SS yra originalas, SSR yra trečiosios šalies versija, išvesta iš originalo, suderinama su originaliu protokolu ir turi daugiau kamufliažo funkcijų (protokolo ir painiavos) nei originalas.
Internete taip pat daug diskutuojama apie SSR tiek už, tiek prieš, bet paprastiems vartotojams. Nesvarbu, ar tai SS, ar SSR, šiuo metu tai gali padėti normaliai perlipti per sieną.
Kalbant apie tai, kurią kliento versiją atsisiunčiate, viskas priklauso nuo to, ar SS ar SSR yra įdiegta įsigytos SS paskyros serveryje. Originaliausia SS funkcija gali būti naudojama nesvarbu, kuris klientas atsisiųstas, tačiau jei norite naudoti SSR funkcijas (protokolą ir painiavą), turite atsisiųsti SSR klientą.
Tačiau nesijaudinkite, visi mūsų teikiami mazgai palaiko SS ir SSR suderinamumą. Rekomenduojama naudoti SSR. Greičiau išvengti harmonizacijos!
Prieš kurį laiką kilo daug triukšmo apie "Shadowsocks", o pastaruoju metu aišku, kad daug naujokų pritraukė vadinamasis "Shadowsocks Enhanced" (ShadowsocksR). Kaip mėgėjas, įgyvendinantis "Shadowsocks" C++/Qt, norėčiau trumpai išreikšti savo nuomonę apie šias dvi keptas viščiukus.
ShadowsocksR
Nežinau, ar kūrėjas už jo turi foną ar komandą, bet ką aš žinau, kad jo autorius uždarojo šaltinio Shadowsocks C # klientas savo antrinės plėtros pažeidžiant GPL. Apie kitus veiksnius čia nekalbėsime, faktas yra tas, kad GPL yra labai aiškus juodu ant balto, pažeidimas yra pažeidimas. Tačiau autorius tada atvirojo kodo kodo bazę, kuri gali būti laikoma incidento pabaiga, ir nėra reikalo tęsti toliau.
Viskas pasikeitė po to, kai "Clowwindy" ištuštino savo "Shadowsocks" kodų parduotuvę. Toliau pateikiamas tik faktų sąrašas:
"ShadowsocksR" autorius teigė, kad nori pradėti nuo nulio ir parašyti naują tarpinio serverio įrankį, nesusijusį su "shadowsocksR", ir nebeatnaujins "ShadowsocksR"
Po dviejų ar trijų dienų buvo įsakyta ištrinti "ShadowSocks", o originalus "Shadowsocks" projektas iš esmės dingo
ShadowsocksR autorius teigė, kad originalus shadowsocks protokolas buvo ydingas (aptartas kitame skyriuje) ir grįžo prie dėmesio
"ShadowsocksR" autorius sukūrė "Google+" grupę ir atnaujino su "ShadowsocksR" susijusį kodą
Shadowsocks saugumas
Dabar pradėkime nuo ShadowsocksR autoriaus teiginio, kad Shadowsocks protokolo trūkumas yra tas, kad IV ilgis daugeliu atvejų yra 16 baitų. Antroji pusė yra teisinga, daugelis šifravimo algoritmų naudoja IV, kurie yra 16 baitų ilgio (ypač populiarus AES ir RC4-MD5), taigi ką? Tai nesukelia vadinamųjų "defektų" dėl šių priežasčių:
Kiekvieno TCP ryšio IV rankos paspaudimo etape yra atsitiktinai sugeneruotas, o ne apskaičiuojamas pagal slaptažodį, todėl IV yra nenuspėjamas.
Be rakto, net jei ši IV dalis yra perimta, šifruoto teksto negalima iššifruoti. Ir kiekvienas naujas TCP ryšys naudoja atsitiktinai sugeneruotą IV, tai yra, duomenys, perimti iš skirtingų TCP ryšių, turi mažai bendro. Norint iššifruoti šifruotą tekstą, reikia ir teisingo IV, ir šifras, o bet koks ryšys neturi šifro savybių.
Dauguma IV yra 16 baitų ilgio, o tai yra galimas derinys nuo 256 iki 16 galios, ir neįmanoma brutalios jėgos įtrūkimo, kai visi IV yra vienodi, jau nekalbant apie antrą tašką.
