Shadowsocks: Sensuurin kiertämisen standardi

12 min lukeaKiertäminen

Shadowsocks on salausprotokolla, jota miljoonat ihmiset Kiinassa, Iranissa ja Venäjällä käyttävät livahtaakseen kansallisten palomuurien ohi. Se ei ole VPN - se on kevyt salattu SOCKS5-välityspalvelin - mutta käytännön vaikutus on sama: liikenne, joka ei näytä millään erityiseltä, pääsee läpi syvän pakettitarkastuksen, joka estäisi normaalin VPN-kättelyn. Tämä on tekninen ja poliittinen selitys.

Artikkelin koko runko on englanniksi alla.

Mitä Shadowsocks itse asiassa on

Shadowsocks on ilmainen avoimen lähdekoodin salattu SOCKS5-välityspalvelinprotokolla, ei VPN. SOCKS5-välityspalvelin välittää mielivaltaisen TCP- ja UDP-liikenteen asiakkaan puolesta; Shadowsocks kääri tämän edelleenlähetyksen moderniin autenttiseen salaukseen (AEAD), joten asiakkaan ja välityspalvelimen välinen tarkkailija näkee vain läpinäkymättömiä tavuja.

Protokollan loi vuonna 2012 kiinalainen ohjelmoija kahvalla clowwindy. Tavoite oli erityinen ja henkilökohtainen: ohita Kiinan suuri palomuuri päästäksesi estetyille verkkosivustoille. Tuolloin tavallisilla VPN-protokollalla (OpenVPN, IPsec) oli erottuvia kättelykuvioita, jotka GFW oli oppinut ottamaan sormenjäljen. Shadowsocks on suunniteltu näyttämään tyhjältä – ei tunnistettavaa kättelyä, ei kiinteää porttia, ei ilmeisiä metatietoja. Syvän paketin tarkastajalle Shadowsocks-yhteys näyttää huomaamattomalta satunnaisten tavujen virralta.

Vuoden 2015 poisto

22. elokuuta 2015 projektin GitHub-tietovarastoon ilkeänä julkaisi, että poliisi ei voinut enää jatkaa projektia. Viesti sanoi osittain: "Kaksi päivää sitten poliisi tuli luokseni ja halusi minun poistavan kaiken koodin." Kaikki alkuperäiset sitoumukset poistettiin muutamassa tunnissa.

Projekti selvisi, koska se oli avoimen lähdekoodin. Haarukat ilmestyivät heti GitHubiin Kiinan ulkopuolelta tulevilta avustajilta – shadowsocks-libev (C), shadowsocks-rust (Rust), shadowsocks-windows, shadowsocks-android, shadowsocks-iOS. Itse protokolla on niin yksinkertainen, että sen uudelleentoteuttaminen spesifikaatiosta on yksinkertaista; yhden kehittäjän poistaminen ei pysäyttänyt verkkovaikutusta.

Tämä kuvio on opettavainen. Yhdestä valvontapisteestä (yrityksestä, toimialueesta, avaimen allekirjoitusviranomaisesta) riippuvat sensuurin kiertämistyökalut on helppo sulkea. Shadowsocks säilyy, koska protokolla on spesifikaatio, toteutukset ovat avoimen lähdekoodin ja kuka tahansa voi nousta palvelimelle.

Kuinka se toimii

A Shadowsocks-käyttöönotto koostuu kahdesta osasta:

  1. Palvelimessa pienessä VPSdaemX-maassa. sensuroitu verkko. Kuuntelee konfiguroitavaa salattua SOCKS5-liikennettä ja välittää sen määränpäähän.
  2. Client — toimii käyttäjän laitteessa, hyväksyy paikalliset yhteydet sovelluksista (selaimet, BitTorrent, mistä tahansa), salaa ne ja tunneloi ne palvelimelle.ZPL3PL43XX päät jakavat salasanan ja sovitun salauspaketin. Ei ole varmenteiden vaihtoa, julkisen avaimen infrastruktuuria tai kättelyä, jonka tarkkailija voi tunnistaa. Vain läpinäkymättömät salatut tavut kulkevat asiakkaalta palvelimelle missä tahansa operaattorin määrittämässä portissa.

    Salauksen evolution

    Original Shadowsocks käytti stream-salauksia (RC4-MD5, AES-256-CFB, ChaCha20). Nämä tarjosivat luottamuksellisuutta, mutta eivät eheyttä – hyökkääjä, joka pystyi muokkaamaan salatekstiä, saattoi mahdollisesti muokata pelkkää tekstiä ennakoitavilla tavoilla. Aktiivisia etsintähyökkäyksiä osoitettiin stream-salausta Shadowsockeja vastaan vuosina 2015–2017.

