Ağdaki çeşitli kaynaklara erişimimiz giderek daha fazla reddedildikçe, engellemeyi atlama sorunu giderek daha acil hale geliyor, bu da "Engellemeyi nasıl daha hızlı atlatabiliriz?" sorusunun giderek daha alakalı hale geldiği anlamına geliyor.
DPI beyaz listelerini atlama açısından verimlilik konusunu başka bir duruma bırakalım ve popüler blok atlama araçlarının performansını karşılaştıralım.
Dikkat: Yazıda spoiler altında bol miktarda resim olacak.
Yasal Uyarı: Bu makale, popüler VPN proxy çözümlerinin performansını "ideal"e yakın koşullar altında karşılaştırmaktadır. Burada elde edilen ve açıklanan sonuçlar, alanlardaki sonuçlarınızla her zaman örtüşmeyebilir. Çünkü hız testindeki sayı genellikle baypas aracının ne kadar güçlü olduğuna değil, sağlayıcınızın onu nasıl kıstığına bağlı olacaktır.
metodoloji
Dünyanın farklı ülkelerindeki bir bulut sağlayıcısından (DO) 3 VPS satın alındı. 2'si Hollanda'da, 1'i Almanya'da. Kupon kredisi teklifi kapsamında hesap için mevcut olanlardan en verimli VPS (çekirdek sayısına göre) seçildi.
İlk Hollanda sunucusuna özel bir iperf3 sunucusu yerleştirildi.
İkinci Hollanda sunucusunda, çeşitli blok atlama araçları sunucuları birer birer konuşlandırılıyor.
Alman VPS'sine VNC ve sanal masaüstü içeren bir masaüstü Linux görüntüsü (xubuntu) dağıtılır. Bu VPN koşullu bir istemcidir ve üzerine çeşitli VPN proxy istemcileri yüklenir ve başlatılır.
Hız ölçümleri üç kez yapılıyor, ortalamaya odaklanıyoruz, 3 araç kullanıyoruz: Chromium'da bir web hız testi aracılığıyla; fast.com aracılığıyla Chromium'da; konsoldan iperf3 aracılığıyla proxychains4 aracılığıyla (burada iperf3 trafiğini proxy'ye koymanız gerekir).
Doğrudan bağlantı "istemci"-sunucu iperf3, iperf2'te 3 Gbps hız ve fastspeedtest'te biraz daha az hız sağlar.
Meraklı bir okuyucu şu soruyu sorabilir: "Neden speedtest-cli'yi seçmediniz?" ve o haklı olacak.
Speedtest-cli'nin güvenilmez olduğu ve bilmediğim nedenlerden dolayı verimi ölçmenin yetersiz bir yolu olduğu ortaya çıktı. Ardışık üç ölçüm tamamen farklı üç sonuç verebilir veya örneğin VPS'imin bağlantı noktası hızından çok daha yüksek bir verim gösterebilir. Belki sorun elimdeki sopalı elimdir ama böyle bir aletle araştırma yapmak imkansız gibi görünüyordu.
Üç ölçüm yönteminin (speedtest fastiperf) sonuçlarına gelince, iperf göstergelerinin en doğru ve güvenilir olduğunu ve fastspeedtest'in referans olduğunu düşünüyorum. Ancak bazı bypass araçları iperf3 aracılığıyla 3 ölçümün tamamlanmasına izin vermiyordu ve bu gibi durumlarda speedtestfast'e güvenebilirsiniz.
Hız testi farklı sonuçlar veriyor
araçları
Toplamda 24 farklı bypass aracı veya bunların kombinasyonları test edildi, her biri için küçük açıklamalar ve onlarla çalışma izlenimlerimi vereceğim. Ancak esasen amaç, gölge çoraplarının (ve bunun için bir dizi farklı şaşırtıcının) openVPN ve wireguard'ın hızlarını karşılaştırmaktı.
Bu materyalde, "bağlantının kesilmemesi için trafiğin en iyi nasıl gizleneceği" sorusunu ayrıntılı olarak tartışmayacağım çünkü engellemeyi atlamak reaktif bir önlemdir - sansürün kullandığı şeye uyum sağlar ve bu temelde hareket ederiz.
Bulgular
Strongswanipsec
Benim izlenimlerime göre kurulumu çok kolay ve oldukça stabil çalışıyor. Avantajlarından biri, her platform için müşteri aramaya gerek kalmadan gerçek anlamda platformlar arası olmasıdır.
indirme - 993 mbit; yükleme - 770 mbit
SSH tüneli
Muhtemelen sadece tembeller SSH'nin bir tünel aracı olarak kullanılması hakkında yazmamıştır. Dezavantajlardan biri çözümün “koltuk değneğidir”, yani. onu her platformda kullanışlı, güzel bir istemciden dağıtmak işe yaramayacaktır. Avantajları iyi performanstır, sunucuya hiçbir şey yüklemeye gerek yoktur.
indirme - 1270 mbit; yükleme - 1140 mbit
OpenVPN
OpenVPN 4 çalışma modunda test edilmiştir: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN sunucuları streisand yüklenerek otomatik olarak yapılandırıldı.
