Tarmoqdagi turli manbalarga kirish imkonimiz tobora ko'payib borayotganligi sababli, blokirovkani chetlab o'tish masalasi tobora dolzarb bo'lib bormoqda, demak, "Qanday qilib bloklashni tezroq chetlab o'tish kerak?" Degan savol tobora dolzarb bo'lib bormoqda.
Keling, samaradorlik mavzusini boshqa holat uchun DPI oq ro'yxatlarini chetlab o'tish nuqtai nazaridan qoldiraylik va oddiygina mashhur blokni aylanib o'tish vositalarining ishlashini solishtiramiz.
Diqqat: Maqolada spoyler ostida ko'plab rasmlar bo'ladi.
Rad etish: ushbu maqola mashhur VPN proksi yechimlarining "ideal" ga yaqin sharoitlarda ishlashini taqqoslaydi. Olingan va bu yerda tasvirlangan natijalar sizning sohalardagi natijalaringizga mos kelishi shart emas. Tezlik testidagi raqam ko'pincha aylanib o'tish vositasi qanchalik kuchli ekanligiga emas, balki provayderingiz uni qanday bostirishiga bog'liq bo'ladi.
Metodologiya
3 VPS dunyoning turli mamlakatlaridagi bulutli provayderdan (DO) sotib olindi. Gollandiyada 2 ta, Germaniyada 1 ta. Kupon kreditlari uchun taklif bo'yicha hisob uchun mavjud bo'lganlardan eng samarali VPS (yadrolar soni bo'yicha) tanlangan.
Birinchi Gollandiya serverida xususiy iperf3 server joylashtirilgan.
Ikkinchi Gollandiya serverida blokni aylanib o'tish vositalarining turli serverlari birma-bir joylashtiriladi.
VNC va virtual ish stoliga ega ish stoli Linux tasviri (xubuntu) nemis VPS-da joylashtirilgan. Bu VPN shartli mijoz bo'lib, unga turli xil VPN proksi-mijozlari o'rnatiladi va ishga tushiriladi.
Tezlikni o'lchash uch marta amalga oshiriladi, biz o'rtacha e'tiborni qaratamiz, biz 3 ta vositadan foydalanamiz: Chromium-da veb-tezlik sinovi orqali; fast.com orqali Chromium'da; konsoldan iperf3 orqali proxychains4 orqali (bu erda siz proksi-serverga iperf3 trafigini qo'yishingiz kerak).
To'g'ridan-to'g'ri ulanish "mijoz"-server iperf3 iperf2 da 3 Gbit / s tezlikni va fastspeedtestda biroz kamroq tezlikni beradi.
Qiziquvchan o'quvchi: "Nega siz speedtest-cli-ni tanlamadingiz?" Deb so'rashi mumkin. va u haq bo'ladi.
Speedtest-cli ishonchsiz bo'lib chiqdi va menga noma'lum sabablarga ko'ra o'tkazish qobiliyatini o'lchashning noto'g'ri usuli bo'lib chiqdi. Uchta ketma-ket o'lchov uchta butunlay boshqacha natijalarni berishi mumkin yoki, masalan, mening VPS port tezligidan ancha yuqori o'tkazuvchanlikni ko'rsatishi mumkin. Ehtimol, muammo mening qo'limdadir, ammo bunday vosita bilan tadqiqot olib borish imkonsiz bo'lib tuyuldi.
Uchta o'lchash usuli (speedtest fastiperf) bo'yicha natijalarga kelsak, men iperf ko'rsatkichlarini eng aniq va ishonchli deb hisoblayman va tezkor tezlikni mos yozuvlar sifatida. Ammo ba'zi aylanib o'tish vositalari iperf3 orqali 3 ta o'lchovni bajarishga imkon bermadi va bunday hollarda siz tezkor tezlikka ishonishingiz mumkin.
tezlik testi turli natijalar beradi
Uskunalar to'plami
Hammasi bo'lib 24 xil aylanib o'tish vositalari yoki ularning kombinatsiyasi sinovdan o'tkazildi, ularning har biri uchun men kichik tushuntirishlar va ular bilan ishlash taassurotlarini beraman. Ammo, aslida, maqsad shadowsocks (va buning uchun turli xil obfuscatorlar) openVPN va sim himoyasi tezligini solishtirish edi.