    Protokolla siirrettiin AEAD ciphers:ään vuonna 2017:

    • cha -7PLZ20-46Xcha nykyinen oletusarvo. Nopea mobiilisuorittimissa ilman AES-laitteistokiihdytystä.
    • aes-256-gcm — vaihtoehto palvelimille, joissa on AES-NI-laitteisto.
    • aes-128-gcm — sama perhe, pienempi avain.

    Vanhat stream-salaukset poistettiin käytöstä vuonna 2018 ja ne poistettiin nykyaikaisista asiakaskoneista. Jos näet opetusohjelman, jossa suositellaan aes-256-cfb tai rc4-md5, opetusohjelma on vuosia vanhentunut ja määritys on epävarma. liikennemuoto-analyysi, vaikka itse tavut ovat läpinäkymättömiä. Ratkaisu on laajennusjärjestelmä:

    • simple-obfs (vanha) — kääri Shadowsocks-liikenteen näyttämään HTTP:ltä tai TLS:ltä. Suurelta osin vanhentunut.
    • v2ray-plugin — kääri Shadowsockin V2Ray-siirtoon (WebSocket, mKCP, gRPC, HTTP/2) ja antaa sen kulkea tavalliselta HTTPS:ltä näyttävän sisällä CDN-verkkoon, kuten Cloudflare.
    • cloak — vaihtoehtoinen hämärälaite, joka jäljittelee TLS:ää tiettyyn houkutusisäntään.

    Rajoittamattomiin verkkoihin paljaat Shadowsockit sopivat. Manner-Kiinan tai Iranin käyttäjille laajennus on välttämätön.

    ShadowsocksR ja luottamusongelma

    ShadowsocksR (SSR) ilmestyivät vuonna 2017 haarukkana, joka väitti parempaa hämärtymistä ja protokollatason vastustuskykyä aktiiviselle luotaukselle. Siitä tuli hetkellisesti suosittu, mutta siinä oli kaksi jatkuvaa ongelmaa: lisensointiongelmat (haarukan suhde alkuperäiseen Shadowsocksin MIT-lisenssiin kiistettiin) ja pitkä malli epäiltyjä haavoittuvuuksia, joita ylläpitäjät olivat hitaita. Vuoteen 2019 mennessä SSR-varasto hylättiin. Useimmat yhteisöt siirtyivät takaisin päälinjan Shadowsocksiin sekä nykyaikaiseen liitännäiseen tai uudempiin protokolliin, kuten V2Ray.

    Outline by Jigsaw

    IVuonna 2018 Jigsaw (Alphabet-tytäryhtiö, joka keskittyy ilmaisunvapauteen) julkaisi Outline-työkalun, joka on poltettu. Outlinen esittely: sensuroidun alueen ulkopuolella oleva toimittaja, kansalaisjärjestö tai perheenjäsen voi käynnistää Outline-palvelimen 60 sekunnissa DigitalOceanissa, AWS Lightsailissa tai vastaavassa ja jakaa sitten pääsyavaimen sensuroidussa maassa olevan käyttäjän kanssa.

    Outlinen palvelin on suojuksen alla ruosteinen. Sen asiakas on hiottu alustojen välinen sovellus. Koko projekti on avoimen lähdekoodin. Ei-teknisille käyttäjille, jotka tarvitsevat apua palomuurin takana, Outline on helppokäyttöinen ramppi.

    Shadowsocks vs VPN vs Tor

    • vs kaupallinen VPN: Shadowsocks on yksinkertaisempi, helpompi käyttää, tunnistaa ja käyttää. VPN antaa sinulle poistumis-IP-osoitteet monissa maissa jonkun toisen infrastruktuurin kautta. Käytä Shadowsockia, kun haluat erityisesti ohittaa aggressiivisen DPI:n; käytä VPN:ää päivittäiseen yksityisyyteen.
    • vs Tor: Tor tarjoaa anonymiteetin kolmen hypyn piirien kautta ja on paljon vahvempi liikennekorrelaatiohyökkäyksiä vastaan. Shadowsocks tarjoaa kiertämisen yhden salatun hypyn kautta – paljon nopeampi, paljon helpompi käyttää, mutta se ei tarjoa nimettömyyttä tarkkailijalle, joka voi katsella molempia päätepisteitä. Katso Tor vs VPN -vertailu saadaksesi laajemman kuvan.
    • vs V2Ray/Xray: V2Ray ja sen fork Xray ovat monipuolisempia kehyksiä, jotka sisältävät Shadowsocks-yhteensopivia protokollia sekä VMessin ja Trojan VLESS:n. Uusia käyttöönottoja varten vuonna 2026 monet edistyneet käyttäjät ovat siirtyneet käyttämään V2Ray/Xray-tekniikkaa lisäjoustavuuden vuoksi. Useimmille käyttäjille Shadowsocks-plus-plugin on edelleen yksinkertaisempi ja hyvin testattu vaihtoehto.

