तकनीकी·11 जून 2026·9 मिनट पढ़ना

Shadowsocks बनाम VPN: असली फ़र्क़ क्या है?

भाषा: English العربية Deutsch Español فارسی Français Bahasa Indonesia Italiano 日本語 한국어 Polski Português Русский ไทย Türkçe Українська Tiếng Việt 简体中文繁體中文

Shadowsocks इंटरनेट के इतिहास का एक अजीब कोना घेरता है: एक प्रॉक्सी जिसे 2012 में चीन में एक अकेले डेवलपर ने लिखा, ओपन सोर्स के रूप में जारी किया, और लाखों लोगों ने चुपचाप उसे फ़ायरवॉल पार करने के मज़दूर के तौर पर अपना लिया। इसकी तुलना VPN से लगातार होती है, आमतौर पर ग़लत सवाल के साथ — “कौन बेहतर है?” — जबकि दोनों असल में एक ही काम करने की कोशिश ही नहीं कर रहे।

छोटा जवाब: Shadowsocks एक एन्क्रिप्टेड प्रॉक्सी है जिसे राष्ट्रीय फ़ायरवॉल के पार ट्रैफ़िक ले जाने के लिए बनाया गया है, बिना पहचाने जाए। VPN आपके पूरे डिवाइस के लिए एक एन्क्रिप्टेड टनल है, जिसे आप जिस नेटवर्क पर हैं उससे प्राइवेसी के लिए बनाया गया है। ये एक-दूसरे से कुछ हद तक मिलते हैं, पर अलग-अलग ख़तरों का जवाब देते हैं — और सही चुनाव इस पर निर्भर करता है कि असल में कौन-सा ख़तरा आपका है।

मुख्य बातें

Shadowsocks एक एन्क्रिप्टेड SOCKS5 प्रॉक्सी है जो सेंसरशिप पार करने के लिए बनी है; इसे कभी प्राइवेसी उत्पाद के रूप में नहीं बनाया गया था।
इसका दाँव है किसी भी चीज़ जैसा न दिखना: कोई हैंडशेक सिग्नेचर नहीं, कोई प्रोटोकॉल बैनर नहीं, बस फ़ीचरविहीन एन्क्रिप्टेड बाइट्स।
एक VPN डिवाइस के हर ऐप को ढकता है, लीक और टूटे कनेक्शनों को लेकर एक मानक बर्ताव के साथ; प्रॉक्सी सेटअप काफ़ी अलग-अलग होते हैं।
आधुनिक फ़ायरवॉल ने “किसी भी चीज़ जैसा न दिखने वाला” ट्रैफ़िक झंडी दिखाना सीख लिया, इसलिए क्लासिक Shadowsocks अब कोई मुफ़्त पास नहीं रहा।
ख़तरे के मॉडल से चुनिए: सेंसरशिप के ख़िलाफ़ टिकाव, पूरे-डिवाइस की प्राइवेसी, या — जो लगातार आम होता जा रहा है — एक ही ऐप में दोनों।

Shadowsocks असल में क्या है

2012 में, clowwindy के नाम से लिखने वाले एक डेवलपर ने व्यक्तिगत ट्रैफ़िक को चीन के राष्ट्रीय फ़ायरवॉल के पार ले जाने के लिए एक छोटा-सा टूल प्रकाशित किया। 2015 में, अधिकारियों के दबाव के बाद, उसने कोड हटा दिया और हट गया। प्रोजेक्ट समुदाय-संचालित इम्प्लीमेंटेशन के रूप में बचा रहा और तब से सक्रिय रूप से विकसित होता रहा है — यह Outline जैसे टूल्स की नींव भी है। वह उद्गम कथा डिज़ाइन को पूरी तरह समझा देती है: Shadowsocks को किसी ऐसे इंसान ने बनाया जिसकी समस्या फ़ायरवॉल थी, विज्ञापनदाता नहीं।