Ushbu materialda men "uzilib qolmaslik uchun trafikni qanday yashirish kerak" degan savolni batafsil muhokama qilmayman, chunki blokirovkani chetlab o'tish reaktiv choradir - biz tsenzura foydalanadigan narsaga moslashamiz va shu asosda harakat qilamiz.
Natijalar
Strongswanipsec
Mening taassurotlarimga ko'ra, uni sozlash juda oson va juda barqaror ishlaydi. Afzalliklaridan biri shundaki, u har bir platforma uchun mijozlarni izlamasdan, chinakam o'zaro faoliyat platformadir.
yuklab olish - 993 Mbit; yuklash - 770 Mbit
SSH tunneli
Ehtimol, faqat dangasalar SSHni tunnel vositasi sifatida ishlatish haqida yozmagan. Kamchiliklardan biri yechimning "tayoqchasi" dir, ya'ni. uni har bir platformada qulay, chiroyli mijozdan joylashtirish ishlamaydi. Afzalliklari yaxshi ishlash, serverga umuman hech narsa o'rnatishga hojat yo'q.
yuklab olish - 1270 Mbit; yuklash - 1140 Mbit
Openvpn
OpenVPN 4 ish rejimida sinovdan o'tkazildi: tcp, tcp+sslh, tcp+stunnel, udp.
OpenVPN serverlari streisand-ni o'rnatish orqali avtomatik ravishda sozlangan.
Biror fikrga ko'ra, hozirgi vaqtda faqat stunnel rejimi ilg'or DPIlarga chidamli. OpenVPN-tcp-ni stunnelga o'rashda o'tkazuvchanlikning g'ayritabiiy o'sishining sababi menga tushunarsiz, tekshiruvlar bir necha marta, turli vaqtlarda va turli kunlarda amalga oshirildi, natija bir xil edi. Ehtimol, bu Streisandni o'rnatishda o'rnatilgan tarmoq stek sozlamalari bilan bog'liq bo'lsa, nima uchun bunday bo'lganligi haqida biron bir fikringiz bo'lsa, yozing.
openvpntcp: yuklab olish - 760 mbit; yuklash - 659 Mbit
openvpntcp+sslh: yuklab olish - 794 mbit; yuklash - 693 Mbit
openvpntcp+stunnel: yuklab olish - 619 mbit; yuklash - 943 Mbit
openvpnudp: yuklab olish - 756 mbit; yuklash - 580 Mbit
Ochiq ulanish
To'siqlarni chetlab o'tish uchun eng mashhur vosita emas, u Streisand paketiga kiritilgan, shuning uchun biz uni ham sinab ko'rishga qaror qildik.
yuklab olish - 895 Mbit; 715 mbps yuklash
Siri
G'arb foydalanuvchilari orasida mashhur bo'lgan shov-shuv vositasi, protokolni ishlab chiquvchilar hatto mudofaa fondlaridan rivojlanish uchun ba'zi grantlar olishgan. UDP orqali Linux yadro moduli sifatida ishlaydi. Yaqinda windowsios uchun mijozlar paydo bo'ldi.
Bu yaratuvchi tomonidan shtatlarda bo'lmaganda Netflix-ni tomosha qilishning oddiy va tezkor usuli sifatida o'ylab topilgan.
Shuning uchun ijobiy va salbiy tomonlar. Taroziga soling: juda tez protokol, o'rnatish va konfiguratsiyaning nisbatan qulayligi. Kamchiliklari - ishlab chiquvchi dastlab uni jiddiy to'siqlarni chetlab o'tish maqsadida yaratmagan va shuning uchun wargard eng oddiy vositalar, shu jumladan, osongina aniqlanadi. wireshark.
