Habang kami ay lalong pinagkakaitan ng pag-access sa iba't ibang mga mapagkukunan sa network, ang isyu ng pag-bypass sa pag-block ay nagiging mas at higit na pagpindot, na nangangahulugang ang tanong na "Paano i-bypass ang pag-block nang mas mabilis?" ay nagiging mas may kaugnayan.
Iwanan natin ang paksa ng kahusayan sa mga tuntunin ng pag-bypass sa mga whitelist ng DPI para sa isa pang kaso, at ihambing lang ang pagganap ng mga sikat na tool sa block bypass.
Pansin: Magkakaroon ng maraming mga larawan sa ilalim ng mga spoiler sa artikulo.
Disclaimer: inihahambing ng artikulong ito ang pagganap ng mga sikat na solusyon sa proxy ng VPN sa ilalim ng mga kondisyong malapit sa "ideal". Ang mga resultang nakuha at inilarawan dito ay hindi kinakailangang tumutugma sa iyong mga resulta sa mga field. Dahil ang numero sa speed test ay kadalasang nakadepende hindi sa kung gaano kalakas ang bypass tool, ngunit sa kung paano ito i-throttle ng iyong provider.
Pamamaraan
Ang 3 VPS ay binili mula sa isang cloud provider (DO) sa iba't ibang bansa sa buong mundo. 2 sa Netherlands, 1 sa Germany. Ang pinakaproduktibong VPS (ayon sa bilang ng mga core) ay pinili mula sa mga magagamit para sa account sa ilalim ng alok para sa mga kredito ng kupon.
Ang isang pribadong iperf3 server ay na-deploy sa unang Dutch server.
Sa pangalawang Dutch server, ang iba't ibang mga server ng block bypass tool ay isa-isang naka-deploy.
Ang isang desktop Linux image (xubuntu) na may VNC at isang virtual na desktop ay naka-deploy sa German VPS. Ang VPN na ito ay isang conditional client, at ang iba't ibang VPN proxy client ay ini-install at inilunsad dito.
Ang mga pagsukat ng bilis ay isinasagawa ng tatlong beses, nakatuon kami sa average, gumagamit kami ng 3 tool: sa Chromium sa pamamagitan ng isang pagsubok sa bilis ng web; sa Chromium sa pamamagitan ng fast.com; mula sa console sa pamamagitan ng iperf3 sa pamamagitan ng proxychains4 (kung saan kailangan mong ilagay ang trapiko ng iperf3 sa proxy).
Ang direktang koneksyon na "client" -server na iperf3 ay nagbibigay ng bilis na 2 Gbps sa iperf3, at mas kaunti sa fastspeedtest.
Maaaring magtanong ang isang matanong na mambabasa, "bakit hindi mo pinili ang speedtest-cli?" at magiging tama siya.
Ang Speedtest-cli ay naging hindi maaasahan at isang hindi sapat na paraan upang sukatin ang throughput, para sa mga kadahilanang hindi ko alam. Ang tatlong magkakasunod na pagsukat ay maaaring magbigay ng tatlong ganap na magkakaibang resulta, o, halimbawa, magpakita ng throughput na mas mataas kaysa sa bilis ng port ng aking VPS. Marahil ang problema ay ang aking naka-clubbed na kamay, ngunit tila imposibleng magsagawa ng pananaliksik gamit ang gayong tool.
Tulad ng para sa mga resulta para sa tatlong paraan ng pagsukat (speedtest fastiperf), itinuturing kong ang mga iperf indicator ang pinakatumpak at maaasahan, at ang fastspeedtest bilang sanggunian. Ngunit hindi pinayagan ng ilang bypass tool ang pagkumpleto ng 3 sukat sa pamamagitan ng iperf3 at sa mga ganitong kaso, maaari kang umasa sa speedtestfast.
nagbibigay ng iba't ibang resulta ang speed test
Toolkit
Sa kabuuan, 24 na iba't ibang mga tool sa bypass o ang kanilang mga kumbinasyon ang nasubok, para sa bawat isa sa kanila ay magbibigay ako ng maliliit na paliwanag at ang aking mga impression sa pakikipagtulungan sa kanila. Ngunit mahalagang, ang layunin ay upang ihambing ang mga bilis ng shadowsocks (at isang grupo ng iba't ibang mga obfuscator para dito) openVPN at wireguard.
