Shadowsocks zajmuje dziwny zakątek historii internetu: proxy napisane przez jednego dewelopera w Chinach w 2012, wydane jako otwarte źródło i po cichu przyjęte przez miliony ludzi jako koń roboczy obchodzenia zapór ogniowych. Bez przerwy porównuje się je do VPN-ów, zwykle ze złym pytaniem — "które jest lepsze?" — podczas gdy oba tak naprawdę nie próbują wykonywać tej samej pracy.

Krótka odpowiedź: Shadowsocks to szyfrowane proxy zaprojektowane do przenoszenia ruchu przez krajowe zapory ogniowe bez bycia rozpoznanym. VPN to szyfrowany tunel dla całego Twojego urządzenia, zaprojektowany z myślą o prywatności wobec sieci, w której jesteś. Pokrywają się, ale odpowiadają na różne zagrożenia — a właściwy wybór zależy od tego, które zagrożenie jest faktycznie Twoje.

Najważniejsze wnioski

  • Shadowsocks to szyfrowane proxy SOCKS5 zbudowane, by przejść obok cenzury; nigdy nie było zaprojektowane jako produkt do prywatności.
  • Jego sztuczka to wyglądanie jak nic: brak sygnatury uzgadniania, brak banera protokołu, tylko pozbawione cech zaszyfrowane bajty.
  • VPN obejmuje każdą aplikację na urządzeniu, ze znormalizowanym zachowaniem wobec wycieków i zerwanych połączeń; konfiguracje proxy bardzo się różnią.
  • Nowoczesne zapory ogniowe nauczyły się oznaczać ruch „wyglądający jak nic”, więc klasyczny Shadowsocks nie jest już wolną przepustką.
  • Wybieraj według modelu zagrożeń: odporność na cenzurę, prywatność całego urządzenia albo — coraz częściej — jedno i drugie w jednej aplikacji.

Czym Shadowsocks naprawdę jest

W 2012 deweloper piszący pod pseudonimem clowwindy opublikował małe narzędzie do przeprowadzania osobistego ruchu przez chińską krajową zaporę ogniową. W 2015, po naciskach władz, usunął kod i wycofał się. Projekt przetrwał jako utrzymywane przez społeczność implementacje i był odtąd aktywnie rozwijany — jest też fundamentem narzędzi takich jak Outline. Ta historia pochodzenia całkowicie wyjaśnia projekt: Shadowsocks zostało zbudowane przez kogoś, czyim problemem była zapora ogniowa, a nie reklamodawca.

Mechanicznie Shadowsocks to para: klient na Twoim urządzeniu i serwer gdzieś poza filtrowaną siecią. Klient bierze ruch aplikacji przez SOCKS5 — standardowy interfejs proxy — szyfruje go nowoczesnymi uwierzytelnionymi szyframi i przekazuje przez serwer, który wysyła go dalej do prawdziwego miejsca docelowego.

Sprytna część to to, czego brakuje. Normalne zaszyfrowane połączenie ogłasza się: TLS otwiera się rozpoznawalnym hello, a protokół VPN otwiera się rozpoznawalnym uzgadnianiem. Połączenie proxy Shadowsocks otwiera się niczym. Od pierwszego bajta strumień to szyfrogram o wysokiej entropii bez nagłówka, bez banera i bez stałych rozmiarów pakietów. Nie ma sygnatury do dopasowania, bo nie ma struktury do zobaczenia.

Czym to się różni od VPN

Różnica zaczyna się na warstwie, na której każde z nich działa, i rozchodzi się od tego punktu.

Zasięg. VPN tworzy interfejs sieciowy na poziomie systemu operacyjnego i trasuje przez niego całe urządzenie — każdą aplikację, w tym te, które w ogóle nie mają ustawień proxy. Shadowsocks to proxy: klasycznie niesie aplikacje na nie skierowane. Klienty mobilne zacierają to, trasując cały system przez lokalny interfejs tunelu, ale to cecha klienta, którego instalujesz, a nie gwarancja protokołu.

Zachowanie przy awarii. Dojrzałe aplikacje VPN mają znormalizowane odpowiedzi na brzydkie pytania: co dzieje się z ruchem w chwili, gdy tunel pada, dokąd idą zapytania DNS, czy cokolwiek prześlizguje się poza krawędzią. W przypadku Shadowsocks odpowiedzi zależą całkowicie od tego, którego klienta wybrałeś i jak jest skonfigurowany — niczego z tego nie gwarantuje protokół.

