Shadowsocks/SS小白常见问题答疑

科学上网 - IYIO.NET

Shadowsocks作者是谁?是否还在更新?

Shadowsocks是由若干人因为兴趣而制作的一个项目,主要开发者和领导者是 @clowwindy ,但是在2015年下半年 被“相关部门”约谈喝茶,于是被迫删除Github的源码及相关文档。

但Shadowsocks属于开源项目,所以删除前已经有人备份,同时由另一个志愿者跟进维护原版 Shadowsocks 客户端,而其他基于Shadowsocks项目的第三方项目有:

ShadowsocksRShadowsocks-qt5ShadowsocksCap等来维护更新Window/Linux客户端(其他系统的不一一举例了)。

Shadowsocks是否安全?加密性如何?

Shadowsocks是被设计来混淆数据,增加 墙 检查出流量特征所需的计算量,提高实时检测和匹配的成本,而不是加密。

SS的作者多次强调过这一点(Correct username/password auth model · Issue #169 · shadowsocks/shadowsocks · GitHub):

“We don’t need security. We need indistinguishability from random bytes.”

再三强调不要忘记SS作者的本意——这是一个能帮你上谷歌,上被墙屏蔽的网站的工具,其意义是瞒过 墙 的实时流量检测,而不是瞒过 墙 后面的master minds。

Shadowsocks是一个业余兴趣制作的项目,并没有经过严谨的密码学算法计算,Shadowsocks不是一个VPN,它无法100%的保护你的数据安全!

Shadowsocks各分支版本地址

我目前已知并使用人数较多的Shadowsocks各分支版本。

客户端

服务端

  • Shadowsocks-Python – Github
  • Shadowsocks-libev – Github
  • Shadowsocks-Go – Github
  • ShadowsocksR-Pyhton – Github
  • ShadowsocksR-libev – Github
  • Shadowsocks-libev-OpenWrt – Github

Shadowsocks原版和ShadowsocksR的区别是什么?

Shadowsocks原版在更新到 v2.5.8 之后被“相关部门”约谈喝茶了,于是就停止了更新。但是应网友要求,另一个开发者把 v2.5.8 的一些严重BUG修复了更新为 v3.0,然后宣布不再管了。

Shadowsocks原版本身,也是具有协议和混淆功能的,也就是原版协议/混淆,只是只有一个不能自行选择,并且全靠作者维护,作者喝茶后,就GG了,其他的接手者只是继续完善其他的功能。

而ShadowsocksR是在 原版作者喝茶前,由另一个程序员 @breakwa11 制作的第三方版本,主要特点是增加了一些人性化功能,比如服务器连接统计、连接管理、协议转换、多重代理等。

最主要的是ShadowsocksR的混淆协议和插件功能,因为Shadowsocks原版项目已经无人维护,同时 墙 的工作人员也在不停的寻找效率批量匹配特征的方法,目前SS原版协议在大部分地区已经被 匹配流量特征QOS限速了。

所以ShadowsocksR的混淆协议和插件就应运而生,其目的就是欺骗 墙 目前的流量匹配功能和QOS限速。

需要说明的是,ShadowsocksR目前最新的协议和混淆是会增加延迟和损耗15%的速度(因为混淆需要时间,越复杂的混淆越不容易被墙发现,同时混淆时间越长),所以如果你没有限速,或许用原版协议和混淆会更好。

你可以理解为在原版协议的基础上加强了混淆功能,所以在部分地区只有使用ShadowsocksR的混淆功能才能达到最佳速度,当然不同地区也不一样,所以最好都试试!

ShadowsocksR的混淆协议和插件有什么用?

