Shadowsocks menempati sudut aneh dalam sejarah internet: sebuah proksi yang ditulis oleh seorang pengembang tunggal di China pada 2012, dirilis sebagai sumber terbuka, dan diam-diam diadopsi oleh jutaan orang sebagai kuda beban penembusan firewall. Ia terus-menerus dibandingkan dengan VPN, biasanya dengan pertanyaan yang keliru — "mana yang lebih baik?" — padahal keduanya tidak benar-benar berusaha melakukan pekerjaan yang sama.

Jawaban singkat: Shadowsocks adalah proksi terenkripsi yang dirancang untuk memindahkan trafik melintasi firewall nasional tanpa dikenali. VPN adalah terowongan terenkripsi untuk seluruh perangkat Anda, dirancang demi privasi dari jaringan yang Anda pakai. Keduanya bertumpang tindih, tetapi menjawab ancaman yang berbeda — dan pilihan yang tepat bergantung pada ancaman mana yang sebenarnya Anda hadapi.

Poin penting

  • Shadowsocks adalah proksi SOCKS5 terenkripsi yang dibuat untuk melewati sensor; ia tidak pernah dirancang sebagai produk privasi.
  • Triknya adalah terlihat seperti ketiadaan: tanpa sidik jari handshake, tanpa banner protokol, hanya byte terenkripsi tanpa ciri.
  • VPN menutupi setiap aplikasi di perangkat, dengan perilaku baku seputar kebocoran dan koneksi yang putus; penyiapan proksi sangat beragam.
  • Firewall modern belajar menandai trafik yang "terlihat seperti ketiadaan", jadi Shadowsocks klasik tidak lagi jadi tiket gratis.
  • Pilih berdasarkan model ancaman: ketahanan terhadap sensor, privasi seluruh perangkat, atau — yang makin umum — keduanya dalam satu aplikasi.

Apa sebenarnya Shadowsocks itu

Pada 2012, seorang pengembang yang menulis dengan nama clowwindy menerbitkan alat kecil untuk meloloskan trafik pribadi melewati firewall nasional China. Pada 2015, setelah tekanan dari otoritas, ia menghapus kodenya dan mundur. Proyeknya bertahan sebagai implementasi yang dirawat komunitas dan dikembangkan secara aktif sejak saat itu — ia juga menjadi fondasi alat seperti Outline. Kisah asal-usul itu menjelaskan rancangannya sepenuhnya: Shadowsocks dibangun oleh seseorang yang masalahnya adalah firewall, bukan pengiklan.

Secara mekanis, Shadowsocks adalah sepasang: klien di perangkat Anda dan server di suatu tempat di luar jaringan yang disaring. Klien mengambil trafik aplikasi lewat SOCKS5 — antarmuka proksi standar — mengenkripsinya dengan sandi terotentikasi modern, dan merelainya melalui server, yang lalu mengirimkannya ke tujuan sesungguhnya.

Bagian pandainya adalah apa yang hilang. Koneksi terenkripsi biasa mengumumkan dirinya: TLS dibuka dengan hello yang dikenali, dan protokol VPN dibuka dengan handshake yang dikenali. Koneksi proksi Shadowsocks dibuka tanpa apa pun. Sejak byte pertama, alirannya adalah ciphertext berentropi tinggi tanpa header, tanpa banner, dan tanpa ukuran paket tetap. Tidak ada sidik jari untuk dicocokkan karena tidak ada struktur untuk dilihat.

Bagaimana itu berbeda dari VPN

Perbedaannya dimulai pada lapisan tempat masing-masing beroperasi, dan menyebar dari sana.

Cakupan. VPN membuat antarmuka jaringan di level sistem operasi dan mengarahkan seluruh perangkat melaluinya — setiap aplikasi, termasuk yang sama sekali tidak punya pengaturan proksi. Shadowsocks adalah proksi: secara klasik, ia membawa aplikasi yang diarahkan padanya. Klien seluler mengaburkan ini dengan mengarahkan seluruh sistem melalui antarmuka terowongan lokal, tetapi itu fitur dari klien yang Anda pasang, bukan jaminan dari protokolnya.

Perilaku saat gagal. Aplikasi VPN yang matang punya jawaban baku untuk pertanyaan-pertanyaan pelik: apa yang terjadi pada trafik saat terowongan putus, ke mana permintaan DNS pergi, apakah ada yang menyelinap di tepinya. Dengan Shadowsocks, jawabannya sepenuhnya bergantung pada klien mana yang Anda pilih dan bagaimana ia dikonfigurasi — tak satu pun dijamin oleh protokolnya.

