Shadowsocks, internet tarihinin tuhaf bir köşesinde durur: 2012'de Çin'de tek bir geliştirici tarafından yazılmış, açık kaynak olarak yayımlanmış ve milyonlarca insan tarafından sessizce güvenlik duvarı aşmanın beygiri olarak benimsenmiş bir proxy. Sürekli VPN'lerle kıyaslanır, üstelik genellikle yanlış soruyla — "hangisi daha iyi?" — oysa ikisi aslında aynı işi yapmaya çalışmıyor.

Kısa yanıt: Shadowsocks, trafiği tanınmadan ulusal güvenlik duvarlarının ötesine taşımak için tasarlanmış şifreli bir proxy'dir. VPN ise tüm cihazınız için, üzerinde bulunduğunuz ağa karşı gizlilik amacıyla tasarlanmış şifreli bir tüneldir. Örtüşürler, ama farklı tehditlere yanıt verirler — ve doğru seçim, gerçekte hangi tehdidin sizinki olduğuna bağlıdır.

Temel çıkarımlar

  • Shadowsocks, sansürü aşmak için yapılmış şifreli bir SOCKS5 proxy'sidir; hiçbir zaman bir gizlilik ürünü olarak tasarlanmadı.
  • Hilesi, hiçbir şeye benzememektir: el sıkışma imzası yok, protokol afişi yok, yalnızca özelliksiz şifreli baytlar.
  • VPN, cihazdaki her uygulamayı kapsar; sızıntılar ve düşen bağlantılar konusunda standartlaştırılmış bir davranışı vardır; proxy kurulumları ise büyük ölçüde değişir.
  • Modern güvenlik duvarları "hiçbir şeye benzeyen" trafiği işaretlemeyi öğrendi; bu yüzden klasik Shadowsocks artık serbest geçiş anlamına gelmiyor.
  • Tehdit modelinize göre seçin: sansür direnci, tüm cihaz gizliliği ya da —giderek yaygınlaşıyor— ikisi tek bir uygulamada.

Shadowsocks gerçekte nedir

2012'de clowwindy adıyla yazan bir geliştirici, kişisel trafiği Çin'in ulusal güvenlik duvarının ötesine taşımak için küçük bir araç yayımladı. 2015'te, yetkililerin baskısının ardından kodu sildi ve geri çekildi. Proje, topluluk tarafından sürdürülen uygulamalar olarak hayatta kaldı ve o zamandan beri etkin biçimde geliştirildi — ayrıca Outline gibi araçların da temelidir. Bu köken hikayesi tasarımı tamamen açıklıyor: Shadowsocks, sorunu reklamcı değil, güvenlik duvarı olan biri tarafından yapıldı.

Mekanik olarak Shadowsocks bir çifttir: cihazınızdaki bir istemci ve filtrelenen ağın dışında bir yerdeki bir sunucu. İstemci, uygulama trafiğini standart proxy arayüzü olan SOCKS5 üzerinden alır, onu modern kimlik doğrulamalı şifrelerle şifreler ve sunucu üzerinden iletir; sunucu da onu gerçek hedefe gönderir.

Asıl ustalık, eksik olan şeydedir. Normal bir şifreli bağlantı kendini ilan eder: TLS tanınabilir bir merhaba ile açılır ve bir VPN protokolü tanınabilir bir el sıkışmayla açılır. Bir Shadowsocks proxy bağlantısı ise hiçbir şeyle açılmaz. İlk bayttan itibaren akış, başlıksız, afişsiz ve sabit paket boyutları olmayan yüksek entropili şifreli metindir. Eşleştirilecek bir imza yoktur; çünkü görülecek bir yapı yoktur.

Bunun VPN'den farkı nedir

Fark, her birinin çalıştığı katmanda başlar ve oradan yayılır.

Kapsama. VPN, işletim sistemi düzeyinde bir ağ arayüzü oluşturur ve tüm cihazı —hiçbir proxy ayarı olmayanlar dahil her uygulamayı— bunun üzerinden yönlendirir. Shadowsocks bir proxy'dir: klasik olarak, yalnızca kendisine yönlendirilen uygulamaları taşır. Mobil istemciler, tüm sistemi yerel bir tünel arayüzü üzerinden yönlendirerek bunu bulanıklaştırır; ama bu, protokolün bir garantisi değil, yüklediğiniz istemcinin bir özelliğidir.

Hata davranışı. Olgun VPN uygulamalarının çetin sorulara standartlaştırılmış yanıtları vardır: tünel düştüğü anda trafiğe ne olur, DNS sorguları nereye gider, kenardan bir şey sızar mı. Shadowsocks ile bu yanıtlar tamamen hangi istemciyi seçtiğinize ve nasıl yapılandırıldığına bağlıdır — hiçbiri protokol tarafından garanti edilmez.