Sa materyal na ito, hindi ko tatalakayin nang detalyado ang tanong na "kung paano pinakamahusay na itago ang trapiko upang hindi madiskonekta," dahil ang pag-bypass sa pagharang ay isang reaktibong panukala - umaangkop kami sa kung ano ang ginagamit ng censor at kumikilos batay dito.
Natuklasan
Strongswanipsec
Sa aking mga impression, napakadaling i-set up at gumagana nang maayos. Isa sa mga bentahe ay ito ay tunay na cross-platform, nang hindi kailangang maghanap ng mga kliyente para sa bawat platform.
download - 993 mbits; upload - 770 bits
SSH tunnel
Marahil ang mga tamad lamang ang hindi sumulat tungkol sa paggamit ng SSH bilang tool sa lagusan. Ang isa sa mga disadvantages ay ang "saklay" ng solusyon, i.e. hindi gagana ang pag-deploy nito mula sa isang maginhawa at magandang kliyente sa bawat platform. Ang mga pakinabang ay mahusay na pagganap, hindi na kailangang mag-install ng kahit ano sa server.
download - 1270 mbits; upload - 1140 bits
OpenVPN
Sinubukan ang OpenVPN sa 4 na operating mode: tcp, tcp+sslh, tcp+stunnel, udp.
Ang mga server ng OpenVPN ay awtomatikong na-configure sa pamamagitan ng pag-install ng streisand.
Sa abot ng makakaya ng isang tao, sa ngayon ang stunnel mode lang ang lumalaban sa mga advanced na DPI. Ang dahilan ng abnormal na pagtaas ng throughput kapag binabalot ang openVPN-tcp sa stunnel ay hindi malinaw sa akin, ang mga pagsusuri ay ginawa sa ilang mga pagtakbo, sa iba't ibang oras at sa iba't ibang araw, ang resulta ay pareho. Marahil ito ay dahil sa mga setting ng stack ng network na naka-install kapag nagde-deploy ng Streisand, isulat kung mayroon kang anumang mga ideya kung bakit ganito.
openvpntcp: download - 760 mbits; upload - 659 bits
openvpntcp+sslh: download - 794 mbits; upload - 693 bits
openvpntcp+stunnel: download - 619 mbits; upload - 943 bits
openvpnudp: download - 756 mbits; upload - 580 bits
Openconnect
Hindi ang pinakasikat na tool para sa pag-bypass ng mga blockage, kasama ito sa Streisand package, kaya nagpasya kaming subukan din ito.
download - 895 mbits; mag-upload ng 715 mbps
Si Wireguard
Isang hype tool na sikat sa mga Western user, ang mga developer ng protocol ay nakatanggap pa ng ilang grant para sa development mula sa mga pondo ng depensa. Gumagana bilang isang Linux kernel module sa pamamagitan ng UDP. Kamakailan lamang, lumitaw ang mga kliyente para sa windowsios.
Ito ay inisip ng lumikha bilang isang simple, mabilis na paraan upang manood ng Netflix habang wala sa mga estado.