Anlaşıldığı kadarıyla şu anda yalnızca stunnel modu gelişmiş DPI'lara karşı dayanıklı. OpenVPN-tcp'yi stunnel'a sararken verimdeki anormal artışın nedeni bana açık değil, kontroller birkaç çalıştırmada, farklı zamanlarda ve farklı günlerde yapıldı, sonuç aynıydı. Belki de bu, Streisand'ı dağıtırken kurulan ağ yığını ayarlarından kaynaklanmaktadır, bunun neden böyle olduğuna dair herhangi bir fikriniz varsa yazın.
openvpntcp: indirme - 760 mbit; yükleme - 659 mbit
openvpntcp+sslh: indirme - 794 mbit; yükleme - 693 mbit
openvpntcp+stunnel: indirme - 619 mbit; yükleme - 943 mbit
openvpnudp: indirme - 756 mbit; yükleme - 580 mbit
Açık bağlantı
Tıkanıklıkları aşmak için en popüler araç değil, Streisand paketine dahil olduğundan biz de onu test etmeye karar verdik.
indirme - 895 mbit; 715 mbps'yi yükle
Wireguard
Batılı kullanıcılar arasında popüler olan bir heyecan aracı olan protokolün geliştiricileri, geliştirme için savunma fonlarından bazı hibeler bile aldı. UDP aracılığıyla Linux çekirdek modülü olarak çalışır. Son zamanlarda windowsios istemcileri ortaya çıktı.
İçerik oluşturucu tarafından eyaletlerde değilken Netflix'i izlemenin basit ve hızlı bir yolu olarak tasarlandı.
Dolayısıyla artıları ve eksileri. Artıları: çok hızlı protokol, göreceli kurulum ve yapılandırma kolaylığı. Dezavantajları - geliştirici başlangıçta onu ciddi tıkanıklıkları aşmak amacıyla yaratmadı ve bu nedenle wargard, en basit araçlarla kolayca tespit edilebilir. Wireshark.
Wireshark'ta wireguard protokolü
indirme - 1681 mbit; 1638 mbps'yi yükle
İlginç bir şekilde, üçüncü taraf tunsafe istemcisinde warguard protokolü kullanılıyor ve bu, aynı warguard sunucusuyla kullanıldığında çok daha kötü sonuçlar veriyor. Windows wargard istemcisinin aynı sonuçları göstermesi muhtemeldir:
tunsafeclient: indirme - 1007 mbit; yükleme - 1366 mbit
OutlineVPN
Outline, Google'ın yapbozundan güzel ve kullanışlı bir kullanıcı arayüzüne sahip bir shadowox sunucusu ve istemcisinin uygulanmasıdır. Windows'ta anahat istemcisi, shadowsocks-local (shadowsocks-libev istemcisi) ve badvpn (tüm makine trafiğini yerel bir çorap proxy'sine yönlendiren tun2socks ikili dosyası) ikili dosyaları için basit bir sarmalayıcı kümesidir.
Shadowsox bir zamanlar Büyük Çin Güvenlik Duvarı'na karşı dayanıklıydı ancak son incelemelere göre artık durum böyle değil. ShadowSox'tan farklı olarak, kutudan çıktığı haliyle, eklentiler yoluyla gizlemeyi bağlamayı desteklemez, ancak bu, sunucu ve istemci üzerinde değişiklikler yapılarak manuel olarak yapılabilir.
indirme - 939 mbit; yükleme - 930 mbit
GölgeçorapR
ShadowsocksR, Python'da yazılmış orijinal Shadowsocks'un bir çatalıdır. Özünde, çeşitli trafik gizleme yöntemlerinin sıkı bir şekilde sabitlendiği bir gölge kutusudur.
Libev'e ve başka bir şeye ssR'nin çatalları var. Düşük verim muhtemelen kod dilinden kaynaklanmaktadır. Python'daki orijinal shadowsox çok daha hızlı değil.
shadowsocksR: 582 mbit'i indirin; 541 mbit yükleyin.
Shadowsocks
Trafiği rastgele hale getiren ve otomatik analize başka harika yollarla müdahale eden, Çin'e özgü bir blok atlama aracı. Yakın zamana kadar GFW engellenmiyordu; artık yalnızca UDP rölesi açıksa engellendiğini söylüyorlar.