Güven. VPN sağlayıcısı, kayıt tutma politikası ve geçmiş siciliyle değerlendirebileceğiniz bir şirkettir — bunları kayıt tutmama politikasının gerçekte ne anlama geldiği yazısında inceliyoruz. Shadowsocks sunucuları ise genellikle kendi kendine barındırılır veya küçük, çoğu zaman anonim satıcılardan satın alınır. Her iki durumda da uzak ucu birileri işletir ve trafiğinizin nereye gittiğini görebilir. Proxy, uç noktaya güvenme ihtiyacını ortadan kaldırmaz; kime güvendiğinizi değiştirir ve bir satıcıyla, onun hakkında genellikle hiçbir şey bilmezsiniz.

Bu karşılaştırmanın genel versiyonunu —sansürün ötesinde, proxy'lere karşı VPN'ler— istiyorsanız, o yazı VPN ve proxy.

Neden on yıl boyunca işe yaradı

Derin paket incelemesi, özünde imza eşleştirmedir: protokolü tanı, sonra politikaya karar ver. Shadowsocks ona tanıyacağı hiçbir şey vermedi. Bu da sansürcülere iki çekici olmayan seçenek bıraktı — hedef adresleri tek tek engellemek, ucuza kiralanan sunuculara karşı bir köstebek vurma oyunu ya da sınıflandıramadıkları her şeyi engelleyip sıradan şifreli trafiğe verilen yan hasarı kabul etmek.

Yıllarca yan hasar buna değmedi ve Shadowsocks bu boşluktan sıyrıldı. Bu boşluk kapanıyor.

"Hâlâ çalışıyor mu?" artık neden gerçek bir soru

İki karşı önlem tabloyu değiştirdi. Birincisi aktif probing: sansür sistemleri şüpheli bir bağlantı fark ettiğinde, aynı sunucuya kendileri bağlanır ve proxy davranışı arayarak nasıl yanıt verdiğini test eder. İkincisi daha sert. Araştırmacılar, 2021 sonundan bu yana Çin'in güvenlik duvarının zaman zaman, ilk paketleri özelliksiz yüksek entropili veri gibi görünen bağlantıları —tam da Shadowsocks'u görünmez kılan o yapı yokluğunu— basitçe düşürdüğünü USENIX Security 2023'te belgeledi. Sansürcü, hiçbir şeye benzemeyen trafiğin kendisinin sinyal olduğuna karar verdiğinde, hiçbir şeye benzemek bir kılık olmaktan çıkar.

Topluluk iki yönde yanıt verdi. Bir: Shadowsocks'u gerçekten sıradan görünen taşımaların içine sar — gerçek TLS oturumları, WebSocket bağlantıları. İki: gerçek protokolleri doğrudan taklit et — trojan ve REALITY ailesindeki ardıl araçlar, dürtüldüklerinde bile normal HTTPS gibi görünür. Daha yeni Shadowsocks belirtimleri ayrıca protokolü, eski sürümleri yakalayan probing hilelerine karşı sertleştirdi. Kedi fare oyunu sürüyor; tek bir basit aracın her yerde sessizce çalıştığı dönem geride kaldı.

QUIC dönüşü

En yeni bölüm QUIC üzerinden ilerliyor; HTTP/3'ün altındaki şifreli UDP taşıması. Sıradan web trafiğinin büyük bir kısmı artık QUIC ve bu da onu mükemmel bir örtü yapıyor: HTTP/3 gibi görünen bir tünel, gürültüden çok gündelik gezinme gibi görünür. "QUIC VPN" aramalarının asıl konusu da budur — Hysteria2 ve TUIC gibi daha yeni aşma araçları, örtü için ve uzun, kayıplı rotalarda performans için QUIC'e biner ve IETF'nin MASQUE çalışması, HTTP/3 üzerinden proxy'lemeyi standartlaştırıyor. Apple, iCloud Private Relay'i aynı fikir ailesinden inşa etti — iCloud Private Relay ve VPN yazısı bunun nasıl karşılaştırıldığını ele alıyor.

QUIC de bir son nokta değil. Sansürcüler, hassas dönemlerde UDP'yi toptan kısıtlayabilir veya engelleyebilir ve gerçekten de yaparlar; bu da trafiği TCP-ve-TLS kılıklarına geri iter. Hiçbir taşıma her yerde kazanmaz — aşma araçlarının çeşitlenmeye devam etmesinin ve kalıcı sorunun "hangi protokol" değil, aracınızın kılık değiştirip değiştiremediği olmasının nedeni de budur.

Hangisine ihtiyacınız var?

