trueNetLab logo
SW
Shadowsocks na Xray: VPN inapozuiwa

Shadowsocks na Xray: VPN inapozuiwa

12 min read
Network Security

Jedwali la yaliyomo

Nafanya kazi na VPN mara nyingi. Si kama mada ya nadharia, bali kama kazi ya kila siku: kuunganisha matawi, kuwapa wateja ufikiaji wa mtandao wa kampuni, kuhakikisha server zinapatikana, kusanidi firewall, kusasisha vyeti, kutuliza tunnel za IPsec, kuchunguza matatizo ya SSL VPN clients na kuelewa kwa nini eneo fulani ghafla halipiti tena.

Kwa kawaida hii ni kazi tulivu na thabiti ya mitandao. Hivyo ndivyo inavyopaswa kuwa.

Lakini kuna nyakati ambapo VPN iliyosanidiwa vizuri bado haitoshi. Kwa wateja kutoka nchi zenye Internet inayodhibitiwa sana, kama China au Urusi, mara nyingi tunaona protokali za VPN za kawaida zikizuiwa, kupunguzwa kasi au kutambuliwa moja kwa moja. Kwa kuwa nafanya kazi Dubai na wateja wa kimataifa sana, hili si jambo la kufikirika. Swali la kiutendaji ni: ufikiaji halali wa miundombinu yetu unabaki vipi wakati muunganisho unachujwa njiani?

Hapo ndipo majina kama Shadowsocks, ShadowsocksR, V2Ray, Xray-core, VLESS, Trojan, REALITY na XHTTP yanapoingia. Mwanzoni yanaonekana kama mchanganyiko wa miradi, forks na vifupisho. Na kwa kweli, sehemu yake ni hivyo.

VPN inaposhindwa si kwenye login, bali tayari njiani ndani ya mtandao, hatupaswi kuzungumza tu kuhusu usimbaji fiche; lazima tuzungumze pia kuhusu kutambulika.

Kwa nini Shadowsocks ilitokea

Shadowsocks haikutoka kwenye ulimwengu wa kawaida wa enterprise VPN. Haikubuniwa ili kuboresha site-to-site VPN au kwa sababu IPsec ilikuwa ngumu sana. Chanzo chake kilikuwa cha moja kwa moja zaidi: mwaka 2012, developer aliyejulikana kama clowwindy alitaka njia nyepesi ya kutoka kwenye mtandao uliokuwa unachujwa sana kwenda Internet iliyo wazi.

Hilo linaeleza muundo wake. Shadowsocks ilipaswa kuwa nyepesi, ya haraka na ya vitendo: si VPN client nzito, si gateway kubwa, si remote-access suite yenye identity management na compliance reporting. Wazo lilikuwa local SOCKS5 proxy inayosimba traffic na kuituma kwa server iliyo nje ya kizuizi.

Hitaji halikuwa “vipengele zaidi vya security kwa kampuni”, bali “nahitaji njia ya kutoka inayofanya kazi kutoka mtandao unaochuja protokali na maeneo fulani”. Kwa hiyo Shadowsocks ni muhimu kama transport component ndogo, lakini si VPN kamili ya kampuni kiotomatiki.

Mwaka 2015 hadithi ikawa ya kisiasa zaidi: clowwindy aliandika GitHub kwamba polisi walimtembelea na alipaswa kuacha kazi hiyo. Baadaye maendeleo yaliendelea kupitia forks na implementations nyingine. Zana kama hizi mara nyingi huanza kutokana na maumivu halisi ya kiufundi, kisha huwa sehemu ya mbio kati ya watumiaji, developers na mifumo ya kuchuja traffic.

Kwa nini VPN huonekana

Watu wengi wakisikia VPN hufikiria usimbaji fiche. Hilo ni sahihi, lakini si hadithi yote.

Mtoa huduma, censor au firewall kubwa ya kitaifa si lazima asome maudhui ya muunganisho uliosimbwa ili auzuie. Mara nyingi inatosha kutambua kifungashio. IPsec, SSL VPN, WireGuard na OpenVPN zina alama za kawaida: ports, ukubwa wa packets, handshake patterns, tabia ya certificates, timing, matumizi ya UDP, retries, errors au IP za server zinazojulikana.

Fikiria bahasha, si barua. Maudhui yamesimbwa, lakini bahasha ina ukubwa, rangi, stampu na mtumaji anayerudiarudia. Mtu anayepanga bahasha hahitaji kusoma maandishi ili kusema: aina hii naijua, iende kwenye ukaguzi maalum.

