SS ir oriģināls, SSR ir trešās puses versija, kas atvasināta no oriģināla, saderīga ar oriģinālo protokolu, un tai ir dažas vairāk maskēšanās funkcijas (protokols un neskaidrības) nekā oriģināls.
Internetā ir arī daudz diskusiju par SSR gan par, gan pret, bet parastajiem lietotājiem. Neatkarīgi no tā, vai tas ir SS vai SSR, tas var palīdzēt jums uzkāpt pāri sienai šobrīd.
Attiecībā uz to, kuru klienta versiju lejupielādējat, tas viss ir atkarīgs no tā, vai SS vai SSR ir instalēts iegādātā SS konta serverī. Oriģinālāko SS funkciju var izmantot neatkarīgi no tā, kurš klients ir lejupielādēts, bet, ja vēlaties izmantot SSR funkcijas (protokolu un neskaidrības), jums ir jālejupielādē SSR klients.
Bet neuztraucieties, visi mūsu piedāvātie mezgli atbalsta SS un SSR saderību. Ieteicams lietot SSR. Ātrāk, lai novērstu saskaņošanu!
Pirms kāda laika bija liels troksnis par Shadowsocks, un nesen ir skaidrs, ka liels skaits iesācēju ir piesaistījuši tā saukto "Shadowsocks Enhanced" (ShadowsocksR). Kā amatieru izstrādātājs, kas ievieš Shadowsocks C++/Qt, es vēlos īsi izteikt savu viedokli par šīm divām ceptajām vistām.
Ēnu zeķesR
Es nezinu, vai izstrādātājam aiz tā ir fons vai komanda, bet es zinu, ka tā autors ir tuvu Shadowsocks C# klientam tā sekundārajai izstrādei, pārkāpjot GPL. Mēs šeit nerunāsim par citiem faktoriem, fakts ir tāds, ka GPL ir ļoti skaidrs melnbaltā krāsā, pārkāpšana ir pārkāpšana. Bet autors pēc tam atvēra koda bāzi, ko var uzskatīt par incidenta beigām, un nav nepieciešams to turpināt.
Lietas mainījās pēc tam, kad Clowwindy iztukšoja savu Shadowsocks kodu veikalu. Tālāk ir tikai faktu saraksts:
ShadowsocksR autors ir teicis, ka viņš vēlas sākt no nulles, lai uzrakstītu jaunu starpniekservera rīku, kas nav saistīts ar ēnu zeķēm, un vairs neatjauninās ShadowsocksR
Divas vai trīs dienas vēlāk ShadowSocks tika pavēlēts izdzēst, un sākotnējais Shadowsocks projekts būtībā pazuda
ShadowsocksR autors teica, ka sākotnējais ēnu zeķu protokols bija kļūdains (aplūkots nākamajā sadaļā) un atgriezās uzmanības centrā
ShadowsocksR autors ir izveidojis Google+ grupu un atjauninājis ar ShadowsocksR saistīto kodu
Ēnu zeķu drošība
Tagad sāksim ar ShadowsocksR autora apgalvojuma aprakstu, ka Shadowsocks protokola trūkums ir tas, ka IV garums vairumā gadījumu ir 16 baiti. Otrā puse ir pareiza, daudzi šifrēšanas algoritmi izmanto IV, kas ir 16 baitus garš (īpaši populārais AES un RC4-MD5), tad ko? Tas nerada tā sauktos "defektus" šādu iemeslu dēļ:
Katra TCP savienojuma IV rokasspiediena posmā tiek ģenerēts nejauši, nevis aprēķināts no paroles, tāpēc IV ir neparedzams.
Bez atslēgas, pat ja šī IV daļa tiek pārtverta, šifrēto tekstu nevar atšifrēt. Un katrs jauns TCP savienojums izmanto nejauši ģenerētu IV, tas ir, datiem, kas pārtverti no dažādiem TCP savienojumiem, ir maz kopīga. Šifrēta teksta atšifrēšanai ir nepieciešams gan pareizais IV, gan šifrs, un jebkuram savienojumam nav šifrēšanas īpašību.
Lielākā daļa IV ir 16 baitu gari, kas ir iespējama kombinācija no 256 līdz 16 jaudai, un nav iespējams brutāla spēka plaisa, ja visi IV ir vienādi, nemaz nerunājot par otra punkta pievienošanu.
