Shadowsocks è una VPN?

No. Shadowsocks è un protocollo proxy SOCKS5 crittografato, non una VPN. L'effetto pratico per la maggior parte degli utenti è simile (traffico crittografato che ignora il filtro locale), ma tecnicamente una VPN crea un adattatore di rete virtuale e instrada tutto il traffico del sistema operativo attraverso di esso, mentre un proxy SOCKS inoltra le connessioni delle singole applicazioni. Alcuni client Shadowsocks (ad esempio shadowsocks-android con modalità VPN) creano un'interfaccia virtuale ed emulano il tunneling dell'intero sistema simile a VPN.

Shadowsocks è legale?

L'uso di Shadowsocks è legale nella maggior parte dei paesi. È illegale sotto varie interpretazioni nella Cina continentale, in Iran e in Russia, dove gli strumenti di elusione della censura sono limitati. Gestire un server Shadowsocks è legale quasi ovunque. Come sempre, lo strumento è neutrale: ciò che ne fai è ciò che determina il rischio legale.

Shadowsocks funziona in Cina?

Bare Shadowsocks viene talvolta rilevato dal Great Firewall attraverso l'analisi della forma del traffico anche se i byte sono opachi. L'aggiunta del plug-in v2ray (che fa sembrare la connessione una normale richiesta WebSocket-over-HTTPS a un CDN) impedisce in modo affidabile la maggior parte dei rilevamenti. Il gatto e il topo continua; aspettati di aggiornare periodicamente la tua configurazione.

Qual è la differenza tra Shadowsocks e ShadowsocksR?

ShadowsocksR era un fork del 2017 che richiedeva ulteriore offuscamento ma aveva problemi di licenza e sicurezza in corso. Il progetto è stato effettivamente abbandonato nel 2019. Modern Shadowsocks con il plug-in v2ray ti offre tutto ciò che SSR ha richiesto più manutenzione attiva e una licenza pulita. Usa Shadowsocks della linea principale.

Shadowsocks è più sicuro di una VPN commerciale?

Diversi modelli di minaccia. Shadowsocks ti offre un hop crittografato e ti fidi dell'operatore del server (spesso tu). Una VPN commerciale ti offre un hop crittografato e la fiducia nel provider. Shadowsocks offre maggiore controllo e traffico più difficile da rilevare. Una VPN commerciale offre una configurazione più semplice, uscite per più paesi e (con un fornitore affidabile) una traccia di controllo senza registri. Per la privacy quotidiana, una VPN è più semplice. Per aggirare un paese censurato, Shadowsocks è migliore.

Shadowsocks spiegato: come il progetto parallelo di un programmatore cinese è diventato lo standard per l'elusione della censura

Shadowsocks è il protocollo di crittografia utilizzato da milioni di persone in Cina, Iran e Russia per oltrepassare i firewall nazionali. Non è una VPN – è un proxy SOCKS5 crittografato leggero – ma l'effetto pratico è lo stesso: il traffico che non assomiglia a nulla in particolare passa attraverso un'ispezione approfondita dei pacchetti che bloccherebbe un normale handshake VPN. Questa è la spiegazione tecnica e politica.

Il corpo completo dell'articolo è fornito in inglese di seguito.

Che cosa è effettivamente Shadowsocks

Shadowsocks è un protocollo proxy SOCKS5 crittografato open source gratuito, non una VPN. Un proxy SOCKS5 inoltra traffico TCP e UDP arbitrario per conto di un client; Shadowsocks avvolge l'inoltro nella moderna crittografia autenticata (AEAD) in modo che un osservatore tra il client e il proxy veda solo byte opachi.

Lil protocollo è stato creato nel 2012 da un programmatore cinese utilizzando l'handle clowwindy. L’obiettivo era specifico e personale: aggirare il Great Firewall cinese per accedere ai siti web bloccati. I protocolli VPN standard dell’epoca (OpenVPN, IPsec) avevano modelli di handshake distintivi che il GFW aveva imparato a rilevare. Shadowsocks è stato progettato per non assomigliare a nulla: nessuna stretta di mano riconoscibile, nessuna porta fissa, nessun metadato evidente. A un esperto ispettore di pacchetti, una connessione Shadowsocks appare come un flusso insignificante di byte casuali.

LLa rimozione del 2015

Il 22 agosto 2015, clowwindy ha pubblicato sul repository GitHub del progetto che la polizia li aveva contattati e non potevano più continuare il progetto. Il post diceva, in parte: "Due giorni fa, la polizia è venuta da me e voleva che eliminassi tutto il codice." Nel giro di poche ore, tutti i commit originali sono stati rimossi.

