Shadowsocks

Shadowsocks — це відкритий, зашифрований протокол проксі SOCKS5, розроблений насамперед для обходу інтернет-цензури шляхом маскування трафіку під звичайний HTTPS. Він функціонує як легкий, гнучкий та високоефективний інструмент для безпечного доступу до інтернету, особливо в регіонах зі складними системами фільтрації мережі.

Вступ до Shadowsocks

Shadowsocks виник у Китаї як відповідь на "Великий китайський файрвол" (GFW) і перетворився на широко прийняте рішення для обходу цензури. На відміну від традиційних VPN, Shadowsocks розроблений таким чином, щоб бути менш виявлюваним системами глибокої перевірки пакетів (DPI), які часто ідентифікують та блокують поширені протоколи VPN. Він досягає цього шляхом шифрування користувацького трафіку та маскування його під легітимний веб-трафік, такий як стандартний HTTPS.

Архітектурний огляд

Shadowsocks використовує архітектуру клієнт-сервер:

1. Клієнт Shadowsocks: Встановлюється на пристрої користувача (комп'ютер, мобільний телефон). Він перехоплює трафік локальних програм, шифрує його та пересилає на сервер Shadowsocks.
2. Сервер Shadowsocks: Розміщується на віддаленому сервері, зазвичай у регіоні з необмеженим доступом до інтернету. Він розшифровує трафік від клієнта та пересилає його до призначеного місця призначення в інтернеті. Відповіді з інтернету потім шифруються сервером і надсилаються назад клієнту.

Основна функціональність ґрунтується на проксі SOCKS5, який працює на прикладному рівні. Це дозволяє маршрутизувати трафік певних програм або загальносистемний трафік через зашифрований тунель.

Як працює Shadowsocks

Протокол Shadowsocks інтегрує шифрування безпосередньо в потік даних проксі SOCKS5, а не встановлює окремий VPN-тунель.

1. На стороні клієнта:
   • Програма на пристрої користувача налаштовується на використання локального проксі SOCKS5 (наприклад, 127.0.0.1:1080).
   • Клієнт Shadowsocks отримує цей трафік.
   • Він шифрує запит SOCKS5 та його корисне навантаження за допомогою попередньо узгодженого ключа та шифру AEAD (Authenticated Encryption with Associated Data), такого як AES-256-GCM або ChaCha20-Poly1305.
   • Зашифровані дані потім інкапсулюються та надсилаються на сервер Shadowsocks.
2. На стороні сервера:
   • Сервер Shadowsocks прослуховує вказаний порт.
   • Після отримання зашифрованих даних він розшифровує їх за допомогою того ж попередньо узгодженого ключа та шифру.
   • Розшифрований запит SOCKS5 потім пересилається до місця призначення в інтернеті.
   • Відповіді з інтернету отримуються сервером, шифруються та надсилаються назад клієнту.
3. Відсутність чіткого рукостискання: Ключовим аспектом дизайну Shadowsocks є відсутність чіткого рукостискання протоколу. Цей безстановий дизайн ускладнює автоматизованим системам ідентифікацію шаблонів трафіку Shadowsocks шляхом аналізу початкових послідовностей з'єднання, що відрізняє його від багатьох протоколів VPN, які мають ідентифіковані рукостискання.

Ключові принципи дизайну

• Легкість: Shadowsocks розроблений для мінімальних накладних витрат, забезпечуючи високу продуктивність, придатну для додатків реального часу та великих передач даних.
• Гнучкість: Він підтримує різні методи шифрування, дозволяючи користувачам вибирати шифри на основі вимог безпеки та міркувань продуктивності.
• Ухилення: Основна мета дизайну — уникнути виявлення мережевими брандмауерами. Поєднуючи шифрування з обфускацією трафіку (часто за допомогою плагінів), він маскує свою присутність, ускладнюючи системам DPI відрізнення його від звичайного зашифрованого веб-трафіку.

Shadowsocks проти VPN

Хоча Shadowsocks і традиційні VPN сприяють безпечному доступу до інтернету та обходу цензури, їхні операційні моделі та характеристики суттєво відрізняються.

Розгортання та конфігурація

Конфігурація на стороні сервера

Сервер Shadowsocks зазвичай розгортається на віртуальному приватному сервері (VPS) на базі Linux. Поширеними є реалізації shadowsocks-libev або shadowsocks-rust.