不说各混淆的特性,只说一下 混淆协议插件 整体意义。

Shadowsocks的开发目的是 穿透防火墙,也就是专门科学上网用的。

Shadowsocks是被设计来 混淆数据,增加 墙 检查出流量特征所需的计算量,提高实时检测和匹配的成本。

但是 作者喝茶后,其他的Shadowsocks项目参与者都散了,已经无人维护Shadowsocks原版项目,再加上 墙 一直没有停下 针对Shadowsocks协议的 流量特征分析。

所以,现在的Shadowsocks原版协议在一些地区已经被严重匹配流量特征了。

早在2016年5月,我便已经发现了使用Shadowsocks原版被运营商限速,换成ShadowsocksR最新的协议和混淆后就恢复正常速度的例子了。

遇到这种情况会出现:

  • Shadowsocks间歇性无法连接。
  • Shadowsocks速度一开始很快,然后很快就降速很低。
  • Shadowsocks所有账号,全部无法超过XXX KB/S的速度。
  • Shadowsocks单一端口使用一段时间或者一些流量后无法使用,换端口后正常。
  • Shadowsocks使用一段时间后无法连接,但是重新拨号(换IP)或者换Shadowsocks服务器后正常。

这是目前我已知的几种情况。

而ShadowsocksR的主要特点就是 混淆协议和插件,目的就是为了弥补 目前Shadowsocks原版协议已经 部分地区封锁的情况。

通过 改变流量特征 或者 伪装其他流量特征 来达到欺骗QOS 的目的。但是,既然是欺骗,那就不可能一直骗下去,所以ShadowsocksR的混淆协议需要不停地更新,来对抗整个 墙的工作人员。

一些地区Shadowsocks原版协议封锁严重,使用最新的 混淆协议和插件可以缓解或者暂时解决上面所说的情况(尽量不要使用旧的,基本已经匹配了)

目前,各省份的运营商(墙)相对是独立的,并不是全网同步的,所以会遇到有些地区的运营商已经可以匹配Shadowsocks原版流量特征了,而有些没影响。
需要说明的是,ShadowsocksR目前最新的协议和混淆是会增加延迟和损耗15%的速度(因为混淆需要时间,越复杂的混淆越不容易被墙发现,同时混淆时间越长),所以如果你没有限速,或许用原版协议和混淆会更好。

同样大部分地区还是 封锁较轻,这种地区根据当地的QOS策略不同,可能需要选择性的使用 混淆协议哈插件。

简单的说,你的流量出墙的时候要经过两道关卡,第一个是运营商 检测Shadowsocks原版协议的,当特征匹配的话,就会阻断或者限速。
然后第二个关卡才是 运营商对所有普通宽带用户的统一限速,也就是不管你是什么类型的流量,都全部限速。当然,有的地区有第一个关卡,有的则没有。
而混淆协议只能欺骗第一个关卡:针对Shadowsocks原版协议的QOS限速,但并不能突破 运营商的统一QOS限速。
注意:ShadowsocksR的混淆协议功能只能针对 当地运营商对Shadowsocks原版协议QOS限速的情况才会有效果,如果只是 当地运营商对国际宽带统一QOS限速,那基本就没用了。

如何知道自己是否需要使用ShadowsocksR服务端和客户端?

首先,你使用Shadowsocks原版的服务端和客户端时,遇到了以下几种情况:

  • Shadowsocks间歇性无法连接。
  • Shadowsocks速度一开始很快,然后很快就降速很低。
  • Shadowsocks所有账号,全部无法超过XXX KB/S的速度。
  • Shadowsocks单一端口使用一段时间或者一些流量后无法使用,换端口后正常。
  • Shadowsocks使用一段时间后无法连接,但是重新拨号(换IP)或者换Shadowsocks服务器后正常。

那就说明,你当地的运营商已经具备检测Shadowsocks原版协议/混淆的能力了,所以对其限速、丢包干扰等。

这时候你就需要使用ShadowsocksR服务端和客户端了。

当然,即使你没有遇到上面的情况,你也可以尝试使用ShadowsocksR服务端和客户端,说不定,你觉得没限速,实际现在正在被运营商限速呢。

当然,是否需要使用ShadowsocksR客户端和服务端,你需要同一个VPS上面安装Shadowsocks服务端和ShadowsocksR服务端。

然后分别用Shadowsocks客户端和ShadowsocksR客户端(使用最新混淆/协议)来测试速度。

如果速度一样,或者说ShadowsocksR的速度反而变慢了(因为协议和混淆会损失速度),那么说明你的本地运营商并没有限速Shadowsocks,那么你用什么都行。