Kaya ang mga kalamangan at kahinaan. Mga kalamangan: napakabilis na protocol, kamag-anak na kadalian ng pag-install at pagsasaayos. Mga disadvantages - hindi ito unang ginawa ng developer na may layuning malampasan ang mga seryosong blockage, at samakatuwid ang wargard ay madaling matukoy ng mga pinakasimpleng tool, kasama. wireshark.
wireguard protocol sa wireshark
download - 1681 mbits; mag-upload ng 1638 mbps
Kapansin-pansin, ang warguard protocol ay ginagamit sa third-party na tunsafe client, na, kapag ginamit sa parehong warguard server, ay nagbibigay ng mas masahol na resulta. Malamang na ang Windows wargard client ay magpapakita ng parehong mga resulta:
tunsafeclient: i-download - 1007 mbits; upload - 1366 bits
OutlineVPN
Ang Outline ay isang pagpapatupad ng isang shadowox server at client na may maganda at maginhawang user interface mula sa jigsaw ng Google. Sa Windows, ang outline client ay isang set lang ng mga wrapper para sa shadowsocks-local (shadowsocks-libev client) at badvpn (tun2socks binary na nagdidirekta sa lahat ng trapiko ng machine sa isang lokal na socks proxy) na binary.
Ang Shadowsox ay dating lumalaban sa Great Firewall ng China, ngunit batay sa mga kamakailang pagsusuri, hindi na ito ang kaso. Hindi tulad ng ShadowSox, sa labas ng kahon ay hindi nito sinusuportahan ang pagkonekta ng obfuscation sa pamamagitan ng mga plugin, ngunit maaari itong gawin nang manu-mano sa pamamagitan ng pag-uusap sa server at kliyente.
download - 939 mbits; upload - 930 bits
Mga aninoR
Ang ShadowsocksR ay isang tinidor ng orihinal na Shadowsocks, na nakasulat sa Python. Sa esensya, ito ay isang shadowbox kung saan mahigpit na naka-pin ang ilang mga paraan ng traffic obfuscation.
Mayroong mga tinidor ng ssR sa libev at iba pa. Ang mababang throughput ay marahil dahil sa wika ng code. Ang orihinal na shadowsox sa python ay hindi mas mabilis.
shadowsocksR: mag-download ng 582 mbits; mag-upload ng 541 bits.
Shadowsocks
Isang Chinese block bypass tool na randomize ng trapiko at nakakasagabal sa awtomatikong pagsusuri sa iba pang magagandang paraan. Hanggang kamakailan lang, hindi na-block ang GFW, sinasabi nila na ngayon ay na-block lamang ito kung naka-on ang relay ng UDP.
Cross-platform (may mga kliyente para sa anumang platform), sumusuporta sa pagtatrabaho sa PT na katulad ng mga obfuscator ni Thor, may ilan sa mga sarili nitong obfuscators, mabilis.
Mayroong isang bungkos ng mga pagpapatupad ng mga kliyente at server ng shadowox, sa iba't ibang wika. Sa pagsubok, ang shadowsocks-libev ay kumilos bilang isang server, iba't ibang mga kliyente. Ang pinakamabilis na kliyente ng Linux ay naging shadowsocks2 on go, na ipinamahagi bilang default na kliyente sa streisand, hindi ko masasabi kung gaano kalaki ang produktibong shadowsocks-windows. Sa karamihan ng mga karagdagang pagsubok, ginamit ang shadowsocks2 bilang kliyente. Hindi ginawa ang mga screenshot na sumusubok sa purong shadowsocks-libev dahil sa halatang lag ng pagpapatupad na ito.
shadowsocks2: download - 1876 mbits; upload - 1981 mbts.
shadowsocks-rust: download - 1605 mbits; upload - 1895 bits.
Shadowsocks-libev: download - 1584 mbits; upload - 1265 bits.
Simple-obfs
Ang plugin para sa shadowsox ay nasa "depreciated" status na ngayon ngunit gumagana pa rin (bagaman hindi palaging maayos). Malaking pinalitan ng v2ray-plugin. Obfuscates trapiko alinman sa ilalim ng isang HTTP websocket (at nagbibigay-daan sa iyong dayain ang patutunguhang header, na nagpapanggap na hindi ka manonood ng pornhub, ngunit, halimbawa, ang website ng Konstitusyon ng Russian Federation) o sa ilalim ng pseudo-tls (pseudo , dahil hindi ito gumagamit ng anumang mga certificate, ang pinakasimpleng DPI gaya ng libreng nDPI ay natukoy bilang "tls no cert." Sa tls mode, hindi na posibleng mag-spoof ng mga header).
