Khi chúng ta ngày càng bị từ chối quyền truy cập vào các tài nguyên khác nhau trên mạng, vấn đề vượt qua chặn ngày càng trở nên cấp bách, điều đó có nghĩa là câu hỏi “Làm thế nào để vượt qua chặn nhanh hơn?” ngày càng trở nên phù hợp hơn.
Hãy để chủ đề về tính hiệu quả trong việc vượt qua danh sách trắng của DPI sang một trường hợp khác và chỉ cần so sánh hiệu suất của các công cụ vượt qua khối phổ biến.
Lưu ý: Trong bài viết sẽ có rất nhiều hình ảnh được tiết lộ nội dung.
Tuyên bố miễn trừ trách nhiệm: bài viết này so sánh hiệu suất của các giải pháp proxy VPN phổ biến trong các điều kiện gần với “lý tưởng”. Các kết quả thu được và mô tả ở đây không nhất thiết trùng khớp với kết quả của bạn trong các lĩnh vực. Bởi vì con số trong bài kiểm tra tốc độ thường sẽ không phụ thuộc vào mức độ mạnh mẽ của công cụ bỏ qua mà phụ thuộc vào cách nhà cung cấp của bạn điều chỉnh nó.
Phương pháp luận
3 VPS được mua từ nhà cung cấp đám mây (DO) ở các quốc gia khác nhau trên thế giới. 2 ở Hà Lan, 1 ở Đức. VPS hiệu quả nhất (theo số lõi) đã được chọn từ những VPS có sẵn cho tài khoản theo ưu đãi tín dụng phiếu giảm giá.
Máy chủ iperf3 riêng được triển khai trên máy chủ Hà Lan đầu tiên.
Trên máy chủ Hà Lan thứ hai, nhiều máy chủ sử dụng công cụ bỏ chặn khối khác nhau được triển khai lần lượt.
Hình ảnh Linux trên máy tính để bàn (xubuntu) với VNC và máy tính để bàn ảo được triển khai trên VPS của Đức. VPN này là một máy khách có điều kiện và các máy khách proxy VPN khác nhau lần lượt được cài đặt và khởi chạy trên nó.
Việc đo tốc độ được thực hiện ba lần, chúng tôi tập trung vào mức trung bình, chúng tôi sử dụng 3 công cụ: trong Chrome thông qua kiểm tra tốc độ web; trong Chrome qua fast.com; từ bảng điều khiển qua iperf3 qua proxychains4 (nơi bạn cần đặt lưu lượng truy cập iperf3 vào proxy).
Kết nối trực tiếp “máy khách”-máy chủ iperf3 cho tốc độ 2 Gbps trong iperf3 và thấp hơn một chút trong fastspeedtest.
Một độc giả tò mò có thể hỏi, “tại sao bạn không chọn speedtest-cli?” và anh ấy sẽ đúng.
Speedtest-cli hóa ra không đáng tin cậy và là một cách không đầy đủ để đo lường thông lượng mà tôi không biết vì lý do gì. Ba phép đo liên tiếp có thể cho ba kết quả hoàn toàn khác nhau hoặc ví dụ: hiển thị thông lượng cao hơn nhiều so với tốc độ cổng VPS của tôi. Có lẽ vấn đề là ở bàn tay bị tật của tôi, nhưng dường như không thể tiến hành nghiên cứu bằng một công cụ như vậy.
Đối với kết quả của ba phương pháp đo (speedtest fastiperf), tôi coi các chỉ số iperf là chính xác và đáng tin cậy nhất, và fastspeedtest làm tài liệu tham khảo. Nhưng một số công cụ bỏ qua không cho phép hoàn thành 3 phép đo thông qua iperf3 và trong những trường hợp như vậy, bạn có thể dựa vào speedtestfast.
kiểm tra tốc độ cho kết quả khác nhau
Bộ công cụ
Tổng cộng, 24 công cụ bỏ qua khác nhau hoặc sự kết hợp của chúng đã được thử nghiệm, đối với mỗi công cụ đó, tôi sẽ đưa ra những giải thích nhỏ và ấn tượng của tôi khi làm việc với chúng. Nhưng về cơ bản, mục tiêu là so sánh tốc độ của Shadowocks (và một loạt các công cụ làm xáo trộn khác nhau cho nó) openVPN và wireguard.
