Tunapozidi kunyimwa ufikiaji wa rasilimali mbali mbali kwenye mtandao, suala la kuzuia kupita linakuwa la kushinikiza zaidi na zaidi, ambayo inamaanisha kuwa swali "Jinsi ya kukwepa kuzuia haraka?" inakuwa muhimu zaidi na zaidi.
Wacha tuache mada ya ufanisi katika suala la kupitisha orodha zilizoidhinishwa za DPI kwa kesi nyingine, na tulinganishe utendakazi wa zana maarufu za kuzuia.
Tahadhari: Kutakuwa na picha nyingi chini ya waharibifu katika makala.
Kanusho: nakala hii inalinganisha utendaji wa suluhisho maarufu za proksi za VPN chini ya hali karibu na "bora". Matokeo yaliyopatikana na kuelezwa hapa si lazima yalingane na matokeo yako katika nyanja. Kwa sababu nambari katika jaribio la kasi mara nyingi haitategemea nguvu ya zana ya kupita, lakini jinsi mtoa huduma wako anavyoipunguza.
Mbinu
VPS 3 zilinunuliwa kutoka kwa mtoaji wa huduma za wingu (DO) katika nchi tofauti ulimwenguni. 2 nchini Uholanzi, 1 nchini Ujerumani. VPS yenye tija zaidi (kwa idadi ya core) ilichaguliwa kutoka kwa zile zinazopatikana kwa akaunti chini ya ofa ya mikopo ya kuponi.
Seva ya kibinafsi ya iperf3 imetumwa kwenye seva ya kwanza ya Uholanzi.
Kwenye seva ya pili ya Uholanzi, seva mbalimbali za zana za kuzuia bypass zinatumwa moja kwa moja.
Picha ya Linux ya eneo-kazi (xubuntu) iliyo na VNC na eneo-kazi pepe imetumwa kwenye VPS ya Ujerumani. VPN hii ni mteja wa masharti, na wateja mbalimbali wa seva mbadala za VPN husakinishwa na kuzinduliwa kwa zamu.
Vipimo vya kasi vinafanywa mara tatu, tunazingatia wastani, tunatumia zana 3: katika Chromium kupitia mtihani wa kasi ya mtandao; katika Chromium kupitia fast.com; kutoka kwa koni kupitia iperf3 kupitia proxychains4 (ambapo unahitaji kuweka trafiki ya iperf3 kwenye proksi).
Muunganisho wa moja kwa moja "mteja" -server iperf3 inatoa kasi ya 2 Gbps katika iperf3, na kidogo kidogo katika fastspeedtest.
Msomaji mdadisi anaweza kuuliza, "kwa nini hukuchagua speedtest-cli?" naye atakuwa sahihi.
Speedtest-cli iligeuka kuwa isiyoaminika na njia duni ya kupima upitishaji, kwa sababu zisizojulikana kwangu. Vipimo vitatu mfululizo vinaweza kutoa matokeo matatu tofauti kabisa, au, kwa mfano, kuonyesha upitishaji wa juu zaidi kuliko kasi ya bandari ya VPS yangu. Labda shida ni mkono wangu uliofungwa, lakini ilionekana kuwa haiwezekani kufanya utafiti na zana kama hiyo.
Kuhusu matokeo ya njia tatu za kipimo (speedtest fastiperf), mimi huchukulia viashirio vya iperf kuwa sahihi zaidi na vya kutegemewa, na vya haraka zaidi kama marejeleo. Lakini zana zingine za kupita hazikuruhusu kukamilisha vipimo 3 kupitia iperf3 na katika hali kama hizi, unaweza kutegemea speedtestfast.
mtihani wa kasi hutoa matokeo tofauti
Chombo
Kwa jumla, zana 24 tofauti za kupita au mchanganyiko wao zilijaribiwa, kwa kila mmoja wao nitatoa maelezo madogo na maoni yangu ya kufanya kazi nao. Lakini kimsingi, lengo lilikuwa kulinganisha kasi ya shadowsocks (na rundo la obfuscators tofauti kwa ajili yake) openVPN na wireguard.
