TLS sareng tiasa dianggo via TCP. Di momen, panulis geus ngarilis versi kadua plugin nu, cloak-2, nu béda sacara signifikan ti cloak aslina.
Numutkeun pamekar, versi mimiti plugin ngagunakeun tls 1.2 mékanisme sési neruskeun pikeun spoof alamat tujuan pikeun tls. Saatos sékrési vérsi énggal (jam-2), sadaya halaman wiki dina Github anu ngajelaskeun mékanisme ieu dihapus; teu aya anu disebatkeun dina déskripsi énkripsi obfuscation ayeuna. Numutkeun katerangan panulis, versi mimiti shred henteu dianggo kusabab ayana "kerentanan kritis dina crypto." Dina waktos tés, ngan ukur aya versi jubah anu munggaran, binari na masih aya dina Github, sareng sajaba ti sadayana, kerentanan kritis henteu penting pisan, sabab shadowsox encrypts lalulintas dina cara nu sarua salaku tanpa cloak a, sarta cloac teu boga pangaruh dina crypto shadowsox urang.
shadowsockscloak: ngundeur - 1533; unggah - 1970 bit
Kcptun
ngagunakeun kcptun salaku angkutan sarta dina sababaraha kasus husus ngamungkinkeun pikeun ngahontal ngaronjat throughput. Hanjakalna (atanapi untungna), ieu sabagéan ageung relevan pikeun pangguna ti China, sababaraha operator sélulér anu nga-throttle TCP sareng henteu nyabak UDP.
Kcptun lapar kakuatan, sareng gampang ngamuat 100 inti zion dina 4% nalika diuji ku 1 klien. Sajaba ti éta, plugin nu "slow", sarta nalika digawé ngaliwatan iperf3 teu ngalengkepan tés nepi ka ahir. Hayu urang tingali uji laju dina browser.
shadowsockskcptun: ngundeur (speedtest) - 546 mbits; unggah (speedtest) 854 bit.
kacindekan
Naha anjeun peryogi VPN anu sederhana sareng gancang pikeun ngeureunkeun lalu lintas tina sadaya mesin anjeun? Lajeng pilihan anjeun warguard. Naha anjeun hoyong proksi (pikeun tunneling selektif atanapi pamisahan aliran jalma maya) atanapi éta langkung penting pikeun anjeun ngabingungkeun lalu lintas tina blocking serius? Lajeng kasampak di shadowbox kalawan tlshttp obfuscation. Naha anjeun hoyong mastikeun yén Internét anjeun tiasa dianggo salami Internét tiasa dianggo? Milih proxy lalulintas ngaliwatan CDNs penting, blocking nu bakal ngakibatkeun gagalna satengah tina Internet di nagara éta.
Tabel pangsi, diurutkeun dumasar kana undeuran
sumber: www.habr.com