Trong tài liệu này, tôi sẽ không thảo luận chi tiết về câu hỏi “cách tốt nhất để ẩn lưu lượng truy cập để không bị ngắt kết nối” bởi vì bỏ qua việc chặn là một biện pháp phản ứng - chúng tôi thích ứng với những gì người kiểm duyệt sử dụng và hành động trên cơ sở này.
Những phát hiện
Strongswanipsec
Theo ấn tượng của tôi, nó rất dễ cài đặt và hoạt động khá ổn định. Một trong những ưu điểm là nó thực sự đa nền tảng mà không cần phải tìm kiếm khách hàng cho từng nền tảng.
tải xuống - 993 mbits; tải lên - 770 mbits
Đường hầm SSH
Có lẽ chỉ những người lười biếng mới chưa viết về việc sử dụng SSH làm công cụ đường hầm. Nhược điểm là giải pháp là một cái nạng, tức là. triển khai nó từ một ứng dụng khách đẹp, tiện lợi trên mọi nền tảng sẽ không hoạt động. Ưu điểm là hiệu năng tốt, không cần cài đặt bất cứ thứ gì trên máy chủ.
tải xuống - 1270 mbits; tải lên - 1140 mbits
OpenVPN
OpenVPN đã được thử nghiệm ở 4 chế độ hoạt động: tcp, tcp+sslh, tcp+stunnel, udp.
Máy chủ OpenVPN được cấu hình tự động bằng cách cài đặt streisand.
Theo như người ta có thể đánh giá, hiện tại chỉ có chế độ stunnel có khả năng chống lại các mức độ nhạy sáng cao. Tôi không rõ lý do thông lượng tăng bất thường khi gói openVPN-tcp trong stunnel, việc kiểm tra được thực hiện trong nhiều lần chạy, vào các thời điểm khác nhau và vào các ngày khác nhau, kết quả là như nhau. Có lẽ điều này là do cài đặt ngăn xếp mạng được cài đặt khi triển khai Streisand, hãy viết thư nếu bạn có bất kỳ ý tưởng nào tại sao lại như vậy.
openvpntcp: tải xuống - 760 mbits; tải lên - 659 mbits
openvpntcp+sslh: tải xuống - 794 mbits; tải lên - 693 mbits
openvpntcp+stunnel: tải xuống - 619 mbits; tải lên - 943 mbits
openvpnudp: tải xuống - 756 mbits; tải lên - 580 mbits
kết nối mở
Không phải là công cụ phổ biến nhất để vượt qua tắc nghẽn, nó được bao gồm trong gói Streisand, vì vậy chúng tôi cũng quyết định thử nghiệm nó.
tải xuống - 895 mbits; tải lên 715 mbps
Dây bảo vệ
Là một công cụ cường điệu được người dùng phương Tây ưa chuộng, các nhà phát triển giao thức thậm chí còn nhận được một số khoản tài trợ để phát triển từ quỹ quốc phòng. Hoạt động như một mô-đun hạt nhân Linux thông qua UDP. Gần đây, các client dành cho windowsios đã xuất hiện.
Nó được người sáng tạo hình thành như một cách đơn giản, nhanh chóng để xem Netflix khi không ở Hoa Kỳ.
Do đó những ưu và nhược điểm. Ưu điểm: giao thức rất nhanh, tương đối dễ cài đặt và cấu hình. Nhược điểm - ban đầu nhà phát triển không tạo ra nó với mục đích vượt qua các tắc nghẽn nghiêm trọng và do đó, wargard dễ dàng bị phát hiện bằng các công cụ đơn giản nhất, bao gồm cả. wireshark.