Kepercayaan. Penyedia VPN adalah perusahaan yang bisa Anda nilai dari kebijakan pencatatan log dan rekam jejaknya — hal-hal yang kami telaah di apa makna sebenarnya kebijakan tanpa log. Server Shadowsocks biasanya swakelola atau dibeli dari penjual ulang kecil yang sering anonim. Bagaimanapun, seseorang mengoperasikan ujung jauhnya dan bisa mengamati ke mana trafik Anda pergi. Proksi tidak menghilangkan kebutuhan untuk memercayai titik akhir; ia mengubah siapa yang Anda percayai, dan dengan penjual ulang Anda biasanya tidak tahu apa-apa tentang mereka.

Jika Anda ingin versi umum dari perbandingan ini — proksi lawan VPN, di luar urusan sensor — itu ada di VPN vs proksi.

Mengapa ia bekerja selama satu dekade

Deep packet inspection, pada intinya, adalah pencocokan sidik jari: kenali protokolnya, lalu putuskan kebijakannya. Shadowsocks tidak memberinya apa pun untuk dikenali. Itu meninggalkan penyensor dengan dua pilihan yang tidak menarik — blokir alamat tujuan satu per satu, permainan pukul-tikus melawan server sewaan murah, atau blokir semua yang tidak bisa diklasifikasikan dan terima kerusakan sampingan pada trafik terenkripsi biasa.

Selama bertahun-tahun, kerusakan sampingan itu tidak sepadan, dan Shadowsocks lolos lewat celahnya. Celah itu kini terus menyempit.

Mengapa "apakah masih bekerja?" kini jadi pertanyaan nyata

Dua penangkal mengubah gambarannya. Yang pertama adalah active probing: ketika sistem sensor melihat koneksi mencurigakan, mereka menyambung ke server yang sama sendiri dan menguji bagaimana ia merespons, mencari perilaku proksi. Yang kedua lebih tumpul. Para peneliti mendokumentasikan di USENIX Security 2023 bahwa sejak akhir 2021, firewall China kadang sekadar menjatuhkan koneksi yang paket pertamanya terlihat seperti data berentropi tinggi tanpa ciri — persis ketiadaan struktur yang membuat Shadowsocks tak terlihat. Ketika penyensor memutuskan bahwa trafik yang terlihat seperti ketiadaan justru adalah sinyalnya, terlihat seperti ketiadaan berhenti menjadi penyamaran.

Komunitas menjawab ke dua arah. Satu: bungkus Shadowsocks di dalam transportasi yang benar-benar terlihat biasa — sesi TLS sungguhan, koneksi WebSocket. Dua: tiru protokol nyata secara terang-terangan — alat penerus dalam keluarga trojan dan REALITY menampilkan diri sebagai HTTPS normal bahkan ketika dicolek. Spesifikasi Shadowsocks yang lebih baru juga mengeraskan protokolnya terhadap trik probing yang menjebak versi lama. Kucing-tikusnya berlanjut; era satu alat sederhana yang diam-diam bekerja di mana saja sudah berakhir.

Belokan QUIC

Babak terbaru mengalir lewat QUIC, transportasi UDP terenkripsi di bawah HTTP/3. Sebagian besar trafik web biasa kini adalah QUIC, yang menjadikannya kamuflase yang sangat baik: terowongan yang menampilkan diri sebagai HTTP/3 terlihat seperti penjelajahan sehari-hari alih-alih derau. Itulah yang sebenarnya dicari orang ketika menelusuri "VPN QUIC" — alat penembusan yang lebih baru seperti Hysteria2 dan TUIC menunggangi QUIC demi kamuflase dan demi performa pada rute yang panjang dan banyak rugi paket, dan kerja MASQUE dari IETF sedang membakukan proxying lewat HTTP/3. Apple membangun iCloud Private Relay dari keluarga gagasan yang sama — iCloud Private Relay vs VPN membahas bagaimana keduanya dibandingkan.

QUIC pun bukan akhir permainan. Penyensor bisa dan memang melambatkan atau memblokir UDP secara menyeluruh selama periode sensitif, yang mendorong trafik kembali ke arah penyamaran TCP-dan-TLS. Tidak ada transportasi yang menang di mana saja — itulah sebabnya perkakas penembusan terus mempelbagai diri, dan mengapa pertanyaan yang awet bukan "protokol mana" melainkan apakah alat Anda bisa berganti baju.

Mana yang Anda butuhkan?