Medyo mabilis, na-install mula sa repo na may isang command, na-configure nang napakasimple, ay may built-in na failover function (kapag ang trapiko mula sa isang hindi simple-obfs client ay dumating sa port na pinakikinggan ng simple-obfs, ipinapasa ito sa address kung saan mo tinukoy sa mga setting - tulad nito Sa ganitong paraan, maiiwasan mo ang manu-manong pagsusuri sa port 80, halimbawa, sa pamamagitan lamang ng pag-redirect sa isang website na may http, pati na rin ang pagharang sa pamamagitan ng mga probe ng koneksyon).
shadowsockss-obfs-tls: download - 1618 mbits; mag-upload ng 1971 mbits.
shadowsockss-obfs-http: download - 1582 mbits; upload - 1965 bits.
Ang mga simple-obf sa HTTP mode ay maaari ding gumana sa pamamagitan ng isang CDN reverse proxy (halimbawa, cloudflare), kaya para sa aming provider ang trapiko ay magmumukhang HTTP-plaintext na trapiko sa cloudflare, ito ay nagbibigay-daan sa amin upang itago ang aming tunnel nang mas mabuti, at sa sa parehong oras na paghiwalayin ang entry point at traffic exit - nakikita ng provider na ang iyong trapiko ay papunta sa CDN IP address, at ang mga extremist na gusto sa mga larawan ay inilalagay sa sandaling ito mula sa VPS IP address. Dapat sabihin na ito ay s-obfs sa pamamagitan ng CF na gumagana nang hindi tiyak, pana-panahong hindi nagbubukas ng ilang mapagkukunan ng HTTP, halimbawa. Kaya, hindi posibleng subukan ang pag-upload gamit ang iperf sa pamamagitan ng shadowsockss-obfs+CF, ngunit base sa mga resulta ng speed test, ang throughput ay nasa antas ng shadowsocksv2ray-plugin-tls+CF. Hindi ako nag-a-attach ng mga screenshot mula sa iperf3, dahil... Hindi ka dapat umasa sa kanila.
download (speedtest) - 887; upload (speedtest) - 1154.
I-download (iperf3) - 1625; upload (iperf3) - NA.
v2ray-plugin
Pinalitan ng V2ray-plugin ang mga simpleng obf bilang pangunahing "opisyal" na obfuscator para sa ss libs. Hindi tulad ng mga simpleng obf, wala pa ito sa mga repository, at kailangan mong mag-download ng pre-assembled binary o i-compile ito mismo.
Sinusuportahan ang 3 operating mode: default, HTTP websocket (na may suporta para sa mga spoofing header ng destination host); tls-websocket (hindi tulad ng s-obfs, ito ay ganap na trapiko ng tls, na kinikilala ng anumang reverse proxy web server at, halimbawa, ay nagbibigay-daan sa iyong i-configure ang tls termination sa mga cloudfler server o sa nginx); quic - gumagana sa pamamagitan ng udp, ngunit sa kasamaang palad ang pagganap ng quic sa v2rey ay napakababa.
Kabilang sa mga pakinabang kumpara sa mga simpleng obf: ang v2ray plugin ay gumagana nang walang problema sa pamamagitan ng CF sa HTTP-websocket mode sa anumang trapiko, sa TLS mode ito ay ganap na trapiko ng TLS, nangangailangan ito ng mga sertipiko para sa pagpapatakbo (halimbawa, mula sa Let's encrypt or self -lagdaan).
shadowsocksv2ray-plugin-http: download - 1404 mbits; mag-upload ng 1938 mbits.
shadowsocksv2ray-plugin-tls: download - 1214 mbits; mag-upload ng 1898 mbits.
shadowsocksv2ray-plugin-quic: download - 183 mbits; mag-upload ng 384 bits.
