что такое прокси файлы
Что такое VPN, Proxy, Tor? Разбор
Анонимность и конфиденциальность — это прекрасные понятия. Но в последнее время создается ощущение, что в сети оба понятия стили недостижимыми. Поэтому даже я, совсем не параноик периодически задумываюсь об инструментах, таких как VPN, Proxy и Tor. Вы наверняка слышали эти слова, а может быть даже регулярно пользуйтесь пользуетесь этими технологиями для сохранения анонимности, обхода блокировок, просмотра американского Netflix или банально для доступа к корпоративной сети.
Proxy
Среди троицы — VPN, Proxy, Tor — самая простая технология — это именно Proxy. С неё и начнём.
Proxy переводится с английского, как представитель, уполномоченный, посредник. Иными словами, прокси-сервер — это сервер-посредник.
Технология работает также просто как и звучит. Представьте, что ваш трафик в сети — это чемодан. Вы хотите доставить этот чемодан по определенному адресу, но не хотели бы делать это сами, раскрывая свое местоположение и имя. Поэтому вы нанимаете посредника, который сам доставит чемодан по нужному адресу не раскрывая вашу личность и настоящий адрес. Просто и удобно. Более того такие посредники достаточно многофункциональны и пригодятся не только для банального обеспечения конфиденциальности в сети:
Типы Proxy
Во-первых, сама по себе технология очень ограниченная. Прокси-серверы узкоспециализированы, поэтому на каждый тип интернет-соединения нужен свой тип прокси-сервера.
Например, для FTP-соединения (File Transfer Protocol) нужен FTP-прокси. Для HTTP и HTTPS также два отдельных HTTP- и HTTPS-прокси сервера.
Это серьёзное ограничение, поэтому еще есть отдельный тип прокси-серверов SOCKS-прокси.
Эта вариация протокола умеет работать с разными типами трафика. Но она работает медленнее, поэтому также подходит не для всех.
Безопасность Proxy
Но это половина беды. Все виды прокси объединяет главная, ключевая проблема — проблемы с безопасностью.
Потому как прокси-сервера дополнительно никак не шифруют трафик. То есть HTTP трафик вообще не будет никак шифроваться. А HTTPS будет зашифрован также как и при обычном интернет соединении: при помощи SSL-шифрования. А это огромная проблема. И чтобы представить масштаб трагедии, давайте вспомним аналогию с чемоданом.
Пользоваться прокси-сервером — это всё равно что передавать данные посреднику в чемодане без пароля. Делать такое можно только в случае если 100% доверяете посреднику. И конечно же стоит остерегаться бесплатных прокси-серверов с сомнительной репутацией. Ведь воспользоваться непроверенным бесплатным прокси, это все равно, что доверить доставить мешок бесплатному курьеру по объявлению на автобусной остановке.
Как же здорово, что во время блокировки Telegram мы все дружно пользовались проверенными надежными прокси. Так ведь?
Но есть технология, которая обладает большинством достоинств прокси и лишена большинства недостатков — это VPN или Virtual Private Network — виртуальная частная сеть.
Изначально эта технология задумывалась не как средство анонимизации трафика. Ее задачей было удаленно объединять компьютеры в единую сеть. Например, для доступа к локальной сети головного офиса из регионального филиала или из дома.
Принцип работы VPN похож на прокси. Трафик точно также, прежде чем попасть в интернет, сначала попадает на промежуточный сервер. Это с одной стороны позволяет вам, например, получить доступ к заблокированным ресурсам. Потому как для интернет провайдера, вы направляете запрос на VPN сервер, а не на запрещенный сайт.
С другой стороны, это позволяет вам сохранить анонимность, так как сайт, на который вы попали думает, что запрос пришел с IP-адреса VPN-сервера, а не вашего. Но прокси-серверы, делают по сути тоже самое, так в чем же тогда разница?