giao thức wireguard trong wireshark
tải xuống - 1681 mbits; tải lên 1638 mbps
Điều thú vị là giao thức warguard được sử dụng trong ứng dụng khách tunsafe của bên thứ ba, khi được sử dụng với cùng một máy chủ warguard sẽ cho kết quả tồi tệ hơn nhiều. Có khả năng máy khách Windows wargard sẽ hiển thị kết quả tương tự:
tunsafeclient: tải xuống - 1007 mbits; tải lên - 1366 mbits
Đề cươngVPN
Outline là một triển khai máy chủ và máy khách Shadowox với giao diện người dùng đẹp và tiện lợi từ trò chơi ghép hình của Google. Trong Windows, ứng dụng khách phác thảo chỉ đơn giản là một tập hợp các trình bao bọc cho các tệp nhị phân Shadowocks-local (máy khách Shadowsocks-libev) và badvpn (nhị phân tun2socks hướng tất cả lưu lượng truy cập của máy đến proxy vớ cục bộ).
Shadowsox đã từng có khả năng chống lại Bức tường lửa vĩ đại của Trung Quốc, nhưng dựa trên các đánh giá gần đây, điều này không còn đúng nữa. Không giống như ShadowSox, nó không hỗ trợ kết nối mã hóa thông qua các plugin, nhưng việc này có thể được thực hiện thủ công bằng cách mày mò máy chủ và máy khách.
tải xuống - 939 mbits; tải lên - 930 mbits
ShadowsocksR
ShadowsocksR là một nhánh của Shadowsocks gốc, được viết bằng Python. Về bản chất, nó là một hộp bóng mà một số phương pháp làm xáo trộn lưu lượng truy cập được gắn chặt vào đó.
Có các nhánh của ssR tới libev và một số thứ khác. Thông lượng thấp có lẽ là do ngôn ngữ mã. Shadowox ban đầu trên python không nhanh hơn nhiều.
ShadowocksR: tải xuống 582 mbits; tải lên 541 mbits.
Bóng tối
Một công cụ bỏ chặn chặn của Trung Quốc giúp ngẫu nhiên hóa lưu lượng truy cập và can thiệp vào phân tích tự động theo những cách tuyệt vời khác. Cho đến gần đây, GFW vẫn chưa bị chặn; họ nói rằng bây giờ nó chỉ bị chặn nếu rơle UDP được bật.
Đa nền tảng (có ứng dụng khách cho bất kỳ nền tảng nào), hỗ trợ làm việc với PT tương tự như bộ che giấu của Thor, có một số bộ che giấu của riêng nó hoặc được điều chỉnh cho phù hợp với nó, nhanh chóng.
Có rất nhiều cách triển khai máy khách và máy chủ Shadowox bằng các ngôn ngữ khác nhau. Trong thử nghiệm, Shadowocks-libev hoạt động như một máy chủ, các máy khách khác nhau. Ứng dụng khách Linux nhanh nhất hóa ra là Shadowocks2 đang hoạt động, được phân phối dưới dạng ứng dụng khách mặc định trong Streisand, tôi không thể nói rằng Shadowocks-windows hiệu quả hơn bao nhiêu. Trong hầu hết các thử nghiệm tiếp theo, Shadowocks2 được sử dụng làm ứng dụng khách. Ảnh chụp màn hình thử nghiệm Shadowocks-libev thuần túy đã không được thực hiện do độ trễ rõ ràng của quá trình triển khai này.
Shadowocks2: tải xuống - 1876 mbits; tải lên - 1981 mbits.
Shadowocks-rust: tải xuống - 1605 mbits; tải lên - 1895 mbits.
Shadowsocks-libev: tải xuống - 1584 mbits; tải lên - 1265 mbits.
đơn giản-obfs
Plugin cho Shadowox hiện đang ở trạng thái “không dùng nữa” nhưng vẫn hoạt động (mặc dù không phải lúc nào cũng tốt). Phần lớn được thay thế bằng plugin v2ray. Làm xáo trộn lưu lượng truy cập dưới ổ cắm web HTTP (và cho phép bạn giả mạo tiêu đề đích, giả vờ rằng bạn sẽ không xem một trang khiêu dâm, nhưng, ví dụ: trang web Hiến pháp Liên bang Nga) hoặc dưới giả tls (giả , vì nó không sử dụng bất kỳ chứng chỉ nào, nên các chỉ số dpi đơn giản nhất như nDPI miễn phí được phát hiện là “tls no cert.” Ở chế độ tls, không thể giả mạo các tiêu đề nữa).
