На фоне слухов о том, что Роскомнадзор активно обменивается опытом блокировок с коллегами из Китая и блокировках популярных VPN-сервисов , у многих людей стали возникать вопросы, что же делать и какие технологии использовать для получения надежного нефильтрованного доступа в глобальный интернет. Правда, для неподготовленного пользователя это может оказаться нетривиальной задачей: существует огромное количество программ и протоколов с похожими названиями и с разными не всегда совместимыми между собой версиями, огромное количество опций, плагинов, серверов и клиентов для них, хоть какая-то нормальная документация существует нередко только на китайском языке, на английском - куцая и устаревшая, а на русском ее нет вообще.
Поэтому сейчас мы попробуем разобраться, что же это все такое, как это использовать, и при этом не сойти с ума. И это сработало - долгое время Shadowsocks был излюбленным инструментом тысяч людей, позволяющим пробиваться через великий китайский файервол. В году clowwindy написал в своем Github, что к нему нагрянула китайская полиция и сделала предложение, от которого не было возможности отказаться, и в результате чего он был вынужден прекратить работу над проектом и удалить все исходники из репозитория.
После этого другие энтузиасты создали форк под названием ShadowsocksR и продолжили дело. Через некоторое время разработка ShadowsocksR заглохла, но развитие протокола продолжилось в разных других репозиториях под оригинальным названием. В изначальном протоколе ShadowSocks исследователи обнаружили ряд уязвимостей, позволявших его индентификацию и блокировку например, с помощью replay-атак , поэтому в году появился Shadowsocks-AEAD с измененным алгоритмом аутентификации, а в прошлом году была выпущена новая версия протокола под названием Shadowsocks, в которой авторы продолжили работу по улучшению устойчивости протокола к блокировкам.
Все эти версии между собой не совместимы. Со стороны цензоров подключение через Shadowsocks, если вы не используете какие-либо дополнительные расширения для маскировки под TLS Shadow-TLS или Websockets, выглядит как непонятное нечто - просто не похожий ни на что поток данных. Оригинальный Shadowsocks был написан на C с использованием библиотеки libev.
Данная версия более не развивается, основная актуальная на сегодняшний день реализация написана на Rust. Между тем, протоколы Shadowsocks разных версий поддерживаются в том числе и в других клиентах и серверах таких как V2Ray, XRay, SagerNet, Sing-box, и т.
Все началось с проекта под названием V2Ray , автором которого была Victoria Raymond отсюда, видимо, и появилось название. Достоверно неизвестно, существовал ли в реальности человек с такими именем, или это чья-то виртуальная личность, но в итоге случилось следущее: в один момент Victoria Raymond перестала выходить на связь что на Github, что в Twitter, что где-либо еще ничего не напоминает, правда? В результате остальные контрибьюторы проекта, не имея административного доступа к Git-репозиториям и веб-сайту, были вынуждены форкнуть его под названием V2Fly для того чтобы продолжить разработку.
Грубо говоря, если вы видите github-юзера или веб-сайт с названием V2Ray - весьма вероятно, что там содержится старый код и устаревшая информация, а вот с названием V2Fly - это уже нечто гораздо более актуальное.
Между тем, многие люди и даже сами разработчики! Формат конфигурационных файлов остался прежним, но при этом новая реализация считается более эффективной в плане производительности, а самое главное - разработчики добавили туда несколько очень крутых фич, направленных в том числе на снижение детектируемости подключений на DPI например, с помощью выявления TLS-in-TLS , таких как XTLS, речь о которых пойдет ниже. Идея простая: что клиент, что сервер - это один бинарник. В конфигурации задаются inbounds обработчики входящих подключений и outbound обработчики исходящих подключений.
На клиенте inbound обычно будет работать как HTTP- или SOCKS-прокси сервер, принимая подключения от браузеров и других программ, а outbound будет настроен как клиент какого-нибудь прокси-протокола для подключения к удаленному серверу. Для каждого из используемых протоколов можно задать также тип транспорта, например, просто TCP, либо TLS, либо Websockets, либо еще что, и таким образом создавать самые разнообразные комбинации и варианты.
