Outline-ss-server 1.4-proxyservern har släppts och använder Shadowsocks-protokollet för att dölja trafikens natur, kringgå brandväggar och lura paketinspektionssystem. Servern utvecklas av Outline-projektet, som dessutom tillhandahåller ett ramverk av klientapplikationer och ett kontrollgränssnitt som gör att du snabbt kan distribuera Shadowsocks-servrar för flera användare baserade på outline-ss-server i offentliga molnmiljöer eller på din egen utrustning, hantera dem via ett webbgränssnitt och organisera användaråtkomst med nycklar. Koden är utvecklad och underhållen av Jigsaw, en division inom Google skapad för att utveckla verktyg för att kringgå censur och organisera det fria utbytet av information.
Outline-ss-server är skriven i Go och distribueras under Apache 2.0-licensen. Koden som används som grund är proxyservern go-shadowsocks2, skapad av Shadowsocks utvecklargemenskap. Nyligen har huvudaktiviteten i Shadowsocks-projektet fokuserats på utvecklingen av en ny server på Rust-språket, och implementeringen i Go-språket har inte uppdaterats på mer än ett år och släpar märkbart efter i funktionalitet.
Skillnaderna mellan outline-ss-server och go-shadowsocks2 beror på stöd för att ansluta flera användare via en nätverksport, möjligheten att öppna flera nätverksportar för att ta emot anslutningar, stöd för omstart och konfigurationsuppdateringar utan att koppla från anslutningar, inbyggd övervaknings- och trafikmodifieringsverktyg baserade på prometheus-plattformen .io.
outline-ss-server lägger också till skydd mot probebegäran och trafikreplayattacker. En attack genom testförfrågningar syftar till att fastställa närvaron av en proxy; till exempel kan en angripare skicka datamängder av olika storlekar till Shadowsocks-målservern och analysera hur mycket data servern kommer att läsa innan den upptäcker ett fel och stänger anslutningen. En trafikåterspelsattack baseras på att avlyssna en session mellan en klient och en server och sedan försöka återsända den avlyssnade datan för att fastställa närvaron av en proxy.
För att skydda mot attacker genom testförfrågningar avbryter outline-ss-server-servern, när felaktig data kommer in, inte anslutningen och visar inget fel utan fortsätter att ta emot information som fungerar som ett slags svart hål. För att skydda mot uppspelning kontrolleras data som tas emot från klienten dessutom för upprepningar med hjälp av kontrollsummor lagrade för de senaste flera tusen handskakningssekvenserna (max 40 tusen, storleken ställs in när servern startar och förbrukar 20 byte minne per sekvens). För att blockera upprepade svar från servern använder alla serverhandskakningssekvenser HMAC-autentiseringskoder med 32-bitars taggar.
När det gäller nivån på trafikdöljande är Shadowsocks-protokollet i outline-ss-server-implementationen nära Obfs4-plugin-transporten i Tor anonyma nätverk. Protokollet skapades för att kringgå trafikcensursystemet i Kina ("The Great Firewall of China") och låter dig ganska effektivt dölja trafik som vidarebefordras via en annan server (trafik är svår att identifiera på grund av bifogningen av ett slumpmässigt frö och simulering av ett kontinuerligt flöde).
SOCKS5 används som ett protokoll för proxyförfrågningar - en proxy med SOCKS5-stöd lanseras på det lokala systemet, som tunnlar trafik till en fjärrserver från vilken förfrågningarna faktiskt exekveras. Trafik mellan klienten och servern placeras i en krypterad tunnel (autentiserad kryptering stöds AEAD_CHACHA20_POLY1305, AEAD_AES_128_GCM och AEAD_AES_256_GCM), att dölja faktumet att det skapades är Shadowsocks primära uppgift. Organisationen av TCP- och UDP-tunnlar stöds, liksom skapandet av godtyckliga tunnlar som inte begränsas av SOCKS5 genom användning av plugins som påminner om plug-in-transporter i Tor.
Källa: opennet.ru