隨著我們越來越被拒絕存取網路上的各種資源,繞過封鎖的問題變得越來越緊迫,這意味著「如何更快地繞過封鎖?」的問題變得越來越重要。
我們先把繞過DPI白名單的效率這個話題留給另一個案例,簡單比較一下流行的區塊繞過工具的效能。
注意:文章中會有大量圖片劇透。
免責聲明:本文比較了流行 VPN 代理解決方案在接近「理想」條件下的效能。 此處獲得和描述的結果不一定與您在該領域的結果一致。 因為速度測試中的數字通常不取決於旁路工具的強大程度,而是取決於您的提供者如何限制它。
方法
3 個 VPS 是從全球不同國家的雲端供應商 (DO) 購買的。 荷蘭 2 個,德國 1 個。 最高效的 VPS(以核心數量)是從優惠券積分優惠下可用於帳戶的 VPS 中選出的。
第一台荷蘭伺服器上部署了專用 iperf3 伺服器。
在第二台荷蘭伺服器上,一一部署了各種區塊繞過工具的伺服器。
德國VPS上部署了具有VNC和虛擬桌面的桌面Linux映像(xubuntu)。 該VPN是一個條件客戶端,其上依序安裝並啟動各種VPN代理客戶端。
速度測量進行了三次,我們關注平均值,我們使用3種工具:在Chromium中通過網路速度測試; 透過 fast.com 在 Chromium 中; 從控制台通過 iperf3 通過 proxychains4 (您需要將 iperf3 流量放入代理)。
直接連接「客戶端」伺服器 iperf3 在 iperf2 提供 3 Gbps 的速度,而在 fastspeedtest 中則稍低一些。
好奇的讀者可能會問,“為什麼不選擇 speedtest-cli?” 他是對的。
Speedtest-cli 被證明是不可靠的,並且不適合測量吞吐量,原因我不知道。 三個連續的測量可能會給出三個完全不同的結果,或者,例如,顯示的吞吐量遠高於我的 VPS 的連接埠速度。 也許問題出在我的手上,但用這樣的工具來研究似乎是不可能的。
對於三種測量方法(speedtest fastiperf)的結果,我認為iperf指標最為準確可靠,以fastspeedtest作為參考。 但某些旁路工具不允許透過 iperf3 完成 3 次測量,在這種情況下,您可以依靠 speedtestfast。
速度測試給出不同的結果
工具
總共測試了 24 種不同的旁路工具或其組合,對於每種工具我都會給出一些簡短的解釋以及我使用它們的印象。 但本質上,目標是比較 Shadowsocks(以及一堆不同的混淆器)openVPN 和wireguard 的速度。
在本資料中,我不會詳細討論「如何最好地隱藏流量以免斷開連接」的問題,因為繞過封鎖是一種反應性措施 - 我們適應審查員的使用並在此基礎上採取行動。
Результаты
斯特朗斯瓦尼普塞克
在我的印像中,它非常容易設置並且工作非常穩定。 優點之一是它是真正跨平台的,無需為每個平台尋找客戶。
下載 - 993 mbits; 上傳 - 770 mbits
SSH隧道
可能只有懶人沒有寫過有關使用 SSH 作為隧道工具的文章。 缺點是該解決方案是一個拐杖,即從每個平台上方便、美觀的客戶端部署它是行不通的。 優點是效能好,根本不需要在伺服器上安裝任何東西。
下載 - 1270 mbits; 上傳 - 1140 mbits
OpenVPN的
OpenVPN 在 4 種操作模式下進行了測試:tcp、tcp+sslh、tcp+stunnel、udp。
OpenVPN 伺服器是透過安裝 streisand 自動設定的。
據判斷,目前只有stunnel模式可以抵抗高階DPI。 我不清楚在 stunnel 中包裝 openVPN-tcp 時吞吐量異常增加的原因,在不同時間和不同日期多次運行檢查,結果是相同的。 也許這是由於部署 Streisand 時安裝的網路堆疊設定造成的,如果您有任何想法,請寫下來。
openvpntcp:下載 - 760 mbits; 上傳 - 659 mbits
openvpntcp+sslh:下載 - 794 MB; 上傳 - 693 mbits
openvpntcp+stunnel:下載 - 619 mbits; 上傳 - 943 mbits
openvpnudp:下載 - 756 mbits; 上傳 - 580 mbits
打開連接
它不是最受歡迎的繞過阻塞的工具,它包含在 Streisand 軟體包中,因此我們決定也對其進行測試。
下載 - 895 mbits; 上傳 715 mbps
線衛
作為一種在西方用戶中流行的炒作工具,該協議的開發者甚至獲得了國防基金的一些開發資助。 透過 UDP 作為 Linux 核心模組工作。 最近,出現了windowsios的客戶端。
