Shadowsocks займає дивний закуток історії інтернету: проксі, написаний одним розробником у Китаї 2012 року, випущений як відкритий код і тихо взятий на озброєння мільйонами людей як робоча конячка обходу фаєрволів. Його постійно порівнюють із VPN, зазвичай із неправильним питанням — «що краще?», — коли ці двоє насправді не намагаються виконувати ту саму роботу.

Коротка відповідь: Shadowsocks — це зашифрований проксі, створений переносити трафік через державні фаєрволи, не будучи розпізнаним. VPN — це зашифрований тунель для всього вашого пристрою, створений заради приватності від мережі, у якій ви перебуваєте. Вони перетинаються, але відповідають на різні загрози — а правильний вибір залежить від того, яка загроза насправді ваша.

Головне

  • Shadowsocks — це зашифрований проксі SOCKS5, збудований, щоб долати цензуру; його ніколи не створювали як продукт для приватності.
  • Його хитрість — виглядати як ніщо: жодної сигнатури рукостискання, жодного банера протоколу, лише невиразні зашифровані байти.
  • VPN покриває кожен застосунок на пристрої, зі стандартизованою поведінкою щодо витоків і розірваних з'єднань; налаштування проксі різняться дуже широко.
  • Сучасні фаєрволи навчилися позначати трафік, що «виглядає як ніщо», тож класичний Shadowsocks більше не вільний пропуск.
  • Обирайте за моделлю загроз: стійкість до цензури, приватність для всього пристрою чи — дедалі частіше — і те, й те в одному застосунку.

Що таке Shadowsocks насправді

2012 року розробник, що писав під ім'ям clowwindy, опублікував невеликий інструмент для проведення особистого трафіку повз державний фаєрвол Китаю. 2015 року, після тиску з боку влади, він видалив код і відійшов осторонь. Проєкт вижив як реалізації, що підтримуються спільнотою, і відтоді активно розвивається — він також є основою для інструментів на кшталт Outline. Ця історія походження повністю пояснює дизайн: Shadowsocks збудувала людина, чиєю проблемою був фаєрвол, а не рекламодавець.

Механічно Shadowsocks — це пара: клієнт на вашому пристрої й сервер десь поза фільтрованою мережею. Клієнт бере трафік застосунків через SOCKS5 — стандартний інтерфейс проксі, — шифрує його сучасними автентифікованими шифрами й передає через сервер, який надсилає його далі до справжнього призначення.

Розумна частина — це те, чого бракує. Звичайне зашифроване з'єднання заявляє про себе: TLS відкривається впізнаваним вітанням, а протокол VPN відкривається впізнаваним рукостисканням. З'єднання проксі Shadowsocks відкривається нічим. Від першого байта потік — це шифротекст із високою ентропією без заголовка, без банера й без фіксованих розмірів пакетів. Немає сигнатури, яку можна зіставити, бо немає структури, яку можна побачити.

Чим це відрізняється від VPN

Різниця починається на рівні, на якому працює кожен із них, і розходиться звідти.

Охоплення. VPN створює мережевий інтерфейс на рівні операційної системи й спрямовує через нього весь пристрій — кожен застосунок, зокрема ті, що взагалі не мають налаштувань проксі. Shadowsocks — це проксі: класично він несе ті застосунки, які на нього спрямовано. Мобільні клієнти розмивають це, спрямовуючи всю систему через локальний інтерфейс тунелю, але це функція клієнта, який ви встановлюєте, а не гарантія протоколу.

Поведінка при збої. Зрілі застосунки VPN мають стандартизовані відповіді на незручні питання: що стається з трафіком тієї миті, коли тунель розривається, куди йдуть DNS-запити, чи щось прослизає повз край. У Shadowsocks відповіді цілком залежать від того, який клієнт ви обрали і як його налаштовано — нічого з цього не гарантовано протоколом.

Довіра. Постачальник VPN — це компанія, яку ви можете оцінити за її політикою журналювання та послужним списком — речами, які ми розглядаємо в матеріалі про те, що насправді означає політика без журналів. Сервери Shadowsocks зазвичай розгорнуті самостійно або куплені в невеликих, часто анонімних перепродавців. У будь-якому разі хтось керує дальнім кінцем і може спостерігати, куди йде ваш трафік. Проксі не прибирає потреби довіряти кінцевій точці; він змінює те, кому ви довіряєте, а з перепродавцем ви зазвичай нічого про них не знаєте.

Якщо вам потрібна загальна версія цього порівняння — проксі проти VPN, поза цензурою — це VPN проти проксі.

Чому це працювало десятиліття

Глибока перевірка пакетів за своєю суттю — це зіставлення сигнатур: розпізнати протокол, а потім вирішити політику. Shadowsocks не давав їй чого розпізнавати. Це лишало цензорам два непривабливі варіанти — блокувати адреси призначення одну за одною, гру в «вдар крота» проти дешевих орендованих серверів, або блокувати все, чого вони не могли класифікувати, і змиритися із супутньою шкодою для звичайного зашифрованого трафіку.

Роками супутня шкода була не вартою того, і Shadowsocks прослизав у прогалину. Ця прогалина зачинялася.

Чому «чи це досі працює?» тепер справжнє питання

Два контрзаходи змінили картину. Перший — це активне зондування: коли системи цензури помічають підозріле з'єднання, вони самі під'єднуються до того самого сервера й тестують, як він відповідає, шукаючи поведінку проксі. Другий — грубіший. Дослідники задокументували на USENIX Security 2023, що з кінця 2021 року фаєрвол Китаю часом просто розриває з'єднання, чиї перші пакети виглядають як невиразні дані з високою ентропією — саме та відсутність структури, яка робила Shadowsocks невидимим. Коли цензор вирішує, що трафік, який виглядає як ніщо, сам по собі є сигналом, виглядати як ніщо перестає бути маскуванням.