wireshark-dagi wireguard protokoli
yuklab olish - 1681 Mbit; 1638 mbps yuklash
Qizig'i shundaki, warguard protokoli uchinchi tomon tunsafe mijozida qo'llaniladi, u bir xil warguard serveri bilan foydalanilganda ancha yomon natijalar beradi. Windows wargard mijozi bir xil natijalarni ko'rsatishi mumkin:
tunsafeclient: yuklab olish - 1007 mbit; yuklash - 1366 Mbit
OutlineVPN
Outline - bu Google jigsaw-dan chiroyli va qulay foydalanuvchi interfeysiga ega shadowox serveri va mijozining amalga oshirilishi. Windows-da kontur mijozi shunchaki shadowsocks-local (shadowsocks-libev mijozi) va badvpn (barcha mashina trafigini mahalliy paypoq proksi-serveriga yo'naltiruvchi tun2socks binari) ikkiliklari uchun o'ramlar to'plamidir.
Shadowsox bir vaqtlar Xitoyning Buyuk xavfsizlik devoriga chidamli edi, ammo so'nggi sharhlarga asoslanib, endi bunday emas. ShadowSox-dan farqli o'laroq, u plaginlar orqali noaniqlikni ulashni qo'llab-quvvatlamaydi, biroq buni server va mijoz bilan o'ynash orqali qo'lda qilish mumkin.
yuklab olish - 939 Mbit; yuklash - 930 Mbit
ShadowsocksR
ShadowsocksR - bu Python-da yozilgan asl Shadowsocks-ning vilkasi. Aslini olganda, bu soya qutisi bo'lib, unga trafikni to'xtatishning bir necha usullari mahkam bog'langan.
Libevga ssR vilkalari va boshqa narsa bor. Past o'tkazuvchanlik, ehtimol, kod tiliga bog'liq. Pythondagi asl shadowsox unchalik tez emas.
shadowsocksR: yuklab olish 582 mbit; 541 Mbit yuklash.
Shadowsocks
Trafikni tasodifiylashtiradigan va boshqa ajoyib usullar bilan avtomatik tahlilga xalaqit beradigan Xitoy bloklarini aylanib o'tish vositasi. Yaqin vaqtgacha GFW bloklanmagan edi, ular endi u faqat UDP o'rni yoqilgan bo'lsa, bloklanganligini aytishadi.
Kross-platforma (har qanday platforma uchun mijozlar mavjud), Thor obfuscatorlariga o'xshash PT bilan ishlashni qo'llab-quvvatlaydi, bir nechta o'ziga xos yoki unga moslashtirilgan tezkor obfuskatatorlar mavjud.
Shadowox mijozlari va serverlarining turli tillarda bir qancha ilovalari mavjud. Sinovda shadowsocks-libev server, turli mijozlar rolini o'ynadi. Eng tezkor Linux mijozi shadowsocks2 bo'lib chiqdi, u streisandda standart mijoz sifatida tarqatildi, shadowsocks-windows qanchalik samaraliroq ekanligini ayta olmayman. Ko'pgina keyingi testlarda mijoz sifatida shadowsocks2 ishlatilgan. Sof shadowsocks-libev-ni sinovdan o'tkazuvchi skrinshotlar ushbu amalga oshirishning aniq kechikishi tufayli amalga oshirilmadi.
shadowsocks2: yuklab olish - 1876 mbit; yuklash - 1981 Mbit.
shadowsocks-rust: yuklab olish - 1605 mbit; yuklash - 1895 Mbit.
Shadowsocks-libev: yuklab olish - 1584 mbit; yuklash - 1265 Mbit.
Oddiy obfs
Shadowsox uchun plagin hozir "amortizatsiya qilingan" maqomda, lekin baribir ishlaydi (har doim ham yaxshi bo'lmasa ham). Ko'p jihatdan v2ray-plagini bilan almashtirildi. HTTP veb-rozetkasi (va siz pornhub emas, balki, masalan, Rossiya Federatsiyasi Konstitutsiyasi veb-saytini ko'rmoqchi emasligingizni ko'rsatib, maqsad sarlavhasini aldashga imkon beradi) yoki pseudo-tls (psevdo) ostida trafikni to'xtatadi. , chunki u hech qanday sertifikatlardan foydalanmaydi, bepul nDPI kabi eng oddiy DPI “tls no cert” sifatida aniqlanadi. Tls rejimida sarlavhalarni aldash endi mumkin emas).