創作者將其設想為一種不在美國時也可以簡單、快速地觀看 Netflix 的方式。
因此有利有弊。 優點:協定非常快,安裝和設定相對容易。 缺點 - 開發人員最初創建它的目的並不是繞過嚴重的阻塞,因此 Wargard 很容易被最簡單的工具檢測到,包括。 線鯊。
wireshark中的wireguard協議
下載 - 1681 mbits; 上傳 1638 mbps
有趣的是,warguard 協定用於第三方 tunsafe 用戶端,當與相同的 warguard 伺服器一起使用時,會產生更糟糕的結果。 Windows wargard 用戶端很可能會顯示相同的結果:
tunsafeclient:下載 - 1007 mbits; 上傳 - 1366 mbits
大綱VPN
Outline 是 Shadowox 伺服器和用戶端的實現,具有來自 Google Jigsaw 的漂亮且方便的使用者介面。 在Windows中,outline客戶端只是shadowsocks-local(shadowsocks-libev客戶端)和badvpn(tun2socks二進位文件,將所有電腦流量定向到本地socks代理程式)二進位檔案的一組包裝器。
Shadowsox 曾經能夠抵抗中國的防火牆,但根據最近的評論,情況已不再如此。 與 ShadowSox 不同,它開箱即用,不支援透過插件進行連接混淆,但這可以透過修改伺服器和客戶端來手動完成。
下載 - 939 mbits; 上傳 - 930 mbits
影襪R
ShadowsocksR 是原始 Shadowsocks 的分支,以 Python 編寫。 本質上,它是一個影子盒,其中緊密固定了多種流量混淆方法。
有 ssR 到 libev 的分支以及其他東西。 低吞吐量可能是由於程式碼語言造成的。 python 上的原始 Shadowsox 並沒有快多少。
ShadowsocksR:下載 582 MB; 上傳 541 兆位元。
2.6.8
一款中國的區塊旁路工具,可以隨機化流量並以其他奇妙的方式乾擾自動分析。 直到最近,GFW 還沒有被阻止;他們說現在只有當 UDP 中繼打開時才會被阻止。
跨平台(任何平台都有客戶端),支援與Thor的混淆器類似的PT工作,有幾個自己的或適應它的混淆器,速度很快。
Shadowox 用戶端和伺服器有多種不同語言的實作。 在測試中,shadowsocks-libev 充當伺服器,不同的客戶端。 最快的Linux客戶端是shadowsocks2 on go,作為streisand中的預設客戶端分發,我無法說shadowsocks-windows的生產力有多高。 在大多數進一步的測試中,使用shadowsocks2作為客戶端。 由於此實作明顯滯後,因此沒有製作測試純shadowsocks-libev 的螢幕截圖。
Shadowsocks2:下載 - 1876 mbits; 上傳 - 1981 mbits。
Shadowsocks-rust:下載 - 1605 mbits; 上傳 - 1895 mbits。
Shadowsocks-libev:下載 - 1584 mbits; 上傳 - 1265 mbits。
簡單obfs
Shadowsox 的插件現在處於「折舊」狀態,但仍然可以使用(儘管並不總是很好)。 很大程度上被 v2ray 插件取代。 混淆 HTTP WebSocket 下的流量(並允許您欺騙目標標頭,假裝您不會觀看 Pornhub,而是觀看俄羅斯聯邦憲法網站)或偽 TLS(偽 TLS)下的流量,因為它不使用任何證書,所以最簡單的DPI(例如免費nDPI)被檢測為“tls no cert”。在tls 模式下,不再可能欺騙標頭)。
速度相當快,透過一個命令從倉庫安裝,配置非常簡單,具有內建故障轉移功能(當來自非 simple-obfs 用戶端的流量到達 simple-obfs 監聽的連接埠時,它會將其轉發到位址您在設定中指定的位置- 像這樣,您可以避免手動檢查連接埠80,例如,透過簡單地重定向到帶有http 的網站,以及透過連接探針進行阻止)。
Shadowsockss-obfs-tls:下載 - 1618 MB; 上傳 1971 兆位元。
Shadowsockss-obfs-http:下載 - 1582 MB; 上傳 - 1965 mbits。