Saskaņā ar ShadowsocksR pieeju ir bezjēdzīgi pievienot tā saukto apslēpšanas galveni pirms pirmā savienojuma, tās īpašības ir acīmredzamas, un tas vispār nemaina vēlākā IV vai fiksētā garuma būtību. Tā kā ceturtais baits norāda nejauši aizpildīto datu garumu, ja vien jūs izlaižat iepriekšējo kaudzi, veicot tā saukto "zondēšanu", jūs joprojām varat pārtvert IV. Un, kā es teicu pirms dažiem punktiem, tas ir bezjēdzīgi, ja jūs saņemat šo nejaušo IV. Ja to izmanto atklāšanai, fiksētā pirmā logotipa versija ir kailā iezīme, kas nosūtīta identifikācijai.
ShadowsocksR autors pašlaik nodrošina aktīvu noteikšanas skriptu, ko var izmantot, lai noteiktu, vai serverī darbojas shadowsocks, un saskaņā ar pašreizējiem tiešsaistes testa ziņojumiem panākumu līmenis nav zems (bet ne 100%). Šajā sakarā Clowwindy jau ir sniedzis automātiskās aizlieguma risinājumu sākotnējā versijā, automātiski bloķējot šos ļaunprātīgos IP. Es tikko pievienoju ielāpu libQtShadowsocks, un šis plāksteris bloķē šīs metodes noteikšanu, kas atgriež nejaušas virknes ar nejaušu garumu saskaņā ar nejaušu varbūtību.
Tomēr tas nenozīmē, ka ShadowsocksR protokols ir ideāls, bet gan tas, ka ShadowsocksR "risinājums" ir greizs, jo tā fokuss ir greizs. Mana personīgā ideja ir izmantot publiskās atslēgas un privātās atslēgas, lai uzlabotu drošību, lai gan tas nav ļoti draudzīgs iesācējiem, bet drošība tiks uzlabota, un īpašības tiks samazinātas (nav nepieciešams nosūtīt IV rokasspiediena posmā), un ēnu zeķu protokolam ir jāattīstās CCA drošības virzienā.
Atjaunināts 05-Sep-2015
Kad galvenes kļūda (nevar tikt atrisināta), nepareizais IV un IP tiks pievienots neveiksmīgajam IV un IP sarakstam, ja IV jau pastāv neveiksmīgajā IV sarakstā vai IP jau pastāv neveiksmīgajā IP sarakstā, IP, kas nosūtīja savienojuma pieprasījumu, tiks pievienots melnajam sarakstam, un melnajā sarakstā esošais IP tieši noraidīs savienojumu. Lai iegūtu jaunāko informāciju par novēršanas novēršanu, lūdzu, skatiet šo problēmu, un šajā rakstā pretpasākumi netiks atjaunināti.
Atjaunināts 06-Sep-2015
Šis raksts tikai vēlas jums pateikt, ka pārāk daudz neuztraucieties par Shadowsocks drošību, pašreizējam protokolam vēl nav bijušas lielas ievainojamības, un tiek atjaunināti arī galveno ostu serveri, lai novērstu iespējamos draudus. Esmu arī labi sazinājies ar ShadowsocksR autoru, un paies kāds laiks, līdz pienāks baltais saraksts.
Atjaunināts 24-Sep-2015
Šajā rakstā minētā Shadowsocks drošība vairāk attiecas uz servera drošību, un pašreizējais protokols var pakļaut serveri brutāla spēka noteikšanai un pēc tam to bloķēt ugunsmūri (lai gan atklāšanas izmaksas ir ļoti augstas). Nav jāuztraucas par pārraidītā satura drošību, kas visi ir rūpnieciskas klases augstas stiprības šifrēšanas algoritmi (izņemot RC4 un TABLE), un pārraidīto saturu ir gandrīz neiespējami uzlauzt.
Atjaunināts 18-Nov-2015
Shadowsocks ir uzlabojis savu drošību pret CCA, pievienojot vienu verifikāciju, un lielākās ostas jau ir pabeigušas savu atbalstu. Ir svarīgi atkārtot, ka Shadowsocks mērķis nav būt 100% bez kļūdām vai 100% ložu necaurlaidīgs, bet nodrošināt, ka savienojums ir viegls un ātrs, vienlaikus padarot galvenās uzbrukuma metodes pārāk dārgas.
|
Publicēts 10.11.2017 12:41:35
|
|
|
