Доброго времени суток всем.
Я новичок в сетях и был бы очень рад некоторым пояснениям и тыканием носом от более старших и опытных людей.
Не так давно познакомился с shadowsocks и его плагинами и возникло несколько вопросов по поводу связки shadowsocks + cloak и ее возможностей.
Меня интересует как можно оптимизировать данную связку в вопросах безопасности, скорости, приватности и анонимности.
Особенно интересует последнее, как эту связку видят специалисты если в конец добавить тор и впн\прокси для анонимизации коннекта и трудновычисляемости при поиске реального ip с которого идут данные.
Спрашиваю в связи с тем что работаю с сервисом который может в этом году стать нелегальным в моей стране и не хотелось бы присесть на бутылку из-за паршивой юрисдикции, но и терять эту работу нет возможности, а на переезд $$ пока нет.
Буду очень рад вашему профессиональному мнению и отклику.
I don’t know about Cloak, but for Shadowsocks the most important thing is use AEAD ciphers only (chacha20-ietf-poly1305, aes-256-gcm, aes-128-gcm). Many Shadowsocks implementations also support “stream ciphers” (aes-128-ctr, aes-128-cfb, camellia-128-cfb, chacha20, …) and you must not use these. AEAD ciphers are not perfect, but stream ciphers are vulnerable to a number of attacks, including decryption.
- A practical guide to defend against the GFW’s latest active probing
- How to Deploy a Censorship Resistant Shadowsocks-libev Server
- Decryption vulnerability in Shadowsocks stream ciphers
With Tor Browser, you can easily configure an obfs4 bridge, which is similar to Shadowsocks in the way it obfuscates traffic. But obfs4 resists surveillance only if you use a private bridge, ideally one you set up yourself—don’t use the built-in bridges, because their IP addresses are well-known.
Shadowsocks (оригинальный) работает только по TCP, а UDP не инкапсулирует (TCP туннелируется по TCP, UDP туннелируется по UDP, но UDP не может туннелироваться в TCP).
Плагины в Shadowsocks работают только по TCP. Если вы настроите Shadowsocks+cloak, UDP-трафик будет либо блокироваться, либо идти в обход туннеля. При блокировке UDP-трафика у вас не будет работать часть сервисов (DNS через UDP, звонки в некоторых мессенджерах, некоторые онлайн-игры), а при обходе туннелирования они, собственно, не будут идти через Shadowsocks.
Мне для работы UDP и не нужен. И да, я понимаю что лишаюсь определенных возможностей из-за отсутствия UDP.
Меня больше интересует вопрос нахождения меня через такой коннект, как могут найти, насколько это вероятно и что предпринять лучше для того чтобы не нашли, лучше работать неудобно, чем не работать вовсе.
DNS запросы думаю пускать через днскрипт, либо с впн/прокси сервака на конце и пока все тесты с оконечным днс говорят о том что это работает и по днс серваку сервисы не определяют даже косвенное местоположение.
Thanks for ur reply.
Ur links deepened my understanding of this connection.
About bridges it’s for sure, but i dnt use it now, i exclude node from my country and neighboring.
What can you say about the discovery of this connection?
As far as I know in China, learned to detect pure SS, but its as far as I remember the article is quite a problematic process. I cant find it article now.
As far as I know, there is no country where private obfs4 bridges are blocked.
The article you are thinking of is possibly