Ключевое отличие VPN от Proxy — это сквозное шифрование. Весь трафик проходящий через VPN-сервер защищен на всём пути от точки входа до точки выхода. А всё потому, что при включенном VPN между вашим устройством и VPN-сервером создается зашифрованный канал связи, который защищает все данные от хакерских атак.
Опять же если сравнивать с прокси, в первом случае мы передаем открытый чемодан с информацией посреднику, которого либо могут в любой момент обокрасть, либо он сам украдет данные. В случае VPN мы передаем данные по закрытому туннелю проникнуть в который крайне сложно. Более того VPN работает со всеми типами данных и шифрует вообще весь трафик со всех приложений, а не только трафик вашего браузера.
При этом в отличии от прокси, для работы VPN на вашем устройстве обязательно должен быть установлен VPN-клиент в виде отдельного приложения или расширения браузера.
Впрочем, поставить приложение для рядового пользователя куда проще, чем копаться в настройках прокси где-то в настройках браузера.
Бесплатные VPN-сервисы
Получается, что VPN во всем лучше прокси? Не всегда.
Дело в том, что не все VPN-сервисы одинаково полезны. Как и в случае с прокси, бесплатные VPN-сервисы не раз были пойманы в слежке за пользователями и продаже их данных.
Например, VPN-сервис Betternet, который насчитывал 38 миллионов пользователей использовал целых 14 библиотек для слежки за пользователями.
А сервис Hola продавал IP-адреса бесплатных пользователей злоумышленникам. То есть преступники могли использовать ваш IP-адрес для своих делишек.
SHADOWSOCKS
С другой стороны, не все прокси-сервисы плохие. Например, существует особый тип прокси, который называется Shadowsocks. По сути, это SOCKS-прокси на стероидах.
Тут есть и мощное шифрование, и скрытие трафика, и возможность обходить различные блокировки. Есть клиенты как для компьютера, так и для смартфона, позволяющие оставаться под защитой постоянно. А создана эта штука была нашим дружественным братским китайским народом с целью обхода великого китайского файерволла.
Отсюда и несколько приятных особенностей Shadowsocks. Например, для элегантного обхода блокировок, он умеет выборочно маскировать трафик. Вы сами выбираете что прятать, а что нет.
Например, находитесь вы в Китае и хотите проверь почту на Gmail, или свят-свят — посмотреть YouTube. Благодаря Shadowsocks, вы сможете сделать и это, и одновременно посещать сайты, доступные только из Китая.
В свою очередь, VPN-сервисы зашифровывают весь трафик, поэтому открыть сайты, доступные только в Китае, вы уже не сможете.
Но это не значит, что Shadowsocks лучше VPN. В отличие от VPN-сервисов, Shadowsocks не создан для защиты конфиденциальности и анонимности пользователя. При использовании Shadowsocks пакеты данных остаются без шифрования. Это сделано специально, чтобы ваши данные были больше похожи на обычный HTTPS-трафик и не вызывали подозрений. Поэтому Shadowsocks подходит только для обхода блокировок? но никак не для безопасности или подключения к корпоративной сети. В этом плане VPN — вне конкуренции. С поправкой на то, что пользоваться нужно только проверенными сервисами с хорошей репутацией.
И, наконец, самый хардкорный способ анонимизации в сети — Tor. Что это и правда ли, что Tor такой безопасный?
Tor расшифровывается как The Onion Router и он использует так называемую луковую маршрутизацию. Твои данные — это сердцевина луковицы, а их защита — слои вокруг. Что это значит?
Для анонимизации Tor, также как прокси и VPN, пропускает трафик через промежуточные серверы. Но Только в случае с Tor их не один, а три, и называется они узлами.
А вот теперь смотрите, ваш трафик проходит через три узла:
Во-первых, чтобы скрыть ваш IP-адрес. Каждый узел знает IP-адрес только узла, который стоит в цепочке перед. Поэтому пока ваш трафик дойдет до третьего узла, исходный IP потеяется.
