随着我们越来越多地被拒绝访问网络上的各种资源,绕过封锁的问题变得越来越紧迫,这意味着“如何更快地绕过封锁?”的问题变得越来越重要。
让我们把绕过DPI白名单的效率这个话题留给另一个案例,简单地比较一下流行的块绕过工具的性能。
注意:文章中会有大量图片剧透。
免责声明:本文比较了流行 VPN 代理解决方案在接近“理想”条件下的性能。 此处获得和描述的结果不一定与您在该领域的结果一致。 因为速度测试中的数字通常不取决于旁路工具的强大程度,而是取决于您的提供商如何限制它。
方法论
3 个 VPS 是从全球不同国家的云提供商 (DO) 购买的。 荷兰 2 个,德国 1 个。 最高效的 VPS(按核心数量)是从优惠券积分优惠下可用于帐户的 VPS 中选出的。
第一台荷兰服务器上部署了专用 iperf3 服务器。
在第二台荷兰服务器上,一一部署了各种区块绕过工具的服务器。
德国VPS上部署了带有VNC和虚拟桌面的桌面Linux映像(xubuntu)。 该VPN是一个条件客户端,其上依次安装并启动各种VPN代理客户端。
速度测量进行了三次,我们关注平均值,我们使用3种工具:在Chromium中通过网络速度测试; 通过 fast.com 在 Chromium 中; 从控制台通过 iperf3 通过 proxychains4 (您需要将 iperf3 流量放入代理)。
直接连接“客户端”-服务器 iperf3 在 iperf2 中提供 3 Gbps 的速度,而在 fastspeedtest 中则稍低一些。
好奇的读者可能会问,“为什么不选择 speedtest-cli?” 他是对的。
Speedtest-cli 被证明是不可靠的,并且不适合测量吞吐量,原因我不知道。 三个连续测量可能会给出三个完全不同的结果,或者例如显示吞吐量远高于我的 VPS 的端口速度。 也许问题出在我的手上,但用这样的工具进行研究似乎是不可能的。
对于三种测量方法(speedtest fastiperf)的结果,我认为iperf指标最为准确可靠,以fastspeedtest作为参考。 但某些旁路工具不允许通过 iperf3 完成 3 次测量,在这种情况下,您可以依靠 speedtestfast。
速度测试给出不同的结果
工具
总共测试了 24 种不同的旁路工具或其组合,对于每一种工具我都会给出一些简短的解释以及我使用它们的印象。 但本质上,目标是比较 Shadowsocks(以及一堆不同的混淆器)openVPN 和wireguard 的速度。
在本材料中,我不会详细讨论“如何最好地隐藏流量以免断开连接”的问题,因为绕过封锁是一种反应性措施 - 我们适应审查员的使用并在此基础上采取行动。
结果
斯特朗斯瓦尼普塞克
在我的印象中,它非常容易设置并且工作非常稳定。 优点之一是它是真正跨平台的,无需为每个平台寻找客户。
下载 - 993 mbits; 上传 - 770 mbits
SSH隧道
可能只有懒人没有写过有关使用 SSH 作为隧道工具的文章。 缺点之一是该解决方案的“拐杖”,即从每个平台上方便、美观的客户端部署它是行不通的。 优点是性能好,根本不需要在服务器上安装任何东西。
下载 - 1270 mbits; 上传 - 1140 mbits
OpenVPN的
OpenVPN 在 4 种操作模式下进行了测试:tcp、tcp+sslh、tcp+stunnel、udp。
OpenVPN 服务器是通过安装 streisand 自动配置的。
据判断,目前只有stunnel模式可以抵抗高级DPI。 我不清楚在 stunnel 中包装 openVPN-tcp 时吞吐量异常增加的原因,在不同时间和不同日期多次运行检查,结果是相同的。 也许这是由于部署 Streisand 时安装的网络堆栈设置造成的,如果您有任何想法,请写下来。
openvpntcp:下载 - 760 mbits; 上传 - 659 mbits
openvpntcp+sslh:下载 - 794 MB; 上传 - 693 mbits
openvpntcp+stunnel:下载 - 619 mbits; 上传 - 943 mbits
openvpnudp:下载 - 756 mbits; 上传 - 580 mbits
开放连接
它不是最流行的绕过阻塞的工具,它包含在 Streisand 软件包中,因此我们决定也对其进行测试。
下载 - 895 mbits; 上传 715 mbps
Wireguard
作为一种在西方用户中流行的炒作工具,该协议的开发者甚至获得了国防基金的一些开发资助。 通过 UDP 作为 Linux 内核模块工作。 最近,出现了windowsios的客户端。
