Shadowsocks: Standarden för kringgående av censur

12 min lästKringgående

Shadowsocks är krypteringsprotokollet som miljontals människor i Kina, Iran och Ryssland använder för att glida förbi nationella brandväggar. Det är inte ett VPN – det är en lätt krypterad SOCKS5-proxy – men den praktiska effekten är densamma: trafik som ser ut som att inget speciellt går igenom djup paketinspektion som skulle blockera ett normalt VPN-handslag. Detta är den tekniska och politiska förklararen.

Hela artikeltexten finns på engelska nedan.

Vad Shadowsocks faktiskt är

Shadowsocks är ett gratis, öppen källkod encrypted SOCKS5 proxy protocol, inte ett VPN. En SOCKS5-proxy vidarebefordrar godtycklig TCP- och UDP-trafik på uppdrag av en klient; Shadowsocks lindar vidarebefordran i modern autentiserad kryptering (AEAD) så att en observatör mellan klienten och proxyn bara ser ogenomskinliga bytes.

Protokollet skapades 2012 av en kinesisk programmerare som använder handtaget clowwindy. Målet var specifikt och personligt: ​​kringgå Kinas stora brandvägg för att komma åt blockerade webbplatser. Standard VPN-protokoll vid den tiden (OpenVPN, IPsec) hade distinkta handskakningsmönster som GFW hade lärt sig att fingeravtrycka. Shadowsocks designades för att se ut som ingenting - inget igenkännbart handslag, ingen fast port, inga uppenbara metadata. För en djuppaketinspektör ser en Shadowsocks-anslutning ut som en omärklig ström av slumpmässiga bytes.

Närtagningen 2015

Den 22 augusti 2015 publicerade clowwindy på projektets GitHub-repository att projektet inte längre kunde kontakta dem. I inlägget stod det delvis: "För två dagar sedan kom polisen till mig och ville att jag skulle radera all kod." Inom några timmar togs alla ursprungliga åtaganden bort.

Projektet överlevde eftersom det var öppen källkod. Forks dök omedelbart upp på GitHub från bidragsgivare utanför Kina — shadowsocks-libev (C), shadowsocks-rust (Rust), shadowsocks-windows, shadowsocks-android, shadowsocks-iOS. Protokollet i sig är så enkelt att det är enkelt att återimplementera det från spec; nedtagningen av en utvecklare stoppade inte nätverkseffekten.

Detta mönster är lärorikt. Verktyg för kringgående av censur som är beroende av en enda kontrollpunkt (ett företag, en domän, en nyckelsigneringsmyndighet) är lätta att stänga av. Shadowsocks överlever eftersom protokollet är en specifikation, implementeringarna är öppen källkod och vem som helst kan stå upp en server.

Så fungerar det

A Shadowsocks-distributionen har två delar:

  1. SX7 i ett litet land som körs i ett deemon utanför ett deemon utanför ett deemon. det censurerade nätverket. Lyssnar på en konfigurerbar port för krypterad SOCKS5-trafik och vidarebefordrar den till destinationen.
  2. Client — körs på användarens enhet, accepterar lokala anslutningar från applikationer (webbläsare, BitTorrent, vad som helst), krypterar dem och tunnlar dem till servern. en överenskommen chiffersvit. Det finns inget certifikatutbyte, ingen offentlig nyckelinfrastruktur, inget handslag som en observatör kan identifiera. Bara ogenomskinliga krypterade bytes som går från klient till server på vilken port operatören än har konfigurerat.

    Chifferutvecklingen

    Original Shadowsocks använde strömchiffer (RC4-MD5, AES-256-CFB, ChaCha20). Dessa gav konfidentialitet men inte integritet – en angripare som kunde ändra chiffertext skulle potentiellt kunna ändra klartext på förutsägbara sätt. Aktiva sonderingsattacker demonstrerades mot stream-chiffer Shadowsocks under 2015–2017.