Çapraz platform (her platform için istemciler vardır), Thor'un obfuscator'larına benzer şekilde PT ile çalışmayı destekler, hızlı bir şekilde kendine ait veya ona uyarlanmış birkaç obfuscator vardır.
Shadowox istemcilerinin ve sunucularının farklı dillerde birçok uygulaması vardır. Testlerde, shadowsocks-libev bir sunucu, farklı istemciler gibi davrandı. En hızlı Linux istemcisinin, Streisand'da varsayılan istemci olarak dağıtılan shadowsocks2 olduğu ortaya çıktı; shadowsocks-windows'un ne kadar daha verimli olduğunu söyleyemem. Sonraki testlerin çoğunda istemci olarak shadowsocks2 kullanıldı. Bu uygulamanın bariz gecikmesi nedeniyle saf shadowsocks-libev'i test eden ekran görüntüleri yapılmadı.
shadowsocks2: indirme - 1876 mbit; yükleme - 1981 mbit.
shadowsocks-rust: indir - 1605 mbit; yükleme - 1895 mbit.
Shadowsocks-libev: indir - 1584 mbit; yükleme - 1265 mbit.
Basit obf'ler
Shadowsox eklentisi artık "amortismana tabi tutulmuş" durumda ancak hala çalışıyor (her zaman iyi olmasa da). Büyük ölçüde v2ray eklentisi ile değiştirildi. Trafiği bir HTTP web soketi altında gizler (ve bir pornhub değil, örneğin Rusya Federasyonu Anayasası'nın web sitesini izleyecekmişsiniz gibi davranarak hedef başlığını taklit etmenize olanak tanır) veya sahte tl'ler (sözde) altında , herhangi bir sertifika kullanmadığından, ücretsiz nDPI gibi en basit DPI, "tls sertifika yok" olarak algılanır. tls modunda, artık başlıkları taklit etmek mümkün değildir).
Oldukça hızlı, tek komutla depodan kurulur, çok basit bir şekilde yapılandırılmıştır, yerleşik bir yük devretme işlevine sahiptir (basit olmayan bir obfs istemcisinden gelen trafik, basit obfs'in dinlediği bağlantı noktasına geldiğinde, onu adrese iletir) ayarlarda belirttiğiniz yer - bunun gibi Bu şekilde, örneğin http ile bir web sitesine yönlendirerek ve ayrıca bağlantı probları aracılığıyla engelleyerek 80 numaralı bağlantı noktasının manuel olarak kontrol edilmesini önleyebilirsiniz.
shadowsockss-obfs-tls: indir - 1618 mbit; 1971 mbit yükleyin.
shadowsockss-obfs-http: indir - 1582 mbit; yükleme - 1965 mbit.
HTTP modundaki basit obf'ler ayrıca bir CDN ters proxy (örneğin, cloudflare) aracılığıyla da çalışabilir, dolayısıyla sağlayıcımız için trafik, cloudflare'e giden HTTP düz metin trafiği gibi görünecektir, bu, tünelimizi biraz daha iyi gizlememize olanak tanır ve aynı zamanda giriş noktasını ve trafik çıkışını ayırın - sağlayıcı trafiğinizin CDN IP adresine doğru gittiğini görür ve resimlere aşırı beğeniler şu anda VPS IP adresinden yerleştirilir. Örneğin, CF aracılığıyla belirsiz bir şekilde çalışan, periyodik olarak bazı HTTP kaynaklarını açmayan s-obf'lerin olduğu söylenmelidir. Dolayısıyla, shadowsockss-obfs+CF aracılığıyla iperf kullanarak yüklemeyi test etmek mümkün olmadı, ancak hız testinin sonuçlarına göre verim, shadowsocksv2ray-plugin-tls+CF seviyesinde. İperf3'ten ekran görüntüleri eklemiyorum çünkü... Onlara güvenmemelisin.
indirme (hız testi) - 887; yükleme (hız testi) - 1154.
İndir (iperf3) - 1625; yükleme (iperf3) - Yok.
v2ray eklentisi
V2ray eklentisi, ss kütüphaneleri için ana "resmi" gizleme aracı olarak basit obf'lerin yerini aldı. Basit obf'lerin aksine, henüz depolarda değildir ve önceden derlenmiş bir ikili dosyayı indirmeniz veya kendiniz derlemeniz gerekir.
3 çalışma modunu destekler: varsayılan, HTTP websocket (hedef ana bilgisayarın sahte başlıklarını destekleme desteğiyle); tls-websocket (s-obfs'den farklı olarak bu, herhangi bir ters proxy web sunucusu tarafından tanınan ve örneğin cloudfler sunucularında veya nginx'te tls sonlandırmasını yapılandırmanıza olanak tanıyan tam teşekküllü tls trafiğidir); quic - udp aracılığıyla çalışır, ancak ne yazık ki v2rey'deki quic'in performansı çok düşüktür.