Katika nyenzo hii, sitajadili kwa undani swali la "jinsi bora ya kuficha trafiki ili isikatishwe," kwa sababu kuzuia kupita kiasi ni hatua tendaji - tunazoea kile ambacho censor hutumia na kuchukua hatua kwa msingi huu.
Matokeo
Strongswanipsec
Katika maoni yangu, ni rahisi sana kusanidi na hufanya kazi kwa utulivu. Moja ya faida ni kwamba ni jukwaa la kweli, bila hitaji la kutafuta wateja kwa kila jukwaa.
pakua - 993 mbits; pakia - 770 mbits
Njia ya SSH
Labda ni wavivu tu ambao hawajaandika juu ya kutumia SSH kama zana ya handaki. Moja ya hasara ni "crutch" ya suluhisho, i.e. kuipeleka kutoka kwa mteja anayefaa, mzuri kwenye kila jukwaa haitafanya kazi. Faida ni utendaji mzuri, hakuna haja ya kufunga chochote kwenye seva wakati wote.
pakua - 1270 mbits; pakia - 1140 mbits
OpenVPN
OpenVPN ilijaribiwa katika hali 4 za uendeshaji: tcp, tcp+sslh, tcp+stunnel, udp.
Seva za OpenVPN zilisanidiwa kiotomatiki kwa kusakinisha streisand.
Kwa kadiri mtu anavyoweza kuhukumu, kwa sasa ni hali ya stunnel tu inayohimili DPI za hali ya juu. Sababu ya kuongezeka kwa njia isiyo ya kawaida wakati wa kufunga OpenVPN-tcp kwenye stunnel si wazi kwangu, ukaguzi ulifanyika kwa kukimbia kadhaa, kwa nyakati tofauti na kwa siku tofauti, matokeo yalikuwa sawa. Labda hii ni kwa sababu ya mipangilio ya stack ya mtandao iliyosanikishwa wakati wa kupeleka Streisand, andika ikiwa una maoni yoyote kwa nini hii ni hivyo.
openvpntcp: pakua - 760 mbits; pakia - 659 mbits
openvpntcp+sslh: pakua - 794 mbits; pakia - 693 mbits
openvpntcp+stunnel: pakua - 619 mbits; pakia - 943 mbits
openvpnudp: pakua - 756 mbits; pakia - 580 mbits
Fungua muunganisho
Sio zana maarufu zaidi ya kupitisha vizuizi, imejumuishwa kwenye kifurushi cha Streisand, kwa hivyo tuliamua kukijaribu pia.
pakua - 895 mbits; pakia 715 mbps
Walinzi
Chombo cha hype ambacho ni maarufu kati ya watumiaji wa Magharibi, watengenezaji wa itifaki hata walipokea ruzuku kwa maendeleo kutoka kwa fedha za ulinzi. Inafanya kazi kama moduli ya Linux kernel kupitia UDP. Hivi karibuni, wateja wa windowsios wameonekana.
Iliundwa na mtayarishaji kama njia rahisi na ya haraka ya kutazama Netflix wakati hauko katika majimbo.
Kwa hivyo faida na hasara. Faida: itifaki ya haraka sana, urahisi wa jamaa wa ufungaji na usanidi. Hasara - msanidi programu hakuiunda hapo awali kwa lengo la kupitisha vizuizi vikubwa, na kwa hivyo wargard hugunduliwa kwa urahisi na zana rahisi zaidi, pamoja na. wireshark.