Juda tez, bitta buyruq bilan repodan oʻrnatiladi, juda sodda tarzda sozlanadi, oʻrnatilgan uzilish funksiyasiga ega (oddiy boʻlmagan obfs mijozidan trafik oddiy obfs tinglaydigan portga kelganda, uni manzilga yoʻnaltiradi). Sozlamalarda ko'rsatgan joyingiz - shunga o'xshash Shunday qilib, siz 80-portni qo'lda tekshirishdan qochishingiz mumkin, masalan, oddiygina http bilan veb-saytga yo'naltirish, shuningdek ulanish problari orqali blokirovka qilish).
shadowsockss-obfs-tls: yuklab olish - 1618 mbit; 1971 Mbit yuklash.
shadowsockss-obfs-http: yuklab olish - 1582 mbit; yuklash - 1965 Mbit.
HTTP rejimidagi oddiy obfs CDN teskari proksi-server (masalan, cloudflare) orqali ham ishlashi mumkin, shuning uchun bizning provayderimiz uchun trafik HTTP-to'g'ridan-to'g'ri Cloudflare trafigiga o'xshaydi, bu bizga tunnelimizni biroz yaxshiroq yashirish imkonini beradi. bir vaqtning o'zida kirish nuqtasini va trafikdan chiqishni ajrating - provayder sizning trafigingiz CDN IP-manziliga qarab ketayotganini ko'radi va rasmlarga ekstremistik yoqtirishlar VPS IP-manzilidan ayni paytda joylashtiriladi. Aytish kerakki, CF orqali s-obfs noaniq ishlaydi, masalan, vaqti-vaqti bilan ba'zi HTTP resurslarini ochmaydi. Shunday qilib, shadowsockss-obfs+CF orqali iperf yordamida yuklashni sinab ko'rishning iloji bo'lmadi, lekin tezlikni tekshirish natijalariga ko'ra, o'tkazish qobiliyati shadowsocksv2ray-plugin-tls+CF darajasida. Men iperf3 dan skrinshotlarni biriktirmayapman, chunki... Siz ularga ishonmasligingiz kerak.
yuklab olish (tezlik testi) - 887; yuklash (tezlik testi) - 1154.
Yuklab olish (iperf3) - 1625; yuklash (iperf3) - NA.
v2ray plagini
V2ray-plagin ss libs uchun asosiy "rasmiy" obfuscator sifatida oddiy obfs o'rnini egalladi. Oddiy obflardan farqli o'laroq, u hali omborlarda yo'q va siz oldindan yig'ilgan ikkilik faylni yuklab olishingiz yoki uni o'zingiz kompilyatsiya qilishingiz kerak.
3 ta ish rejimini qo'llab-quvvatlaydi: sukut bo'yicha, HTTP veb-rozetkasi (maqsad hostining sarlavhalarini buzishni qo'llab-quvvatlash bilan); tls-websocket (s-obfs-dan farqli o'laroq, bu har qanday teskari proksi-server tomonidan tan olinadigan to'liq huquqli tls trafigidir va, masalan, cloudfler serverlarida yoki nginx-da tls tugatishni sozlash imkonini beradi); quic - udp orqali ishlaydi, lekin afsuski, v2reyda quicning ishlashi juda past.
Oddiy obfs bilan solishtirganda afzalliklari orasida: v2ray plagini CF orqali HTTP-websocket rejimida har qanday trafik bilan muammosiz ishlaydi, TLS rejimida u to'liq huquqli TLS trafikidir, u ishlash uchun sertifikatlarni talab qiladi (masalan, Let's encrypt yoki self-dan - imzolangan).
shadowsocksv2ray-plugin-http: yuklab olish - 1404 mbit; 1938 Mbit yuklash.
shadowsocksv2ray-plugin-tls: yuklab olish - 1214 mbit; 1898 Mbit yuklash.
shadowsocksv2ray-plugin-quic: yuklab olish - 183 mbit; 384 Mbit yuklash.