Во-вторых, ваш трафик обернут в три слоя защиты. Поэтому первый и второй узел не видят вашего трафика, они только снимают слои защиты как, как кожуру с луковицы, а вот достает сердцевину и отправляет запрос в интернет только третий выходной узел.
Эти узлы разворачивают сами пользователи сети на своих компах. Чем больше пользователей, тем безопасней и тем быстрее работает сеть.
А доступ к сети осуществляется через специальный браузер Tor Browser, основанный на Firefox. Его улучшили дополнениями, запрещающими сайтам следить за тобой. Например браузер умеет отличать все скрипты на сайтах, фактически запрещая собирать любые данные пользователя, или заставляет сайты принудительно использовать шифрование. Звучит очень безопасно, но на практике, это не так.
Во-первых, Tor очень не любят правоохранительные органы, а сам факт использования Tor легко отследить. Поэтому, просто используя Tor Browser, вы уже можете привлечь лишнее внимание. Иными словами лучше использовать Tor в связке с VPN.
Во-вторых, владельцы выходных узлов очень рискуют. Ведь именно они несут ответственность за все действия, которые совершают пользователи сети.
В-третьих, те же владельцы выходных узлов видят весь ваш трафик, а значит они могут отследить вас по косвенным признакам. Именно поэтому выходные узлы больше всего любят создавать сотрудники правоохранительных органов.
Более того, из-за многослойного шифрования сеть Tor работает очень медленно, половина сайтов прост отказывается корректно работать через Tor Browser.
Итоги
Что в сухом остатке? Если вы беспокоитесь за свою безопасность в сети, то самым оптимальным способом защиты будет VPN. Но не забывайте, что использовать надо только надежные VPN-сервисы с хорошей репутацией. Часто информацию о надёжности того или иного сервиса можно найти в интернете, в специальных статьях. Также помните, что хороший VPN может стоить денег, вернее его создатели могут брать за его использования какую-либо сумму. Ведь бесплатный сыр бывает только в мышеловке.
Что такое прокси файлы
Не так давно я написал статью о том на чем именно я монтирую 4K видео, снятое с квадрокоптеров, видеокамер и фотоаппаратов. Специально указал форматы, кодеки с какими я работаю, чтобы не осталось никаких вопросов.
Но, как обычно, появляются комментарии немного не в тему. Привожу полностью, орфография сохранена.
Дорогой Александр. Возможно, вы работаете исключительно с камерами RED и ARRI и монтируете идеально снятый материал в RAW или 4K ProRes, с которым не нужно ничего делать, кроме как покрасить в DaVinci.
Только вот мне приходится работать с репортажным материалом, в котором далеко не все идеально.
1) Например, мне приходится работать с Warp Stabilizer, сразу смотреть результат и подбирать индивидуальные настройки. И для прокси-файлов и исходников результаты работы этого плагина будут совершенно разными и непредсказуемыми. Как и для Morph Cut, кстати.
2) То же самое касается сцен, когда 4K контент используется в FullHD проекте и используется масштабирование до 200%. На прокси-файлах я просто не увижу деталей, которые не мешало бы удалить. Тем более, если я буду использовать маски и треккинг в самом Premiere, чтобы не палить по воробьям из пушки в After Effects.
3) Есть проекты, где 4K контент в FullHD проекте представлен периодически. И для того, чтобы вставить 3 пролета с коптера в 40 минутный документальный фильм вы предлагаете нарезать прокси-файлы?
Кроме того, у меня нет столько времени, чтобы для простых репортажных видео создавать прокси-файлы и тратить на организацию их хранения и процесс монтажа гораздо больше времени, не имея возможности использовать полный функционал монтажной программы, о котором я писал выше.
Помимо этого, для работы в After Effects в разрешении 4K требуется очень много ресурсов. Или там тоже предлагаете делать через прокси непонятно что, не видя сразу конечного результата?
Если бы я писал статью о том, как монтировать файлы 5K с RED на макбуке, я бы написал про прокси. Но эта статья вообще о другом.