Приклад config.json для ss-server:

{
    "server": "0.0.0.0",
    "server_port": 8388,
    "password": "your_strong_password",
    "method": "aes-256-gcm",
    "timeout": 300,
    "fast_open": true,
    "plugin": "obfs-server",
    "plugin_opts": "obfs=tls;failover=www.google.com"
}

• server: Прослуховує всі інтерфейси.
• server_port: Порт, який прослуховує сервер.
• password: Попередньо узгоджений ключ для шифрування.
• method: Шифр шифрування (наприклад, aes-256-gcm, chacha20-poly1305).
• plugin: Необов'язковий плагін обфускації (наприклад, obfs-server для simple-obfs).
• plugin_opts: Опції для обраного плагіна.

Конфігурація на стороні клієнта

Клієнти Shadowsocks доступні на різних платформах (Windows, macOS, Linux, Android, iOS). Конфігурація зазвичай передбачає надання адреси сервера, порту, пароля, методу шифрування та будь-яких деталей плагіна.

Приклад команди ss-local для Linux:

ss-local -s your_server_ip -p 8388 -l 1080 -k your_strong_password -m aes-256-gcm --plugin obfs-local --plugin-opts "obfs=tls;obfs-host=www.google.com" -f /var/run/shadowsocks-local.pid

• -s: IP-адреса або ім'я хоста сервера.
• -p: Порт сервера.
• -l: Локальний порт прослуховування проксі SOCKS5 (наприклад, 1080).
• -k: Пароль.
• -m: Метод шифрування.
• --plugin: Плагін обфускації (наприклад, obfs-local для simple-obfs).
• --plugin-opts: Опції плагіна.

Після запуску клієнта програми можна налаштувати на використання SOCKS5 proxy: 127.0.0.1:1080.

Методи обфускації (плагіни)

Щоб протистояти передовим методам DPI, Shadowsocks часто використовує плагіни, які додатково обфускують зашифрований трафік, роблячи його схожим на поширені, легітимні протоколи.

• simple-obfs: Цей плагін може маскувати трафік Shadowsocks під звичайний HTTP або TLS трафік.
  • obfs=http: Трафік імітує стандартні HTTP-запити.
  • obfs=tls: Трафік імітує TLS-рукостискання та дані, часто виглядаючи як легітимний HTTPS.
• v2ray-plugin: Цей плагін пропонує більш розширену обфускацію, включаючи:
  • WebSocket over TLS: Інкапсулює трафік Shadowsocks у з'єднання WebSocket, які потім захищаються TLS. Це робить трафік невідрізним від типового зашифрованого веб-трафіку до CDN або хмарного сервісу.
  • HTTP/2 over TLS: Аналогічно WebSocket, але використовує протокол HTTP/2.

Ці плагіни є критично важливими в середовищах, де навіть зашифрований трафік, який не відповідає очікуваним шаблонам, може бути ідентифікований та заблокований. Вони працюють шляхом додавання зовнішнього шару заголовків та шаблонів легітимного вигляду протоколу навколо зашифрованого корисного навантаження Shadowsocks.

Міркування щодо безпеки

• Сила шифрування: Shadowsocks покладається на сильні, сучасні шифри AEAD, забезпечуючи конфіденційність та цілісність даних користувача під час передачі.
• Дизайн протоколу: Безстановий характер та відсутність чіткого рукостискання зменшують його вразливість до активного зондування та виявлення на основі шаблонів.
• Довіра до сервера: Безпека з'єднання Shadowsocks значною мірою залежить від надійності оператора сервера. Сервер розшифровує та повторно шифрує весь трафік, що означає, що оператор сервера має доступ до незашифрованих даних.
• Аналіз трафіку: Хоча Shadowsocks шифрує дані та може обфускувати свій підпис протоколу, він не забезпечує анонімності за своєю суттю. IP-адреса сервера відома, і складний аналіз трафіку потенційно може корелювати шаблони трафіку, особливо якщо він не поєднується з іншими рівнями анонімізації (наприклад, Tor).
• Конфігурація: Правильна конфігурація, включаючи надійні паролі та актуальні методи шифрування, є критично важливою для підтримки безпеки. Застарілі шифри або слабкі паролі можуть скомпрометувати з'єднання.