itifaki ya wireguard katika wireshark
pakua - 1681 mbits; pakia 1638 mbps
Inafurahisha, itifaki ya walinzi hutumiwa katika mteja wa tatu wa tunsafe, ambayo, inapotumiwa na seva ya walinzi sawa, inatoa matokeo mabaya zaidi. Kuna uwezekano kwamba mteja wa Windows wargard ataonyesha matokeo sawa:
tunsafeclient: pakua - 1007 mbits; pakia - 1366 mbits
OutlineVPN
Muhtasari ni utekelezaji wa seva ya shadowox na mteja iliyo na kiolesura kizuri na rahisi kutoka kwa jigsaw ya Google. Katika Windows, mteja wa muhtasari ni seti ya vifuniko vya shadowsocks-ndani (kiteja cha shadowsocks-libev) na badvpn (tun2socks binary ambayo inaelekeza trafiki yote ya mashine kwa seva mbadala za soksi za ndani).
Shadowsox wakati mmoja ilikuwa sugu kwa Firewall Kubwa ya Uchina, lakini kulingana na hakiki za hivi majuzi, hii sivyo ilivyo tena. Tofauti na ShadowSox, nje ya kisanduku haihimili uunganisho wa upatanisho kupitia programu-jalizi, lakini hii inaweza kufanywa kwa mikono kwa kuchezea seva na mteja.
pakua - 939 mbits; pakia - 930 mbits
Vipuli vya KivuliR
ShadowsocksR ni uma wa Shadowsocks asili, iliyoandikwa kwa Python. Kwa asili, ni kisanduku cha kivuli ambacho mbinu kadhaa za uzuiaji wa trafiki zimefungwa vizuri.
Kuna uma za ssR kwa libev na kitu kingine. Utumaji mdogo labda unatokana na lugha ya msimbo. Shadowsox ya asili kwenye python sio haraka sana.
shadowsocksR: pakua 582 mbits; pakia 541 mbits.
Vivuli
Zana ya Kichina ya kukwepa kuzuia trafiki ambayo hubadilisha trafiki nasibu na kutatiza uchanganuzi wa kiotomatiki kwa njia zingine nzuri. Hadi hivi majuzi, GFW haikuzuiwa; wanasema kuwa sasa imezuiwa ikiwa tu relay ya UDP imewashwa.
Msalaba-jukwaa (kuna wateja kwa ajili ya jukwaa lolote), inasaidia kufanya kazi na PT sawa na obfuscators Thor, kuna kadhaa yake mwenyewe au ilichukuliwa na obfuscators yake, haraka.
Kuna rundo la utekelezaji wa wateja na seva za shadowox, katika lugha tofauti. Katika majaribio, shadowsocks-libev ilifanya kama seva, wateja tofauti. Mteja wa haraka wa Linux aligeuka kuwa shadowsocks2 wakati wa kwenda, iliyosambazwa kama mteja chaguo-msingi katika streisand, siwezi kusema ni madirisha ya vivuli-madirisha yenye tija zaidi. Katika majaribio mengi zaidi, shadowsocks2 ilitumika kama mteja. Picha za skrini za kupima shadowsocks-libev hazikufanywa kwa sababu ya kuchelewa kwa utekelezaji huu.
shadowsocks2: kupakua - 1876 mbits; pakia - 1981 mbits.
shadowsocks-rust: pakua - 1605 mbits; pakia - 1895 mbits.
Shadowsocks-libev: pakua - 1584 mbits; pakia - 1265 mbits.
Rahisi-obfs
Programu-jalizi ya shadowsox sasa iko katika hali ya "iliyopungua" lakini bado inafanya kazi (ingawa sio sawa kila wakati). Imebadilishwa kwa kiasi kikubwa na v2ray-plugin. Hutatiza trafiki chini ya soketi ya wavuti ya HTTP (na hukuruhusu kuharibu kichwa lengwa, ukijifanya kuwa hutatazama ponografia, lakini, kwa mfano, tovuti ya Katiba ya Shirikisho la Urusi) au chini ya pseudo-tls (pseudo). , kwa sababu haitumii vyeti vyovyote, DPI rahisi zaidi kama vile nDPI isiyolipishwa hutambuliwa kama βtls no cert.β Katika hali ya tls, haiwezekani tena kuharibu vichwa).