Как использовать прокси-файлы для ускорения процесса редактирования
Liza Brown
Oct 15, 2021• Проверенные решения
Съемка видеоматериалов в максимально возможном разрешении важна по очень многим причинам, но работа с видеофайлами размером до нескольких гигабайт в процессе постпродакшна может занять довольно много времени. Использование файлов 4K или UHD в ваших проектах также может замедлить работу вашего программного обеспечения для редактирования видео и даже привести к его сбою, особенно если компьютер, на котором вы редактируете, не имеет большой вычислительной мощности. Многие профессиональные программы для редактирования видео такие компании, как Adobe Premiere Pro, DaVinci Resolve и даже Filmora, могут предложить простое решение этой проблемы путем создания и редактирования небольших прокси-видеофайлов. Поэтому в этой статье мы поделимся с вами всем, что вам нужно знать о редактировании прокси-видео, и покажем, как вы можете редактировать эти прокси-файлы для создания видео в Filmora.
Часть 1: Что такое прокси-видеомонтаж и как работает прокси-сервер?
Как только все видеоклипы, которые вы хотели бы использовать в своем следующем видео, будут перенесены с камеры на компьютер и должным образом организованы, вы можете начать думать о наиболее эффективном способе их объединения. Именно здесь происходит создание прокси-файлов, так как вам не нужно работать с файлами исходного размера RAW. Вместо этого вы можете создавать прокси-серверы, которые значительно меньше, чем видеофайлы, захваченные вашей камерой, и по-прежнему экспортировать видео в разрешении 4K или UHD. Это простой и в то же время очень эффективный метод редактирования видео, который делает процесс редактирования видео намного более плавным, так как он сократит время, необходимое вашему компьютеру для предварительного просмотра или выполнения любой другой задачи редактирования видео.
Прокси-редактирование видео-отличный вариант, если компьютер, который вы используете для редактирования, имеет скромный объем оперативной памяти или если его процессор недостаточно мощный, чтобы поддерживать сложные задачи применения сложных визуальных эффектов. Несмотря на то, что прокси-файлы могут сократить количество времени, которое вам нужно провести в комнате редактирования, этот метод редактирования видео полезен только в определенном контексте. Итак,каковы же преимущества прокси-редактирования видео?
Часть 2: Плюсы и минусы Прокси-редактирования видео
Наиболее распространенная причина, по которой видеоредакторы выбирают создание прокси-видеофайлов, заключается в повышении производительности приложения, которое они используют для редактирования отснятого материала. Подавляющее большинство профессиональных программных продуктов для редактирования видео позволяют выбрать размер файла, битрейт и кодеки прокси-файлов, которые являются наименее требовательными для вашего компьютера. Это сократит время, необходимое компьютеру для предварительного просмотра изменений, внесенных в видеоматериал, который вы добавляете на временную шкалу, и время, которое вам придется потратить на ожидание, чтобы увидеть, хотите ли вы сохранить внесенные изменения в видеоклип.
Следовательно, прокси-серверы, которые вы используете в проекте, будут занимать значительно меньше места на жестком диске вашего компьютера, чем RAW-файлы, и приложение для редактирования видео не будет потреблять столько энергии батареи, как если бы вы использовали оригинальные видеофайлы в своих проектах.
Прежде чем вы сможете начать добавлять прокси-файлы на временную шкалу, вы должны сначала пройти процесс перекодирования. Это означает, что вам придется уменьшить размер каждого видеоклипа, импортируемого в проект, прежде чем вы сможете добавить его на временную шкалу. Таким образом, чтобы действительно сэкономить время с помощью прокси-редактирования видео, вы должны выбрать программное обеспечение для редактирования видео, такое как Filmora или Adobe Premiere Pro, которые способны автоматически перекодировать файлы, так как прохождение этого процесса вручную может занять много времени.
Однако предварительный просмотр прокси-файлов, отображаемых в видеоредакторе, будет иметь низкое разрешение, поэтому вы действительно не сможете увидеть мелкие детали, которые было бы легко обнаружить, если бы вы работали с RAW-файлами.