Спільнота відповіла у двох напрямах. Перший: загорнути Shadowsocks усередину справді звичайних на вигляд транспортів — справжніх сесій TLS, з'єднань WebSocket. Другий: імітувати справжні протоколи відверто — інструменти-наступники з родини trojan і REALITY подаються як звичайний HTTPS навіть коли їх зондують. Новіші специфікації Shadowsocks також зміцнили протокол проти трюків зондування, що ловили старіші версії. Гра в кота-мишки триває; ера одного простого інструмента, що тихо працює всюди, скінчилася.

Поворот до QUIC

Найновіший розділ проходить через QUIC, зашифрований транспорт UDP під HTTP/3. Велика частка звичайного вебтрафіку тепер — це QUIC, що робить його чудовим прикриттям: тунель, що подається як HTTP/3, виглядає як повсякденний перегляд, а не як шум. Саме про це насправді йдеться в запитах про «QUIC VPN» — новіші інструменти обходу на кшталт Hysteria2 і TUIC їдуть на QUIC заради прикриття й заради продуктивності на довгих маршрутах із втратами, а робота IETF над MASQUE стандартизує проксіювання поверх HTTP/3. Apple збудувала iCloud Private Relay з тієї самої родини ідей — матеріал iCloud Private Relay проти VPN охоплює те, як вони зіставляються.

QUIC теж не кінцева точка. Цензори можуть гуртом сповільнювати чи блокувати UDP у чутливі періоди, і таки роблять це, що штовхає трафік назад до маскувань під TCP-і-TLS. Жоден транспорт не виграє всюди — і саме тому інструментарій обходу далі диверсифікується, і саме тому стійке питання не «який протокол», а чи вміє ваш інструмент перевдягатися.

Який із них вам потрібен?

Розсортуйте це за проблемою, що насправді стоїть перед вами:

  • Мережа не випускає вас назовні. Там, де протоколи VPN розпізнають і відкидають, обфускація — вирішальний чинник, а стандартний протокол VPN на типових налаштуваннях може просто не під'єднатися. Це рідне поле Shadowsocks — і та сама потреба породила обфусковані форки WireGuard, які ми розглядаємо в матеріалі AmneziaWG проти WireGuard.
  • Ви хочете приватності від мережі та свого інтернет-провайдера. Охоплення всього пристрою, передбачуване опрацювання DNS і розумна поведінка, коли тунель розривається, важать більше за екзотичні транспорти. Це колонка VPN, і це більшість повсякденного вжитку: готельний Wi-Fi, профілювання інтернет-провайдером, ненадійні мережі. Матеріал як VPN обходить цензуру проводить межу між цими двома світами докладніше.
  • І те, й те. Людям у жорстко фільтрованих мережах зазвичай потрібне і те, й те одразу: охоплення VPN із трафіком, що про себе не заявляє. Історично це означало складати налаштування самостійно з частин. Дедалі частіше це означає VPN, чиє з'єднання обфусковане з коробки.

Snap VPN підходить до цього з боку VPN: WireGuard усередині, з власними техніками обфускації, застосованими до з'єднання, тож воно не вручає системам перевірки хрестоматійну сигнатуру VPN. Ми не публікуємо специфіки рівня дроту — маскування швидко старіють, щойно їх задокументовано, — але мета та сама, на яку вказує все це порівняння: приватність для всього пристрою, що все одно під'єднується в мережах, де на трафік VPN полюють.

Поширені запитання

Чи Shadowsocks — це VPN? Ні. Це зашифрований проксі. Мобільні клієнти можуть спрямувати через нього весь пристрій, що дає відчуття VPN, але гарантії, які стандартизує застосунок VPN — маршрутизація для всього пристрою, опрацювання витоків, поведінка при розірваному тунелі — не є частиною самого протоколу Shadowsocks.

Чи Shadowsocks досі працює? У багатьох місцях, значну частину часу, так — але класичний Shadowsocks більше не отримує вільного пропуску. Сучасні системи цензури позначають повністю зашифрований «безструктурний» трафік і активно зондують підозрювані сервери, тож нинішні налаштування спираються на зміцнені специфікації, обгортання в TLS чи протоколи-наступники.

Що краще за Shadowsocks? Залежить від того, що має означати «краще». Для уникнення виявлення сьогодні наступники, що імітують справжній HTTPS чи їдуть на QUIC, мають перевагу. Для повсякденної приватності у звичайних мережах VPN без журналів — простіший і повніший інструмент.

Чи Shadowsocks безпечний? Шифрування надійне — сучасні автентифіковані шифри, відкрито специфіковані. Практичні ризики сидять деінде: той, хто керує вашим сервером, може бачити, куди йде ваш трафік, а клієнти, завантажені з випадкових джерел, можуть бути підмінені. Самостійне розгортання розв'язує перше; встановлення лише офіційних збірок розв'язує друге.

Підсумок

  • Shadowsocks — це проксі для уникнення цензури, що працює, не маючи впізнаваної форми. VPN — це тунель приватності для всього пристрою.
  • Вони відповідають на різні загрози, і «краще» має сенс лише відносно вашої.
  • Цензори наздогнали «виглядати як ніщо», тож поле зрушило до того, щоб виглядати як щось справжнє — TLS, WebSocket, QUIC.
  • Для більшості людей, значну частину часу, практична відповідь — це VPN, найкраще такий, що не рекламує себе обладнанню для перевірки.

Якщо ви на iPhone і хочете VPN, що працює на WireGuard, обфускує власне з'єднання й не питає, хто ви — без електронної пошти, без облікового запису, без журналів трафіку — Snap VPN є в App Store.