创建者将其设想为一种不在美国时也可以简单、快捷地观看 Netflix 的方式。
因此有利有弊。 优点:协议非常快,安装和配置相对容易。 缺点 - 开发人员最初创建它的目的并不是绕过严重的阻塞,因此 Wargard 很容易被最简单的工具检测到,包括。 线鲨。
wireshark中的wireguard协议
下载 - 1681 mbits; 上传 1638 mbps
有趣的是,warguard 协议用于第三方 tunsafe 客户端,当与相同的 warguard 服务器一起使用时,会产生更糟糕的结果。 Windows wargard 客户端很可能会显示相同的结果:
tunsafeclient:下载 - 1007 mbits; 上传 - 1366 mbits
大纲VPN
Outline 是 Shadowox 服务器和客户端的实现,具有来自 Google Jigsaw 的漂亮且方便的用户界面。 在Windows中,outline客户端只是shadowsocks-local(shadowsocks-libev客户端)和badvpn(tun2socks二进制文件,将所有计算机流量定向到本地socks代理)二进制文件的一组包装器。
Shadowsox 曾经能够抵抗中国的防火墙,但根据最近的评论,情况已不再如此。 与 ShadowSox 不同,它开箱即用,不支持通过插件进行连接混淆,但这可以通过修改服务器和客户端来手动完成。
下载 - 939 mbits; 上传 - 930 mbits
影袜R
ShadowsocksR 是原始 Shadowsocks 的一个分支,用 Python 编写。 本质上,它是一个影子盒,其中紧密固定了多种流量混淆方法。
有 ssR 到 libev 的分支以及其他东西。 低吞吐量可能是由于代码语言造成的。 python 上的原始 Shadowsox 并没有快多少。
ShadowsocksR:下载 582 MB; 上传 541 兆比特。
2.6.8
一款中国的区块旁路工具,可以随机化流量并以其他奇妙的方式干扰自动分析。 直到最近,GFW 还没有被阻止;他们说现在只有当 UDP 中继打开时才会被阻止。
跨平台(任何平台都有客户端),支持与Thor的混淆器类似的PT工作,有几个自己的或适应它的混淆器,速度很快。
Shadowox 客户端和服务器有多种不同语言的实现。 在测试中,shadowsocks-libev 充当服务器,不同的客户端。 最快的Linux客户端是shadowsocks2 on go,作为streisand中的默认客户端分发,我无法说shadowsocks-windows的生产力有多高。 在大多数进一步的测试中,使用shadowsocks2作为客户端。 由于此实现明显滞后,因此没有制作测试纯shadowsocks-libev 的屏幕截图。
Shadowsocks2:下载 - 1876 mbits; 上传 - 1981 mbits。
Shadowsocks-rust:下载 - 1605 mbits; 上传 - 1895 mbits。
Shadowsocks-libev:下载 - 1584 mbits; 上传 - 1265 mbits。
简单obfs
Shadowox 的插件现在处于“折旧”状态,但仍然可以使用(尽管并不总是很好)。 很大程度上被 v2ray 插件取代。 混淆 HTTP WebSocket 下的流量(并允许您欺骗目标标头,假装您不会观看 Pornhub,而是观看俄罗斯联邦宪法网站)或伪 TLS(伪 TLS)下的流量,因为它不使用任何证书,所以最简单的 DPI(例如免费 nDPI)被检测为“tls no cert”。在 tls 模式下,不再可能欺骗标头)。
速度相当快,通过一个命令从仓库安装,配置非常简单,具有内置故障转移功能(当来自非 simple-obfs 客户端的流量到达 simple-obfs 监听的端口时,它会将其转发到地址您在设置中指定的位置 - 像这样,您可以避免手动检查端口 80,例如,通过简单地重定向到带有 http 的网站,以及通过连接探针进行阻止)。
Shadowsockss-obfs-tls:下载 - 1618 MB; 上传 1971 兆比特。
Shadowsockss-obfs-http:下载 - 1582 MB; 上传 - 1965 mbits。