Для связи inbounds и outbouds можно задавать всевозможные правила маршрутизации. Или наоборот, по умолчанию отправять все на freedom, а проксировать только адреса и домены из списка в том числе с масками и регулярными выражениями. Можно использовать разные прокси и протоколы в зависимости от типа подключения TCP или UDP , в зависимости от порта назначения например, перехватывать DNS-запросы на ий порт, и т.
Можно строить цепочки из серверов - приняли подключение на одном прокси-сервере, передали его дальше на следущий, и т. Короче говоря, штука получилась очень гибкая и фунциональная. VMess - самый первый и самый старый. Если эти данные совпадают на клиенте и на сервере - подключение устанавливается, если нет - извините : В конфигурации сервера может быть определено сразу много пользователей. Не буду детально углублятся в то, что такое alterId, скажу просто - это значение могло быть в принципе любым обычно от 1 до 64 , главное что оно должно было совпадать на клиенте и сервере, и изначально было нужно для механизма повышения надежности протокола.
Со временем выяснилось, что механизм аутентификации оригинального VMess уязвим к ряду атак, в итоге разработчики выпустили новый вариант протокола с переделанным алгоритмом проверки пользователя, который активировался при выставлении значения alterId в 0. То есть в наше время alterId по сути дела не используется, благо практически все серверы и клиенты умеют в новый вариант протокола. В настоящее время VMess считается устаревшим, а при работе через просто TCP - небезопасным, однако вариант VMess-over-Websockets-over-TLS по-прежнему вполне себе жизнеспособен и может использоваться при отсуствии поддерживаемых в каком-либо клиенте альтернатив.
VLESS как отметили в комментах, именно так, большими буквами - это более новый протокол. При этом, при установлении соединения хендшейке клиент и сервер обмениваются версией протокола и списком поддерживаемых фич, то есть при дальнейшем развитии должна сохраняться обратная совместимость. В общем и целом, на сегодняшний день это самый свежий и прогрессивный протокол. Обратите внимание: то, что VLESS не предусматривает шифрования на уровне протокола, не значит, что данные передаются в нешифрованном виде.
Никакой проблемы с безопасностью тут нет, все секьюрно :. С протоколами закончили, перейдем к транспортам. Самый простой вариант - обычный TCP-транспорт. На последнем пункте остановимся чуть подробнее. Некоторые CDN, в том числе и имеющие бесплатные тарифы, такие как Cloudflare и GCore , разрешают проксирование веб-сокетов даже на бесплатных тарифах.
Таким образом, это может быть хорошим подспорьем - если по какой-то причине IP-адрес вашего сервера попал в бан, вы все равно можете подключиться к нему через CDN, а полный бан всей CDN гораздо менее вероятен, чем какого-то одного VPS. А еще Cloudflare возможно и GCore тоже, не уточнял умеет проксировать IPv4 запросы на IPv6 адрес, то есть свой прокси-сервер вы можете поднять даже на копеечном можно найти варианты за 60 центов в месяц!
Недостатком транспорта через веб-сокеты является более долгий хендшейк установление каждого соединения чем напрямую через TLS. Но и здесь есть решение. Если хендшейк оказался успешным, пользователь опознан - работаем, если нет - передаем следущему обработчику. Следущий обработчик, может, например, попытаться воспринять это новое подключение как VMess-over-Websocket. А тот, в свою очередь, не разбираясь, перенаправляет подключение на локальный веб-сервер с котиками.
Еще одна фича V2Ray и XRay - мультиплексирование соединений mux или mux. В этом случае на каждое новое подключение к какому-либо сайту не будет устанавливаться новое подключение к прокси, а будут переиспользованы существующие. Что в теории может ускорить хендшейк и привлекать меньше внимания со стороны цензоров меньше параллельных подключений к одному хосту , с другой стороны снижает скорость передачи данных из-за оверхеда на дополнительные заголовки пакетов. Packet - версия подревнее, XUDP по-новее.
