Vergleich der Bypass-Tools \ VPN

Da wir den Zugriff auf verschiedene Ressourcen im Netzwerk immer aktiver blockieren, wird das Problem der Umgehung von Sperren immer relevanter. Dies bedeutet, dass die Frage "Wie ist es schneller, Sperren zu umgehen?"

Wir verlassen das Thema Effizienz, indem wir DPI \ Whitelist \ Blacklist für einen anderen Fall umgehen und nur die Leistung der gängigen Bypass-Tools für Sperren vergleichen.

Hinweis: In dem Artikel unter den Spoilern gibt es viele Bilder.

Haftungsausschluss: In diesem Artikel wird die Leistung gängiger VPN- / Proxy-Lösungen unter nahezu "idealen" Bedingungen verglichen. Die hier erzielten und beschriebenen Ergebnisse stimmen nicht unbedingt mit Ihren Ergebnissen auf den Gebieten überein. Weil die Anzahl im Geschwindigkeitstest oft nicht davon abhängt, wie produktiv das Bypass-Tool ist, sondern davon, wie Ihr Provider \ QoSit \ blockiert.

Methodik

Ein Cloud-Anbieter (DO) hat 3 VPS in verschiedenen Ländern der Welt gekauft. 2 in den Niederlanden, 1 in Deutschland. Die produktivsten IPNs (nach Anzahl der Kerne) wurden aus den verfügbaren IPNs für das angebotene Konto für Kuponkredite ausgewählt.

Auf dem ersten niederländischen Server wird ein privater iperf3-Server bereitgestellt.

Auf dem zweiten niederländischen Server werden nacheinander verschiedene Server zum Sperren von Bypass-Tools bereitgestellt.

Auf der deutschen UPU wurde das Image von Desktop-Linux (xubuntu) mit VNC und einem virtuellen Desktop bereitgestellt. Dieser VPS ist ein bedingter Client, auf dem nacheinander verschiedene Proxy- / VPN-Clients gestartet / gestartet werden.

Geschwindigkeitsmessungen werden dreimal durchgeführt, wir konzentrieren uns auf den Durchschnitt, wir verwenden 3 Werkzeuge: in Chrom über den Bahngeschwindigkeitstest; in Chrom über fast.com; von der Konsole über iperf3 über Proxy 4 (wo Sie iperf3-Verkehr in den Proxy stellen müssen).

Eine direkte Client-Server-Verbindung mit iperf3 bietet eine Geschwindigkeit von 2 Gbit / s in iperf3 und etwas weniger in Fast / Speed-Tests.

Ein neugieriger Leser könnte fragen: "Warum hast du dich nicht für speedtest-cli entschieden?" Und er wird Recht haben.

Der Geschwindigkeitstest erwies sich aus mir unbekannten Gründen als unzuverlässige / unzureichende Methode zur Messung des Durchsatzes. Drei aufeinanderfolgende Messungen können drei völlig unterschiedliche Ergebnisse liefern oder beispielsweise einen Durchsatz zeigen, der viel höher ist als die Portgeschwindigkeit meines IPS. Vielleicht ist das Problem mein Schielen, aber es schien unmöglich, mit einem solchen Instrument zu forschen.

In Bezug auf die Ergebnisse der drei Messmethoden (Geschwindigkeitstest \ fast \ iperf) halte ich die iperf-Indikatoren für die genauesten / zuverlässigsten \ zuverlässigsten und die Referenz für den schnellen \ speed-Test. Einige Bypass-Tools haben es jedoch nicht ermöglicht, 3 Messungen über iperf3 durchzuführen. In solchen Fällen können Sie sich auf speedtest / fast konzentrieren.

Toolkit

Insgesamt wurden 24 verschiedene Workaround-Tools bzw. deren Kombinationen getestet, für die ich jeweils kleine Erläuterungen und Eindrücke zur Arbeit mit ihnen geben werde. Aber im Grunde war es das Ziel, die Geschwindigkeit von Shadowsocks (und Haufen verschiedener Obfuscators) von openVPN und wireguard zu vergleichen.

In diesem Artikel werde ich nicht im Detail auf die Frage eingehen, wie der Verkehr am besten ausgeblendet werden kann, damit er nicht deaktiviert wird. Die Umgehung von Sperren ist eine reaktive Maßnahme. Wir passen uns an, was der Zensor verwendet, und handeln auf dieser Grundlage.