Tulad ng nasabi ko na, ang v2ray ay maaaring magtakda ng mga header, at sa gayon ay maaari mong gawin ito sa pamamagitan ng isang reverse proxy CDN (cloudfler halimbawa). Sa isang banda, pinapalubha nito ang pagtuklas ng lagusan, sa kabilang banda, maaari itong bahagyang tumaas (at kung minsan ay mabawasan) ang lag - ang lahat ay nakasalalay sa lokasyon mo at ng mga server. Kasalukuyang sinusubukan ng CF ang pagtatrabaho sa quic, ngunit hindi pa available ang mode na ito (kahit para sa mga libreng account).
shadowsocksv2ray-plugin-http+CF: download - 1284 mbits; mag-upload ng 1785 bits.
shadowsocksv2ray-plugin-tls+CF: download - 1261 mbits; mag-upload ng 1881 mbits.
Balabal
Ang shred ay resulta ng karagdagang pag-unlad ng GoQuiet obfuscator. Ginagaya ang trapiko ng TLS at gumagana sa pamamagitan ng TCP. Sa ngayon, inilabas ng may-akda ang pangalawang bersyon ng plugin, cloak-2, na makabuluhang naiiba sa orihinal na balabal.
Ayon sa developer, ginamit ng unang bersyon ng plugin ang tls 1.2 resume session na mekanismo para madaya ang patutunguhang address para sa tls. Matapos ilabas ang bagong bersyon (clock-2), ang lahat ng mga pahina ng wiki sa Github na naglalarawan sa mekanismong ito ay tinanggal; walang binanggit ito sa kasalukuyang paglalarawan ng obfuscation encryption. Ayon sa paglalarawan ng may-akda, ang unang bersyon ng shred ay hindi ginagamit dahil sa pagkakaroon ng "mga kritikal na kahinaan sa crypto." Sa oras ng mga pagsubok, mayroon lamang ang unang bersyon ng balabal, ang mga binary nito ay nasa Github pa rin, at bukod sa lahat ng iba pa, ang mga kritikal na kahinaan ay hindi masyadong mahalaga, dahil Ini-encrypt ng shadowsox ang trapiko sa parehong paraan tulad ng walang balabal, at ang cloac ay walang epekto sa crypto ng shadowsox.
shadowsockscloak: i-download - 1533; upload - 1970 mbts
Kcptun
gumagamit ng kcptun bilang transportasyon at sa ilang mga espesyal na kaso ay nagbibigay-daan upang makamit ang mas mataas na throughput. Sa kasamaang-palad (o sa kabutihang palad), ito ay higit na nauugnay para sa mga user mula sa China, na ang ilan sa mga mobile operator ay labis na nag-throttle sa TCP at hindi humahawak sa UDP.
Gutom na sa kapangyarihan ang Kcptun, at madaling mag-load ng 100 na zion core sa 4% kapag sinubukan ng 1 kliyente. Bilang karagdagan, ang plugin ay "mabagal", at kapag nagtatrabaho sa pamamagitan ng iperf3 hindi nito nakumpleto ang mga pagsubok hanggang sa katapusan. Tingnan natin ang speed test sa browser.
shadowsockskcptun: download (speedtest) - 546 mbits; mag-upload (speedtest) 854 mbits.
Konklusyon
Kailangan mo ba ng simple, mabilis na VPN upang ihinto ang trapiko mula sa iyong buong makina? Kung gayon ang iyong pagpipilian ay warguard. Gusto mo ba ng mga proxy (para sa selective tunneling o separation of virtual person flows) o mas mahalaga ba para sa iyo na i-obfuscate ang trapiko mula sa seryosong pagharang? Pagkatapos ay tumingin sa shadowbox na may tlshttp obfuscation. Gusto mo bang makatiyak na gagana ang iyong Internet hangga't gumagana ang Internet? Piliin upang i-proxy ang trapiko sa pamamagitan ng mahahalagang CDN, pagharang na hahantong sa pagkabigo ng kalahati ng Internet sa bansa.
Pivot table, pinagsunod-sunod ayon sa pag-download
Pinagmulan: www.habr.com