Часть 3: Когда Следует Использовать Прокси-Редактирование Видео?
Возможность использования прокси-файлов в процессе редактирования видео зависит от мощности компьютера, используемого для редактирования видео. Если у вас есть ноутбук или настольный компьютер, который соответствует всем передовым техническим характеристикам видеоредактора, то создание прокси-файлов не повысит производительность программного обеспечения значительно. Однако, если вы редактируете на устройстве, которое в основном предназначено для просмотра веб-страниц или более старой модели ПК или компьютера Mac, то уменьшение разрешения файлов, используемых в ваших проектах, может сэкономить вам некоторое время или даже предотвратить сбой программного обеспечения в критический момент.
Если вы хотите удалить все прокси-файлы, созданные после завершения проекта, вы можете включить опцию автоматически удалять прокси-серверы при закрытии проекта, а затем нажать кнопку OK, чтобы подтвердить изменения. Перейдите на панель мультимедиа чтобы начать импорт медиафайлов, которые вы хотите использовать в своем проекте, Filmora автоматически создаст прокси-серверы для каждого файла с разрешением выше указанного ранее. Имейте в виду, что время, необходимое Filmora для создания прокси-файлов, зависит от размера исходных файлов и количества файлов, которые вы одновременно перекодируете.
Скачайте бесплатную пробную версию Filmora ниже и будьте более креативны в создании видеоконтента.
Вам нужно программное обеспечение для редактирования видео, которое может легко обрабатывать видеоматериалы 4K? Проверьте наши выборы из списка лучших программ для редактирования видео 4K в 2019 году.
Вывод
Proxy video editing позволяет редактировать видео 4K и все другие типы видео с высоким разрешением независимо от вычислительной мощности используемого компьютера. Эта опция может быть весьма полезна, если у вас нет доступа к компьютеру, который может легко обрабатывать сложные задачи редактирования видео, но создатели видеоконтента, которые часто производят видео 4K, также должны рассмотреть возможность создания высокопроизводительной компьютерной установки, позволяющей им редактировать видео с высоким разрешением в любом выбранном ими программном обеспечении для редактирования видео. Часто ли вы используете прокси-файлы в процессе редактирования видео? Если ответ да, то оставьте комментарий ниже и поделитесь своим опытом с нами.
Прокси
Прокси – посредническое звено между компьютером, который использует абонент, и системой интернет-серверов. Если не вдаваться в терминологию, это удаленный компьютер-посредник для выхода пользователя в Интернет.
Его основные задачи заключаются в трансляции всех запросов пользователя в Сеть и отправке обратно полученных ответов. Подробнее о том, что такое прокси, как работает сервер и с какой целью им пользуются, расскажем ниже.
Как работает прокси-соединение
Каждому компьютеру, с которого осуществляется выход в Сеть, присвоен уникальный IP-адрес. Его задача – идентификация интернет-пользователя. IP-адрес несет информацию о стране и регионе, номере интернет-провайдера и персонального компьютера в его сети. Прокси-серверам тоже присвоены уникальные IP-адреса.
После подключения к прокси и передачи запросов в Сеть проверка покажет, что они исходят с сервера-посредника, а сам абонент сможет сохранять свое инкогнито (в случае работы с бесплатными серверами, на платных информация о клиенте сохраняется).
Для подключения к прокси понадобится выполнить настройки в браузере, который будет использоваться для отправки пользовательских запросов. Все последующие сетевые подключения будут выполняться на IP-адрес прокси-сервера.
Когда потребуется обращение к какому-либо веб-ресурсу, локальным компьютером будет открыто соединение с прокси и совершен запрос. После проверки корректности запроса откроется соединение с ресурсом. Затем полученный ответ будет передан на компьютер абонента.