यंत्रवत देखें तो Shadowsocks एक जोड़ी है: आपके डिवाइस पर एक क्लाइंट और फ़िल्टर किए गए नेटवर्क से बाहर कहीं एक सर्वर। क्लाइंट एप्लिकेशन ट्रैफ़िक को SOCKS5 के ज़रिए लेता है — मानक प्रॉक्सी इंटरफ़ेस — उसे आधुनिक प्रमाणित साइफ़र से एन्क्रिप्ट करता है, और उसे सर्वर के ज़रिए रिले कर देता है, जो उसे असली मंज़िल तक आगे भेज देता है।

चतुराई वाला हिस्सा वह है जो ग़ायब है। एक सामान्य एन्क्रिप्टेड कनेक्शन ख़ुद की घोषणा कर देता है: TLS एक पहचानने लायक hello से खुलता है, और एक VPN प्रोटोकॉल एक पहचानने लायक हैंडशेक से खुलता है। एक Shadowsocks प्रॉक्सी कनेक्शन किसी चीज़ से नहीं खुलता। पहले बाइट से ही, धारा हाई-एंट्रॉपी सिफ़रटेक्स्ट होती है जिसमें कोई हेडर नहीं, कोई बैनर नहीं, और कोई तय पैकेट आकार नहीं। मिलाने को कोई सिग्नेचर नहीं क्योंकि देखने को कोई ढाँचा ही नहीं।

यह VPN से कैसे अलग है

फ़र्क़ उस परत से शुरू होता है जिस पर हर एक काम करता है, और वहीं से फैलता है।

दायरा। एक VPN ऑपरेटिंग-सिस्टम स्तर पर एक नेटवर्क इंटरफ़ेस बनाता है और पूरे डिवाइस को उसके ज़रिए रूट करता है — हर ऐप, उन ऐप समेत जिनमें कोई प्रॉक्सी सेटिंग होती ही नहीं। Shadowsocks एक प्रॉक्सी है: क्लासिक रूप से, यह उन्हीं एप्लिकेशन को ढोती है जो इसकी ओर मोड़े जाते हैं। मोबाइल क्लाइंट पूरे सिस्टम को एक स्थानीय टनल इंटरफ़ेस के ज़रिए रूट करके इस फ़र्क़ को धुंधला कर देते हैं, पर यह आपके इंस्टॉल किए हुए क्लाइंट की एक ख़ासियत है, प्रोटोकॉल की कोई गारंटी नहीं।

नाकामी का बर्ताव। परिपक्व VPN ऐप के पास उन बेढंगे सवालों के मानक जवाब होते हैं: टनल गिरते ही ट्रैफ़िक का क्या होता है, DNS अनुरोध कहाँ जाते हैं, क्या कुछ किनारे से फिसल जाता है। Shadowsocks के साथ, जवाब पूरी तरह इस पर निर्भर करते हैं कि आपने कौन-सा क्लाइंट चुना और उसे कैसे कॉन्फ़िगर किया है — इनमें से कुछ भी प्रोटोकॉल की गारंटी नहीं।

भरोसा। एक VPN प्रोवाइडर एक कंपनी है जिसे आप उसकी लॉगिंग नीति और ट्रैक रिकॉर्ड से परख सकते हैं — वही चीज़ें जिनकी जाँच हम नो-लॉग नीति का असल में क्या मतलब है में करते हैं। Shadowsocks सर्वर आमतौर पर सेल्फ़-होस्टेड होते हैं या छोटे, अक्सर गुमनाम रीसेलर से ख़रीदे जाते हैं। दोनों ही हाल में, कोई न कोई दूसरे छोर को चलाता है और देख सकता है कि आपका ट्रैफ़िक कहाँ जाता है। प्रॉक्सी एंडपॉइंट पर भरोसा करने की ज़रूरत मिटाती नहीं; यह बदल देती है कि आप किस पर भरोसा कर रहे हैं, और किसी रीसेलर के साथ आप आमतौर पर उसके बारे में कुछ नहीं जानते।