Ergebnisse

Strongswan \ ipsec

Nach meinen Eindrücken ist es sehr einfach zu konfigurieren und funktioniert recht stabil. Von den Vorteilen - es ist wirklich plattformübergreifend, ohne dass für jede Plattform ein Client gesucht werden muss.

SSH-Tunnel

Wahrscheinlich hat nur Lazy nicht über die Verwendung von SSH als Tunnel-Tool geschrieben. Von den Minuspunkten - die "Krücken" der Lösung, d.h. Die Bereitstellung von einem praktischen, ansprechenden Client auf jeder Plattform schlägt fehl. Von den Vorteilen ist gute Leistung, es gibt keine Notwendigkeit, überhaupt etwas auf dem Server zu installieren.

Openvpn

OpenVPN wurde in 4 Betriebsarten getestet: tcp, tcp + sslh, tcp + stunnel, udp.

OpenVPN-Server wurden automatisch durch die Installation von streisand konfiguriert.

Soweit man beurteilen kann, ist derzeit nur die Arbeitsweise durch den Tunnel beständig gegen fortgeschrittene DPI. Der Grund für den abnormalen Anstieg des Durchsatzes beim Öffnen des VPN-TCP im Stannel ist mir nicht klar, die Überprüfungen erfolgten bei mehreren Besuchen, zu unterschiedlichen Zeiten und an unterschiedlichen Tagen, das Ergebnis war das gleiche. Vielleicht liegt dies an den Netzwerk-Stack-Einstellungen, die beim Bereitstellen des Streysand festgelegt wurden. Schreiben Sie, wenn Sie eine Idee haben, warum.

Openconnect

Es ist nicht das beliebteste Tool zum Umgehen von Schlössern. Es ist im Streisand-Paket enthalten, daher wurde beschlossen, es zu testen.

Wireguard

Als High-Tech-Tool, das bei westlichen Anwendern beliebt ist, haben Protokollentwickler sogar einige Entwicklungszuschüsse von Schutzfonds erhalten. Funktioniert als Linux-Kernelmodul über UDP. Kürzlich sind Clients für Windows \ ios erschienen.

Vom Entwickler als einfache und schnelle Möglichkeit konzipiert, Netflix zu sehen, wenn Sie nicht in den USA sind.

Daher die Vor- und Nachteile. Vorteile - ein sehr schnelles Protokoll, relativ einfache Installation / Konfiguration. Nachteile - Der Entwickler hat es ursprünglich nicht erstellt, um schwerwiegende Sperren zu umgehen, und daher kann der Wächter mit den einfachsten Werkzeugen leicht erkannt werden, einschließlich wireshark.



Interessanterweise wird das Wargard-Protokoll im tunsafe-Client eines Drittanbieters verwendet, der bei Verwendung mit demselben Server wesentlich schlechtere Ergebnisse liefert. Es ist wahrscheinlich, dass der Windows-Client des Wargards die gleichen Ergebnisse anzeigt:

Outlinevpn

Gliederung ist die Implementierung des Shadow-Servers und -Clients mit einer schönen und praktischen Gua von Google Jigsaw. In Windows ist der Offline-Client nur eine Reihe von Wrappern für die Binärdateien shadowsocks-local (shadowsocks-libev-client) und badvpn (tun2socks-binary, die den gesamten Datenverkehr auf den lokalen Socks-Proxy leiten).

Shadoxox war einst gegen die große chinesische Firewall resistent, aber nach den neuesten Bewertungen ist dies jetzt nicht mehr der Fall. Im Gegensatz zu Shadowbox unterstützt "Out of the Box" keine Verbindungsverschleierung durch Plug-Ins. Dies kann jedoch mit Stiften geschehen, indem an Server und Client herumgebastelt wird.

Schattenstrümpfe

ShadowsocksR ist eine Abspaltung der ursprünglichen in Python geschriebenen Shadowbox. Tatsächlich handelt es sich um eine Shadowbox, an die mehrere Methoden der Verkehrsverschleierung festgemacht wurden.

Es gibt SSR-Gabeln für libev und noch etwas anderes. Niedrige Bandbreite ist wahrscheinlich auf Code / Sprache zurückzuführen. Das ursprüngliche Shadowox auf Python ist nicht viel schneller.