Haraka sana, iliyosanikishwa kutoka kwa repo na amri moja, iliyosanidiwa kwa urahisi sana, ina kazi ya kushindwa iliyojengwa ndani (wakati trafiki kutoka kwa mteja isiyo rahisi-obfs inakuja kwenye bandari ambayo rahisi-obfs husikiliza, huipeleka kwa anwani. ambapo unataja katika mipangilio - kama hii Kwa njia hii, unaweza kuepuka ukaguzi wa mwongozo wa bandari 80, kwa mfano, kwa kuelekeza tu kwenye tovuti na http, pamoja na kuzuia kupitia probes za uunganisho).
shadowsockss-obfs-tls: pakua - 1618 mbits; pakia 1971 mbits.
shadowsockss-obfs-http: pakua - 1582 mbits; pakia - 1965 mbits.
Rahisi-obfs katika modi ya HTTP pia inaweza kufanya kazi kupitia seva mbadala ya CDN (kwa mfano, cloudflare), kwa hivyo kwa mtoaji wetu trafiki itaonekana kama trafiki ya maandishi-wazi ya HTTP kwa cloudflare, hii huturuhusu kuficha handaki yetu vizuri zaidi, na saa wakati huo huo tenga mahali pa kuingilia na kutoka kwa trafiki - mtoa huduma anaona kuwa trafiki yako inaelekea kwenye anwani ya IP ya CDN, na mapendeleo ya watu wenye msimamo mkali kwenye picha yamewekwa wakati huu kutoka kwa anwani ya IP ya VPS. Ni lazima kusema kwamba ni s-obfs kupitia CF ambayo inafanya kazi kwa utata, mara kwa mara bila kufungua rasilimali za HTTP, kwa mfano. Kwa hivyo, haikuwezekana kujaribu upakiaji kwa kutumia iperf kupitia shadowsockss-obfs+CF, lakini kwa kuzingatia matokeo ya jaribio la kasi, upitishaji uko kwenye kiwango cha shadowsocksv2ray-plugin-tls+CF. Siambatanishi picha za skrini kutoka iperf3, kwa sababu... Haupaswi kuwategemea.
kupakua (kasi) - 887; pakia (kasi) - 1154.
Pakua (iperf3) - 1625; pakia (iperf3) - NA.
v2ray-programu-jalizi
Programu-jalizi ya V2ray imechukua nafasi ya obf rahisi kama kidhibiti kikuu cha "rasmi" cha ss libs. Tofauti na obfs rahisi, bado haiko kwenye hazina, na unahitaji ama kupakua binary iliyokusanywa mapema au kuikusanya mwenyewe.
Inaauni njia 3 za uendeshaji: chaguo-msingi, soketi ya wavuti ya HTTP (pamoja na usaidizi wa kuharibu vichwa vya seva pangishi lengwa); tls-websocket (tofauti na s-obfs, hii ni trafiki kamili ya tls, ambayo inatambuliwa na seva yoyote ya wakala ya reverse na, kwa mfano, inakuruhusu kusanidi kusitishwa kwa tls kwenye seva za cloudfler au katika nginx); quic - inafanya kazi kupitia udp, lakini kwa bahati mbaya utendaji wa quic katika v2rey ni mdogo sana.
Miongoni mwa faida ikilinganishwa na obfs rahisi: programu-jalizi ya v2ray inafanya kazi bila matatizo kupitia CF katika hali ya HTTP-websocket na trafiki yoyote, katika hali ya TLS ni trafiki kamili ya TLS, inahitaji vyeti vya uendeshaji (kwa mfano, kutoka kwa Hebu tusimbe au kujitegemea. -saini).
shadowsocksv2ray-plugin-http: pakua - 1404 mbits; pakia 1938 mbits.
shadowsocksv2ray-plugin-tls: pakua - 1214 mbits; pakia 1898 mbits.
shadowsocksv2ray-plugin-quic: pakua - 183 mbits; pakia 384 mbits.
