Обсуждение: неработоспособность ShadowSocks (30.10.2023+)

Похоже началась блокировка Shadowsocks: Ставропольский край, проводной Ростелеком и мобильный Билайн.

Любопытно, что утром билайн дал пару минут интернета через SS, затем разом перестали работать все SS-подключения.

Попробовал с десяток разных серверов - не работают все, включая Shadowsocks-2022 (2022-blake3-aes-256-gcm). С теми же серверами по обфусцированным протоколам связь стабильная.

Tele2, чистый SS работает без сбоев.

в Дагестане начали блокировать голый Shadowsocks. работают пока что:

  1. WireGuard
  2. Shadowsocks+v2ray (fake tls)
  3. Shadowsocks+v2ray (quic)

Может быть не только shadowsocks, а весь нестандарт? Там на юге и телега легла (Telegram). Нужно исследование.
На 4pda многие говорят, что пинг есть, а многие SS не пашут. Белый список протоколов или портов?

Как любой DPI, умеет форсить порты для протоколов.
Но без дампов можно только гадать или ждать когда география белых списков увеличится (но похоже не в этот раз).

Пишут, пинг работает, смена порта на 443 не помогает. Помогает TLS. Все еще вопрос это блок именно SS (что должно быть трудозатратно) или нестандарта (белый список протоколов).
Пишут все носки (SS) перестали работать. То, что обещали, кстати. Насчет SS 2022 пока не ясно.

У SS есть одна особенность, запросы к серверу не мультиплексируются. Можно считать число подключений к паре адрес:порт и блокировать при превышении лимитов. Синтетические тесты такую блокировку не выявят. Например, при открытии браузером youtube, число установленных подключений к SS достигает 18, сам браузер открывает максимум 12 (числа взяты из эксперимента и могут отличаться).

Блокировка SS, методом curl через socks, в южных сетях не обнаружена.

Там же нет ICMP. Но может локально ответить процесс который делает tun2socks, если tun поднят. Ответа сервера не требуется. Можно опознать по времени ответа, будут единицы мс.

ЦФО, 500км от Москвы на юг. Веселье на локации с Mullvad:
До середины лета шевелилось “wg с защитой от квантовых атак”, иногда очень даже бодро, изредка и обычный wg пробивался, потом же любой wg сдох совсем.
Со вчерашнего вечера на той же локации перманентные отвалы OVPN-серверов, утром сегодня стало ещё веселее - начали отмирать один за другим OVPN-over-SS.
В той же локации у знакомых телега не пашет на мегафоне и еле2.

Касательно белого списка: Shadowsocks у меня всё ещё не работает, а AWG (Amnezia Wireguard) летает. При этом AWG - это просто Wireguard с дополнительными мусорными пакетами разного размера у разных клиентов. Это косвенно свидетельствует, что нет “белого списка” протоколов и как-то блокируют именно Shadowsocks.

С Хабра:

…согласно последнему GFW Report, детектировать Shadowsocks-2022 не умеют до сих пор даже китайцы, в итоге они просто в период обострений банят все протоколы, которые (не опознаны на DPI) AND (не похожи на простые текстовые).

Вполне возможно, что тут то же самое. Что ещё косвенно указывает на это: все началось вчера с попыток блокировок Telegram в проблемных регионах. У Telegram есть свои прокси, трафик до которых тоже выглядит как “fully encrypted traffic” без каких-либо явных сигнатур. Вполне возможно, что пытались грубым способом заблокировать Telegram-прокси, и из-за этого заодно случайно грохнули Shadowsocks (и ещё кучу всего другого неопознанного). Что объясняет тот факт, что у некоторых работают Wireguard и OpenVPN (которых блокировать научились и начали уже давно), но не работает SS.

Кстати, это же объясняет что продолжает работать AWG - Телеграм-то UDP не использует…

Краснодар, Билайн мобильный. Международные Wireguard, OpenVPN не блокируются. VLESS/Reality не блокируется. Внутрироссийский Shadowsocks-2022 блокируется. На клиенте передано ноль байт, на сервере логи пустые.

По ссылкам, на картинках живой vless.

Точно грохнули неизбирательно все, что попадало под критерии “подозрительного трафика”. Не работает Radmin (долго соединяется, безрезультатно), доступ к микротикам через winbox. С амнезией-WG или муллвадом все работает как часы…
P.S. И нормально работает внутри РФ через свои WG-тоннели.

Да, жалобы были от коллег на проблемы работы телеги через mtproto-proxy даже с ключом dd.

Насчет чистого SS не было возможности проверить, т.к. инфу заметил слишком поздно, а в моем случае SS работает в связке со своим же v2ray плагином в режиме TLS (fake-tls) и веб-сервером на фронтенде. Проблем не было.

obfs4 попал под блокировку?

Уже пару часов как у меня на проводе блокировки прекратились, на мобильном продолжаются.

какой провайдер?

Писал в первом сообщении:
Провод:РТ
Мобильный:Билайн

перестали блокировать примерно в 19:00 по мск. Telegram заработал, голый Shadowsocks тоже. во время блокировки наблюдались проблемы с доступом на некоторые ресурсы (mail.ru, dzen.ru, ok.ru). сейчас все ок.

И никаких подробностей. Хотя бы наблюдаемое в своей точке описали. Сколько сегментов пропускает, как блокирует, влияют ли порты, что считает за протокол, почему и когда нули помогают. Ничего.

Сообщения вида “не работает” можно на форумах пользователей почитать, их там больше, да и пишут чаще. Перезагрузитесь. И протрите экран.