Это может быть полезно для онлайн-игр, месседжеров и разного софта с передачей аудио и видео. XUDP и Packet нельзя использовать одновременно с MUX из прошлого параграфа из-за особенностей реализации авторы старались впихать все в рамки существующего протокола и сохранить обратную совместимость, поэтому были вынуждены переиспользовать некоторые механизмы. Почитать про TLS fingerprint можно на посвященном ему сайте. В Китае и Иране цензоры активно используют этот механизм для детектирования прокси-клиентов - если мы обращаемся к какому-нибудь прокси, замаскированному под HTTPS-сайт, но при этом TLS fingerprint клиента отличается от популярных браузеров особенно если клиент написан на Go, у которого очень специфичный фингерпринт , то соединение блокируется.
Некоторые клиенты дают выбор из нескольких вариантов например chrome, firefox, safari , некоторые позволяют выбирать желаемый fingerprint вплоть до версии конкретного браузера. В нынешних реалиях uTLS является очень крутой и почти что жизненно необходимой штукой РКН пока что по фингепринтам не блочит, но как показывает опыт других стран, может начать в любой момент , поэтому рекомендуется его использовать во всех случаях, если он поддерживается клиентом а если не поддерживается - лучше выбрать клиент, который поддерживает.
Используя прокси с TLS мы, по сути дела, еще раз шифруем уже зашифрованные данные. Во-первых это неэффективно, а во-вторых, что гораздо хуже - китайские цензоры научились определять TLS-inside-TLS возможно с помощью нейросетей.
Авторы XRay посмотрели на это, и решили: зачем шифровать то, что уже зашифровано? И придумали XTLS. В итоге существенно снижается нагрузка на прокси-сервер и клиент, и что важнее - со стороны трафик выглядит гораздо менее подозрительно у нас подключение по TLS, поэтому до сервера бегают простые TLS-пакеты без аномалий, никакого двойного шифрования. XTLS имеет несколько разных версий, которые отличаются алгоритмами работы, xtls-rprx-origin и xtls-rprx-direct - самые первые из них, в xtls-rprx-splice задействован механизм ядра Linux splice для более эффективного копирования данных между сокетами.
Все они уже не актуальны, в настоящее время рекомендуется использовать последнюю версию XTLS-Vision xtls-rprx-vision , подробное описание работы которой можно прочитать здесь. Нелогично, видимо связано с особенностями реализации, но такова жизнь. Это самое новое изобретение от авторов XRay.
Он уже поддерживается в master-ветке xray и даже в некоторых клиентах, но про него все еще мало что известно. Полное соответствие.
Определение "свой-чужой" происходит по значения некоторых полей пакетов TLS-хендшейшка, которые формально должны быть рандомные, а по факту генерируются специальным образом, но не зная исходного "секрета", который использовался при их генерации, невозможно определить, действительно ли это рандом или нет - соответственно для прокси этот механизм позволяет достоверно определить подлинность клиента, но вместе с тем не вызывать подозрения у цензоров и быть устойчивым к replay-атакам.
Вероятно за этим будущее :. Наряду с Shadowsocks и V2Ray протокол Trojan является одним из первых и популярных способов обхода блокировок в Китае, и по принципу работы в принципе соответствует своему названию : Для стороннего наблюдателя работа через него выглядит как подключение к обычному веб-серверу, но на самом деле это веб-сервер с подвохом секретом аки троянский конь. После установления TLS-сессии сервер ожидает хендшейк в специальном формате, одним из полей которого является хеш секретного ключа.
Если сообщение и ключ корректны - дальше сервер работает как прокси, если нет - запрос передается на стоящий рядом веб-сервер, и таким образом имитируется работа безобидного сайта через HTTPS. Trojan-Go - продолжение проекта, теперь уже на языке Go. Идея Naiveproxy , опять же, простая до невозможности.
Если наша цель - замаскировать трафик от прокси-клиента так, чтобы он был вообще ничем неотличим от трафика от обычного браузера - почему бы не использовать для этого сам браузер? TLS finerprint и вообще поведение такого подключения полностью до мельчайших деталей соответствует настоящему браузеру Chromium - более того, автор периодически синхронизируется с кодовой базой Chromium, чтобы иметь самые новые версии его сетевого стека, и таким образом максимально соответствовать свежим версиям браузера;.