如果ShadowsocksR(使用最新混淆/协议)速度比Shadowsocks原版多很多,那么说明你本地运营商限速Shadowsocks原版了,那么你就需要使用ShadowsocksR了。

需要说明的是,ShadowsocksR目前最新的协议和混淆是会增加延迟和损耗10%左右的速度(因为混淆需要时间,越复杂的混淆越不容易被墙发现,同时混淆时间越长),所以如果你没有限速,或许用原版协议和混淆会更好。

ShadowsocksR 最新服务端为什么不能兼容原版(使用原版SS客户端),有什么影响?

ShadowsocksR news:
服务端所有auth系列协议,为了保证其安全性,一律不再支持compatible模式,唯一一个支持的协议是 verify_sha1_compatible ,但将来可能会移除
混淆部分不变,也建议启用compatible

首先引用作者原话,最近这几天,ShadowsocksR作者与Shadowsocks libev服务端的作者吵架,各种带节奏的,然后ShadowsocksR宣布不再更新,同时也取消了ShadowsocksR服务端的兼容原版模式。我来解释一下取消后导致的问题。

大家都知道,在 ShadowsocksR服务端配置 协议和混淆的时候,在协议和混淆 比如协议: auth_sha1_v4 后面加上 _compatible 就可以实现:

既ShadowsocksR客户端(选择对应的协议/混淆) 和 Shadowsocks原版(或者SSR客户端选择原版协议/混淆) 都能链接你的 ShadowsocksR服务端(账号)。

取消 协议 兼容原版后,当你的ShadowsocksR服务端配置了 协议 后,只能ShadowsocksR的客户端选择对应的协议才可以连接(SSR客户端选择原版协议也是无法连接),而使用Shadowsocks原版客户端无法连接。

只有你设置ShadowsocksR服务端的协议为 原版(origin),那么才能ShadowsocksR客户端(选择原版协议)和Shadowsocks客户端都能链接你的ShadowsocksR服务端(账号)。

目前ShadowsocksR服务端是,auth_aes128_* 及以后的协议 都不支持兼容原版了,之前的协议可以兼容原版,混淆也都可以兼容原版。

当然了,这只针对 ShadowsocksR的协议,对于 混淆 参数是无所谓的,协议和混淆是可以分开的,你可以协议不设置兼容原版,而混淆设置兼容原版,或者不设置协议,而只设置混淆兼容原版,都可以,不存在协议开了,混淆也必须开的问题。

Shadowsocks客户端为什么分dotnet2.0/dotnet4.0 ?

两个版本的功能是完全一样的,不同之处是根据你系统安装的 .NET Framework 支持库版本,这个支持库有v2.0/3.5/4.0/4.5版本,且每个版本都是独立的。

这里的 .NET Framework v2.0就是对应的 DotNe t2.0 Shadowsocks客户端,v4.0则是对应 DotNet 4.0的。

Shadowsocks是C#语言写的,所以需要安装这个微软的支持库,Shadowsocks原版是更新到2.5.2后就取消支持v2.0了,但是ShadowsocksR依然支持。

这支持库是一般来说XP是都没有安装的,Win7则是系统自带v2.0,win8以后是自带v4.0。

所以自己看着 支持库的安装 情况选择版本就行了,功能无差别。

Shadowsocks的PAC是什么意思?

