Shadowsocks занимает странный уголок истории интернета: прокси, написанный одним разработчиком в Китае в 2012 году, выпущенный с открытым исходным кодом и тихо принятый миллионами людей как рабочая лошадка обхода файрволов. Его постоянно сравнивают с VPN, обычно с неверным вопросом — «что лучше?», — когда эти двое на самом деле не пытаются делать одну и ту же работу.

Коротко: Shadowsocks — это зашифрованный прокси, созданный, чтобы перемещать трафик через национальные файрволы, не будучи распознанным. VPN — это зашифрованный туннель для всего вашего устройства, созданный ради приватности от сети, в которой вы находитесь. Они пересекаются, но отвечают на разные угрозы — и правильный выбор зависит от того, какая угроза реально ваша.

Главное

  • Shadowsocks — это зашифрованный SOCKS5-прокси, созданный, чтобы обходить цензуру; он никогда не задумывался как продукт для приватности.
  • Его фокус — выглядеть как ничто: ни сигнатуры рукопожатия, ни баннера протокола, только безликие зашифрованные байты.
  • VPN накрывает каждое приложение на устройстве, со стандартизированным поведением при утечках и обрывах соединения; настройки прокси сильно разнятся.
  • Современные файрволы научились помечать трафик, который «выглядит как ничто», так что классический Shadowsocks больше не пропуск без вопросов.
  • Выбирайте по модели угроз: устойчивость к цензуре, приватность всего устройства или — всё чаще — и то и другое в одном приложении.

Что такое Shadowsocks на самом деле

В 2012 году разработчик, писавший под именем clowwindy, опубликовал небольшой инструмент для проведения личного трафика через национальный файрвол Китая. В 2015 году, после давления властей, он удалил код и отошёл от проекта. Проект выжил как поддерживаемые сообществом реализации и с тех пор активно развивается — он также лежит в основе таких инструментов, как Outline. Эта история происхождения полностью объясняет дизайн: Shadowsocks был построен тем, чьей проблемой был файрвол, а не рекламодатель.

Механически Shadowsocks — это пара: клиент на вашем устройстве и сервер где-то за пределами фильтруемой сети. Клиент берёт трафик приложений через SOCKS5 — стандартный интерфейс прокси, — шифрует его современными аутентифицированными шифрами и ретранслирует через сервер, который отправляет его дальше к настоящему адресату.

Хитрость в том, чего недостаёт. Обычное зашифрованное соединение объявляет о себе: TLS открывается узнаваемым приветствием, а VPN-протокол открывается узнаваемым рукопожатием. Прокси-соединение Shadowsocks открывается ничем. С первого байта поток — это шифротекст высокой энтропии без заголовка, без баннера и без фиксированных размеров пакетов. Сопоставлять не с чем, потому что не видно никакой структуры.

Чем это отличается от VPN

Различие начинается на том уровне, на котором каждый из них работает, и расходится оттуда.

Охват. VPN создаёт сетевой интерфейс на уровне операционной системы и направляет через него всё устройство — каждое приложение, включая те, у которых вообще нет настроек прокси. Shadowsocks — это прокси: классически он несёт приложения, нацеленные на него. Мобильные клиенты размывают это, направляя всю систему через локальный туннельный интерфейс, но это особенность клиента, который вы устанавливаете, а не гарантия протокола.

Поведение при сбое. У зрелых VPN-приложений есть стандартизированные ответы на неприятные вопросы: что происходит с трафиком в момент обрыва туннеля, куда уходят DNS-запросы, не утекает ли что-то по краю. С Shadowsocks ответы целиком зависят от того, какой клиент вы выбрали и как он настроен — ничего из этого протоколом не гарантируется.

Доверие. VPN-провайдер — это компания, которую вы можете оценить по её политике логирования и истории, — то, что мы разбираем в материале что на самом деле означает политика отсутствия логов. Серверы Shadowsocks обычно размещают сами или покупают у небольших, часто анонимных перепродавцов. В любом случае кто-то управляет дальним концом и может наблюдать, куда идёт ваш трафик. Прокси не снимает необходимости доверять конечной точке; он меняет то, кому вы доверяете, и в случае перепродавца вы обычно ничего о нём не знаете.

Если вам нужна общая версия этого сравнения — прокси против VPN, шире цензуры — то это материал VPN против прокси.

Почему это работало десять лет

Глубокая инспекция пакетов в своей основе — это сопоставление сигнатур: распознать протокол, а затем решить, как с ним поступить. Shadowsocks не давал ей ничего, что можно было бы распознать. Это оставляло цензорам два непривлекательных варианта — блокировать адреса назначения один за другим, игру в «убей крота» против дешёвых арендованных серверов, или блокировать всё, что не удаётся классифицировать, и смириться с сопутствующим ущербом обычному зашифрованному трафику.

Долгие годы сопутствующий ущерб того не стоил, и Shadowsocks проскальзывал в этот зазор. Этот зазор закрывается.

Почему «всё ещё работает ли это?» теперь реальный вопрос

Картину изменили две контрмеры. Первая — активное зондирование: когда системы цензуры замечают подозрительное соединение, они сами подключаются к тому же серверу и проверяют, как он отвечает, выискивая поведение прокси. Вторая грубее. Исследователи задокументировали на USENIX Security 2023, что с конца 2021 года файрвол Китая порой просто сбрасывает соединения, чьи первые пакеты выглядят как безликие данные высокой энтропии — ровно то отсутствие структуры, которое делало Shadowsocks невидимым. Когда цензор решает, что трафик, выглядящий как ничто, сам по себе и есть сигнал, выглядеть как ничто перестаёт быть маскировкой.