Зачем и кому нужен прокси
На сегодняшний день прокси-серверы используются в основном для сокрытия истинного IP-адреса. Причин для этого может быть несколько. Наиболее популярные – желание посетить сайт, доступ к которому заблокирован для вашего IP, и необходимость анонимной отправки почты.
Есть еще несколько поводов, когда нужен прокси:
Прокси можно найти на некоторых сайтах, где они выкладываются бесплатно. Второй вариант – закачать с помощью специального ПО, которое позволяет использовать фильтр по странам и тестировать скорость и работу прокси-сервера. И еще один способ – купить «уполномоченный» сервер на специальных сайтах.
Преимущества
Наибольшую популярность они получили в корпоративном сегменте – именно через них осуществляется выход в онлайн-сети из локальных сетей юридических лиц. Этому поспособствовали следующие преимущества:
Несмотря на возрастающую популярность некоторых сетевых протоколов, прокси-серверы продолжают преобладать на предприятиях. И это несмотря на появление сравнительно недорогих аппаратных маршрутизаторов с функцией NAT. В основном это связано с тем, что вышеуказанные маршрутизаторы не в состоянии обеспечить достаточного контроля над выходом в Интернет и фильтрации контента.
Прозрачный – схема связи, перенаправляющая маршрутизатором часть трафика (или весь) на прокси-сервер. Достоинством такого типа связи является возможность клиента пользоваться всеми преимуществами прокси-сервера без выполнения каких-либо настроек. Это же является и недостатком, т. к. лишает пользователя выбора.
Обратный – прокси-сервер, используемый для восполнения баланса сетевой нагрузки между несколькими веб-серверами. Кроме того, его задача – повышать их безопасность. В таком случае обратному прокси-серверу отводится роль межсетевого экрана на прикладном уровне. При его использовании запросы пользователей ретранслируются из внешней сети на один или несколько серверов, расположенных во внутренней сети.
Кроме того, что прокси делятся на прозрачный и обратный типы, их можно классифицировать следующим образом:
Защищённые прокси — практичная альтернатива VPN
В интернете есть достаточное количество информации по теме шифрования и защиты трафика от вмешательств, однако сложился некоторый перекос в сторону различных VPN-технологий. Возможно, отчасти он вызван статьями VPN-сервисов, которые так или иначе утверждают о строгом превосходстве VPN-решений перед прокси. При этом многие решения тех же VPN-провайдеров, не смотря на маркетинговое позиционирование в качестве VPN, технически являются прокси.
На практике прокси больше подходят для повседневной защиты веб-трафика, не создавая при этом неудобств в виде заметной потери скорости и неизбирательности туннелирования. То есть при использовании хорошего прокси не стоит необходимость его отключать для комфортного пользования интернетом.
В этой статье расказано о преимуществах защищённого прокси перед VPN и предложены различные реализации, готовые к использованию.
В чём различие между VPN и прокси?
VPN — это общее название технологий для объединения внутренних сетей на уровне сетевых пакетов или кадров через соединение, установленное поверх другой сети (чаще всего публичной).
Прокси — это серверное приложение, осуществляющее соединения или запросы от своего имени и сетевого адреса в пользу подключившегося к нему клиента, пересылая в результате ему все полученные данные.
VPN осуществляет пересылку полезной нагрузки, находящейся на третьем или втором уровне сетевой модели OSI. Прокси осуществляют пересылку полезной нагрузки между четвёртым и седьмым уровнями сетевой модели OSI включительно.
И VPN, и прокси могут иметь или не иметь шифрования между клиентом и сервером. Обе технологии пригодны для того, чтобы направить трафик пользователя через доверенный сервер, применяя шифрование по пути до него. Однако, подключение через прокси делает это более прямолинейным способом, не привнося дополнительную инкапсуляцию сетевых пакетов, серые адреса самой VPN сети и изменения таблицы маршрутизации, которые привносит VPN просто лишь для того, чтобы сетевой стек системы пользователя направил трафик через нужный сервер.