Traffic ya mtandao iko hivyo pia. Deep Packet Inspection na traffic classification haziangalii ports pekee; zinaangalia patterns. Kwenye TLS, Client Hello fingerprints, SNI, certificate chains au ALPN zinaweza kuonekana. Kwenye protokali zilizosimbwa kabisa, hata mwonekano wa nasibu wa packets za mwanzo unaweza kuwa ishara. Utafiti kuhusu Great Firewall umeonyesha kuwa packet lengths, entropy na printable ASCII katika packets za awali pia ni muhimu.

Kwa hiyo “kila kitu kinaonekana random” si sawa na “hakionekani”. Wakati mwingine random yenyewe ndiyo inayotia shaka.

Utafiti unaonyesha nini

Jambo muhimu si tu kwamba mifumo ya censorship inaweza “kutambua VPN”. Hilo lilijulikana kwa ujumla. Kinachovutia ni jinsi detection nyingi zinavyoanza kwa njia rahisi na isiyo ya kushangaza.

Mfano mzuri ni kazi ya GFW Report iliyowasilishwa mwaka 2020 kwenye ACM Internet Measurement Conference. GFW Report si bidhaa wala vendor, bali mradi wa utafiti na vipimo kuhusu Great Firewall.

Hoja kuu: hii haikuwa magic decryption attack. Great Firewall iliunganisha passive observation na active probing. Kwanza, muunganisho ulionekana wa shaka kutokana na urefu na entropy ya data packet ya kwanza. Kisha censor aliunganisha mwenyewe kwenye server iliyoshukiwa, akarudia packets za zamani au zilizobadilishwa na kuangalia kama upande mwingine unajibu kama Shadowsocks server.

Kwa administrators, hii inaonyesha tabaka mbili:

  • Traffic isionekane sana kwa passive observation.
  • Server isijibu active tests kama proxy.

Mwaka 2023, utafiti mwingine wa GFW ulionyesha kwamba traffic iliyosimbwa kabisa inaweza kuzuiwa kwa heuristics rahisi. Ikiwa TCP payload ya kwanza haionekani kama TLS, HTTP au maandishi yanayochapika, bali kama block ya random data, hilo lenyewe linaweza kuwa ishara. Kwa hiyo “random kabisa” si kila mara camouflage bora.

Mwaka 2024, utafiti kuhusu encapsulated TLS handshakes uliongeza tatizo jingine: hata tunnel ya nje ikiwa imesimbwa na imefichwa vizuri, TLS handshake ya ndani inaweza kuonekana kama pattern ndani ya protocol stack iliyofungwa ndani kwa ndani. Random padding husaidia kidogo; stream multiplexing inaonekana bora zaidi, lakini si suluhisho la moja kwa moja ikiwa mwishowe stream moja tu ya application inaonekana.

Timing na cross-layer RTTs pia ni muhimu. Proxy husogeza transport sessions na application sessions dhidi ya kila moja. Tofauti hizo za muda zinaweza kupimika, iwe client yuko karibu au mbali na proxy. Hili halitatuliwi kwa kubadilisha header tu.

Hitimisho: si jina la protokali linaloamua, bali tabia yote ya setup.

Shadowsocks si VPN ya kawaida

Shadowsocks mara nyingi huwekwa kwenye kundi la VPN. Kwa mazungumzo ya kila siku inaeleweka, lakini kitaalamu si sahihi.

Shadowsocks ni encrypted proxy iliyoegemea kwa kiasi kwenye SOCKS5. Client ya ndani hutoa proxy kwa applications, husimba traffic na kuituma kwa remote Shadowsocks server. Server hufungua ombi, huunganisha na destination halisi na kurudisha majibu kupitia njia iliyosimbwa.

Hii ni nyepesi kuliko VPN kamili. Shadowsocks haipitishi operating system nzima ndani ya tunnel kiotomatiki. Ni zana ya kupitisha traffic iliyochaguliwa kupitia njia nyingine. Kwa clients na vipengele vya ziada, inaweza kufanana na VPN, lakini msingi wake unabaki proxy, si site-to-site VPN.

Kwa administrators:

  • Shadowsocks haibadili IPsec site-to-site iliyosanidiwa vizuri.
  • Shadowsocks si kinga ya kichawi dhidi ya detection zote.
  • Shadowsocks ni muhimu unapohitaji encrypted proxy rahisi na ya haraka kutoka mtandao wenye vizuizi.

