shadowsocks和Vmess這種協議和老牌VPN協議(如openVPN)有什麼安全性上的不同?
新人求問
前幾日諮詢surfshark客服的時候,詢問了一下shadowsocks的相關,得知ss只加密瀏覽器流量,其餘系統流量,即使在全局代理VPN kill switch模式下模式下都是明文傳輸的
大驚,來問:
shadowsocks, Vmess, Trojan這種新型協議 都是只加密瀏覽器流量嗎?若是,有無方法使其加密系統全部流量?
他們的安全性和傳統協議相比如何呢?
安全性我主要指三點:加密強度和信息完整性,也就是我的流量能否被黑客解密,或者黑客能否誘導我的手機接受/發送並非我意願接受/發送的流量?
二是被發掘並封鎖的概率
三是保護我匿名性的能力,比如我掛著shadowsocks和ikev2在品蔥發帖被CCP盯上了,哪種協議更容易暴露我的存在?
前幾日諮詢surfshark客服的時候,詢問了一下shadowsocks的相關,得知ss只加密瀏覽器流量,其餘系統流量,即使在全局代理VPN kill switch模式下模式下都是明文傳輸的
大驚,來問:
shadowsocks, Vmess, Trojan這種新型協議 都是只加密瀏覽器流量嗎?若是,有無方法使其加密系統全部流量?
他們的安全性和傳統協議相比如何呢?
安全性我主要指三點:加密強度和信息完整性,也就是我的流量能否被黑客解密,或者黑客能否誘導我的手機接受/發送並非我意願接受/發送的流量?
二是被發掘並封鎖的概率
三是保護我匿名性的能力,比如我掛著shadowsocks和ikev2在品蔥發帖被CCP盯上了,哪種協議更容易暴露我的存在?
1.
是否加密全部流量和用什么协议无关,客服在忽悠你。只要你打开代理软件(包括商业vpn和ss客户端),软件就会自动设置全局代理。
浏览器会自动走全局代理,至于其它流量会不会走代理,不好说。如果你要加密系统全部流量,必须使用虚拟机。
2.
ss和vmess都使用公开的加密算法,这些算法的安全性久经考验,这一点不用担心。反倒是一些vpn商家私有的加密算法安全性存疑。
3.
二和三是同一个问题,也就是流量的隐蔽性。
SS(aead)和vmess的隐蔽性都不错,如果是面向中国的vpn,应该也有类似的混淆措施。
当然墙的背后机制是个黑盒,如果你走大量未知加密流量仍然会引起怀疑。最好的办法是v2ray+ws+tls+web。
shadowsocks, Vmess, Trojan這種新型協議,都是只加密瀏覽器流量嗎?若是,有無方法使其加密系統全部流量?
是否加密全部流量和用什么协议无关,客服在忽悠你。只要你打开代理软件(包括商业vpn和ss客户端),软件就会自动设置全局代理。
浏览器会自动走全局代理,至于其它流量会不会走代理,不好说。如果你要加密系统全部流量,必须使用虚拟机。
2.
加密強度和信息完整性
ss和vmess都使用公开的加密算法,这些算法的安全性久经考验,这一点不用担心。反倒是一些vpn商家私有的加密算法安全性存疑。
3.
二是被發掘並封鎖的概率
三是保護我匿名性的能力,比如我掛著shadowsocks和ikev2在品蔥發帖被CCP盯上了,哪種協議更容易暴露我的存在?