Zaufanie. Dostawca VPN to firma, którą możesz ocenić po polityce logowania i historii działania — rzeczach, które badamy w artykule co naprawdę oznacza polityka bez logów. Serwery Shadowsocks są zwykle samodzielnie hostowane albo kupowane od małych, często anonimowych odsprzedawców. Tak czy inaczej ktoś obsługuje drugi koniec i może obserwować, dokąd idzie Twój ruch. Proxy nie usuwa potrzeby zaufania punktowi końcowemu; zmienia to, komu ufasz, a przy odsprzedawcy zwykle nie wiesz o nim nic.

Jeśli chcesz ogólnej wersji tego porównania — proxy kontra VPN-y, poza cenzurą — to jest VPN kontra proxy.

Dlaczego działało przez dekadę

Głęboka inspekcja pakietów w swej istocie to dopasowywanie sygnatur: rozpoznaj protokół, a potem zdecyduj o polityce. Shadowsocks nie dawało jej nic do rozpoznania. To zostawiało cenzorów z dwiema nieatrakcyjnymi opcjami — blokować adresy docelowe jeden po drugim, gra w walenie kreta przeciwko tanim wynajętym serwerom, albo blokować wszystko, czego nie potrafią sklasyfikować, i zaakceptować szkody uboczne dla zwykłego zaszyfrowanego ruchu.

Przez lata szkody uboczne nie były tego warte, a Shadowsocks prześlizgiwało się przez tę lukę. Ta luka się zamyka.

Dlaczego "czy nadal działa?" to teraz realne pytanie

Dwie kontrmiary zmieniły obraz. Pierwsza to aktywne sondowanie: gdy systemy cenzury zauważą podejrzane połączenie, same łączą się z tym samym serwerem i testują, jak odpowiada, szukając zachowania proxy. Druga jest bardziej bezpośrednia. Badacze udokumentowali na USENIX Security 2023, że od końca 2021 chińska zapora ogniowa czasami po prostu odrzuca połączenia, których pierwsze pakiety wyglądają jak pozbawione cech dane o wysokiej entropii — dokładnie ten brak struktury, który czynił Shadowsocks niewidzialnym. Gdy cenzor uznaje, że ruch wyglądający jak nic sam w sobie jest sygnałem, wyglądanie jak nic przestaje być przebraniem.

Społeczność odpowiedziała w dwóch kierunkach. Pierwszy: owinąć Shadowsocks w naprawdę zwyczajnie wyglądające transporty — prawdziwe sesje TLS, połączenia WebSocket. Drugi: imitować prawdziwe protokoły wprost — narzędzia będące następcami z rodziny trojan i REALITY prezentują się jako normalny HTTPS, nawet gdy się je zaczepia. Nowsze specyfikacje Shadowsocks również utwardziły protokół wobec sztuczek sondowania, które łapały starsze wersje. Gra w kotka i myszkę trwa; era jednego prostego narzędzia po cichu działającego wszędzie się skończyła.

Zwrot ku QUIC

Najnowszy rozdział biegnie przez QUIC, szyfrowany transport UDP leżący pod HTTP/3. Duża część zwykłego ruchu sieciowego to teraz QUIC, co czyni go doskonałym kamuflażem: tunel prezentujący się jako HTTP/3 wygląda jak codzienne przeglądanie, a nie jak szum. O to naprawdę chodzi w wyszukiwaniach „VPN QUIC” — nowsze narzędzia do obchodzenia cenzury, jak Hysteria2 i TUIC, jeżdżą na QUIC dla kamuflażu i dla wydajności na długich, stratnych trasach, a praca IETF nad MASQUE standaryzuje proxowanie po HTTP/3. Apple zbudowało iCloud Private Relay z tej samej rodziny pomysłów — iCloud Private Relay kontra VPN omawia, jak wypada w porównaniu.

QUIC też nie jest punktem końcowym. Cenzorzy mogą hurtowo spowalniać lub blokować UDP w newralgicznych okresach i robią to, co spycha ruch z powrotem ku przebraniom TCP-i-TLS. Żaden transport nie wygrywa wszędzie — dlatego narzędzia do obchodzenia cenzury wciąż się różnicują, i dlatego trwałe pytanie brzmi nie „który protokół”, ale czy Twoje narzędzie potrafi zmienić strój.

Którego potrzebujesz?