Shadowsocks imeendelea kiufundi. Setup za zamani zenye stream ciphers si kipimo cha leo. Deployments za sasa zinapaswa kuwa kwenye AEAD, na Shadowsocks 2022 huongeza pre-shared symmetric keys, BLAKE3-based derivation, replay protection na maboresho mengine. Lakini haina Forward Secrecy kulingana na specification. Key ikivujishwa, rotation safi ni lazima.

shadowsocks-rust ni implementation ya kisasa inayoweza pia kuendeshwa kwa Docker. Upande wa server kuna ssserver, upande wa client sslocal. Kinachohitajika si password yoyote tu, bali secrets zilizozalishwa vizuri, port inayofikika, cipher za sasa na uamuzi wa TCP, UDP au zote mbili.

Kwa nini Xray-core ni aina nyingine

Xray-core si “Shadowsocks mpya” tu. Ni framework kwa matukio ya proxy na tunnel.

Xray inaweza kuchanganya inbound na outbound protocols kama VLESS, VMess, Trojan, Shadowsocks, WireGuard, Hysteria, SOCKS na HTTP. Juu yake kuna transports kama RAW, WebSocket, gRPC, XHTTP au Hysteria, pamoja na TLS, REALITY au XTLS Vision. VMess bado ipo kwenye setup za zamani, lakini kwa deployments mpya ni legacy zaidi; VLESS ndiyo mara nyingi msingi wa Xray ya sasa.

Shadowsocks ni screwdriver ya haraka. Xray ni toolbox. Inaweza kujenga setup rahisi au chain ambapo local SOCKS/TUN client inapokea traffic, kuituma kupitia VLESS na REALITY kwenda server, kisha kutoka Internet kupitia outbound freedom.

VLESS si camouflage yenyewe. Ni proxy protocol nyepesi yenye UUID authentication. Siri na camouflage halisi hutoka kwenye transport na security layer chini yake, kama TLS, REALITY au XTLS Vision.

REALITY inavutia kwa sababu haifanyi “TLS nyingine” tu. Kwa nje, server hukopa TLS handshake ya tovuti halisi ya HTTPS ya mtu mwingine. Kwa mtazamaji, inaonekana kama certificate halisi ya tovuti halisi, si proxy certificate ya kujitengenezea. Client aliyeidhinishwa pekee hutambua, kupitia key material iliyosanidiwa, kwamba anaongea na Xray server yake.

Hii inalenga hasa server-side TLS fingerprinting na active probing. uTLS husaidia upande wa client kwa kuiga browser Client Hellos. Lakini Xray si invisibility cloak: timing, packet sizes, ALPN, tabia ya server na nested TLS patterns bado zinaweza kutoa ishara. XTLS Vision na XHTTP ni blocks muhimu, si guarantee. Padding kidogo haisaidii sana ikiwa pattern kuu inaonekana.

Njia za UDP kama Hysteria au QUIC zinaweza kuwa za haraka, lakini kwenye mitandao yenye vizuizi mara nyingi hupunguzwa kasi au kuzuiwa kuliko TCP/443 ya kutoka. Hivyo Xray inahitaji nidhamu: pin versions, test changes, soma release notes na usinakili ushauri wa forum bila kuelewa.

Kuchanganyikiwa kwa forks na majina

Ukitafuta, utakutana haraka na blog posts za zamani, GitHub forks na clients zisizotunzwa kikamilifu. Hii inatokana na historia ya zana hizi.

Shadowsocks ni protocol na ecosystem yenye implementations kadhaa. shadowsocks-rust ni chaguo la kawaida leo kwa server ya kisasa. Implementations za zamani kama shadowsocks-libev bado zinajulikana, lakini kulingana na status ya project zinaweza kuwa legacy au bugfix-oriented.

ShadowsocksR ilikuwa fork yenye mawazo ya ziada ya obfuscation. SSR bado ipo kwenye guides nyingi za zamani. Leo ningekuwa mwangalifu: si kwa sababu kila installation ya zamani ni mbaya, bali kwa sababu client, server, crypto, updates na community lazima zikaguliwe.

Xray-core ilitoka kwenye mazingira ya V2Ray, lakini imeendelea kivyake. Tutorial za zamani za V2Ray hazipaswi kuhamishwa moja kwa moja kwenda Xray. Dhana zingine zinafanana, lakini configurations, features na recommendations zimebadilika.