二和三是同一个问题,也就是流量的隐蔽性。
SS(aead)和vmess的隐蔽性都不错,如果是面向中国的vpn,应该也有类似的混淆措施。
当然墙的背后机制是个黑盒,如果你走大量未知加密流量仍然会引起怀疑。最好的办法是v2ray+ws+tls+web。
shadowsocks不是vpn,是代理软件。用人话说就是一个上网的跳板,ss设计上主要考虑流量不容易被发现。而vpn全称叫虚拟私人网络,目的是为了打通两台电脑间的连接,设计上非常在乎安全性,不在乎流量被人发现,不被别人解密就行。总的来说就是shadowsocks理论上没有vpn安全,但现有aead算法足够保障基础安全性,党国破解你的流量成本过高。而shadowsocks流量比传统vpn流量事实上隐秘很多,更不容易被发现,这也是shadowsocks为什么能占据主导的原因
关于匿名性,所有代理软件和vpn都不具备真正的匿名,你需要使用tor+虚拟机+公共代理+随机上网时间才能保证几乎匿名。只要你购买别人的vpn服务,你访问过哪些网站对方都可以知道(这就是要使用tor的原因)。一般来说浏览网页不用担心安全问题,用别人的代理没什么问题,如果你要发表高危言论,比如在品葱发言,就需要使用tor隐藏你的真实ip。匿名是一门大学问,很抱歉在这里没法详细展开
另外,并不是你电脑所有流量都走代理才是安全的,这个观点有误。应该是敏感流量走代理,常规流量不走代理才能最大限度地去除流量和你真人的关系。例如你用ss上Google的同时不应该用ss上百度,你的代理ip应当尽力和你的真身分离、脱敏。如果你需要一个像vpn一样的全域shadowsocks来代理ss代理不上的exe,你可以用一个叫sstap的软件
总之不要盲目迷信所谓加密=安全,匿名更有必要,上品葱发言请使用任意翻墙代理+Tor的方式,我个人推荐你买shadowsocks机场胜过买vpn
关于匿名性,所有代理软件和vpn都不具备真正的匿名,你需要使用tor+虚拟机+公共代理+随机上网时间才能保证几乎匿名。只要你购买别人的vpn服务,你访问过哪些网站对方都可以知道(这就是要使用tor的原因)。一般来说浏览网页不用担心安全问题,用别人的代理没什么问题,如果你要发表高危言论,比如在品葱发言,就需要使用tor隐藏你的真实ip。匿名是一门大学问,很抱歉在这里没法详细展开
另外,并不是你电脑所有流量都走代理才是安全的,这个观点有误。应该是敏感流量走代理,常规流量不走代理才能最大限度地去除流量和你真人的关系。例如你用ss上Google的同时不应该用ss上百度,你的代理ip应当尽力和你的真身分离、脱敏。如果你需要一个像vpn一样的全域shadowsocks来代理ss代理不上的exe,你可以用一个叫sstap的软件
总之不要盲目迷信所谓加密=安全,匿名更有必要,上品葱发言请使用任意翻墙代理+Tor的方式,我个人推荐你买shadowsocks机场胜过买vpn
Shadowsocks 能不能代理全局流量,和你使用什么工具(软件)有关系。
例如 Outline 基于 Shadowsocks,但和其他主流的影梭工具不同,它更接近与 VPN,虚拟一个网卡,然后代理全局流量。
至于使用何种工具更安全,没有绝对的安全。想要安全就要上洋葱或大蒜路由。但即便上了前两者,如果连接的第一跳是个蜜罐,还是存在暴露的风险。
影梭服务可以通过自建或者机场服务获得,前者 CCP 可以通过固定 IP 找到虚拟主机的提供商,后者可以通过机场主,获得了付费信息(如果不是通过高暱的方式支付)就会被爆破。因此可以将影梭之流作为前置代理配合洋葱等类似工具一起使用。
至于加密,就不必担心了,影梭和 V2 之流的工具,都是使用业界公开的加密算法(别使用已淘汰的),在数学角度通过论证,目前还没有能力。试想下,如果有,哪里还会有机会翻墙呢?
建议阅读编程随想的相关文章,做好启蒙。
例如 Outline 基于 Shadowsocks,但和其他主流的影梭工具不同,它更接近与 VPN,虚拟一个网卡,然后代理全局流量。
至于使用何种工具更安全,没有绝对的安全。想要安全就要上洋葱或大蒜路由。但即便上了前两者,如果连接的第一跳是个蜜罐,还是存在暴露的风险。
影梭服务可以通过自建或者机场服务获得,前者 CCP 可以通过固定 IP 找到虚拟主机的提供商,后者可以通过机场主,获得了付费信息(如果不是通过高暱的方式支付)就会被爆破。因此可以将影梭之流作为前置代理配合洋葱等类似工具一起使用。
至于加密,就不必担心了,影梭和 V2 之流的工具,都是使用业界公开的加密算法(别使用已淘汰的),在数学角度通过论证,目前还没有能力。试想下,如果有,哪里还会有机会翻墙呢?