    Protokollet flyttades till AEAD chiffer 2017:

    • cha-poly1046Xcha-poly2040Xcha-poly2046Xcha-poly2046Xcha-poly2046Xcha nuvarande standard. Snabb på mobila processorer utan AES-hårdvaruacceleration.
    • aes-256-gcm — alternativet för servrar med AES-NI-hårdvara.
    • aes-128-gcm — samma familj, mindre ström7XXPLZPLZXXLZ56PLZXXL8XXLZ56PLZPLZXXLZ56. chiffer fasades ut 2018 och togs bort från moderna kunder. Om du ser en handledning som rekommenderar aes-256-cfb eller rc4-md5, är handledningen år inaktuell och konfigurationen är osäker. Shadowsocks via trafikformanalys även om byten i sig är ogenomskinlig. Lösningen är plugin-systemet:

      • simple-obfs (legacy) — lindar Shadowsocks-trafiken så att den ser ut som HTTP eller TLS. Till stor del föråldrad.
      • v2ray-plugin — lindar Shadowsocks inuti en V2Ray-transport (WebSocket, mKCP, gRPC, HTTP/2), så att den kan åka in i vad som ser ut som vanlig HTTPS till en CDN som Cloudflare.XPLZXX76XPLZ7clox76XXPLZ7cloz7xxxx7xPLZ7clox76xPLZ7clox76xPLZ7clox76xx — en alternativ obfuscator som efterliknar TLS till en specifik decoy-värd.

      För obegränsade nätverk är bara Shadowsocks bra. För användare på det kinesiska fastlandet eller iranska är en plugin nödvändig.

      ShadowsocksR och förtroendeproblemet

      ShadowsocksR (SSR) dök upp 2017 som en gaffel som hävdade bättre fördunkling och motstånd på protokollnivå mot aktiv sondering. Det blev kort populärt men hade två ihållande problem: licensproblem (gaffelns förhållande till den ursprungliga Shadowsocks MIT-licens ifrågasattes) och ett långt mönster av misstänkta sårbarheter som underhållarna var långsamma med att åtgärda. År 2019 övergavs SSR-förvaret. De flesta gemenskaper migrerade tillbaka till mainline Shadowsocks plus ett modernt plugin, eller till nyare protokoll som V2Ray.

      Outline av Jigsaw

      Under 2018 lanserade Jigsaw (ett Alphabet-dotterbolag fokuserat på fritt uttryck) XOutlineXPLZock-verktyg deployshed Shadowment, apolishapped. Outlines pitch: en journalist, NGO eller familjemedlem utanför en censurerad region kan snurra upp en Outline-server på 60 sekunder på DigitalOcean, AWS Lightsail eller liknande, och sedan dela en åtkomstnyckel med användaren i det censurerade landet.

      Outlines server är shadowsocks-rost under huven. Dess klient är en polerad plattformsoberoende app. Hela projektet är öppen källkod. För icke-tekniska användare som behöver hjälpa någon bakom en brandvägg, är Outline den enkla rampen.

      Shadowsocks vs VPN vs Tor

      • vs en kommersiell VPN: Shadowsocks är svårare, lättare att köra och din egen server kräver. En VPN ger dig utgångs-IP:er i många länder via någon annans infrastruktur. Använd Shadowsocks när du specifikt behöver kringgå aggressiva DPI; använd en VPN för vardaglig integritet.
      • vs Tor: Tor ger anonymitet genom trehoppskretsar och är mycket starkare mot trafikkorrelationsattacker. Shadowsocks ger kringgående genom ett krypterat hopp - mycket snabbare, mycket enklare att använda, men erbjuder ingen anonymitet mot en observatör som kan titta på båda slutpunkterna. Se vår Tor vs VPN-jämförelse för den bredare bilden.
      • vs V2Ray/Xray: V2Ray och dess gaffel Xray är mer funktionsrika ramverk som inkluderar Shadowsocks-kompatibla protokoll, VLESS, Trojan och VMess och Trojan. För nya implementeringar under 2026 har många avancerade användare flyttat till V2Ray/Xray för den extra flexibiliteten. För de flesta användare är Shadowsocks-plus-plugin fortfarande det enklare och väl beprövade alternativet.

