Ketika kita semakin aktif memblokir akses ke berbagai sumber daya di jaringan, masalah mem-bypass kunci menjadi semakin relevan, yang berarti bahwa pertanyaan "Bagaimana lebih cepat mem-bypass kunci?"
Kami akan meninggalkan topik efisiensi, dalam hal mem-bypass daftar hitam DPI \ whitelist \ untuk kasus lain, dan hanya membandingkan kinerja alat pintas kunci populer.
Catatan: Dalam artikel di bawah spoiler akan ada banyak gambar.
Penafian: artikel ini membandingkan kinerja solusi VPN / proxy yang populer, dalam kondisi yang mendekati "ideal". Hasil yang diperoleh dan dijelaskan di sini tidak harus bersamaan dengan hasil Anda di bidang. Karena angka dalam tes kecepatan akan sering bergantung bukan pada seberapa produktif alat bypass, tetapi pada bagaimana penyedia Anda mencekik \ QoSit \ memblokirnya.
Metodologi
Penyedia cloud (DO) membeli 3 VPS di berbagai negara di dunia. 2 di Belanda, 1 di Jerman. IPN yang paling produktif (dengan jumlah inti) dipilih dari yang tersedia untuk akun yang ditawarkan untuk pinjaman kupon.
Server iperf3 pribadi digunakan di server Belanda pertama.
Pada server Belanda kedua, berbagai server untuk mengunci alat pintas digunakan pada gilirannya.
Di Jerman, UPU menyebarkan gambar desktop Linux (xubuntu) dengan VNC dan desktop virtual. VPS ini adalah klien bersyarat, dan berbagai klien proxy \ VPN diluncurkan / diluncurkan satu per satu.
Pengukuran kecepatan dilakukan dari tiga kali, kami fokus pada rata-rata, kami menggunakan 3 alat: dalam kromium melalui uji kecepatan web; dalam kromium melalui fast.com; dari konsol melalui iperf3 melalui proxy 4 (di mana Anda perlu memasukkan lalu lintas iperf3 ke proxy).
Koneksi klien-server langsung iperf3 memberikan kecepatan 2 Gbps, di iperf3, dan sedikit kurang dalam tes cepat / kecepatan.
Pembaca yang ingin tahu mungkin bertanya, “mengapa Anda tidak memilih speedtest-cli?” Dan dia akan benar.
Tes kecepatan ternyata merupakan cara yang tidak dapat diandalkan / tidak memadai untuk mengukur throughput, karena alasan yang tidak saya ketahui. Tiga pengukuran berturut-turut dapat memberikan tiga hasil yang sama sekali berbeda, atau misalnya menunjukkan throughput yang jauh lebih tinggi daripada kecepatan port IPS saya. Mungkin masalahnya adalah juling saya, tetapi sepertinya tidak mungkin untuk melakukan penelitian dengan instrumen seperti itu.
Mengenai hasil dari tiga metode pengukuran (tes kecepatan \ fast \ iperf), saya menganggap indikator iperf sebagai yang paling akurat \ dapat diandalkan \ dapat diandalkan, dan referensi tes \ kecepatan cepat \. Tetapi beberapa alat pintas tidak memungkinkan untuk menyelesaikan 3 pengukuran melalui iperf3 dan dalam kasus seperti itu, Anda dapat fokus pada speedtest / cepat.
tes kecepatan memberikan hasil yang berbeda Toolkit
Secara total, 24 alat solusi yang berbeda dan / atau kombinasi mereka diuji, untuk masing-masing saya akan memberikan penjelasan kecil dan kesan saya bekerja dengan mereka. Tetapi pada dasarnya, tujuannya adalah untuk membandingkan kecepatan shadowsocks (dan banyak obfuscator berbeda dengan itu) openVPN dan wireguard.
Dalam artikel ini, saya tidak akan membahas secara terperinci pertanyaan "cara terbaik untuk menyembunyikan lalu lintas sehingga tidak dinonaktifkan", karena mem-bypass kunci adalah tindakan reaktif - kami beradaptasi dengan apa yang digunakan oleh sensor dan bertindak atas dasar ini.