Le progetto è sopravvissuto perché era open source. I fork sono immediatamente apparsi su GitHub da contributori fuori dalla Cina: shadowsocks-libev (C), shadowsocks-rust (Rust), shadowsocks-windows, shadowsocks-android, shadowsocks-iOS. Il protocollo in sé è così semplice che reimplementarlo dalle specifiche è semplice; la rimozione di uno sviluppatore non ha fermato l'effetto rete.

Questo schema è istruttivo. Gli strumenti di elusione della censura che dipendono da un singolo punto di controllo (un’azienda, un dominio, un’autorità che firma le chiavi) sono facili da chiudere. Shadowsocks sopravvive perché il protocollo è una specifica, le implementazioni sono open source e chiunque può installare un server.

Come funziona

A La distribuzione di Shadowsocks è composta da due parti:

Server: un piccolo demone in esecuzione su un VPS in un paese al di fuori della rete censurata. Ascolta su una porta configurabile il traffico SOCKS5 crittografato e lo inoltra alla destinazione.
Client: viene eseguito sul dispositivo dell'utente, accetta connessioni locali da applicazioni (browser, BitTorrent, qualsiasi cosa), le crittografa e le incanala al server.

Entrambe le estremità condividono una password e una suite di crittografia concordata. Non esiste uno scambio di certificati, nessuna infrastruttura a chiave pubblica, nessuna stretta di mano che un osservatore possa identificare. Solo byte crittografati opachi che vanno dal client al server su qualunque porta configurata dall'operatore.

Levoluzione della cifratura

Gli Shadowsocks originali utilizzavano cifrari a flusso (RC4-MD5, AES-256-CFB, ChaCha20). Questi garantivano riservatezza ma non integrità: un utente malintenzionato che potesse modificare il testo cifrato potrebbe potenzialmente modificare il testo in chiaro in modi prevedibili. Sono stati dimostrati attacchi di sondaggi attivi contro Shadowsocks con crittografia a flusso nel 2015-2017.

LIl protocollo è stato spostato nei codici AEAD nel 2017:

chacha20-ietf-poly1305: l'impostazione predefinita attuale. Veloce su CPU mobili senza accelerazione hardware AES.
aes-256-gcm — l'alternativa per server con hardware AES-NI.
aes-128-gcm — stessa famiglia, chiave più piccola.

I vecchi cifrari a flusso erano deprecato nel 2018 e rimosso dai client moderni. Se vedi un tutorial che consiglia aes-256-cfb o rc4-md5, il tutorial è obsoleto da anni e la configurazione non è sicura.

Plugin di obfuscation

L'analisi GFW moderna a volte può rilevare Shadowsocks nudi tramite l'analisi della forma del traffico anche se i byte stessi sono opachi. La soluzione è il sistema di plugin:

simple-obfs (legacy) — avvolge il traffico Shadowsocks in modo che assomigli a HTTP o TLS. Ampiamente deprecato.
v2ray-plugin — avvolge Shadowsocks all'interno di un trasporto V2Ray (WebSocket, mKCP, gRPC, HTTP/2), lasciandolo girare all'interno di quello che sembra un normale HTTPS a un CDN come Cloudflare.
cloak — un offuscatore alternativo che imita TLS su un host esca specifico.

Per reti senza restrizioni, Shadowsocks nudi va bene. Per gli utenti della Cina continentale o iraniani, un plugin è essenziale.

ShadowsocksR e il problema di fiducia

ShadowsocksR (SSR) sono apparsi nel 2017 come fork che rivendicava un migliore offuscamento e una migliore resistenza a livello di protocollo al sondaggio attivo. Divenne brevemente popolare ma presentava due problemi persistenti: problemi di licenza (la relazione del fork con la licenza MIT originale di Shadowsocks fu contestata) e una lunga serie di sospette vulnerabilità che i manutentori furono lenti ad affrontare. Nel 2019 il deposito SSR è stato abbandonato. La maggior parte delle comunità è tornata alla linea principale di Shadowsocks più un plugin moderno o a protocolli più recenti come V2Ray.

Outline di Jigsaw

Nel 2018, Jigsaw (una filiale di Alphabet focalizzata sulla libera espressione) ha lanciato Outline, un raffinato strumento di distribuzione di Shadowsocks. La proposta di Outline: un giornalista, una ONG o un membro della famiglia al di fuori di una regione censurata può avviare un server Outline in 60 secondi su DigitalOcean, AWS Lightsail o simili, quindi condividere una chiave di accesso con l'utente all'interno del paese censurato.

Il server di Outline è ruggine-ombra sotto il cofano. Il suo client è un'app multipiattaforma raffinata. L'intero progetto è open source. Per gli utenti non tecnici che hanno bisogno di aiutare qualcuno dietro un firewall, Outline è la rampa di accesso facile.