      Hur man använder Shadowsocks säkert i 2026

      1. Använd ett modernt AEAD-chiffer (XPL1033-5Xcha-polyZ30-5Xcha-polyz-5Xcha-poly-20Xcha-2026). Undvik allt som slutar på -cfb eller -md5.
      2. I ett censurerat land, lägg v2ray-plugin eller cloak ovanpå.
      3. Välj ett starkt delat lösenord — minst 1XPL4 tecken XXL4 servern XXR4 slumpmässigt 4 tecken XXR4 4 tecken. på en VPS i en politiskt okomplicerad jurisdiktion (undvik värdar som svarar på stämningar från det censurerande landet).
      4. Återanvänd inte samma server för många användare – det höjer IP:s profil och ökar chansen att få den blockerad.
      5. Verifiera sitt jobb med leXNSD är att göra sitt jobb med leXNSD99 test och VPN läcker test efter installation.

Vanliga frågor

Är Shadowsocks ett VPN?
Nej. Shadowsocks är ett krypterat SOCKS5-proxyprotokoll, inte ett VPN. Den praktiska effekten för de flesta användare är liknande (krypterad trafik som kringgår lokal filtrering), men tekniskt sett skapar en VPN en virtuell nätverksadapter och dirigerar all OS-trafik genom den, medan en SOCKS-proxy vidarebefordrar individuella applikationsanslutningar. Vissa Shadowsocks-klienter (t.ex. shadowsocks-android med VPN-läge) skapar ett virtuellt gränssnitt och emulerar VPN-liknande tunnling i hela systemet.
Är Shadowsocks lagligt?
Att använda Shadowsocks är lagligt i de flesta länder. Det är olagligt enligt olika tolkningar i Kina, Iran och Ryssland, där verktyg för att kringgå censur är begränsade. Att driva en Shadowsocks-server är lagligt nästan överallt. Som alltid är verktyget neutralt - vad du gör med det är det som avgör juridisk risk.
Fungerar Shadowsocks i Kina?
Bare Shadowsocks upptäcks ibland av den stora brandväggen genom analys av trafikform även om byten är ogenomskinlig. Att lägga till v2ray-plugin (som får anslutningen att se ut som en vanlig WebSocket-over-HTTPS-förfrågan till ett CDN) försvinner på ett tillförlitligt sätt de flesta upptäckter. Katt-och-råtta fortsätter; förvänta dig att uppdatera din konfiguration med jämna mellanrum.
Vad är skillnaden mellan Shadowsocks och ShadowsocksR?
ShadowsocksR var en gaffel från 2017 som gjorde anspråk på ytterligare förvirring men hade pågående licensierings- och säkerhetsproblem. Projektet övergavs i praktiken 2019. Moderna Shadowsocks med v2ray-plugin ger dig allt SSR hävdade plus aktivt underhåll och en ren licens. Använd mainline Shadowsocks.
Är Shadowsocks säkrare än en kommersiell VPN?
Olika hotmodeller. Shadowsocks ger dig ett krypterat hopp och lita på serveroperatören (ofta dig). En kommersiell VPN ger dig ett krypterat hopp och lita på leverantören. Shadowsocks ger mer kontroll och svårare att upptäcka trafik. En kommersiell VPN ger enklare installation, flera länders utgångar och (med en ansedd leverantör) en revisionsspår utan loggar. För vardaglig integritet är en VPN enklare. För kringgående i ett censurerat land är Shadowsocks bättre.
Shadowsocks förklarade: Hur en kinesisk programmerares sidoprojekt blev standarden för kringgående av censur | VPN Master Pro