Khá nhanh, được cài đặt từ repo bằng một lệnh, được cấu hình rất đơn giản, có chức năng chuyển đổi dự phòng tích hợp (khi lưu lượng truy cập từ máy khách không đơn giản đến cổng mà đơn giản-obfs lắng nghe, nó sẽ chuyển tiếp đến địa chỉ nơi bạn chỉ định trong cài đặt - như thế này. Bằng cách này, bạn có thể tránh việc kiểm tra thủ công cổng 80, chẳng hạn bằng cách chuyển hướng đến một trang web có http, cũng như chặn thông qua các đầu dò kết nối).
Shadowockss-obfs-tls: tải xuống - 1618 mbits; tải lên 1971 mbits.
Shadowockss-obfs-http: tải xuống - 1582 mbits; tải lên - 1965 mbits.
Các obf đơn giản ở chế độ HTTP cũng có thể hoạt động thông qua proxy ngược CDN (ví dụ: cloudflare), vì vậy, đối với nhà cung cấp của chúng tôi, lưu lượng truy cập sẽ giống như lưu lượng văn bản gốc HTTP đến cloudflare, điều này cho phép chúng tôi ẩn đường hầm của mình tốt hơn một chút và tại đồng thời tách biệt điểm vào và điểm ra của lưu lượng truy cập - nhà cung cấp thấy rằng lưu lượng truy cập của bạn đang hướng tới địa chỉ IP CDN và các lượt thích cực đoan đối với hình ảnh được đặt tại thời điểm này từ địa chỉ IP VPS. Phải nói rằng chính s-obfs thông qua CF hoạt động không rõ ràng, định kỳ không mở một số tài nguyên HTTP chẳng hạn. Vì vậy, không thể kiểm tra quá trình tải lên bằng iperf thông qua Shadowockss-obfs+CF, nhưng xét theo kết quả kiểm tra tốc độ thì thông lượng ở mức Shadowocksv2ray-plugin-tls+CF. Tôi không đính kèm ảnh chụp màn hình từ iperf3, bởi vì... Bạn không nên dựa vào họ.
tải xuống (kiểm tra tốc độ) - 887; tải lên (kiểm tra tốc độ) - 1154.
Tải xuống (iperf3) - 1625; tải lên (iperf3) - NA.
plugin v2ray
V2ray-plugin đã thay thế các obfs đơn giản làm công cụ obfuscator “chính thức” chính cho các lib ss. Không giống như các obf đơn giản, nó chưa có trong kho và bạn cần tải xuống tệp nhị phân được lắp ráp sẵn hoặc tự biên dịch nó.
Hỗ trợ 3 chế độ hoạt động: mặc định, HTTP websocket (có hỗ trợ giả mạo tiêu đề của máy chủ đích); tls-websocket (không giống như s-obfs, đây là lưu lượng truy cập tls chính thức, được bất kỳ máy chủ web proxy ngược nào nhận ra và, ví dụ: cho phép bạn định cấu hình chấm dứt tls trên máy chủ cloudfler hoặc trong nginx); quic - hoạt động thông qua udp, nhưng tiếc là hiệu suất của quic trong v2rey rất thấp.
Trong số các ưu điểm so với obf đơn giản: plugin v2ray hoạt động không gặp vấn đề gì thông qua CF ở chế độ HTTP-websocket với bất kỳ lưu lượng truy cập nào, ở chế độ TLS, đó là lưu lượng TLS chính thức, nó yêu cầu chứng chỉ để hoạt động (ví dụ: từ Let's Encrypt hoặc self -đã ký).
Shadowocksv2ray-plugin-http: tải xuống - 1404 mbits; tải lên 1938 mbits.
Shadowocksv2ray-plugin-tls: tải xuống - 1214 mbits; tải lên 1898 mbits.
Shadowocksv2ray-plugin-quic: tải xuống - 183 mbits; tải lên 384 mbits.