Преимущества прокси
Требования к прокси
Выбирая для себя реализацию защищённого прокси-сервера, я отметил несколько критериев, которым она должна удовлетворять:
Особенности obfs4
В спецификации протокола obfs4 есть места, которые вызывают вопросы. В рукопожатии со стороны клиента используется номер часа от начала эпохи UNIX, который потом участвует в HMAC-подписи. Сервер, принимая такой пакет от клиента проверяет его, подставляя номер часа по своему времени. Если всё верно, то отвечает своей частью рукопожатия. Для борьбы с разбросом часов сервер должен ещё проверять предыдущий и следующий час.
Зная такое характерное поведение, можно проверить сервер на границе следующего и послеследующего часа, воспроизведя одно из прошлых записанных рукопожатий со стороны клиента. Если сервер перестанет отвечать своей частью рукопожатия в это самое время, то это достаточное основание, чтобы судить, что сервер обслуживает протокол obfs4.
Судя по всему, автор со временем осознал эту проблему и в коде obfs4 реализована защита от обнаружения через воспроизведение. В спецификации она нигде не описана.
Однако, такая защита наоборот упрощает работу по блокировке протокола: сетевому фильтру достаточно в случае сомнений задержать отправку рукопожатия от клиента, перехватив её, а затем отправить сообщение с рукопожатием первым. Таким образом он спровоцирует защиту от воспроизведения уже против клиента, вынуждая сам сервер блокировать клиента.
Следующий момент, вызывающий сомнения это формат «кадра» с данными. Выглядит он следующий образом:
Первые два байта каждого кадра это длина пакета, гаммированная с ключом, который вычисляется от предыдущих ключей. Как он вычисляется ключ не столь важно, главное, что настоящая длина пакета подвергается операции побитового исключающего ИЛИ каким-то ключом. Это значит, что можно инвертировать бит в этой части данных и подмена не будет сразу замечена. Если инвертировать младший значащий бит этого поля, то длина кадра станет либо на единицу меньше истинной, либо на единицу больше. В первом случае это приведёт к сбросу соединения через небольшое случайное время из-за ошибки распаковки NaCl secretbox.
Второй случай более интересный: сервер будет ждать ещё один байт для того, чтобы начать распаковку криптобокса. Получив ещё ровно один байт он также сбросит соединение из-за ошибки распаковки криптобокса. Это поведение можно считать специфичным для obfs4 и можно судить, что мы с высокой вероятностью имеем дело с ним. Таким образом, удачно разрушив одно из соединений клиента, можно с примерно 50%-ным шансом обнаружить obfs4.
Конечно, определение границ одного кадра в потоке тоже может представлять непростую задачу, но нет чётких гарантий, что нерешаемую. В случае обмена короткими сообщениями границы одного кадра могут совпасть с границами TCP-сегмента.
Ну и последняя особенность заключается в том, что сам по себе протокол внешне не похож ни на один из общепринятых. Он спроектирован с предположением, что DPI играет по правилам и незнакомые протоколы просто не трогает. Суровая реальность может показать, что это не так.
По всем этим соображениям я воздержался от использования obfs4.
TLS и SSH в качестве криптографического транспорта
Разумно было бы воспользоваться стандартными защищёнными сетевыми протоколами вроде TLS или SSH для обёртывания соединений с прокси. Действительно, к таким протоколам обычно не возникает претензий со стороны DPI, потому что ими может быть зашифрован легетимный трафик. Что же касается активных проб со стороны DPI, этот вопрос можно решить в частном порядке, в зависимости от конкретного протокола прокси.
Ниже будут представлены несколько готовых решений на базе этих протоколов, пригодных для повседневной постоянной защиты трафика.
SOCKS5 внутри SSH
Вариант с использованием функции dynamic port forwarding у OpenSSH рассматривался выше, но он имеет большие проблемы со скоростью. Единственный способ избавиться от мультиплексирования соединений — это использовать альтернативную реализацию клиента SSH, который обеспечивал бы каждое проксируемое соединение отдельной SSH-сессией.