Yuqorida aytib o'tganimdek, v2ray sarlavhalarni o'rnatishi mumkin va shuning uchun siz u bilan teskari proksi-server CDN (masalan, Cloudfler) orqali ishlashingiz mumkin. Bir tomondan, bu tunnelni aniqlashni qiyinlashtiradi, boshqa tomondan, kechikishni biroz oshirishi (va ba'zan kamaytirishi) mumkin - barchasi sizning va serverlarning joylashuviga bog'liq. CF hozirda quic bilan ishlashni sinab ko'rmoqda, ammo bu rejim hali mavjud emas (hech bo'lmaganda bepul hisoblar uchun).
shadowsocksv2ray-plugin-http+CF: yuklab olish - 1284 mbit; 1785 Mbit yuklash.
shadowsocksv2ray-plugin-tls+CF: yuklab olish - 1261 mbit; 1881 Mbit yuklash.
Plash
Parchalanish GoQuiet obfuskatorining keyingi rivojlanishi natijasidir. TLS trafigini simulyatsiya qiladi va TCP orqali ishlaydi. Ayni paytda muallif plaginning ikkinchi versiyasini chiqardi, plagin-2, u asl plashdan sezilarli farq qiladi.
Ishlab chiquvchining so‘zlariga ko‘ra, plaginning birinchi versiyasi tls uchun maqsad manzilini buzish uchun tls 1.2 resume seansi mexanizmidan foydalangan. Yangi versiya (soat-2) chiqarilgandan so'ng, Github-dagi ushbu mexanizmni tavsiflovchi barcha wiki-sahifalar o'chirildi; bu haqda ma'lumot shifrlashning joriy tavsifida aytilmagan. Muallifning tavsifiga ko'ra, shredning birinchi versiyasi "kriptoda muhim zaifliklar" mavjudligi sababli ishlatilmaydi. Sinovlar paytida plashning faqat birinchi versiyasi mavjud edi, uning ikkiliklari hali ham Github-da va boshqa hamma narsadan tashqari, muhim zaifliklar juda muhim emas, chunki shadowsox xuddi plashsiz trafikni shifrlaydi va kloak shadowsox kriptosiga ta'sir qilmaydi.
shadowsockscloak: yuklab olish - 1533; yuklash - 1970 Mbit
Kcptun
transport sifatida kcptun dan foydalanadi va ba'zi maxsus holatlarda o'tkazuvchanlikni oshirishga imkon beradi. Afsuski (yoki xayriyatki), bu ko'p jihatdan Xitoydan kelgan foydalanuvchilar uchun dolzarbdir, ularning ba'zi uyali aloqa operatorlari TCP-ni qattiq bosadi va UDP-ga tegmaydi.
Kcptun juda kuchli quvvatga muhtoj va 100 mijoz tomonidan sinovdan o'tkazilganda 4 ta zion yadrolarini 1% ga osongina yuklaydi. Bundan tashqari, plagin "sekin" va iperf3 orqali ishlaganda u sinovlarni oxirigacha yakunlamaydi. Keling, brauzerda tezlikni tekshirishni ko'rib chiqaylik.
shadowsockskcptun: yuklab olish (tezlik testi) - 546 mbit; yuklash (tezlik testi) 854 mbit.
xulosa
Butun mashinangizdan trafikni to'xtatish uchun sizga oddiy, tezkor VPN kerakmi? Keyin sizning tanlovingiz - urush qo'riqchisi. Siz proksi-serverlarni xohlaysizmi (tanlab tunnel qilish yoki virtual odam oqimini ajratish uchun) yoki siz uchun trafikni jiddiy blokirovkadan yashirish muhimroqmi? Keyin tlshttp xiralashishi bilan shadowbox-ga qarang. Internet umuman ishlayotgan ekan, sizning Internetingiz ishlashiga ishonch hosil qilishni xohlaysizmi? Muhim CDN-lar orqali proksi-trafikni tanlang, bu esa mamlakatdagi Internetning yarmining ishlamay qolishiga olib keladi.
Pivot jadval, yuklab olish bo'yicha tartiblangan
Manba: www.habr.com