HTTP 模式下的Simple-obfs 也可以透過CDN 反向代理程式(例如,cloudflare)來運作,因此對於我們的提供者來說,流量將看起來像到cloudflare 的HTTP 明文流量,這使我們能夠更好地隱藏我們的隧道,並且同時將入口點和流量出口分開-提供者看到您的流量流向CDN IP位址,此時對圖片的極端點讚是從VPS IP位址放置的。 必須指出的是,s-obfs 透過 CF 的工作方式不明確,例如定期不開啟某些 HTTP 資源。 所以,無法透過shadowsockss-obfs+CF使用iperf測試上傳,但從速度測試的結果來看,吞吐量處於shadowsocksv2ray-plugin-tls+CF的水平。 我沒有附上 iperf3 的螢幕截圖,因為… 你不應該依賴他們。
下載(速度測試)- 887; 上傳(速度測試)- 1154。
下載(iperf3)- 1625; 上傳 (iperf3) - 不適用。
v2ray 插件
V2ray-plugin 已取代簡單的 obfs,成為 ss 庫的主要「官方」混淆器。 與簡單的 obf 不同,它尚未出現在儲存庫中,您需要下載預組裝的二進位檔案或自行編譯。
支援3種操作模式:預設、HTTP websocket(支援目標主機的欺騙標頭); tls-websocket(與 s-obfs 不同,這是成熟的 tls 流量,可以被任何反向代理 Web 伺服器識別,例如,允許您在 cloudfler 伺服器或 nginx 中配置 tls 終止); quic - 透過 udp 工作,但不幸的是 v2rey 中 quic 的性能非常低。
與簡單的obfs 相比,v2ray 外掛程式的優點包括:vXNUMXray 外掛程式可以在任何流量的HTTP-websocket 模式下透過CF 正常運作,在TLS 模式下,它是成熟的TLS 流量,它需要憑證才能操作(例如,來自Let's encrypt 或self -簽)。
Shadowsocksv2ray-plugin-http:下載 - 1404 MB; 上傳 1938 兆位元。
Shadowsocksv2ray-plugin-tls:下載 - 1214 MB; 上傳 1898 兆位元。
Shadowsocksv2ray-plugin-quic:下載 - 183 MB; 上傳384兆位元。
正如我已經說過的,v2ray 可以設定標頭,因此您可以透過反向代理 CDN(例如 cloudfler)使用它。 一方面,這使隧道的檢測變得複雜,另一方面,它可能會稍微增加(有時會減少)延遲 - 這一切都取決於您和伺服器的位置。 CF 目前正在測試與 quic 的配合,但此模式尚未可用(至少對於免費帳戶)。
Shadowsocksv2ray-plugin-http+CF:下載 - 1284 MB; 上傳 1785 兆位元。
Shadowsocksv2ray-plugin-tls+CF:下載 - 1261 MB; 上傳 1881 兆位元。
斗篷
碎片是 GoQuiet 混淆器進一步開發的結果。 模擬 TLS 流量並透過 TCP 工作。 目前,作者已經發布了該插件的第二個版本,cloak-2,它與原始的cloak有顯著的不同。
據開發者介紹,該插件的第一個版本使用了 tls 1.2 恢復會話機制來欺騙 tls 的目標位址。 新版本(clock-2)發布後,Github上描述該機制的所有wiki頁面都被刪除;目前的混淆加密描述中沒有提及這一點。 根據作者的描述,由於存在“加密貨幣中的嚴重漏洞”,第一個版本的碎片並未被使用。 在測試時,只有第一個版本的斗篷,它的二進位仍然在Github上,除此之外,嚴重漏洞並不是很重要,因為Shadowsox 以與沒有斗篷相同的方式加密流量,並且斗篷對 Shadowsox 的加密沒有影響。
Shadowsockscloak:下載 - 1533; 上傳 - 1970 mbits
克普頓
使用 kcptun 作為傳輸 並且在某些特殊情況下可以實現更高的吞吐量。 不幸的是(或者幸運的是),這在很大程度上與中國用戶有關,其中一些行動營運商嚴重限制 TCP,不觸及 UDP。
Kcptun 非常耗電,在 100 個客戶端測試時可以輕鬆以 4% 加載 1 個 zion 核心。 此外,該插件速度“慢”,並且在通過 iperf3 工作時,它無法完成測試。 讓我們來看看瀏覽器中的速度測試。
Shadowsockskcptun:下載(速度測試)- 546 mbits; 上傳(速度測試)854 mbits。
結論
您是否需要一個簡單、快速的 VPN 來阻止整個電腦的流量? 那你的選擇就是戰爭衛士。 您是否需要代理(用於選擇性隧道或虛擬人員流的分離),還是對您來說混淆流量以防止嚴重阻塞更重要? 然後查看帶有 tlshttp 混淆的 Shadowbox。 您要確保只要 Internet 正常運作,您的 Internet 就能正常運作嗎? 選擇透過重要的CDN來代理流量,封鎖就會導致全國一半的網路癱瘓。
資料透視表,依下載排序
來源: www.habr.com