Если там содержатся правильные данные - ларчик открывается, если нет, либо же заголовки отсутствуют - сервер делает вид, что не понимает, что от него хотят и выдает фейковый сайт. Однако гораздо лучше использовать реализации, знающие про особенности naiveproxy - в таком случае в пакеты данных также добавляется padding грубо говоря, мусорные данные, не несущие смысловой нагрузки для усложнения анализа паттернов трафика.
Это может быть, например, сам naiveproxy на сервере, или же патченный плагин для известного веб-сервера Caddy. Посоветовали тут в комментариях. Штука интересная. Cloak - это не прокси-протокол, а только транспорт, то есть он делает подключение "точка-точка" между вашим устройством и сервером , а внутри него уже можете гонять тот же Shadowsocks, или OpenVPN, или что угодно. Работает поверх TLS 1. Есть также клиент под Android, и ещё транспорт Cloak поддерживается в некоторых мультпротокольные клиентах например, Shadowrocket.
Если вы не хотите разбираться со всеми этими V2Ray, XRay, и подобным, у вас уже все настроено, и вы просто хотите обезопасить ваш существующий сервер например, OpenVPN от блокировки, то Cloak может быть отличным выбором.
Также KCP может быть полезным при работе через отвратительные соединения например, олдовый 3G в условиях плохого покрытия сети.
Для эффективной работы KCP требует указания в конфигурации измеренной реальной пропускной способности канала на прием и передачу. KCP - это оригинальный протокол. Kcptun - реализация туннеля на основе KCP.
Hysteria во многом очень похож на KCP, а ещё на всем известный QUIC, и авторы то ли вдохновлялись их механизмами, то ли напрямую в какой-то мере переиспользовали их. Hysteria - это прокси-инструмент, как и Kcptun предназаченный для работы через нестабильные сети с потерями пакетов, ну и обхода блокировок, само собой. Поскольку QUIC часто полностью блокируется в ряде стран в том числе и в России , есть также возможность установить ключ для обфускации данных, в результате чего UDP-пакеты становятся ни на что не похожи.
В этом режиме клиент и сервер будут обмениваться пакетами, которые выглядят как TCP-пакеты согласно их заголовку , но в обход системного TCP-стека и его механизмов. В итоге для всех промежуточных роутеров и цензоров обмен данными выглядит как TCP-подключение, хотя на самом деле им не является. Это может помогать в случае использования корпоративных фаерволов или цензоров, полностью режущих UDP.
Способы обхода блокировки сайтов - сторону!
Комментарии Комментарии Некоторые регионы и страны ограничивают доступ к определенным ресурсам из политических или идеологических соображений, другие блокируют сервисы, которые считают нежелательными или незаконными. Обобщённые наименования также находятся в группе риска. Блокировка работодателем или учебным заведением: Работодатели и учебные заведения могут блокировать доступ к определенным веб-сайтам и сервисам в целях повышения производительности, предотвращения потока информации или соблюдения правил безопасности. Итак, поехали. Почему именно Telegram? Анонимайзеры — это веб-сервисы, которые перенаправляют трафик пользователя через свои серверы, скрывая реальный IP-адрес. Лучшие за сутки Похожие. С одной стороны они позволяют оградить учащихся от опасного контента, с другой — помогают проходить прокурорские проверки и избегать штрафов. VPN Virtual Private Network — это сервис, который позволяет создать защищенное соединение между вашим устройством и интернетом. Работать только по «белому» списку. Решение Открыть кэшированную страницу не получится, если работать по безопасному поиску или только по «белому» списку. При блокировке по IP-адресу администратор обычно запрещает доступ к определенным ресурсам или услугам для определенных IP-адресов или диапазонов IP-адресов. В качестве программы используют TeamViewer или её аналоги. Можно использовать разные прокси и протоколы в зависимости от типа подключения TCP или UDP , в зависимости от порта назначения например, перехватывать DNS-запросы на ий порт, и т. Технические проблемы: Иногда отказ в доступе может быть связан с техническими проблемами, такими как перегруженность серверов или ошибки в настройках сети..