Basit obf'lere kıyasla avantajları arasında: v2ray eklentisi, herhangi bir trafikle HTTP-websocket modunda CF aracılığıyla sorunsuz çalışır, TLS modunda tam teşekküllü TLS trafiğidir, işlem için sertifika gerektirir (örneğin, Let's encrypt veya self'ten) -imzalı).
shadowsocksv2ray-eklenti-http: indir - 1404 mbit; 1938 mbit yükleyin.
shadowsocksv2ray-plugin-tls: indir - 1214 mbit; 1898 mbit yükleyin.
shadowsocksv2ray-plugin-quic: indir - 183 mbit; 384 mbit yükleyin.
Daha önce de söylediğim gibi, v2ray başlıkları ayarlayabilir ve böylece ters proxy CDN (örneğin cloudfler) aracılığıyla onunla çalışabilirsiniz. Bu bir yandan tünelin tespitini zorlaştırır, diğer yandan gecikmeyi biraz artırabilir (ve bazen azaltabilir) - bunların hepsi sizin ve sunucuların konumuna bağlıdır. CF şu anda quic ile çalışmayı test ediyor, ancak bu mod henüz mevcut değil (en azından ücretsiz hesaplar için).
shadowsocksv2ray-plugin-http+CF: indir - 1284 mbit; 1785 mbit yükleyin.
shadowsocksv2ray-plugin-tls+CF: indir - 1261 mbit; 1881 mbit yükleyin.
Pelerin
Parçalama, GoQuiet gizleme aracının daha da geliştirilmesinin sonucudur. TLS trafiğini simüle eder ve TCP üzerinden çalışır. Şu anda yazar, orijinal pelerden önemli ölçüde farklı olan eklentinin ikinci sürümü olan cloak-2'yi yayınladı.
Geliştiriciye göre eklentinin ilk sürümü, tls'nin hedef adresini taklit etmek için tls 1.2 özgeçmiş oturum mekanizmasını kullandı. Yeni sürümün (saat-2) piyasaya sürülmesinden sonra, Github'da bu mekanizmayı açıklayan tüm wiki sayfaları silindi; gizleme şifrelemesinin mevcut açıklamasında bundan bahsedilmiyor. Yazarın açıklamasına göre, "kriptoda kritik güvenlik açıklarının" bulunması nedeniyle parçalamanın ilk sürümü kullanılmıyor. Testler sırasında pelerin yalnızca ilk sürümü vardı, ikili dosyaları hala Github'da ve diğer her şeyin yanı sıra kritik güvenlik açıkları çok önemli değil çünkü shadowsox, trafiği pelerinsiz olduğu gibi şifreler ve cloac'ın shadowsox'un kriptosu üzerinde hiçbir etkisi yoktur.
shadowsockscloak: indir - 1533; yükleme - 1970 mbit
Kcptun
ulaşım olarak kcptun'u kullanır ve bazı özel durumlarda daha fazla verim elde edilmesini sağlar. Ne yazık ki (veya neyse ki), bu, büyük ölçüde, bazı mobil operatörlerinin TCP'yi yoğun şekilde kısıtladığı ve UDP'ye dokunmadığı Çin'deki kullanıcılar için geçerlidir.
Kcptun çok fazla güce ihtiyaç duyuyor ve 100 istemci tarafından test edildiğinde 4 zion çekirdeğini kolayca %1'de yüklüyor. Ayrıca eklenti "yavaştır" ve iperf3 üzerinde çalışırken testleri sonuna kadar tamamlamaz. Tarayıcıdaki hız testine bir göz atalım.
shadowsockskcptun: indirme (hız testi) - 546 mbit; yükleme (hız testi) 854 mbit.
Sonuç
Makinenizin tamamından gelen trafiği durdurmak için basit, hızlı bir VPN'e mi ihtiyacınız var? O zaman seçiminiz warguard. Proxy'ler mi istiyorsunuz (seçici tünelleme veya sanal kişi akışlarının ayrılması için) yoksa trafiği ciddi engellemelerden gizlemek sizin için daha mı önemli? Daha sonra tlshttp şaşırtma işlemiyle shadowbox'a bakın. İnternet çalıştığı sürece İnternetinizin de çalışacağından emin olmak ister misiniz? Trafiği önemli CDN'ler aracılığıyla proxy olarak kullanmayı seçin; bu engelleme, ülkedeki İnternet'in yarısının başarısız olmasına yol açacaktır.
Özet tablo, indirmeye göre sıralanmıştır
Kaynak: habr.com