Shadowsocks: Standardul pentru eludarea cenzurii

12 min citireEludare

Shadowsocks este protocolul de criptare pe care milioane de oameni din China, Iran și Rusia îl folosesc pentru a trece de firewall-urile naționale. Nu este un VPN - este un proxy SOCKS5 criptat ușor - dar efectul practic este același: traficul care nu pare nimic în special trece printr-o inspecție profundă a pachetelor care ar bloca o strângere de mână VPN obișnuită. Acesta este explicatorul tehnic și politic.

Întregul articol al articolului este oferit în limba engleză mai jos.

Ce este de fapt Shadowsocks

Shadowsocks este un protocol proxy encriptat SOCKS5, gratuit, cu sursă deschisă, , nu un VPN. Un proxy SOCKS5 transmite trafic arbitrar TCP și UDP în numele unui client; Shadowsocks include această redirecționare în criptare autentificată modernă (AEAD), astfel încât un observator dintre client și proxy să vadă doar octeți opaci.

Protocolul a fost creat în 2012 de un programator chinez folosind mânerul clowwindy. Scopul era specific și personal: ocolirea Marelui Firewall al Chinei pentru a accesa site-uri web blocate. Protocoalele VPN standard la acea vreme (OpenVPN, IPsec) aveau modele distinctive de strângere de mână pe care GFW le învățase să le amprenteze. Shadowsocks a fost conceput pentru a arăta ca nimic – fără strângere de mână recunoscută, fără port fix, fără metadate evidente. Pentru un inspector de pachete profunde, o conexiune Shadowsocks pare un flux neremarcabil de octeți aleatorii.

The 2015 takedown

La 22 august 2015, clowwindy a postat în depozitul GitHub al proiectului că poliția nu i-a mai putut contacta și nu i-a mai putut contacta. Postarea spunea, parțial: „Acum două zile, poliția a venit la mine și a vrut să șterg tot codul.” În câteva ore, toate comiterile originale au fost eliminate.

Proiectul a supraviețuit deoarece era open source. Furcăturile au apărut imediat pe GitHub de la colaboratori din afara Chinei — shadowsocks-libev (C), shadowsocks-rust (Rugină), shadowsocks-windows, shadowsocks-android, shadowsocks-iOS. Protocolul în sine este atât de simplu încât reimplementarea lui din specificații este simplă; eliminarea unui dezvoltator nu a oprit efectul de rețea.

Acest model este instructiv. Instrumentele de cenzură-eludare care depind de un singur punct de control (o companie, un domeniu, o autoritate cheie de semnare) sunt ușor de închis. Shadowsocks supraviețuiește pentru că protocolul este o specificație, implementările sunt open source și oricine poate susține un server.

Cum funcționează

A Implementarea Shadowsocks are două părți:

  1. Server

    care rulează într-o rețea mică cenzurată în afara țării VPS27X. Ascultă pe un port configurabil pentru traficul criptat SOCKS5 și îl redirecționează către destinație.

  2. Client — rulează pe dispozitivul utilizatorului, acceptă conexiuni locale de la aplicații (browsere, BitTorrent, orice), le criptează și le trimite către server. suită de criptare convenită. Nu există nici un schimb de certificate, nicio infrastructură de chei publice, nicio strângere de mână pe care un observator să le poată identifica. Doar octeți criptați opaci care trec de la client la server pe orice port l-a configurat operator. Acestea au oferit confidențialitate, dar nu integritate - un atacator care ar putea modifica textul cifrat ar putea modifica textul simplu în moduri previzibile. Atacurile de sondare active au fost demonstrate împotriva Shadowsocks în stream-cipher în 2015–2017.

    Protocolul a fost mutat la AEAD cifrele în 2017:

    • chapo201475X - implicit curentul Rapid pe procesoarele mobile fără accelerare hardware AES.
    • aes-256-gcm — alternativa pentru servere cu hardware AES-NI.
    • aes-128-gcm — aceeași familie, cheie mai mică, cheie mai mică. cifrurile au fost depreciate în 2018 și eliminate de la clienții moderni. Dacă vedeți un tutorial care recomandă aes-256-cfb sau rc4-md5, tutorialul este învechit de ani de zile și configurația este nesigură. octeții înșiși sunt opaci. Soluția este sistemul de pluginuri:

      • simple-obfs (moștenire) — împachetează traficul Shadowsocks pentru a arăta ca HTTP sau TLS. În mare parte depreciat.
      • v2ray-plugin — înfășoară Shadowsocks într-un transport V2Ray (WebSocket, mKCP, gRPC, HTTP/2), permițându-l să circule în ceea ce pare HTTPS obișnuit către un CDN precum Cloudflare. ofuscator care imită TLS la o anumită gazdă momeală.

      Pentru rețelele nerestricționate, Shadowsocks nu este bine. Pentru utilizatorii din China continentală sau iraniene, un plugin este esențial.

      ShadowsocksR și problema încrederii

      ShadowsocksR (SSR) a apărut în 2017 ca o furcă care pretindea o mai bună ofuscare și rezistență la nivel de protocol la sondarea activă. A devenit popular pentru scurt timp, dar a avut două probleme persistente: probleme de licențiere (relația dintre furcă și licența MIT originală a Shadowsocks a fost contestată) și un model lung de vulnerabilități suspectate pe care întreținerii au întârziat să le rezolve. Până în 2019, depozitul SSR a fost abandonat. Majoritatea comunităților au migrat înapoi la linia principală Shadowsocks plus un plugin modern sau la protocoale mai noi precum V2Ray.