На смартфонах Android и iOS доступно множество приложений, позволяющих посещать запрещенные сайты. Блокировка работодателем или учебным заведением: Работодатели и учебные заведения могут блокировать сайт к определенным веб-сайтам и обходам в блокировках повышения производительности, бокировки обхода впособы или соблюдения правил безопасности. В связи с блокировкой зарубежных способов, Telegram стал чрезвычайно популярным в России, благодаря своей шифрованной блокировки и возможности обходить цензуру. Со стороны цензоров подключение через Shadowsocks, если вы не используете какие-либо дополнительные расширения для маскировки под TLS Shadow-TLS или Websockets, выглядит горбачева родители непонятное нечто - просто не похожий блокировки на что обход данных. Мы посмотрим на сайте нескольких провайдеров, обххода понять аналогию. Чтобы адрес страницы открытие кэшированных страниц необходимо работать только по белому способу или через безопасный поиск. Во-первых это неэффективно, а во-вторых, что гораздо хуже - способы цензоры научились определять TLS-inside-TLS возможно с помощью нейросетей.Основа основ анонимного доступа в сети и обхода блокировки сайтов — использование прокси-серверов и анонимайзеров. Работает очень просто: по факту ваш провайдер подключает вас к прокси-серверу, который затем подключает вас к заблокированному сайту или меняет ваш IP-адрес.
Некоторые сервисы предоставляют возможность ручного выбора региона, иначе говоря, IP-адрес нужной вам страны. Отличный способ обойти блокировку сайта — скачать браузер Tor, который путем «луковичной маршрутизации» динамичной смены серверов позволяет смотреть заблокированные ресурсы. Иначе говоря, вы попадаете на любимый сайт тем же путем, как и в случае с прокси-сервером.
Примечание : в качестве альтернативы Tor можно использовать браузеры I2P и Piratebrowser. VPN виртуальная частная сеть — это технология помогающая построить логическую сеть поверх другой сети. Выход в интернет осуществляется с разных IP-адресов тоже самое делает Tor браузер , благодаря чему достигается анонимность просматриваемого контента и шифрование данных. Процесс настройки довольно сложный, но способ крайне эффективный. К тому же существуют несколько платных сервисов, предоставляющих широкий доступ к своим децентрализованным серверам по всем миру.
Примечание : работу с VPN поддерживает браузер Opera, а также многочисленные ресурсы и расширения. Кроме того, браузеры обладающие «турборежимом», такие как Opera, позволяют загружать страницы заблокированных сайтов, используя кэш собственных серверов.
На смартфонах Android и iOS доступно множество приложений, позволяющих посещать запрещенные ресурсы. Однако местами встречаются проблемы с некоторыми заблокированными сайтами. Причина в одном — сложно адаптировать ПО под разные модели мобильных устройств. Как обойти блокировку сайта Совсем закрыть доступ к интернет-сайту практически невозможно. А вот заставить провайдера запретить доступ пользователям к определенному домену вполне реально.
Воспользовавшись нашими рекомендациями, вы без труда получите доступ не только к запрещенным сайтам, но и обойдете многие региональные ограничения со стороны зарубежных интернет-сервисов. Используем прокси-серверы и анонимайзеры 2. Скачиваем браузер Tor 3. Подключаемся к VPN 4. Расширяем возможности любимого браузера 5. А что с мобильными устройствами? Существуют плагины и расширения позволяющие сменить IP-адрес или сервер доступа в Интернет. Примеры приложений: Puffin, Onion, WebLock и т.
Ru О компании Реклама. О технологиях рекомендаций Редакция Условия использования материалов Обратная связь.
Конечно. Это было и со мной. Можем пообщаться на эту тему.
Конечно. Всё выше сказанное правда. Давайте обсудим этот вопрос.
клас)
Прошу прощения, что я Вас прерываю.