Schattenstrümpfe

Ein chinesisches Bypass-Tool, das den Datenverkehr zufällig sortiert und die automatische Analyse auf andere wunderbare Weise stört. Bis vor kurzem hat GFW nicht blockiert, sie sagen, dass es jetzt nur blockiert wird, wenn Sie das UDP-Relay aktivieren.

Plattformübergreifend (es gibt Clients für jede Plattform), unterstützt das Arbeiten mit PT als Torus-Obfuscatoren, es gibt mehrere eigene oder angepasste Obfuscatoren, schnell.

Es gibt eine Reihe von Client- und Server-Implementierungen in verschiedenen Sprachen. Im Test fungierte shadowsocks-libev als Server, die Clients sind unterschiedlich. Der schnellste Linux-Client stellte sich als shadowsocks2 on go heraus, als Standard-Client in streisand verteilt, ich kann nicht sagen, wie viel effizienter Shadowsocks-Windows ist. In den meisten weiteren Tests wurde shadowsocks2 als Client verwendet. Bildschirme mit reinem Shadowsock-libev-Test wurden aufgrund der offensichtlichen Verzögerung dieser Implementierung nicht erstellt.



Shadowsocks-libev: download - 1584 Mbit \ s; upload - 1265 mbit \ s.

Simple-Obfs

Das Plugin zur Shadowbox, jetzt im Status "veraltet", funktioniert aber immer noch (wenn auch nicht immer gut). Es wird weitgehend durch das Plugin v2ray-plugin abgelöst. Es verschleiert den Datenverkehr entweder unter einem HTTP-Web-Socket (und gibt Ihnen die Möglichkeit, die Header / Ziel-Hosts zu fälschen, indem Sie so tun, als würden Sie sich keinen Pornhub ansehen, sondern beispielsweise die russische Verfassungswebsite) oder unter Pseudo-Tls (Pseudo, da keine Zertifikate verwendet werden, die einfachsten DPI-Typen) Erkennen Sie freies nDPI als "tls no cert". Im tls-Modus können Header nicht mehr gefälscht werden.

Es ist schnell genug, es wird mit einem Befehl vom Repository aus installiert, es ist sehr einfach zu konfigurieren, es verfügt über die eingebaute Funktion eines Feylovers (wenn der Datenverkehr von einem Nicht-Simple-Obfs-Client zu dem Port gelangt, der Simple-Obfs abhört, wird er an die Adresse weitergeleitet, die Sie in den Einstellungen angegeben haben - z Auf diese Weise können Sie vermeiden, den 80. Port manuell zu überprüfen, indem Sie ihn beispielsweise einfach mit https auf die Website umleiten und durch Verbindungsvorschläge blockieren.



Einfache obfs im http-Modus können auch über Reverse-Proxy-CDN (z. B. Cloudflare) ausgeführt werden. Für unseren Provider sieht der Datenverkehr also wie http-Text-Datenverkehr für Cloudflare aus. Auf diese Weise können wir unseren Tunnel ein wenig besser ausblenden und gleichzeitig den Einstiegspunkt aufteilen und Traffic-Ausgabe - Der Provider sieht, dass Ihr Traffic in Richtung der CDN-IP-Adresse geht, und extremistische Likes in den Bildern werden in diesem Moment von der VPS-IP-Adresse abgesetzt. Ich muss sagen, dass es c-obfs durch CF ist, das mehrdeutig arbeitet und zum Beispiel periodisch einige https-Ressourcen nicht öffnet. Es war also nicht möglich, den Upload mit iperf über Shadowsocks \ s-obfs + CF zu testen, aber nach den Ergebnissen des Geschwindigkeitstests liegt die Bandbreite auf dem Niveau von Shadowsocks \ v2ray-plugin-tls + CF. Ich wende keine Bildschirme mit iperf3 an, weil Sie sollten nicht geführt werden.


Download (iperf3) - 1625; upload (iperf3) - N \ A

v2ray-plugin

Das V2ray-Plugin ersetzte einfache obfs als den wichtigsten "offiziellen" Obfuscator für ss lib. Im Gegensatz zu einfachen obfs befindet es sich noch nicht in den Repositories und Sie müssen entweder eine vorgefertigte Binärdatei herunterladen oder sie selbst kompilieren.