建议阅读编程随想的相关文章,做好启蒙。
转一下Shodowsocks翻墙不同加密算法的区别:
https://github.com/softwaredownload/openwrt-fanqiang/blob/master/ebook/03.8.md
另外谈一下混淆:
混淆方式理论上tls是最佳,但目前以联通上网记录最直观的结果来看,使用tls混淆会使混淆域名“无效”直接显示代理服务器IP,而http可以正常显示混淆域名,至少看上去达到了伪装的效果,故,目前而言,推荐使用http混淆。
https://github.com/softwaredownload/openwrt-fanqiang/blob/master/ebook/03.8.md
Shodowsocks翻墙不同加密方法,哪一种速度最快最好:
- 翻墙不稳定,有的能上,有的不能上,有时能上,有时不能上,可能是加密方式的特征被识别,从而被干扰,方法是更换加密方式
- rc4-md5加解密速度虽然快,但是加密强度不够大,容易被干扰
- 无论哪一种加密方式,只要使用的人多了,就可能被重点研究,从而受到干扰
- 目前推荐使用 AEAD 加密方式[ul][li]xchacha20-ietf-poly1305
- chacha20-ietf-poly1305
- aes-256-gcm
- aes-192-gcm
- aes-128-gcm
下列加密方法存在已知的弱点,不要使用:
bf-cfb
chacha20
salsa20
rc4-md5
下列加密方法已经不推荐了,可能会被探测到:
aes-128-ctr
aes-192-ctr
aes-256-ctr
aes-128-cfb
aes-192-cfb
aes-256-cfb
camellia-128-cfb
camellia-192-cfb
camellia-256-cfb
chacha20-ietf
什么是 AEAD 加密方法
缩写易忘是因为不知道原形,复杂之所以复杂是因为缺少细节的了解。世事莫不如此
AEAD 就是 Authenticated Encryption with Associated Data,使用关联数据进行身份验证加密,是一种同时具备保密性、完整性和可认证性的加密方法
201809 预编译 WNDR4300 翻墙固件已经 支持目前最受推荐的 AEAD 加密实现之一: xchacha20-ietf-poly1305
那么什么是 xchacha20-ietf-poly1305 加密
[url=https://github.com/softwaredownload/openwrt-fanqiang/blob/master/ebook/03.8.md#%E6%8E%A8%E8%8D%90%E4%BD%BF%E7%94%A8-xchacha20-ietf-poly1305-%E5%8A%A0%E5%AF%86][/url]推荐使用 xchacha20-ietf-poly1305 加密
xchacha20-ietf-poly1305 加密算法被 libsodium 官方推荐
which one should I use? XChaCha20-Poly1305-IETF is the safest choice.
我应该选择哪种加密算法?
XChaCha20-Poly1305-IETF是最安全的选择
另外谈一下混淆:
混淆方式理论上tls是最佳,但目前以联通上网记录最直观的结果来看,使用tls混淆会使混淆域名“无效”直接显示代理服务器IP,而http可以正常显示混淆域名,至少看上去达到了伪装的效果,故,目前而言,推荐使用http混淆。
mahjongatom
帐号已弃用。品葱的朋友太愤怒,各种对于普通个人的攻击导致已无法完成理性交流。故退葱,并报以对整个民族的深深悲哀。The deep sorrow for the whole ethnicity.
简单来说,老牌VPN例如OpenVPN并不掩盖流量特征,告诉监控者,我就在用VPN。
Shadowsocks和VMess更多是强调隐蔽性和混淆算法,不让监控者知道你在用VPN。
两者的CIA(完整性,保密性,可用性)都有所保证。
Shadowsocks和VMess更多是强调隐蔽性和混淆算法,不让监控者知道你在用VPN。
两者的CIA(完整性,保密性,可用性)都有所保证。