代理自动配置(英语:Proxy auto-config,简称PAC)是一种网页浏览器技术,用于定义浏览器该如何自动选择适当的代理服务器来访问一个网址。
一个PAC文件包含一个JavaScript形式的函数“FindProxyForURL(url, host)”。这个函数返回一个包含一个或多个访问规则的字符串。用户代理根据这些规则适用一个特定的代理器或者直接访问。当一个代理服务器无法响应的时候,多个访问规则提供了其他的后备访问方法。浏览器在访问其他页面以前,首先访问这个PAC文件。PAC文件中的URL可能是手工配置的,也可能是是通过网页的网络代理自发现协议(WPAD)自动配置的。
———— 截取自维基百科

PAC中文名叫做代理自动配置,PAC其实就是 HTTP/SOCKS等代理服务器 + 网址规则,只有在你浏览器访问 网址规则中包含的网站 时才会走PAC文件中包含指定的HTTP/SOCKS代理服务器。

因为Shadowsocks作者喝茶后,原本维护更新的PAC(GFWlist)文件也被删除,不过现在由ShadowsocksR作者接手维护了(Github项目),由网友不断的提交新的被墙的网址和IP。目前分为网址白名单、黑名单、黑白名单,同时也有ip的名单。

有时候访问一些网站,可能被墙或者打开很慢,于是想要让这个网站走Shadowsocks代理,但是又不想开全局模式,那么你就需要看下面这个文章了。

Shadowsocks的负载均衡模式是什么意思?

Shadowsocks和ShadowsocksR都有个负载均衡功能,官方的解释是:

负载均衡功能,适用于网页浏览,不适用于看视频或下载等需要大流量的环境。如需下载请在连接统计窗口通过下载测速测试速度最快的服务器然后单独连接之。

简单的说就是,用用这个节点用用那个节点,不照着一个节点用,达成所有节点负载均衡的目的。所以大流量的时候不要开这个。

ShadowsocksR中的代理规则是什么?

ShadowsocksR目前分两种规则方式,那就是 PAC规则(系统代理模式) 和 代理规则 。

PAC规则 是根据PAC文件中的黑白地址名单来判断那些网站走代理。也就是判断 流量是否进入客户端。

当你要访问的网站满足 PAC里的设置,那么浏览器就会向代理服务器也就是客户端发送网站请求数据,这时候我们才进入了ShadowsocksR客户端,接下来我们就进入了代理规则判断环节。

代理规则 是根据IP判断,按设定的规则来判断进入 客户端的流量是直连还是走代理。

当你访问 XXX 网站,然后是全局或者满足PAC条件从而访问 XXX网站的请求数据流量进入了客户端,然后客户端会根据 XXX网站的IP来判断,如下:

  • 绕过局域网,当IP属于局域网内的,那么SSR客户端就会让流量直连,反之则会让流量走代理(发送到SSR服务端)。
  • 绕过局域网和大陆,当IP属于大陆内或局域网的,那么SSR客户端就会让流量直连,反之则会让流量走代理(发送到SSR服务端)。
  • 绕过局域网和非大陆,当IP属于大陆外(非大陆IP都算大陆外)或局域网的,那么SSR客户端就会让流量直连,反之则会让流量走代理(发送到SSR服务端)。

这两种判断方式是相互配合使用的,先用系统代理模式来判断是否让数据进入SSR客户端,再用代理规则来判断进入SSR客户端的数据是直连还是走代理。

举个栗子:假设系统代理模式为 PAC,那么访问 www.google.com ,浏览器在PAC文件中匹配这个域名,并发现这个域名按PAC规则规则应走代理,所以 浏览器就会发送 访问网页数据到 PAC中的代理服务器(默认如127.0.0.1:1080),于是SSR客户端就收到了 访问谷歌的数据,而这时候就该用 代理规则 判断了。

首先代理规则为:绕过局域网,则判断 www.google.com 域名的IP是否是局域网IP,然而不是局域网IP,于是走代理。

代理规则为:绕过局域网和大陆,则判断 www.google.com 域名的IP是否是局域网IP 或 大陆IP,然而不是局域网IP或大陆IP,于是走代理。

代理规则为:绕过局域网和非大陆,则判断 www.google.com 域名的IP是否是局域网IP 或 非大陆IP,然而是非大陆IP,于是不走代理,直连。

代理规则为:全局,不判断 www.google.com 域名的IP,直接走代理。

发表评论

© IYIO.NET. All rights reserved. Developed by IYIO.NET