Önünüzde gerçekte duran soruna göre ayırın:

  • Ağ sizi dışarı bırakmıyor. VPN protokollerinin tanınıp düşürüldüğü yerlerde belirleyici etken gizlemedir ve varsayılan ayarlardaki standart bir VPN protokolü bağlanamayabilir. Burası Shadowsocks'un kendi sahasıdır — ve aynı ihtiyaç gizlenmiş WireGuard çatallamalarını da doğurdu; bunları AmneziaWG ve WireGuard yazısında ele alıyoruz.
  • Ağdan ve internet sağlayıcınızdan gizlilik istiyorsunuz. Tüm cihazı kapsama, öngörülebilir DNS yönetimi ve tünel düştüğünde makul davranış, egzotik taşımalardan daha önemlidir. Burası VPN sütunudur ve gündelik kullanımın büyük kısmıdır: otel Wi-Fi'ı, internet sağlayıcısı profillemesi, güvenilmeyen ağlar. VPN sansürü nasıl aşar yazısı bu iki dünya arasındaki çizgiyi daha ayrıntılı çekiyor.
  • İkisi birden. Yoğun filtrelenen ağlardaki insanlar genellikle ikisine aynı anda ihtiyaç duyar: VPN kapsaması, üstelik kendini ilan etmeyen trafikle. Eskiden bu, kurulumu parçalardan kendiniz birleştirmek demekti. Giderek, bağlantısı kutudan çıktığı haliyle gizlenmiş bir VPN demek oluyor.

Snap VPN buna VPN tarafından yaklaşır: altta WireGuard, bağlantıya uygulanan kendi gizleme tekniklerimizle; böylece inceleme sistemlerine ders kitabı niteliğinde bir VPN imzası sunmaz. Ağ düzeyindeki ayrıntıları yayımlamıyoruz — kılıklar, belgelendikten sonra hızla eskir — ama hedef, bütün bu karşılaştırmanın işaret ettiği hedeftir: VPN trafiğinin avlandığı ağlarda yine de bağlanan, tüm cihazı kapsayan bir gizlilik.

Sık sorulan sorular

Shadowsocks bir VPN mi? Hayır. Şifreli bir proxy'dir. Mobil istemciler tüm cihazı onun üzerinden yönlendirebilir, bu da onu bir VPN gibi hissettirir; ama bir VPN uygulamasının standartlaştırdığı güvenceler —cihaz çapında yönlendirme, sızıntı yönetimi, düşen tünel davranışı— Shadowsocks protokolünün kendisinin bir parçası değildir.

Shadowsocks hâlâ çalışıyor mu? Pek çok yerde, çoğu zaman, evet — ama klasik Shadowsocks artık serbest geçiş elde etmiyor. Modern sansür sistemleri tamamen şifreli "yapısız" trafiği işaretler ve şüpheli sunuculara etkin biçimde probing uygular; bu yüzden güncel kurulumlar sertleştirilmiş belirtimlere, TLS sarmalamaya ya da ardıl protokollere dayanır.

Shadowsocks'tan daha iyi olan nedir? "Daha iyi"nin ne anlama gelmesi gerektiğine bağlıdır. Bugün tespitten kaçınmak için, gerçek HTTPS'i taklit eden ya da QUIC'e binen ardıllar öndedir. Sıradan ağlarda gündelik gizlilik için ise kayıt tutmayan bir VPN, daha basit ve daha eksiksiz araçtır.

Shadowsocks güvenli mi? Şifreleme sağlamdır — modern kimlik doğrulamalı şifreler, açıkça belirtilmiş. Pratik riskler başka yerdedir: sunucunuzu işleten kişi trafiğinizin nereye gittiğini görebilir ve rastgele kaynaklardan indirilen istemciler kurcalanmış olabilir. Kendi kendine barındırmak birincisini, yalnızca resmi sürümleri yüklemek ikincisini giderir.

Sonuç

  • Shadowsocks, tanınabilir bir şekli olmayarak çalışan bir sansür aşma proxy'sidir. VPN ise tüm cihazı kapsayan bir gizlilik tünelidir.
  • Farklı tehditlere yanıt verirler ve "daha iyi" yalnızca sizinkine göre anlam kazanır.
  • Sansürcüler "hiçbir şeye benzeme" yöntemini yakaladı; bu yüzden alan, gerçek bir şeye benzemeye doğru kaydı — TLS, WebSocket, QUIC.
  • Çoğu insan için, çoğu zaman, pratik yanıt bir VPN'dir — tercihen kendini inceleme donanımına ilan etmeyen biri.

iPhone kullanıyorsanız ve WireGuard çalıştıran, kendi bağlantısını gizleyen ve kim olduğunuzu sormayan bir VPN istiyorsanız — e-posta, hesap, trafik kaydı olmadan — Snap VPN, App Store'da.