अगर आपको इस तुलना का आम संस्करण चाहिए — सेंसरशिप से परे, प्रॉक्सी बनाम VPN — तो वह है VPN बनाम प्रॉक्सी।

यह एक दशक तक क्यों चला

डीप पैकेट इंस्पेक्शन, अपने मूल में, सिग्नेचर मिलान है: प्रोटोकॉल पहचानो, फिर नीति तय करो। Shadowsocks ने उसे पहचानने को कुछ दिया ही नहीं। इससे सेंसर के पास दो अनाकर्षक विकल्प बचे — मंज़िल वाले पतों को एक-एक करके ब्लॉक करना, सस्ते किराए के सर्वरों के ख़िलाफ़ एक लुका-छिपी का खेल, या जो कुछ वे वर्गीकृत न कर पाएँ उस सबको ब्लॉक करना और आम एन्क्रिप्टेड ट्रैफ़िक पर पड़ने वाले संपार्श्विक नुकसान को क़ुबूल करना।

बरसों तक, संपार्श्विक नुकसान इस लायक नहीं था, और Shadowsocks उस खाई से होकर निकल जाता था। वह खाई बंद होती जा रही है।

“क्या यह अब भी चल रहा है?” अब एक असली सवाल क्यों है

दो जवाबी क़दमों ने तस्वीर बदल दी। पहला है एक्टिव प्रोबिंग: जब सेंसरशिप सिस्टम किसी संदिग्ध कनेक्शन को भाँपते हैं, तो वे ख़ुद उसी सर्वर से जुड़ते हैं और जाँचते हैं कि वह कैसे जवाब देता है, प्रॉक्सी जैसे बर्ताव की तलाश में। दूसरा ज़्यादा भोंडा है। शोधकर्ताओं ने USENIX Security 2023 में दर्ज किया कि 2021 के आख़िर से, चीन का फ़ायरवॉल कभी-कभी बस उन कनेक्शनों को गिरा देता है जिनके पहले पैकेट फ़ीचरविहीन हाई-एंट्रॉपी डेटा जैसे दिखते हैं — ठीक वही ढाँचे की अनुपस्थिति जो Shadowsocks को अदृश्य बनाती थी। जब सेंसर तय कर ले कि किसी भी चीज़ जैसा न दिखने वाला ट्रैफ़िक ख़ुद ही संकेत है, तब किसी भी चीज़ जैसा न दिखना एक भेस नहीं रह जाता।

समुदाय ने दो दिशाओं में जवाब दिया। एक: Shadowsocks को सचमुच आम दिखने वाले ट्रांसपोर्ट के अंदर लपेटना — असली TLS सत्र, WebSocket कनेक्शन। दो: असली प्रोटोकॉल की सीधी नक़ल करना — trojan और REALITY परिवार के उत्तराधिकारी टूल कुरेदे जाने पर भी सामान्य HTTPS जैसे पेश आते हैं। नए Shadowsocks विनिर्देशों ने भी प्रोटोकॉल को उन प्रोबिंग चालों के ख़िलाफ़ कड़ा कर दिया जो पुराने वर्शन को पकड़ लेती थीं। बिल्ली-चूहे का खेल जारी है; एक सरल टूल के हर जगह चुपचाप काम करते रहने का दौर बीत चुका।

QUIC वाला मोड़

सबसे नया अध्याय QUIC से होकर गुज़रता है, HTTP/3 के नीचे मौजूद एन्क्रिप्टेड UDP ट्रांसपोर्ट। आम वेब ट्रैफ़िक का एक बड़ा हिस्सा अब QUIC है, जो इसे बेहतरीन आड़ बना देता है: एक ऐसी टनल जो HTTP/3 जैसी पेश आती है, शोर के बजाय रोज़मर्रा की ब्राउज़िंग जैसी दिखती है। “QUIC VPN” की खोजें असल में यही हैं — Hysteria2 और TUIC जैसे नए सेंसरशिप-बायपास टूल आड़ के लिए और लंबे, नुक़सानदेह रास्तों पर परफ़ॉर्मेंस के लिए QUIC पर सवारी करते हैं, और IETF का MASQUE काम HTTP/3 पर प्रॉक्सी करने को मानकीकृत कर रहा है। Apple ने iCloud Private Relay इन्हीं विचारों के परिवार से बनाया — iCloud Private Relay बनाम एक VPN बताता है कि यह कैसे टकराता है।