Posortuj to według problemu, który masz faktycznie przed sobą:

  • Sieć nie wypuszcza Cię na zewnątrz. Tam, gdzie protokoły VPN są identyfikowane i odrzucane, zaciemnianie jest czynnikiem decydującym, a standardowy protokół VPN na domyślnych ustawieniach może po prostu nie zdołać się połączyć. To rodzime terytorium Shadowsocks — i ta sama potrzeba zrodziła zaciemnione forki WireGuard, które omawiamy w AmneziaWG kontra WireGuard.
  • Chcesz prywatności wobec sieci i swojego dostawcy internetu. Zasięg całego urządzenia, przewidywalna obsługa DNS i rozsądne zachowanie, gdy tunel pada, liczą się bardziej niż egzotyczne transporty. To kolumna VPN, i to większość codziennego użytku: hotelowe Wi-Fi, profilowanie przez dostawcę internetu, niezaufane sieci. Jak VPN omija cenzurę bardziej szczegółowo rysuje granicę między tymi dwoma światami.
  • Jedno i drugie. Ludzie w mocno filtrowanych sieciach zwykle potrzebują obu naraz: zasięgu VPN, z ruchem, który się nie ogłasza. Historycznie oznaczało to składanie konfiguracji samodzielnie z części. Coraz częściej oznacza VPN, którego połączenie jest zaciemnione od razu po wyjęciu z pudełka.

Snap VPN podchodzi do tego od strony VPN: WireGuard pod spodem, z własnymi technikami zaciemniania zastosowanymi do połączenia, tak by nie wręczać systemom inspekcyjnym podręcznikowej sygnatury VPN. Nie publikujemy szczegółów na poziomie łącza — przebrania starzeją się szybko, gdy zostaną udokumentowane — ale cel jest tym, na który wskazuje całe to porównanie: prywatność całego urządzenia, która wciąż łączy się w sieciach, gdzie poluje się na ruch VPN.

Najczęściej zadawane pytania

Czy Shadowsocks to VPN? Nie. To szyfrowane proxy. Klienty mobilne mogą trasować przez nie całe urządzenie, co sprawia, że przypomina VPN, ale gwarancje, które normalizuje aplikacja VPN — trasowanie obejmujące całe urządzenie, obsługa wycieków, zachowanie przy zerwanym tunelu — nie są częścią samego protokołu Shadowsocks.

Czy Shadowsocks nadal działa? W wielu miejscach, przez większość czasu, tak — ale klasyczny Shadowsocks nie dostaje już wolnej przepustki. Nowoczesne systemy cenzury oznaczają w pełni zaszyfrowany „pozbawiony struktury” ruch i aktywnie sondują podejrzane serwery, więc obecne konfiguracje opierają się na utwardzonych specyfikacjach, owinięciu w TLS albo protokołach będących następcami.

Co jest lepsze niż Shadowsocks? To zależy od tego, co „lepsze” ma znaczyć. Do unikania wykrycia dzisiaj przewagę mają następcy, którzy imitują prawdziwy HTTPS albo jeżdżą na QUIC. Do codziennej prywatności w zwykłych sieciach VPN bez logów jest prostszym i bardziej kompletnym narzędziem.

Czy Shadowsocks jest bezpieczny? Szyfrowanie jest solidne — nowoczesne uwierzytelnione szyfry, otwarcie wyspecyfikowane. Praktyczne ryzyka leżą gdzie indziej: ktokolwiek prowadzi Twój serwer, widzi, dokąd idzie Twój ruch, a klienty pobrane z przypadkowych źródeł mogą być zmanipulowane. Samodzielne hostowanie adresuje pierwsze; instalowanie tylko oficjalnych wersji adresuje drugie.

Podsumowanie

  • Shadowsocks to proxy do unikania cenzury, które działa, nie mając rozpoznawalnego kształtu. VPN to tunel prywatności obejmujący całe urządzenie.
  • Odpowiadają na różne zagrożenia, a „lepsze” ma sens tylko względem Twojego.
  • Cenzorzy dogonili „wyglądanie jak nic”, więc pole przesunęło się ku wyglądaniu jak coś prawdziwego — TLS, WebSocket, QUIC.
  • Dla większości ludzi, przez większość czasu, praktyczną odpowiedzią jest VPN — najlepiej taki, który nie reklamuje się sprzętowi inspekcyjnemu.

Jeśli jesteś na iPhone i chcesz VPN, który działa na WireGuard, zaciemnia własne połączenie i nie pyta, kim jesteś — bez e-maila, bez konta, bez logów ruchu — Snap VPN jest w App Store.