Я проделал такую работу и реализовал его: Rapid SSH Proxy. Эта реализация обеспечивает каждое проксируемое соединение отдельной SSH-сессией, поддерживая пул подготовленных SSH-сессий для удовлетворения поступающих запросов подключения с минимальной задержкой.
Следует особо отметить ключевую особенность: никакого стороннего ПО не нужно устанавливать на сервер — rsp работает как ssh-клиент с обычным сервером OpenSSH. Сервером может быть любая unix-подобная операционная система, а так же Windows и Windows Server (в новых версиях OpenSSH теперь доступен в компонентах системы).
Приведу сравнение скорости через сервер в США:
SOCKS5 внутри TLS
В случае с TLS очевидным решением было бы использовать stunnel или аналогичную TLS-обёртку для TCP-соединений с SOCKS5-сервером. Это действительно вполне хорошо работает, но возникает следующая проблема: рукопожатие TLS для каждого нового соединения занимает дополнительное время и появляется заметная на глаз задержка при установлении новых соединений из браузера. Это несколько ухудшает комфорт при веб-серфинге.
Для того, чтобы скрыть эту задержку, я подготовил специализированную замену stunnel на клиенте, которая поддерживает пул уже установленных, готовых к запросу TLS-соединений. Даже целых два — первый из них послужил прототипом:
HTTP-прокси внутри TLS aka HTTPS-прокси
Есть небольшая путаница в отношении сочетания слов «HTTPS» и «прокси». Есть два понимания такого словосочетания:
Примечательно, что ни в одном браузере нет простой возможности задать в настройках HTTPS-прокси через пользовательский интерфейс (то поле HTTPS-прокси, которое там есть, как раз относится к первому случаю). Но это не представляет собой большой трудности.
Поперебирав различные готовые варианты, я решил написать свой HTTP(S) прокси-сервер: dumbproxy.
Ключевой особенностью получившегося решения является то, что современные браузеры (Firefox и семейство Chrome, включая новый MS Edge) могут работать с ним без какого-либо дополнительного ПО на клиенте (см. руководство по настройке клиентов).
Следует отметить особенности реализации в отношении противодействия активным пробам со стороны DPI. HTTP-прокси легко распознать, подключившись к нему и осуществив попытку какого-либо запроса стороннего ресурса. Если прокси имеет авторизацию, то по стандарту он должен отвергнуть запрос с кодом 407, специфичным именно для HTTP-прокси, и предложить возможную схему для авторизации. Если прокси работает без авторизации, то он выполнит запрос, чем так же себя выдаст. Есть как минимум два способа решения этой проблемы (и оба они реализованы в dumbproxy).
Первый способ заключается в том, чтобы использовать аутентификацию клиентов по сертификатам ещё на этапе TLS-рукопожатия. Это самый стойкий метод, и это действительно корректная причина, по которой любой обычный веб-сервер мог бы отвергнуть клиента.
Второй способ заключается в том, чтобы скрыть от неавторизованных клиентов код ответа 407, возвращая вместо него любой другой ответ с ошибкой. Это вызывает другую проблему: браузеры не смогут понять, что для прокси требуется авторизация. Даже если браузер имеет сохранённый логин и пароль для этого прокси, ответ 407 важен для определения схемы авторизации, по которой эти учётные данные должны быть отправлены (Basic, Digest и т. д.). Для этого нужно позволить прокси генерировать ответ 407 на секретный запрос, чтобы браузер мог запомнить схему авторизации. В качестве такого секретного запроса используется настраиваемый секретный домен (не обязательно реально существующий). По умолчанию этот режим выключен. Подробности можно посмотреть в разделе об аутентификации.
Заключение
Я пользуюсь этими решениями уже один год и в итоге они мне полностью заменили VPN, вместе с этим сняв все проблемы, с которыми сопряжено его использование.
Надеюсь, что эта статья добавит к арсеналу читателей новые подходы к защите трафика и будет им полезной.