Pagal "ShadowsocksR" požiūrį, prieš pirmąjį ryšį nenaudinga pridėti vadinamąją užmaskavimo antraštę, jos pačios savybės yra akivaizdžios ir visiškai nekeičia vėlesnio IV ar fiksuoto ilgio esmės. Kadangi ketvirtasis baitas nurodo atsitiktinai užpildytų duomenų ilgį, tol, kol praleidžiate ankstesnę krūvą atlikdami vadinamąjį "zondavimą", vis tiek galite perimti IV. Ir kaip sakiau prieš kelis punktus, tai nenaudinga, jei gausite šį atsitiktinį IV. Jei jis naudojamas aptikimui, fiksuota pirmoji logotipo versija yra nuogas bruožas, siunčiamas identifikuoti.
"ShadowsocksR" autorius šiuo metu pateikia aktyvų aptikimo scenarijų, kurį galima naudoti norint nustatyti, ar serveryje veikia "shadowsocks", o pagal dabartines internetines bandymų ataskaitas sėkmės rodiklis nėra mažas (bet ne 100%). Šiuo atžvilgiu "Clowwindy" jau pateikė automatinio uždraudimo sprendimą originalioje versijoje, automatiškai blokuodamas šiuos kenkėjiškus IP. Aš ką tik pridėjo pleistrą į libQtShadowsocks ir šis pleistras blokuoja šio metodo aptikimą, kuris grąžina atsitiktinių eilučių atsitiktinio ilgio pagal atsitiktinę tikimybę.
Tačiau tai nereiškia, kad "ShadowsocksR" protokolas yra tobulas, o kad "ShadowsocksR" "sprendimas" yra kreivas, nes jo dėmesys yra kreivas. Mano asmeninė idėja yra naudoti viešuosius ir privačius raktus saugumui pagerinti, nors tai nėra labai draugiška pradedantiesiems, tačiau saugumas bus pagerintas, o charakteristikos sumažės (nereikia siųsti IV rankos paspaudimo etape), o šešėlių protokolas turi vystytis CCA saugumo kryptimi.
Atnaujinta 2015 m. rugsėjo 05 d.
Suradus antraštės klaidą (kurios negalima išspręsti), neteisingas IV ir IP bus įtrauktas į nepavykusį IV ir IP sąrašą, jei IV jau yra nepavykusiame IV sąraše arba IP jau yra nepavykusiame IP sąraše, prisijungimo užklausą atsiuntęs IP bus įtrauktas į juodąjį sąrašą, o juodajame sąraše esantis IP tiesiogiai atmes ryšį. Naujausią informaciją apie apsaugą nuo aptikimo rasite šioje problemoje, o šiame straipsnyje nebus atnaujintos apsaugos nuo aptikimo priemonės.
Atnaujinta 2015 m. rugsėjo 6 d.
Šiame straipsnyje tiesiog norima pasakyti, kad per daug nesijaudintumėte dėl "Shadowsocks" saugumo, dabartinis protokolas dar neturėjo didelių pažeidžiamumų, o pagrindinių prievadų serveriai taip pat atnaujinami, kad būtų pašalintos galimos grėsmės. Taip pat gerai bendravau su "ShadowsocksR" autoriumi ir praeis šiek tiek laiko, kol pasirodys baltasis sąrašas.
Atnaujinta 2015 m. rugsėjo 24 d.
Šiame straipsnyje paminėta "Shadowsocks" sauga labiau susijusi su serverio saugumu, o dabartinis protokolas gali sukelti pavojų, kad serveris bus aptiktas brutalios jėgos, o tada jį užblokuos ugniasienės (nors aptikimo kaina yra labai didelė). Nereikia jaudintis dėl perduodamo turinio saugumo, visi jie yra pramoninio lygio didelio stiprumo šifravimo algoritmai (išskyrus RC4 ir TABLE), ir beveik neįmanoma nulaužti perduodamo turinio.
Atnaujinta 2015 m. lapkričio 18 d.
"Shadowsocks" pagerino savo saugumą nuo CCA pridėdama vieną patvirtinimą, o pagrindiniai uostai jau baigė savo palaikymą. Svarbu pakartoti, kad "Shadowsocks" tikslas yra ne būti 100% be klaidų ar 100% neperšaunamas, bet užtikrinti, kad ryšys būtų lengvas ir greitas, o pagrindiniai atakos metodai būtų per brangūs.
|
Paskelbta 2017-11-10 12:41:35
|
|
|