    Kuinka käyttää Shadowsockia turvallisesti vuonna 2026

    1. Käytä nykyaikaista AEAD-salausta (fXchaZ3poly3405PLZ31305Xcha). Vältä mitään, joka päättyy numeroihin -cfb tai -md5.
    2. ISensuroidussa maassa kerro v2ray-laajennus tai peitto päälle.
    3. Valitse vahva jaettu salasana4PLZ44 satunnainen merkki – vähintään XXX. VPS-palvelin poliittisesti mutkaton lainkäyttöalueella (vältä isäntiä, jotka vastaavat sensuurimaan haasteisiin).
    4. Älä käytä samaa palvelinta useille käyttäjille – se nostaa IP-osoitteen profiilia ja lisää todennäköisyyttä saada se estetty.
    5. Tarkista työnsä XNS:n avulla9 XNS toimii9 test ja VPN vuototesti asennuksen jälkeen.

Usein kysytyt kysymykset

Onko Shadowsocks VPN?
Ei. Shadowsocks on salattu SOCKS5-välityspalvelinprotokolla, ei VPN. Käytännön vaikutus useimmille käyttäjille on samanlainen (salattu liikenne, joka ohittaa paikallisen suodatuksen), mutta teknisesti VPN luo virtuaalisen verkkosovittimen ja reitittää kaiken käyttöjärjestelmäliikenteen sen kautta, kun taas SOCKS-välityspalvelin välittää yksittäisiä sovellusyhteyksiä. Jotkut Shadowsocks-asiakkaat (esim. shadowsocks-android VPN-tilassa) luovat virtuaalisen käyttöliittymän ja emuloivat VPN:n kaltaista koko järjestelmän tunnelointia.
Onko Shadowsocks laillinen?
Shadowsocksin käyttö on laillista useimmissa maissa. Se on laitonta eri tulkintojen mukaan Manner-Kiinassa, Iranissa ja Venäjällä, missä sensuurin kiertämisen välineitä on rajoitettu. Shadowsocks-palvelimen käyttö on laillista melkein kaikkialla. Kuten aina, työkalu on neutraali – se, mitä teet sillä, määrittää juridisen riskin.
Toimiiko Shadowsocks Kiinassa?
Great Firewall havaitsee joskus Bare Shadowsocksin liikenteen muoto-analyysin avulla, vaikka tavut ovat läpinäkymättömiä. V2ray-liitännäisen lisääminen (joka saa yhteyden näyttämään tavalliselta WebSocket-over-HTTPS-pyynnöltä CDN-verkkoon) kumoaa luotettavasti useimmat tunnistukset. Kissa-hiiri jatkaa; odottaa päivittävän kokoonpanosi säännöllisesti.
Mitä eroa on Shadowsocksilla ja ShadowsocksR:llä?
ShadowsocksR oli vuoden 2017 haarukka, joka väitti ylimääräistä hämmennystä, mutta jolla oli jatkuvia lisensointi- ja turvallisuusongelmia. Projekti hylättiin käytännössä vuoteen 2019 mennessä. Modern Shadowsocks v2ray-laajennuksella antaa sinulle kaiken, mitä SSR vaati, sekä aktiivisen ylläpidon ja puhtaan lisenssin. Käytä päälinjan Shadowsockia.
Onko Shadowsocs turvallisempi kuin kaupallinen VPN?
Erilaisia ​​uhkamalleja. Shadowsocks antaa sinulle yhden salatun hypyn ja luottamuksen palvelimen operaattoriin (usein sinuun). Kaupallinen VPN antaa sinulle yhden salatun hypyn ja luottamuksen palveluntarjoajaan. Shadowsocks antaa enemmän hallintaa ja vaikeammin havaittavaa liikennettä. Kaupallinen VPN mahdollistaa helpomman asennuksen, useiden maiden poistumiset ja (hyvämaineisen palveluntarjoajan kanssa) kirjautumattoman kirjausketjun. VPN on helpompaa päivittäisen yksityisyyden vuoksi. Sensuroidussa maassa tapahtuvaan kiertämiseen Shadowsocks on parempi.
Shadowsocks selitti: Miten kiinalaisen ohjelmoijan puolen projektista tuli sensuurin kiertämisen standardi | VPN Master Pro