Kama nilivyosema tayari, v2ray inaweza kuweka vichwa, na kwa hivyo unaweza kufanya kazi nayo kupitia CDN ya wakala wa nyuma (cloudfler kwa mfano). Kwa upande mmoja, hii inachanganya ugunduzi wa handaki, kwa upande mwingine, inaweza kuongezeka kidogo (na wakati mwingine kupunguza) lagi - yote inategemea eneo lako na seva. CF kwa sasa inajaribu kufanya kazi na quic, lakini hali hii bado haipatikani (angalau kwa akaunti zisizolipishwa).
shadowsocksv2ray-plugin-http+CF: pakua - 1284 mbits; pakia 1785 mbits.
shadowsocksv2ray-plugin-tls+CF: pakua - 1261 mbits; pakia 1881 mbits.
Nguo
Kupasua ni matokeo ya maendeleo zaidi ya GoQuiet obfuscator. Huiga trafiki ya TLS na hufanya kazi kupitia TCP. Kwa sasa, mwandishi ametoa toleo la pili la programu-jalizi, vazi-2, ambalo ni tofauti sana na vazi la asili.
Kulingana na msanidi programu, toleo la kwanza la programu-jalizi lilitumia utaratibu wa kikao cha tls 1.2 ili kuharibu anwani lengwa la tls. Baada ya kutolewa kwa toleo jipya (saa-2), kurasa zote za wiki kwenye Github zinazoelezea utaratibu huu zilifutwa; hakuna kutajwa kwa hii katika maelezo ya sasa ya usimbaji fiche wa obfuscation. Kulingana na maelezo ya mwandishi, toleo la kwanza la shred haitumiwi kwa sababu ya uwepo wa "udhaifu mkubwa katika crypto." Wakati wa majaribio, kulikuwa na toleo la kwanza tu la vazi, jozi zake bado ziko kwenye Github, na zaidi ya kila kitu kingine, udhaifu mkubwa sio muhimu sana, kwa sababu. shadowsox husimba trafiki kwa njia sawa na bila vazi, na koti haina athari kwa crypto ya shadowsox.
shadowsockscloak: kupakua - 1533; pakia - 1970 mbits
Kcptun
hutumia kcptun kama usafiri na katika baadhi ya kesi maalum inaruhusu kufikia throughput kuongezeka. Kwa bahati mbaya (au kwa bahati nzuri), hii ni muhimu sana kwa watumiaji kutoka Uchina, ambao baadhi ya waendeshaji wa simu zao huzuia sana TCP na hawagusi UDP.
Kcptun ina njaa sana ya nishati, na inapakia kwa urahisi core 100 za zion kwa 4% inapojaribiwa na mteja 1. Kwa kuongeza, programu-jalizi ni "polepole", na wakati wa kufanya kazi kupitia iperf3 haina kukamilisha vipimo hadi mwisho. Hebu tuangalie mtihani wa kasi katika kivinjari.
shadowsockskcptun: pakua (speedtest) - 546 mbits; pakia (kasi) 854 mbits.
Hitimisho
Je, unahitaji VPN rahisi na ya haraka ili kusimamisha trafiki kutoka kwa mashine yako yote? Kisha chaguo lako ni walinzi. Je, unataka proksi (kwa kuchagua tunnel au kutenganisha mitiririko ya watu pepe) au ni muhimu zaidi kwako kufichua trafiki dhidi ya uzuiaji mkubwa? Kisha angalia kisanduku kivuli na tlshttp obfuscation. Je, ungependa kuwa na uhakika kwamba Intaneti yako itafanya kazi mradi tu Mtandao ufanye kazi? Chagua trafiki ya wakala kupitia CDN muhimu, kuzuia ambayo itasababisha kushindwa kwa nusu ya mtandao nchini.
Jedwali la egemeo, lililopangwa kwa upakuaji
Chanzo: mapenzi.com