Es werden 3 Betriebsmodi unterstützt: Standard, http-Web-Socket (mit Unterstützung für das Spoofing der Header des Zielhosts); tls-web socket (im gegensatz zu c-obfs handelt es sich um vollwertigen tls-verkehr, der von jedem web server \ reverse proxy erkannt wird und zum beispiel die konfiguration der tls-terminierung auf cloudfleur-servern oder in nginx ermöglicht); quic - funktioniert über udp, aber leider ist die Leistung von quick in v2 sehr gering.

Von den Vorteilen gegenüber einfachen obfs: Das v2ray-Plug-in funktioniert problemlos über CF im https-Web-Socket-Modus mit jeglichem Verkehr, im tls-Modus repräsentiert es vollen tls-Verkehr, erfordert Zertifikate (zum Beispiel von let's encrypt oder self-signed).




Wie gesagt, v2rei kann Header setzen, und so ist es möglich, mit ihm über Reverse Proxy \ CDN (zum Beispiel Cloudfleur) zu arbeiten. Dies erschwert einerseits die Erkennung des Tunnels und kann andererseits die Verzögerung geringfügig erhöhen (und manchmal verringern). Dies hängt alles von Ihrem Standort und den Servern ab. Momentan testet CF die Arbeit mit Quic, aber bisher ist dieser Modus nicht verfügbar (zumindest für kostenlose Konten).

Umhang

Shred ist das Ergebnis der Weiterentwicklung des GoQuiet-Obfuscators. Simuliert TLS-Verkehr und arbeitet entsprechend über TCP. Momentan hat der Autor eine zweite Version des Plugins veröffentlicht, cloak-2, die sich deutlich vom ursprünglichen Shred unterscheidet.

Laut dem Entwickler verwendete die erste Version des Plugins den tls 1.2-Mechanismus zur Wiederaufnahme der Sitzung, um die Zieladresse für tls zu fälschen. Nach der Veröffentlichung der neuen Version (clok-2) wurden alle Wiki-Seiten auf dem Github, die diesen Mechanismus beschreiben, gelöscht, was in der aktuellen Beschreibung der Verschlüsselung / Verschleierung nicht erwähnt wird. Laut der Beschreibung des Autors wird die erste Version des Shreds nicht verwendet, da "kritische Sicherheitslücken in der Krypto" vorhanden sind. Zum Zeitpunkt der Tests gab es nur die erste Version der Cesspool, die Binaries befinden sich noch auf dem Github, und unter anderem sind kritische Schwachstellen nicht sehr wichtig, weil shadousoks verschlüsselt den Datenverkehr auf dieselbe Weise wie ohne Shred, und Crypto Shadowsoks hat keinen Einfluss auf Crypto Shadowsoksa.

Kcptun

kcptun verwendet das KCP-Protokoll als Transportmittel und kann in bestimmten Fällen einen höheren Durchsatz erzielen. Leider (oder zum Glück) ist dies hauptsächlich für Benutzer aus China relevant, von denen einige Mobilfunkbetreiber TCP stark nutzen und UDP nicht berühren.

Kcptun ist höllisch unersättlich und lädt leicht 100 Zion-Kernel zu 100%, wenn es von 1 Client getestet wird. Außerdem ist das Plugin "langsam" und beendet auch bei der Arbeit mit iperf3 die Tests nicht bis zum Ende. Wir werden durch den Geschwindigkeitstest im Browser geführt.

Fazit

Benötigen Sie ein einfaches, schnelles VPN, um den Datenverkehr der gesamten Maschine zu überwachen? Dann ist Ihre Wahl eine Wache. Möchten Sie Proxies (für selektives Tunneln oder Trennen von Strömen \ virtuelle Personen) oder ist es für Sie wichtiger, den Verkehr von schwerwiegenden Blockierungen fernzuhalten? Dann schau dir shadowbox mit tls \ http obfuscation an. Möchten Sie sicher sein, dass Ihr Internet funktioniert, während das Internet überhaupt funktioniert? Wählen Sie das Proxying von Datenverkehr über wichtige CDNs aus, deren Blockierung dazu führt, dass die Hälfte des Internets im Land verloren geht.