Shadowsocks vs VPN vs Tor

vs una VPN commerciale: Shadowsocks è più semplice, più leggero e più difficile da rilevare, ma richiede che tu gestisca il tuo server. Una VPN ti fornisce IP di uscita in molti paesi tramite l'infrastruttura di qualcun altro. Usa Shadowsocks quando hai specificamente bisogno di bypassare DPI aggressivi; usa una VPN per la privacy quotidiana.
vs Tor: Tor fornisce l'anonimato attraverso circuiti a tre hop ed è molto più forte contro gli attacchi di correlazione del traffico. Shadowsocks fornisce l'elusione attraverso un hop crittografato: molto più veloce, molto più facile da usare, ma non offre anonimato nei confronti di un osservatore che può monitorare entrambi gli endpoint. Consulta il nostro confronto tra Tor e VPN per un quadro più ampio.
vs V2Ray/Xray: V2Ray e il suo fork Xray sono framework più ricchi di funzionalità che includono protocolli compatibili con Shadowsocks oltre a VMess, VLESS e Trojan. Per le nuove implementazioni nel 2026, molti utenti avanzati sono passati a V2Ray/Xray per una maggiore flessibilità. Per la maggior parte degli utenti, il plug-in Shadowsocks-plus è ancora l'opzione più semplice e ben testata.

Come utilizzare Shadowsocks in modo sicuro in 2026

Utilizza un moderno cifrario AEAD (chacha20-ietf-poly1305). Evita tutto ciò che termina con -cfb o -md5.
In un paese censurato, sovrapponi il plug-in v2ray o il cloak sopra.
Scegli una password condivisa complessa: almeno 16 caratteri casuali.
Esegui il server su un VPS in un Giurisdizione politicamente semplice (evita host che rispondono a mandati di comparizione da parte del paese di censura).
Non riutilizzare lo stesso server per molti utenti: aumenta il profilo dell'IP e aumenta la possibilità di vederlo bloccato.
Verifica che il tunnel funzioni con il nostro test di tenuta DNSPerdita di e VPN test dopo l'installazione.

Domande frequenti

Shadowsocks è una VPN?: No. Shadowsocks è un protocollo proxy SOCKS5 crittografato, non una VPN. L'effetto pratico per la maggior parte degli utenti è simile (traffico crittografato che ignora il filtro locale), ma tecnicamente una VPN crea un adattatore di rete virtuale e instrada tutto il traffico del sistema operativo attraverso di esso, mentre un proxy SOCKS inoltra le connessioni delle singole applicazioni. Alcuni client Shadowsocks (ad esempio shadowsocks-android con modalità VPN) creano un'interfaccia virtuale ed emulano il tunneling dell'intero sistema simile a VPN.
Shadowsocks è legale?: L'uso di Shadowsocks è legale nella maggior parte dei paesi. È illegale sotto varie interpretazioni nella Cina continentale, in Iran e in Russia, dove gli strumenti di elusione della censura sono limitati. Gestire un server Shadowsocks è legale quasi ovunque. Come sempre, lo strumento è neutrale: ciò che ne fai è ciò che determina il rischio legale.
Shadowsocks funziona in Cina?: Bare Shadowsocks viene talvolta rilevato dal Great Firewall attraverso l'analisi della forma del traffico anche se i byte sono opachi. L'aggiunta del plug-in v2ray (che fa sembrare la connessione una normale richiesta WebSocket-over-HTTPS a un CDN) impedisce in modo affidabile la maggior parte dei rilevamenti. Il gatto e il topo continua; aspettati di aggiornare periodicamente la tua configurazione.
Qual è la differenza tra Shadowsocks e ShadowsocksR?: ShadowsocksR era un fork del 2017 che richiedeva ulteriore offuscamento ma aveva problemi di licenza e sicurezza in corso. Il progetto è stato effettivamente abbandonato nel 2019. Modern Shadowsocks con il plug-in v2ray ti offre tutto ciò che SSR ha richiesto più manutenzione attiva e una licenza pulita. Usa Shadowsocks della linea principale.
Shadowsocks è più sicuro di una VPN commerciale?: Diversi modelli di minaccia. Shadowsocks ti offre un hop crittografato e ti fidi dell'operatore del server (spesso tu). Una VPN commerciale ti offre un hop crittografato e la fiducia nel provider. Shadowsocks offre maggiore controllo e traffico più difficile da rilevare. Una VPN commerciale offre una configurazione più semplice, uscite per più paesi e (con un fornitore affidabile) una traccia di controllo senza registri. Per la privacy quotidiana, una VPN è più semplice. Per aggirare un paese censurato, Shadowsocks è migliore.