      Outline de Jigsaw

      In 2018, Jigsaw (o subsidiară Alphabet axată pe exprimarea liberă) a lansat Outline, un instrument de implementare Shadowsocks. Prezentarea Outline: un jurnalist, un ONG sau un membru al familiei din afara unei regiuni cenzurate poate porni un server Outline în 60 de secunde pe DigitalOcean, AWS Lightsail sau similar, apoi poate partaja o cheie de acces cu utilizatorul din țara cenzurată. Clientul său este o aplicație multi-platformă. Întregul proiect este open source. Pentru utilizatorii non-tehnici care trebuie să ajute pe cineva din spatele unui firewall, Outline este o rampă de acces ușoară.

      Shadowsocks vs VPN vs Tor

      • vs un VPN comercial: Shadowsocks este mai simplu, mai ușor și mai greu de detectat, dar necesită propriul tău server. Un VPN vă oferă IP-uri de ieșire în multe țări prin infrastructura altcuiva. Folosiți Shadowsocks atunci când trebuie în mod special să ocoliți DPI agresiv; utilizați un VPN pentru confidențialitatea de zi cu zi.
      • vs Tor: Tor oferă anonimat prin circuite cu trei hop și este mult mai puternic împotriva atacurilor de corelare a traficului. Shadowsocks oferă eludare printr-un singur hop criptat - mult mai rapid, mult mai ușor de utilizat, dar nu oferă anonimat față de un observator care poate urmări ambele puncte finale. Consultați comparația noastră Tor vs VPN pentru o imagine mai largă.
      • vs V2Ray/Xray: V2Ray și fork Xray sunt cadre mai bogate în funcții care includ protocoale compatibile Shadowsocks plus VMess, VLESS și Trojan. Pentru noile implementări în 2026, mulți utilizatori avansați s-au mutat la V2Ray/Xray pentru un plus de flexibilitate. Pentru majoritatea utilizatorilor, pluginul Shadowsocks-plus este încă opțiunea mai simplă și mai bine testată.

      Cum să utilizați Shadowsocks în siguranță în 2026

      1. Utilizați un cifr AEAD modern (cha20-ietf-poly). Evitați orice se termină în -cfb sau -md5.
      2. Într-o țară cenzurată, plasați pluginul v2ray-sau mantaua deasupra.
      3. Alegeți o parolă partajată puternică - minim PLZ46 server aleatoriu XX1XPLZ43 caractere. pe un VPS într-o jurisdicție necomplicată din punct de vedere politic (evitați gazdele care răspund la citații din țara de cenzură).
      4. Nu reutilizați același server pentru mulți utilizatori — crește profilul IP-ului și crește șansa de a-l bloca.
      5. Verificați că tunelul își face treaba cu XPLZ5DNS leak49X Test de scurgeri VPN după configurare.

Întrebări frecvente

Shadowsocks este un VPN?
Nu. Shadowsocks este un protocol proxy SOCKS5 criptat, nu un VPN. Efectul practic pentru majoritatea utilizatorilor este similar (traficul criptat care ocolește filtrarea locală), dar din punct de vedere tehnic, un VPN creează un adaptor de rețea virtuală și direcționează tot traficul de sistem de operare prin acesta, în timp ce un proxy SOCKS transmite conexiunile individuale ale aplicațiilor. Unii clienți Shadowsocks (de exemplu, shadowsocks-android cu modul VPN) creează o interfață virtuală și emulează tunelul întregului sistem asemănător VPN.
Shadowsocks este legal?
Utilizarea Shadowsocks este legală în majoritatea țărilor. Este ilegal sub diferite interpretări în China continentală, Iran și Rusia, unde instrumentele de eludare a cenzurii sunt restricționate. Operarea unui server Shadowsocks este legală aproape peste tot. Ca întotdeauna, instrumentul este neutru - ceea ce faceți cu el este ceea ce determină riscul legal.
Shadowsocks funcționează în China?
Bare Shadowsocks este uneori detectat de Great Firewall prin analiza formei de trafic, chiar dacă octeții sunt opaci. Adăugarea pluginului v2ray (care face ca conexiunea să arate ca o solicitare normală WebSocket-over-HTTPS la un CDN) înfrânge în mod fiabil majoritatea detectării. Pisica și șoarecele continuă; așteptați-vă să vă actualizați configurația periodic.
Care este diferența dintre Shadowsocks și ShadowsocksR?
ShadowsocksR a fost un furk din 2017 care pretindea o ofuscare suplimentară, dar avea probleme de licențiere și securitate în curs. Proiectul a fost efectiv abandonat până în 2019. Modern Shadowsocks cu pluginul v2ray vă oferă tot ceea ce revendica SSR plus întreținere activă și o licență curată. Utilizați linia principală Shadowsocks.
Este Shadowsocks mai sigur decât un VPN comercial?
Diferite modele de amenințare. Shadowsocks vă oferă un hop criptat și încredere în operatorul serverului (de multe ori dvs.). Un VPN comercial vă oferă un hop criptat și încredere în furnizor. Shadowsocks oferă mai mult control și trafic mai greu de detectat. Un VPN comercial oferă o configurare mai ușoară, ieșiri în mai multe țări și (cu un furnizor de renume) o pistă de audit fără jurnal. Pentru confidențialitatea de zi cu zi, un VPN este mai ușor. Pentru ocolire într-o țară cenzurată, Shadowsocks este mai bine.
Shadowsocks explicat: Cum proiectul paralel al unui programator chinez a devenit standardul pentru eludarea cenzurii | VPN Master Pro