V2Fly bado ni muhimu kama project ya community iliyo conservative zaidi. Xray-core inasukuma features kama REALITY, XTLS Vision na XHTTP kwa kasi zaidi. Pia kuna sing-box kama platform ya kisasa inayokusanya protocols nyingi. Hapa nazingatia Xray, lakini kwenye lab ningeangalia pia sing-box.

Ushauri wa vitendo:

  • Kwa setup rahisi mpya: Shadowsocks na implementation ya sasa.
  • Kwa mitandao migumu: Xray-core yenye design safi na ya sasa.
  • Kwa guides za zamani za SSR au V2Ray: kagua kwanza status na security.
  • Kwa customer production: usinakili setup bila kuielewa.

Kinachohitajika pande zote mbili

Setup ndogo ina pande mbili.

Upande wa mbali, unahitaji server nje ya mtandao wenye vizuizi: VPS, server yako au infrastructure inayodhibitiwa kwenye region inayofikika kutoka kwa customer site. Server lazima iwe hardened, patched, monitored na documented. Instance ya bei rahisi iliyosahaulika ni risk ya muda mrefu.

Upande wa client, unahitaji program inayofaa: kwa Shadowsocks mara nyingi local SOCKS client au app inayoweka system proxy; kwa Xray inaweza kuwa Xray client, TUN mode, router setup au app inayoiingiza profiles.

Pia unahitaji:

  • lengo lililo wazi
  • authentication safi
  • software versions za sasa
  • DNS inayodhibitiwa
  • logging bila data za wateja zisizo lazima
  • monitoring ya reachability
  • mpango wa rotation kwa servers, ports na secrets
  • ukaguzi wa sheria na mkataba

Pointi ya mwisho ni muhimu. Katika baadhi ya nchi matumizi ya zana hizi yanaweza kuwa tatizo kisheria. Katika kampuni pia lazima ijulikane kama unafungua mifumo yako, unaendesha customer networks au unatoa Internet access ya jumla.

DNS mara nyingi hudharauliwa. Ikiwa browser au OS bado inaresolve domains kupitia provider wa ndani, tunnel inasaidia nusu tu. Content inaweza kupitia proxy, lakini DNS query bado inaonyesha destination. Lazima ujaribu DNS path, IPv6 na nini hutokea tunnel ikikatika.

Logging nayo ni sensitive. Kwa troubleshooting unataka kujua tunnel iko hai; kwa privacy unataka kuhifadhi kidogo. Setup nzuri hukusanya technical state, latency, error rates na volume, si connection lists kamili. Debug logs, TLS keylogs na access logs zisizofichwa hazipaswi kubaki production.

Monitoring lazima ijaribu path halisi kupitia tunnel, DNS sahihi, blocks za regions fulani na tofauti kati ya mtazamo kutoka nchi iliyoathirika na ofisini.

Ningeliweka vipi kiutendaji

Kwangu Shadowsocks au Xray si mbadala wa firewall architecture, Zero Trust, MFA au segmentation safi. Ni transport tools kwa special cases.

Njia ya kampuni inayofaa:

  1. Kwanza jaribu SSL VPN, IPsec au WireGuard.
  2. Ikizuiwa, pima DNS, port, protocol, server IP, TLS fingerprint na UDP throttling.
  3. Kisha jaribu Shadowsocks au Xray-core.
  4. Tumia tunnel kwa destinations zinazohitajika tu.
  5. Chuja upande wa server huduma za ndani zinazofikika.
  6. Jenga monitoring ili usisikie kwanza kutoka kwa customer.
  7. Kuwa na fallback: exit ya pili, provider mwingine, region nyingine au protocol nyingine.
  8. Tenganisha secrets na profiles kwa site au user.
  9. Jenga logs na metrics zinazotosha operation bila kukusanya traces zisizo lazima.

Mteja akipoteza access, ni rahisi kufurahia “angalau inafanya kazi tena”. Lakini baada ya hapo lazima usafishe na uandike documentation. Vinginevyo workaround ya muda huwa production path isiyoonekana.

Kwa nini blockades hufuatilia

Upande mwingine hubadilisha detection kila wakati.

Watu wengi wakitumia Docker Compose ile ile, port ile ile, TLS fingerprint ile ile, domain strategy ile ile na VPS provider yule yule, pattern itaonekana. Kinachozuiwa si “Xray” au “Shadowsocks” kwa ujumla, bali pattern maalum: handshakes, packet sizes, IP ranges, clients za kawaida, fallbacks mbovu au error responses za ajabu.