Hasil
Strongswan \ ipsec
Menurut kesan saya - sangat mudah untuk dikonfigurasikan, ini berfungsi dengan cukup stabil. Dari manfaat - itu benar-benar lintas platform, tanpa perlu mencari klien untuk setiap platform.
unduh - 993 mbit \ s; unggah - 770 mbit Terowongan ssh
Mungkin hanya malas yang tidak menulis tentang menggunakan SSH sebagai alat terowongan. Dari minus - "kruk" dari solusi, yaitu menyebarkannya dari klien yang nyaman dan cantik di setiap platform akan gagal. Dari plus adalah kinerja yang baik, tidak perlu menginstal apa pun di server.
unduh - 1270 mbit; unggah - 1140 mbit Openvpn
OpenVPN diuji dalam 4 mode operasi: tcp, tcp + sslh, tcp + stunnel, udp.
Server OpenVPN dikonfigurasikan secara otomatis dengan menginstal streisand.
Sejauh yang bisa dinilai, saat ini hanya mode operasi melalui stunnel yang tahan terhadap DPI lanjutan. Alasan peningkatan abnormal dalam throughput ketika membungkus terbuka VPN-tcp di stannel tidak jelas bagi saya, pemeriksaan dilakukan dalam beberapa kunjungan, pada waktu yang berbeda dan hari yang berbeda, hasilnya sama. Mungkin ini karena pengaturan tumpukan jaringan yang ditetapkan saat menggunakan streysand, tulis jika Anda punya ide mengapa.
openvpn \ tcp: unduh - 760 mbit; unggah - 659 mbit openvpn \ tcp + sslh: unduh - 794 mbit \ s; unggah - 693 mbit openvpn \ tcp + stunnel: unduh - 619 mbit \ s; unggah - 943 mbit openvpn \ udp: unduh - 756 mbit; unggah - 580 mbit Buka koneksi
Bukan alat yang paling populer untuk memotong kunci, itu termasuk dalam paket Streisand, jadi diputuskan untuk mengujinya.
unduh - 895 mbit; unggah 715 mbit Wireguard
Alat teknologi tinggi yang populer di kalangan pengguna Barat, pengembang protokol bahkan menerima beberapa hibah pengembangan dari dana perlindungan. Bekerja sebagai modul kernel Linux, melalui UDP. Baru-baru ini, klien telah muncul untuk windows \ ios.
Diciptakan oleh pencipta sebagai cara cepat dan sederhana untuk menonton netflix saat tidak di Amerika Serikat.
Karena itu pro dan kontra. Pro - protokol yang sangat cepat, relatif mudah untuk instalasi / konfigurasi. Kontra - pengembang pada awalnya tidak membuatnya untuk memotong kunci yang serius, dan karena itu penjaga mudah dideteksi oleh alat paling sederhana, termasuk wireshark.
protokol wireshard di wireshark unduh - 1681 mbit \ s; unggah 1638 mbit Menariknya, protokol wargard digunakan di klien tunsafe pihak ketiga, yang ketika digunakan dengan server yang sama, wargard memberikan hasil yang jauh lebih buruk. Sangat mungkin bahwa klien windows dari wargard akan menunjukkan hasil yang sama:
tunsafe \ client: unduh - 1007 mbit \ s; unggah - 1366 mbit Garisbataspnpn
Garis besar adalah penerapan server bayangan dan klien dengan gua yang indah dan nyaman dari jigsaw Google. Di windows, klien offline hanyalah satu set pembungkus untuk binari shadowsocks-lokal (klien shadowsocks-libev) dan badvpn (biner tun2socks yang mengarahkan semua lalu lintas mesin ke proksi kaus kaki lokal).
Shadoxox dulunya tahan terhadap firewall Cina yang hebat, tetapi jika dilihat dari ulasan terbaru, sekarang ini tidak lagi menjadi masalah. Tidak seperti shadowbox, "out of the box" tidak mendukung menghubungkan kebingungan melalui plug-in, tetapi ini dapat dilakukan dengan pena dengan bermain-main dengan server dan klien.
unduh - 939 mbit; unggah - 930 mbit Shadowsocks
ShadowsocksR adalah garpu dari shadowbox asli yang ditulis dengan python. Bahkan, itu adalah kotak bayangan yang beberapa metode kebingungan lalu lintas telah disematkan dengan kuat.
Ada garpu ssR di libev dan yang lainnya. Bandwidth rendah mungkin karena kode / bahasa. Shadowox asli pada python tidak jauh lebih cepat.
shadowsocksR: unduh 582 mbit \ s; unggah 541 mbit. Shadowsocks
Alat pintas pemblokiran China yang mengacak lalu lintas dan mengganggu analisis otomatis dengan cara luar biasa lainnya. Sampai saat ini, GFW tidak memblokir, mereka mengatakan bahwa itu sekarang diblokir hanya jika Anda mengaktifkan relai UDP.
