Как установить и настроить Shadowsocks proxy с обфускацией (скрытием) вида трафика

Автор: admin

Комментарии:

Добавлен: 12 декабря 2022

Обновлено: 21.10.2025 - 21:09

Shadowsocks использует технику, называемую «проксированием», которая используется для обхода цензуры. Обычно проксирование включает перенаправление трафика через альтернативный сервер.

Shadowsocks стал неотъемлемым инструментом для доступа к ограниченному контенту, особенно в странах с такой цензурой, как в Китае.
Брандмауэр может определить, запрашиваете ли вы данные, используя другой маршрут, и заблокирует запрещенный веб-трафик. Shadowsocks использует SOCKS5, интернет-протокол с открытым исходным кодом, чтобы добавить слой шифрования между вашим локальным компьютером и прокси-сервером, к которому вы подключаетесь.

Shadowsocks использует TCP и HTTPS, которые не обладают таким же уровнем безопасности, что и VPN, но позволяют Shadowsocks обойти ограничения с лучшей скоростью соединения.

Как VPN и настройки системы влияют на определение страны в поисковых системах ?

Почему поисковики показывают неправильную страну при использовании VPN ?

Ошибки определения местоположения: почему Google и Яндекс видят меня не в той стране ?

Почему я вижу неправильную страну в Google и Яндекс при использовании VPN ?

Попробуйте сменить локализацию компьютера (сделайте, чтоб всё было на английском, поменяйте язык ОС), часовой пояс (таймзону) — не только самого браузера, но и всей ОС компьютера, так как браузер видит язык ОС компьютера и распространяет информацию об этом. Отключите геолокацию. Очистите браузер, лучше удалением его профайла. Удаляйте куки, кэш, историю и остальной мусор. Информация о посещениях браузером Chrome пишется не только в файл истории, но даже и в файл настроек профиля и во многие остальные системные файлы — возможно передаются данные и об этом. При всём этом, встроенная функция очистки многое не удаляет (даже кэш не весь сбрасывается), и вообще работает некорректно (неоправданно тормозит, даже если мусора всего лишь жалкий гигабайт). Мне помогло.
Настраивать этот прокси сервер намного проще, чем любые другие прокси и впн.

Обфускация трафика — это дополнительное скрытие трафика, чтобы оборудование интернет-провайдера DPI (Deep Packet Inspection) не могло определить тип трафика.
Deep Packet Inspection (DPI) может обнаружить уникальную подпись Shadowsocks, поэтому его протокол не подходит, если провайдер решил фильтровать трафик. В России некоторые провайдеры, такие как yota, блокируют Shadowsocks без обфускации.

Устанавливаем Shadowsocks и плагин simple-obfs для скрытия трафика на сервер. Simple-obfs устарел и рекомендуют использовать плагин v2ray, но так как у меня старый линукс и нет возможности его обновить без потери некоторых драйверов, а пытаться собирать Shadowsocks и V2ray из исходников не хочется, я установил simple-obfs.

Настраиваем сервер.
apt install shadowsocks-libev simple-obfs

nano /etc/shadowsocks-libev/config.json

{
"server":["123.123.123.123"],
"mode":"tcp_and_udp",
"server_port":443,
"password":"7777",
"timeout":60,
"method":"chacha20-ietf-poly1305",
"plugin":"obfs-server",
"plugin_opts":"obfs=tls;--failover www.google.com"
}

Немного проясню за пункты:

"server":["123.123.123.123"] - сюда вы вписываете IP'шник вашего сервака;

"mode":"tcp_and_udp" - это протоколы соединения;

"server_port":443 - это порт TLS, через который будет идти трафик;

"password":"7777" - сюда вписываете любой пароль;

"method":"chacha20-ietf-poly1305" - это алгоритм шифрования за авторством Daniel J. Bernstein, разрабатываемый Гуглом для внутренних нужд. Хорош для устройств, не умеющих аппаратный AES, а это совсем дешёвые мобильники и прочие умные утюги; и для параноиков, боящихся закладок в процессоре;

"plugin":"obfs-server" - это плагин obfs-proxy, который и будет маскировать наш трафик под TLS.

failover=www.google.com - здесь адрес сервиса google.com, DPI будет видеть именно его безобидный трафик.

Затем нужно разрешить прослушивать серверу ss-server порты <1024 без запуска из-под root, нужно выполнить следующую команду:

setcap 'cap_net_bind_service=+ep' /usr/bin/ss-server

Если закрыт порт 443, тогда нужно его открыть:
iptables -I INPUT -p tcp --dport 443 -j ACCEPT

Перезапустим Shadowsocks:
systemctl restart shadowsocks-libev.service

Делаем системД юнит, в котором будет работать симпл-обфс

nano /etc/systemd/system/ss-obfs.service

[Unit]
Description=simple-obfuscation standalone server service
Documentation=man:shadowsocks-libev(8)
After=network.target
[Service]
Type=simple
User=nobody
Group=nogroup
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE
LimitNOFILE=51200
ExecStart=/usr/bin/obfs-server -s 123.123.123.123 -p 80 --obfs http -r 127.0.0.1:1234 --failover www.google.com
[Install]
WantedBy=multi-user.target

в опцию “failover” вместо гугла можно написать что угодно — в эту сторону симпл-обфс будет перенаправлять трафик пришедший на 80ый порт от не-симпл-обфс клиентов, как-то активный пробинг провайдерами, фаерволами, майорами, etc. Желательно чтобы фейловер совпадал с опцией obfs-host клиента

3 сохраняем-выходим, рестартуем и включаем сервис
systemctl restart ss-obfs && systemctl enable ss-obfs

Настраиваем Shadowsocks и simple-obfs на компьютере.
На компьютере также устанавливаем shadowsocks-libev и simple-obfs. Создаём конфигурационный файл shsocks-obfs-tls.json:

nano ~/shsocks-obfs-tls.json

{
"server":"123.123.123.123",
"server_port":443,
"local_port":996,
"password":"7777",
"timeout":60,
"method":"chacha20-ietf-poly1305",
"plugin":"obfs-local",
"plugin_opts":"obfs=tls;obfs-host=www.google.com"
}

3 сохраняем-выходим, рестартуем и включаем сервис
systemctl restart ss-obfs && systemctl enable ss-obfs

ss-local -c ~/shsocks-obfs-tls.json

Если всё нормально, то у вас должно начаться соединение и появятся такие строки в терминале:

2019-10-24 10:35:55 INFO: plugin "obfs-local" enabled
2019-10-24 10:35:55 INFO: initializing ciphers... chacha20-ietf-poly1305
2019-10-24 10:35:55 INFO: listening at 127.0.0.1:996
2019-10-24 10:35:55 [simple-obfs] INFO: obfuscating enabled
2019-10-24 10:35:55 [simple-obfs] INFO: obfuscating hostname: www.google.com
2019-10-24 10:35:55 [simple-obfs] INFO: tcp port reuse enabled
2019-10-24 10:35:55 [simple-obfs] INFO: listening at 127.0.0.1:38393