Pilah berdasarkan masalah yang benar-benar ada di hadapan Anda:

  • Jaringan tidak mengizinkan Anda keluar. Di tempat protokol VPN diidentifikasi dan dijatuhkan, penyamaran adalah faktor penentu, dan protokol VPN standar pada pengaturan bawaan bisa saja gagal tersambung. Inilah kandang Shadowsocks — dan kebutuhan yang sama melahirkan fork WireGuard tersamar, yang kami bahas di AmneziaWG vs WireGuard.
  • Anda ingin privasi dari jaringan dan ISP Anda. Cakupan seluruh perangkat, penanganan DNS yang dapat diprediksi, dan perilaku yang waras saat terowongan putus lebih penting daripada transportasi yang eksotis. Itu kolom VPN, dan itu sebagian besar pemakaian sehari-hari: Wi-Fi hotel, pemprofilan ISP, jaringan tak tepercaya. Bagaimana VPN melewati sensor menarik garis antara dua dunia ini secara lebih rinci.
  • Keduanya. Orang di jaringan yang disaring berat biasanya membutuhkan keduanya sekaligus: cakupan VPN, dengan trafik yang tidak mengumumkan dirinya. Secara historis itu berarti merakit sendiri penyiapannya dari komponen. Makin lama, itu berarti VPN yang koneksinya tersamar sejak awal.

Snap VPN mendekati ini dari sisi VPN: WireGuard di bawahnya, dengan teknik penyamaran kami sendiri diterapkan pada koneksi agar tidak menyerahkan sidik jari VPN yang khas kepada sistem inspeksi. Kami tidak mempublikasikan detail tingkat-jaringan — penyamaran menua cepat begitu didokumentasikan — tetapi tujuannya sama dengan yang ditunjuk seluruh perbandingan ini: privasi seluruh perangkat yang tetap tersambung di jaringan tempat trafik VPN diburu.

Pertanyaan yang sering diajukan

Apakah Shadowsocks itu VPN? Bukan. Ia adalah proksi terenkripsi. Klien seluler bisa mengarahkan seluruh perangkat melaluinya, yang membuatnya terasa seperti VPN, tetapi jaminan yang dibakukan aplikasi VPN — perutean seluruh perangkat, penanganan kebocoran, perilaku saat terowongan putus — bukan bagian dari protokol Shadowsocks itu sendiri.

Apakah Shadowsocks masih bekerja? Di banyak tempat, sebagian besar waktu, ya — tetapi Shadowsocks klasik tidak lagi mendapat tiket gratis. Sistem sensor modern menandai trafik "tanpa struktur" yang terenkripsi penuh dan secara aktif menyelidik server yang dicurigai, jadi penyiapan masa kini bersandar pada spesifikasi yang diperkeras, pembungkusan TLS, atau protokol penerus.

Apa yang lebih baik dari Shadowsocks? Itu bergantung pada apa makna "lebih baik". Untuk menghindari deteksi hari ini, penerus yang meniru HTTPS sungguhan atau menunggangi QUIC lebih unggul. Untuk privasi sehari-hari di jaringan biasa, VPN tanpa log adalah alat yang lebih sederhana dan lebih lengkap.

Apakah Shadowsocks aman? Enkripsinya kokoh — sandi terotentikasi modern, dispesifikasikan secara terbuka. Risiko praktisnya ada di tempat lain: siapa pun yang menjalankan server Anda bisa melihat ke mana trafik Anda pergi, dan klien yang diunduh dari sumber acak bisa dirusak. Swakelola mengatasi yang pertama; memasang hanya build resmi mengatasi yang kedua.

Kesimpulan

  • Shadowsocks adalah proksi pengelak sensor yang bekerja dengan tidak punya bentuk yang dapat dikenali. VPN adalah terowongan privasi seluruh perangkat.
  • Keduanya menjawab ancaman yang berbeda, dan "lebih baik" hanya masuk akal relatif terhadap ancaman Anda.
  • Penyensor menyusul "terlihat seperti ketiadaan", jadi medannya bergeser ke arah terlihat seperti sesuatu yang nyata — TLS, WebSocket, QUIC.
  • Bagi sebagian besar orang, sebagian besar waktu, jawaban praktisnya adalah VPN — idealnya yang tidak mengiklankan dirinya kepada perangkat inspeksi.

Jika Anda memakai iPhone dan ingin VPN yang menjalankan WireGuard, menyamarkan koneksinya sendiri, dan tidak menanyakan siapa Anda — tanpa email, tanpa akun, tanpa log trafik — Snap VPN tersedia di App Store.