Cross-platform (ada klien untuk platform apa pun), mendukung bekerja dengan PT sebagai torus obfuscators, ada beberapa obfuscator mereka sendiri atau yang disesuaikan untuk itu, cepat.
Ada banyak implementasi klien dan server dalam berbagai bahasa. Dalam pengujian, shadowsocks-libev bertindak sebagai server, klien berbeda. Klien Linux tercepat ternyata adalah shadowsocks2 saat bepergian, didistribusikan sebagai klien default di streisand, saya tidak bisa mengatakan betapa jauh lebih efisien shadowsocks-windows. Dalam sebagian besar tes lebih lanjut, shadowsocks2 digunakan sebagai klien. Layar dengan pengujian shadowsocks-libev murni tidak dibuat, karena kelambatan implementasi ini.
shadowsocks2: unduh - 1876 mbit \ s; unggah - 1981 mbit. shadowsocks-rust: unduh - 1605 mbit \ s; unggah - 1895 mbit. Shadowsocks-libev: unduh - 1584 mbit \ s; unggah - 1265 mbit.Sederhana-obfs
Plugin untuk shadowbox, sekarang dalam status "disusutkan" tetapi masih berfungsi (meskipun tidak selalu baik). Sebagian besar digantikan oleh plugin v2ray-plugin. Ini mengaburkan lalu lintas baik di bawah soket web HTTP (dan memungkinkan Anda untuk menipu header / tujuan host, berpura-pura bahwa Anda tidak melihat pornhub, tetapi, misalnya, situs web konstitusi Rusia) atau di bawah pseudo-tls (pseudo karena tidak menggunakan sertifikat apa pun, jenis DPI paling sederhana Deteksi nDPI gratis sebagai "tls no cert." Dalam mode tls, header tidak dapat dipalsukan lagi).
Cukup cepat, diinstal dari repo dengan satu perintah, dikonfigurasi dengan sangat sederhana, ia memiliki fungsi built-in dari feylover (ketika lalu lintas dari klien non-sederhana-obfs datang ke port yang mendengarkan obfs sederhana, itu akan meneruskannya ke alamat tempat Anda tentukan dalam pengaturan - seperti dengan cara ini Anda dapat menghindari memeriksa port 80 secara manual, misalnya, cukup dengan mengarahkan ulang ke situs web dengan https, serta memblokir melalui koneksi muka).
shadowsocks \ s-obfs-tls: unduh - 1618 mbit \ s; unggah 1971 mbit. shadowsocks \ s-obfs-http: unduh - 1582 mbit \ s; unggah - 1965 mbit. Obf sederhana dalam mode http juga dapat bekerja melalui reverse proxy CDN (misalnya, cloudflare), jadi bagi penyedia kami lalu lintas akan terlihat seperti lalu lintas http-texttext ke cloudflare, ini memungkinkan kami untuk menyembunyikan terowongan kami sedikit lebih baik, dan pada saat yang sama membagi titik masuk dan output traffic - penyedia melihat bahwa traffic Anda menuju ke alamat IP CDN, dan suka ekstrimis dalam gambar diletakkan pada saat ini dari alamat IP VPS. Saya harus mengatakan bahwa itu adalah c-obfs melalui CF yang bekerja secara ambigu, secara berkala tidak membuka beberapa sumber daya https misalnya. Jadi, tidak mungkin untuk menguji unggahan menggunakan iperf melalui shadowsocks \ s-obfs + CF, tetapi jika dilihat dari hasil uji kecepatan, bandwidth berada pada level shadowsocks \ v2ray-plugin-tls + CF. Saya tidak menerapkan layar dengan iperf3, karena mereka seharusnya tidak dibimbing.
unduh (speedtest) - 887; unggah (speedtest) - 1154. Unduh (iperf3) - 1625; unggah (iperf3) - N \ A.v2ray-plugin
V2ray-plugin menggantikan obfs sederhana sebagai obfuscator “resmi” utama untuk ss lib. Tidak seperti obfs sederhana, ini belum ada dalam repositori, dan Anda perlu mengunduh biner yang sudah dibuat sebelumnya, atau mengompilasinya sendiri.
Ini mendukung 3 mode operasi: default, soket http-web (dengan dukungan untuk menipu header host tujuan); tls-web socket (tidak seperti c-obfs, ini adalah tl traffic penuh, yang dikenali oleh server web \ reverse proxy dan, misalnya, memungkinkan Anda untuk mengonfigurasi penghentian tls di server cloudfleur atau di nginx); quic - bekerja melalui udp, tetapi sayangnya kinerja quick di v2 sangat rendah.