QUIC भी कोई आख़िरी पड़ाव नहीं है। सेंसर संवेदनशील दौर में UDP को थोक में थ्रॉटल या ब्लॉक कर सकते हैं और करते हैं, जो ट्रैफ़िक को वापस TCP-और-TLS वाले भेस की ओर धकेल देता है। कोई भी ट्रांसपोर्ट हर जगह नहीं जीतता — यही वजह है कि सेंसरशिप-बायपास के औज़ार विविध होते रहते हैं, और यही वजह कि टिकाऊ सवाल “कौन-सा प्रोटोकॉल” नहीं बल्कि यह है कि आपका टूल कपड़े बदल सकता है या नहीं।

आपको कौन-सा चाहिए?

इसे उस समस्या से छाँटिए जो असल में आपके सामने है:

नेटवर्क आपको बाहर नहीं जाने देता। जहाँ VPN प्रोटोकॉल पहचाने और गिराए जाते हैं, वहाँ ऑब्फ़स्केशन ही निर्णायक चीज़ है, और डिफ़ॉल्ट सेटिंग पर एक मानक VPN प्रोटोकॉल शायद जुड़ ही न पाए। यह Shadowsocks की अपनी ज़मीन है — और इसी ज़रूरत ने ऑब्फ़स्केटेड WireGuard फ़ोर्क पैदा किए, जिन्हें हम AmneziaWG बनाम WireGuard में कवर करते हैं।
आप नेटवर्क और अपने ISP से प्राइवेसी चाहते हैं। पूरे-डिवाइस का दायरा, अनुमान लगाने लायक DNS हैंडलिंग, और टनल गिरने पर समझदार बर्ताव विदेशी ट्रांसपोर्ट से ज़्यादा मायने रखते हैं। वह VPN वाला ख़ाना है, और यही रोज़मर्रा के ज़्यादातर इस्तेमाल का हिस्सा है: होटल का Wi-Fi, ISP प्रोफ़ाइलिंग, अविश्वसनीय नेटवर्क। VPN सेंसरशिप कैसे बायपास करता है इन दो दुनियाओं के बीच की लकीर को और ब्योरे से खींचता है।
दोनों। भारी फ़िल्टरिंग वाले नेटवर्क के लोगों को आमतौर पर एक साथ दोनों चाहिए: VPN का दायरा, ऐसे ट्रैफ़िक के साथ जो ख़ुद की घोषणा न करे। पहले इसका मतलब था अलग-अलग पुर्ज़ों से ख़ुद एक सेटअप जोड़ना। अब इसका मतलब लगातार एक ऐसा VPN होता जा रहा है जिसका कनेक्शन डिब्बे से बाहर ही ऑब्फ़स्केटेड हो।

Snap VPN इसे VPN की तरफ़ से देखता है: नीचे WireGuard, कनेक्शन पर लगाई गई हमारी अपनी ऑब्फ़स्केशन तकनीकों के साथ ताकि वह इंस्पेक्शन सिस्टम को कोई पाठ्यपुस्तकी VPN सिग्नेचर न थमाए। हम तार-स्तर के ब्योरे प्रकाशित नहीं करते — भेस दर्ज होते ही जल्दी पुराने पड़ जाते हैं — पर लक्ष्य वही है जिसकी ओर यह पूरी तुलना इशारा करती है: पूरे-डिवाइस की प्राइवेसी जो उन नेटवर्कों पर भी जुड़ती है जहाँ VPN ट्रैफ़िक का शिकार होता है।

