В условиях непрекращающихся блокировок решил глянуть что там вообще китайцы накурили за это время.

С одной стороны увидел массу решений, с другой стороны все проекты выглядят очень велосипедными и наколеночными. Качество кодовой базы как правило низкое, тестов нет, документация только на китайском, но вроде работает.

Из того, что я для себя приметил:

1. Shadowsocks. Многие про него слышали, но проблема в том, что он использует обычную топорную обфускацию и ни под что не маскируется. В Китае его уже вполне успешно банят без всяких проблем. В России наверно пока можно использовать. Есть готовые one-click реализации типа Outline, про который сейчас многие говорят. Есть поддержка UDP.

Follow

Для Shadowsocks есть плагины, однако механизм плагинов не поддерживает UDP, поэтому ситуация с VoIP приложениями становится достаточно грустной. Тем не менее:

2. Shadowsocks over Cloak. Cloak позволяет замаскировать ваш трафик под обыкновенный HTTPS. Это позволяет отлично обмануть пассивный DPI который просто сканирует пакеты, насколько я знаю в РФ пока именно такой.

krasovs.ky/2022/03/08/shadowso

· · Web · 1 · 0 · 0

Из других плагинов не могу не отметить v2ray-plugin.

3. Shadowsocks over V2Ray. Наверно это самый простой способ отправить трафик через какой-нибудь CDN типа Cloudflare. В итоге получается схема:
ss <-tcp-> v2ray <-wss-> cdn <-wss-> v2ray <-tcp-> ss

В теории это защищает также от активного DPI, который ходит сам на ресурс и смотрит что из себя представляет. А там на вид обычный совершенно обычный HTTPS-сервер, да ещё и на серверах Cloudflare.

krasovs.ky/2022/03/19/shadowso

Наконец я считаю это самый элегантный, лаконичный и красивый протокол.

4. Trojan. У него хорошая документация на английском, он умеет работать с UDP, есть в репозиториях всех популярных Linux-дистрибутивов, даже Debian.

По существу он просто заворачивает весь ваш трафик в обычный HTTPS (желательно настроить http/2), а если туда приходит браузер, то отдает http-сайт, который вы настроить.

Вебсокеты при этом не используются, поэтому через CDN завернуть не получится.

trojan-gfw.github.io/trojan

Исходя из описания Trojan его действительно нельзя отличить от обычного HTTPS. Проксификация начинается только если приходит правильная структура согласно протоколу. До тех пор сервер отдаёт обычную страничку. То есть защита от активного пробинга есть.

А для пассивного DPI вы совершенно легитимно зашли на какой-то HTTPS-сайт и что-то там с него скачиваете.

Sign in to participate in the conversation
Mastodon

Personal instance