Keuntungan dibandingkan dengan obf sederhana: plug-in v2ray berfungsi tanpa masalah melalui CF dalam mode soket web https dengan lalu lintas apa pun, dalam mode tls mewakili trafik tl penuh, memerlukan sertifikat (misalnya, dari mari mengenkripsi atau menandatangani sendiri).
shadowsocks \ v2ray-plugin-http: unduh - 1404 mbit \ s; unggah 1938 mbit. shadowsocks \ v2ray-plugin-tls: unduh - 1214 mbit \ s; unggah 1898 mbit. shadowsocks \ v2ray-plugin-quic: unduh - 183 mbit \ s; unggah 384 mbit. Seperti yang saya katakan, v2rei dapat mengatur header, dan dengan demikian dimungkinkan untuk bekerja dengannya melalui reverse proxy \ CDN (cloudfleur misalnya). Di satu sisi, ini mempersulit pendeteksian terowongan, di sisi lain - ini dapat sedikit meningkatkan (dan kadang-kadang mengurangi) kelambatan - semuanya tergantung pada lokasi Anda dan server. Saat ini, CF sedang menguji pekerjaan dengan quic, tetapi sejauh ini mode ini tidak tersedia (setidaknya untuk akun gratis).
shadowsocks \ v2ray-plugin-http + CF: unduh - 1284 mbit \ s; unggah 1785 mbit. shadowsocks \ v2ray-plugin-tls + CF: unduh - 1261 mbit \ s; unggah 1881 mbit. Jubah
Rusak adalah hasil pengembangan lebih lanjut dari obfuscator GoQuiet. Mensimulasikan lalu lintas TLS, bekerja dengan baik melalui TCP. Saat ini, penulis telah merilis versi kedua dari plugin, cloak-2, yang sangat berbeda dari yang asli.
Menurut pengembang, versi pertama plugin menggunakan mekanisme sesi resume tls 1.2 untuk menipu alamat tujuan untuk tls. Setelah rilis versi baru (clok-2), semua halaman wiki di github yang menjelaskan mekanisme ini telah dihapus, tidak ada yang menyebutkan ini dalam deskripsi enkripsi / kebingungan saat ini. Menurut deskripsi penulis, versi pertama dari shred tidak digunakan karena adanya “kerentanan kritis dalam crypto”. Pada saat pengujian, hanya ada versi pertama dari tangki limbah, binernya masih ada di github, dan, di antara hal-hal lain, kerentanan kritis tidak terlalu penting, karena shadousoks mengenkripsi traffic dengan cara yang sama seperti tanpa shred, dan crypto shadowsoks tidak memengaruhi crypto shadowsoksa.
shadowsocks \ cloak: download - 1533; unggah - 1970 mbit Kcptun
kcptun menggunakan
protokol KCP sebagai transportasi dan, dalam beberapa kasus khusus, dapat mencapai peningkatan throughput. Sayangnya (atau untungnya) ini sangat relevan untuk pengguna dari China, beberapa di antaranya operator selulernya sangat menelusuri TCP dan tidak menyentuh UDP.
Kcptun sangat rakus, dan dengan mudah memuat 100 zion kernel 100% saat diuji oleh 1 klien. Selain itu, plugin ini "lambat", dan juga ketika bekerja melalui iperf3 tidak menyelesaikan tes sampai akhir. Kami dipandu oleh uji kecepatan di browser.
shadowsocks \ kcptun: unduh (speedtest) - 546 mbit; unggah (speedtest) 854 mbit. Kesimpulan
Perlu VPN cepat dan sederhana untuk membungkus lalu lintas seluruh mesin? Maka pilihan Anda adalah seorang penjaga. Apakah Anda ingin proksi (untuk tunneling selektif atau pemisahan aliran \ orang virtual) atau apakah lebih penting bagi Anda untuk mengaburkan lalu lintas dari penyumbatan serius? Kemudian lihat shadowbox dengan kebingungan tls \ http. Ingin memastikan bahwa Internet Anda akan berfungsi saat Internet bekerja sama sekali? Pilih proxy lalu lintas melalui CDNs penting, yang pemblokirannya akan menyebabkan pembuangan separuh Internet di negara ini.
pengurutan tabel pivot dengan mengunduh