Camouflage si feature ya tool tu. Camouflage ni operation: zana zilezile na domains tofauti, providers tofauti, profiles tofauti na traffic patterns tofauti zinaweza kuonekana tofauti sana.

Ndiyo maana niko makini na claims za projects. Tool ikisema haiwezi kutambuliwa, hiyo ni claim ya project. Paper ikionyesha feature fulani ilitambuliwa kwenye network halisi, hiyo ina uzito mwingine. Kwa practice unahitaji vyote: innovation ya projects na sobriety ya research.

Tathmini yangu

Shadowsocks inafaa unapohitaji encrypted proxy nyepesi, ya haraka na rahisi kiasi: tests za kwanza, access ya muda na environments zisizo na detection kali sana.

Xray-core inafaa mtandao ukiwa mgumu zaidi, ukiitaji transports kadhaa au ukitaka kutumia VLESS, REALITY, WebSocket, gRPC au XHTTP. Lakini inahitaji uelewa zaidi na haisamehe misconfiguration kirahisi.

Kwa customer environments, nisingeiuza kama “VPN replacement”. Ningeieleza kama alternative transport path kwa legitimate access. Si ya kusisimua sana, lakini ni ya ukweli zaidi.

Tofauti muhimu si Shadowsocks dhidi ya Xray, bali kama ninaelewa tatizo ninalotatua. Kwa remote access ya kawaida, natumia VPN ya kawaida. Kwa state au provider protocol detection, lazima nizungumzie recognizability, fingerprints na operational strategy. Kama siwezi kueleza vizuri, sipaswi kuiendesha production kwa wateja.

Hitimisho

Shadowsocks na Xray-core ni zana kutoka ulimwengu ambako connections hazifanyi kazi tu au kushindwa tu. Wakati mwingine zinaclassified, zinapunguzwa kasi, zinajaribiwa actively au zinazuiwa. Mtu yeyote anayehudumia wateja wa kimataifa atakutana na ukweli huo.

Ninapenda mada hii kwa sababu inafanya networking kuwa halisi: encryption, patterns, fingerprints, routing, DNS, operations, law, responsibility na ukweli kwamba tunnel inayofanya kazi si lazima iwe design nzuri.

Hatua inayofuata kwangu iko wazi: nataka kujaribu Shadowsocks na Xray-core kwenye lab ndogo. Si kwa kupita censorship bila kufikiri, bali kuelewa kwa nini VPN za kawaida wakati mwingine huonekana na ni alternatives gani zinaweza kuendeshwa kwa umakini wa kiufundi.

Tutaonana wakati ujao,
Joe

FAQ

Je, Shadowsocks ni VPN?
Si kwa maana ya kawaida. Shadowsocks ni encrypted proxy. Kulingana na client na OS, inaweza kutumika kama VPN, lakini kitaalamu si IPsec, SSL VPN au WireGuard.
Je, Xray-core ni bora kuliko Shadowsocks?
Si kila mara. Xray-core ni flexible zaidi na inaweza kuchanganya protocols, transports na camouflage. Shadowsocks ni rahisi na nyepesi zaidi. Inategemea network, risk na operation effort.
Inaweza kuendeshwa tu na Docker?
Ndiyo, Shadowsocks na Xray-core zinaweza kuendeshwa na Docker. Lakini kwa customer production, container haitoshi: unahitaji updates, monitoring, secrets management, firewall rules, logs, DNS na plan ya blockades.
Vipi kuhusu ShadowsocksR?
ShadowsocksR ilikuwa fork ya kihistoria yenye mawazo ya ziada ya obfuscation. Kwa setup mpya za production, singechagua SSR leo kwa sababu maintenance, standardization na security posture zinaonekana dhaifu kuliko approaches za sasa za Shadowsocks au Xray.
Je, imehakikishwa kuwa haionekani?
Hapana. Hakuna tool inayohakikisha traffic haitatambuliwa au kuzuiwa. Filters za kisasa zinaweza kutathmini signatures, metadata, packet patterns, server IPs, active probes na tabia isiyo ya kawaida.
Vyanzo

Machapisho yanayohusiana

Sophos Connect: kwa nini admins hawapaswi kufukuza blog posts

Sophos Connect: kwa nini admins hawapaswi kufukuza blog posts

Patchday katika enzi ya AI: kasi inaongezeka

Patchday katika enzi ya AI: kasi inaongezeka

Kutoka PRISM hadi Prompts: Utegemezi mpya wa AI

Kutoka PRISM hadi Prompts: Utegemezi mpya wa AI

Tafuta