Như tôi đã nói, v2ray có thể đặt tiêu đề và do đó bạn có thể làm việc với nó thông qua CDN proxy ngược (ví dụ: cloudfler). Một mặt, điều này làm phức tạp việc phát hiện đường hầm, mặt khác, nó có thể làm tăng một chút (và đôi khi giảm) độ trễ - tất cả phụ thuộc vào vị trí của bạn và máy chủ. CF hiện đang thử nghiệm hoạt động với quic, nhưng chế độ này chưa khả dụng (ít nhất là đối với các tài khoản miễn phí).
Shadowocksv2ray-plugin-http+CF: tải xuống - 1284 mbits; tải lên 1785 mbits.
Shadowocksv2ray-plugin-tls+CF: tải xuống - 1261 mbits; tải lên 1881 mbits.
Áo choàng
Việc cắt nhỏ là kết quả của sự phát triển hơn nữa của bộ obfuscator GoQuiet. Mô phỏng lưu lượng TLS và hoạt động thông qua TCP. Hiện tại, tác giả đã phát hành phiên bản thứ hai của plugin, cloak-2, khác biệt đáng kể so với cloak ban đầu.
Theo nhà phát triển, phiên bản đầu tiên của plugin đã sử dụng cơ chế phiên tiếp tục tls 1.2 để giả mạo địa chỉ đích cho tls. Sau khi phát hành phiên bản mới (clock-2), tất cả các trang wiki trên Github mô tả cơ chế này đã bị xóa; không có đề cập nào đến điều này trong mô tả hiện tại về mã hóa che giấu. Theo mô tả của tác giả, phiên bản đầu tiên của hash không được sử dụng do có “lỗ hổng nghiêm trọng trong tiền điện tử”. Vào thời điểm thử nghiệm, chỉ có phiên bản đầu tiên của áo choàng, các tệp nhị phân của nó vẫn còn trên Github và ngoài mọi thứ khác, các lỗ hổng nghiêm trọng không quan trọng lắm, bởi vì Shadowox mã hóa lưu lượng truy cập theo cách tương tự như không có áo choàng và cloac không có tác dụng gì đối với tiền điện tử của Shadowox.
Shadowockscloak: tải xuống - 1533; tải lên - 1970 mbits
Kcptun
sử dụng kcptun làm phương tiện vận chuyển và trong một số trường hợp đặc biệt cho phép đạt được thông lượng tăng lên. Thật không may (hoặc may mắn thay), điều này phần lớn phù hợp với người dùng từ Trung Quốc, một số nhà khai thác di động ở đó điều tiết rất nhiều TCP và không chạm vào UDP.
Kcptun cực kỳ ngốn điện và dễ dàng tải 100 lõi zion ở mức 4% khi được 1 khách hàng kiểm tra. Ngoài ra, plugin này còn “chậm” và khi làm việc thông qua iperf3, nó không hoàn thành các bài kiểm tra đến cùng. Chúng ta hãy xem bài kiểm tra tốc độ trong trình duyệt.
Shadowockskcptun: tải xuống (speedtest) - 546 mbits; tải lên (speedtest) 854 mbits.
Kết luận
Bạn có cần một VPN đơn giản, nhanh chóng để chặn lưu lượng truy cập từ toàn bộ máy của mình không? Sau đó, sự lựa chọn của bạn là Warguard. Bạn có muốn proxy (để tạo đường hầm có chọn lọc hoặc tách luồng người ảo) hay điều quan trọng hơn là bạn phải làm xáo trộn lưu lượng truy cập khỏi bị chặn nghiêm trọng? Sau đó nhìn vào hộp bóng với tính năng che giấu tlshttp. Bạn có muốn chắc chắn rằng Internet của bạn sẽ hoạt động miễn là Internet vẫn hoạt động không? Chọn proxy lưu lượng truy cập thông qua các CDN quan trọng, việc chặn sẽ dẫn đến sự cố của một nửa số Internet trong nước.
Bảng tổng hợp, được sắp xếp theo lượt tải xuống
Nguồn: www.habr.com