Сообщество ответило в двух направлениях. Первое: завернуть Shadowsocks внутрь по-настоящему обыденно выглядящих транспортов — настоящих TLS-сессий, WebSocket-соединений. Второе: имитировать настоящие протоколы напрямую — инструменты-преемники из семейства trojan и REALITY представляются обычным HTTPS, даже когда их прощупывают. Более новые спецификации Shadowsocks также укрепили протокол против приёмов зондирования, ловивших старые версии. Игра в кошки-мышки продолжается; эпоха одного простого инструмента, тихо работающего везде, закончилась.

Поворот к QUIC

Новейшая глава проходит через QUIC — зашифрованный транспорт поверх UDP, лежащий в основе HTTP/3. Большая доля обычного веб-трафика теперь приходится на QUIC, что делает его отличным прикрытием: туннель, представляющийся HTTP/3, выглядит как повседневный сёрфинг, а не как шум. Вот о чём на самом деле запросы про «QUIC VPN» — более новые инструменты обхода вроде Hysteria2 и TUIC используют QUIC ради прикрытия и ради производительности на длинных маршрутах с потерями, а работа IETF над MASQUE стандартизирует проксирование поверх HTTP/3. Apple построила iCloud Private Relay из того же семейства идей — материал iCloud Private Relay против VPN рассказывает, как они соотносятся.

QUIC тоже не финал. Цензоры могут замедлять или блокировать UDP целиком в чувствительные периоды — и делают это, — что толкает трафик обратно к маскировкам поверх TCP и TLS. Ни один транспорт не выигрывает везде — поэтому инструментарий обхода продолжает диверсифицироваться, и поэтому устойчивый вопрос не в том, «какой протокол», а в том, способен ли ваш инструмент переодеваться.

Что нужно именно вам?

Разберите это по проблеме, которая реально перед вами:

  • Сеть не выпускает вас наружу. Там, где VPN-протоколы опознаются и сбрасываются, обфускация — решающий фактор, а стандартный VPN-протокол на настройках по умолчанию может просто не подключиться. Это родная территория Shadowsocks — и та же потребность породила обфусцированные форки WireGuard, о которых мы рассказываем в материале AmneziaWG против WireGuard.
  • Вам нужна приватность от сети и вашего интернет-провайдера. Охват всего устройства, предсказуемая обработка DNS и разумное поведение при обрыве туннеля важнее экзотических транспортов. Это колонка VPN, и это большая часть повседневного использования: гостиничный Wi-Fi, профилирование со стороны провайдера, недоверенные сети. Материал как VPN обходит цензуру подробнее проводит границу между этими двумя мирами.
  • И то и другое. Людям в жёстко фильтруемых сетях обычно нужно и то и другое сразу: охват VPN и трафик, который о себе не объявляет. Исторически это означало собирать настройку самому из частей. Всё чаще это означает VPN, чьё соединение обфусцировано «из коробки».

Snap VPN подходит к этому со стороны VPN: WireGuard под капотом, с собственными техниками обфускации, применёнными к соединению так, чтобы оно не вручало системам инспекции хрестоматийную сигнатуру VPN. Мы не публикуем детали уровня провода — маскировки быстро стареют, стоит их задокументировать, — но цель та, на которую указывает всё это сравнение: приватность всего устройства, которая всё же подключается в сетях, где за VPN-трафиком охотятся.

Часто задаваемые вопросы

Shadowsocks — это VPN? Нет. Это зашифрованный прокси. Мобильные клиенты могут направить через него всё устройство, отчего он ощущается как VPN, но гарантии, которые стандартизирует VPN-приложение — маршрутизация всего устройства, обработка утечек, поведение при обрыве туннеля, — не являются частью самого протокола Shadowsocks.

Shadowsocks всё ещё работает? Во многих местах, бо́льшую часть времени — да, но классический Shadowsocks больше не получает пропуск без вопросов. Современные системы цензуры помечают полностью зашифрованный «бесструктурный» трафик и активно прощупывают подозреваемые серверы, так что нынешние настройки опираются на укреплённые спецификации, обёртывание в TLS или протоколы-преемники.

Что лучше Shadowsocks? Зависит от того, что должно означать «лучше». Для ухода от обнаружения сегодня преимущество у преемников, которые имитируют настоящий HTTPS или используют QUIC. Для повседневной приватности в обычных сетях VPN без логов — более простой и более полный инструмент.

Shadowsocks безопасен? Шифрование надёжно — современные аутентифицированные шифры, открыто специфицированные. Практические риски лежат в другом месте: тот, кто управляет вашим сервером, может видеть, куда идёт ваш трафик, а клиенты, скачанные из случайных источников, могут быть подделаны. Самостоятельное размещение решает первое; установка только официальных сборок решает второе.

Итог

  • Shadowsocks — это прокси для обхода цензуры, который работает за счёт того, что у него нет узнаваемой формы. VPN — это туннель приватности для всего устройства.
  • Они отвечают на разные угрозы, и «лучше» имеет смысл только относительно вашей.
  • Цензоры догнали «выглядеть как ничто», так что поле сместилось к тому, чтобы выглядеть как что-то настоящее — TLS, WebSocket, QUIC.
  • Для большинства людей и бо́льшую часть времени практический ответ — это VPN, в идеале такой, который не рекламирует себя оборудованию инспекции.

Если вы на iPhone и хотите VPN, который работает на WireGuard, обфусцирует собственное соединение и не спрашивает, кто вы — ни почты, ни аккаунта, ни логов трафика — Snap VPN есть в App Store.