अक्सर पूछे जाने वाले सवाल

क्या Shadowsocks एक VPN है? नहीं। यह एक एन्क्रिप्टेड प्रॉक्सी है। मोबाइल क्लाइंट इसके ज़रिए पूरे डिवाइस को रूट कर सकते हैं, जिससे यह VPN जैसा महसूस होता है, पर जिन गारंटियों को एक VPN ऐप मानकीकृत करता है — डिवाइस-भर की रूटिंग, लीक हैंडलिंग, टूटी-टनल का बर्ताव — वे ख़ुद Shadowsocks प्रोटोकॉल का हिस्सा नहीं हैं।

क्या Shadowsocks अब भी चल रहा है? कई जगहों पर, ज़्यादातर वक़्त, हाँ — पर क्लासिक Shadowsocks को अब मुफ़्त पास नहीं मिलता। आधुनिक सेंसरशिप सिस्टम पूरी तरह एन्क्रिप्टेड “ढाँचाविहीन” ट्रैफ़िक को झंडी दिखाते हैं और संदिग्ध सर्वरों को सक्रिय रूप से कुरेदते हैं, इसलिए मौजूदा सेटअप कड़े विनिर्देशों, TLS रैपिंग, या उत्तराधिकारी प्रोटोकॉल पर टिके रहते हैं।

Shadowsocks से बेहतर क्या है? यह इस पर निर्भर करता है कि “बेहतर” का मतलब क्या होना है। आज पकड़ में आने से बचने के लिए, वे उत्तराधिकारी आगे हैं जो असली HTTPS की नक़ल करते हैं या QUIC पर सवारी करते हैं। आम नेटवर्कों पर रोज़मर्रा की प्राइवेसी के लिए, एक नो-लॉग VPN सरल और ज़्यादा संपूर्ण टूल है।

क्या Shadowsocks सुरक्षित है? एन्क्रिप्शन ठोस है — आधुनिक प्रमाणित साइफ़र, खुले तौर पर विनिर्दिष्ट। व्यावहारिक जोखिम कहीं और बैठते हैं: जो भी आपका सर्वर चलाता है वह देख सकता है कि आपका ट्रैफ़िक कहाँ जाता है, और किसी भी अंजान जगह से डाउनलोड किए गए क्लाइंट से छेड़छाड़ हो सकती है। सेल्फ़-होस्टिंग पहली बात का हल करती है; केवल आधिकारिक बिल्ड इंस्टॉल करना दूसरी का।

निचोड़

Shadowsocks एक सेंसरशिप-बचाव प्रॉक्सी है जो कोई पहचानने लायक आकार न होने से काम करती है। एक VPN पूरे-डिवाइस की प्राइवेसी टनल है।
ये अलग-अलग ख़तरों का जवाब देते हैं, और “बेहतर” का मतलब सिर्फ़ आपके ख़तरे के सापेक्ष ही बनता है।
सेंसर ने “किसी भी चीज़ जैसा न दिखने” को पकड़ लिया, इसलिए मैदान किसी असली चीज़ जैसा दिखने की ओर बढ़ गया — TLS, WebSocket, QUIC।
ज़्यादातर लोगों के लिए, ज़्यादातर वक़्त, व्यावहारिक जवाब एक VPN है — आदर्श रूप से वह जो इंस्पेक्शन हार्डवेयर के सामने ख़ुद की घोषणा न करे।

अगर आप iPhone पर हैं और एक ऐसा VPN चाहते हैं जो WireGuard चलाए, अपने ही कनेक्शन को ऑब्फ़स्केट करे, और यह न पूछे कि आप कौन हैं — कोई ईमेल नहीं, कोई अकाउंट नहीं, कोई ट्रैफ़िक लॉग नहीं — तो Snap VPN App Store पर है।

Daniel Brooks

Networking & protocols writer