HTTP 模式下的 Simple-obfs 还可以通过 CDN 反向代理(例如,cloudflare)工作,因此对于我们的提供商来说,流量将看起来像到 cloudflare 的 HTTP 明文流量,这使我们能够更好地隐藏我们的隧道,并且同时将入口点和流量出口分开——提供商看到您的流量流向CDN IP地址,此时对图片的极端点赞是从VPS IP地址放置的。 必须指出的是,s-obfs 通过 CF 的工作方式不明确,例如定期不打开某些 HTTP 资源。 所以,无法通过shadowsockss-obfs+CF使用iperf测试上传,但从速度测试的结果来看,吞吐量处于shadowsocksv2ray-plugin-tls+CF的水平。 我没有附上 iperf3 的屏幕截图,因为...... 你不应该依赖他们。
下载(速度测试)- 887; 上传(速度测试)- 1154。
下载(iperf3)- 1625; 上传 (iperf3) - 不适用。
v2ray插件
V2ray-plugin 已取代简单的 obfs,成为 ss 库的主要“官方”混淆器。 与简单的 obf 不同,它尚未出现在存储库中,您需要下载预组装的二进制文件或自行编译。
支持3种操作模式:默认、HTTP websocket(支持目标主机的欺骗标头); tls-websocket(与 s-obfs 不同,这是成熟的 tls 流量,可以被任何反向代理 Web 服务器识别,例如,允许您在 cloudfler 服务器或 nginx 中配置 tls 终止); quic - 通过 udp 工作,但不幸的是 v2rey 中 quic 的性能非常低。
与简单的 obfs 相比,v2rey 插件的优点包括:vXNUMXrey 插件可以在任何流量的 HTTP-websocket 模式下通过 CF 正常工作,在 TLS 模式下,它是成熟的 TLS 流量,它需要证书才能操作(例如,来自 Let's encrypt 或 self -签)。
Shadowsocksv2ray-plugin-http:下载 - 1404 MB; 上传 1938 兆比特。
Shadowsocksv2ray-plugin-tls:下载 - 1214 MB; 上传 1898 兆比特。
Shadowsocksv2ray-plugin-quic:下载 - 183 MB; 上传384兆比特。
正如我已经说过的,v2ray 可以设置标头,因此您可以通过反向代理 CDN(例如 cloudfler)使用它。 一方面,这使隧道的检测变得复杂,另一方面,它可能会稍微增加(有时会减少)延迟 - 这一切都取决于您和服务器的位置。 CF 目前正在测试与 quic 的配合,但此模式尚不可用(至少对于免费帐户)。
Shadowsocksv2ray-plugin-http+CF:下载 - 1284 MB; 上传 1785 兆比特。
Shadowsocksv2ray-plugin-tls+CF:下载 - 1261 MB; 上传 1881 兆比特。
斗篷
碎片是 GoQuiet 混淆器进一步开发的结果。 模拟 TLS 流量并通过 TCP 工作。 目前,作者已经发布了该插件的第二个版本,cloak-2,它与原来的cloak有显着的不同。
据开发者介绍,该插件的第一个版本使用了 tls 1.2 恢复会话机制来欺骗 tls 的目标地址。 新版本(clock-2)发布后,Github上描述该机制的所有wiki页面都被删除;当前的混淆加密描述中没有提及这一点。 根据作者的描述,由于存在“加密货币中的严重漏洞”,第一版本的碎片并未被使用。 在测试时,只有第一个版本的斗篷,它的二进制文件仍然在Github上,除此之外,严重漏洞并不是很重要,因为Shadowsox 以与没有斗篷相同的方式加密流量,并且斗篷对 Shadowsox 的加密没有影响。
Shadowsockscloak:下载 - 1533; 上传 - 1970 mbits
克普顿
使用 kcptun 作为传输 并且在某些特殊情况下可以实现更高的吞吐量。 不幸的是(或者幸运的是),这在很大程度上与中国用户有关,其中一些移动运营商严重限制 TCP,不触及 UDP。
Kcptun 非常耗电,在 100 个客户端测试时可以轻松以 4% 加载 1 个 zion 核心。 此外,该插件速度“慢”,并且在通过 iperf3 工作时,它无法完成测试。 我们来看看浏览器中的速度测试。
Shadowsockskcptun:下载(速度测试)- 546 mbits; 上传(速度测试)854 mbits。
结论
您是否需要一个简单、快速的 VPN 来阻止整个计算机的流量? 那么你的选择是战争卫士。 您是否需要代理(用于选择性隧道或分离虚拟人员流),或者对您来说混淆流量以防止严重阻塞更重要? 然后查看带有 tlshttp 混淆的 Shadowbox。 您想确保只要 Internet 正常工作,您的 Internet 就能正常工作吗? 选择通过重要的CDN来代理流量,封锁就会导致全国一半的互联网瘫痪。
数据透视表,按下载排序
来源: habr.com