逗比云还是逃不过被墙的命运,既然如此那以后逗比云也就一直用被墙的旧域名 [softsmirror.cf] 算了。
投稿文章 | 广告合作 | Telegram 群组 / 公告频道 / 使用教程
广告

Shadowsocks(Sock5代理)的PAC模式与全局模式与VPN的区别

Shadowsocks Toyo 30评论
广告
本文最后更新于 2018年7月19日 13:29 可能会因为没有更新而失效。如已失效或需要修正,请留言!

有很多人不知道该怎么选择Shadowsocks与VPN,我就来简单解释一下两者的区别和优缺点。


百科介绍

VPN,即虚拟专用网络

虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。

Shadowsocks,即Sock5代理

采用socks协议的代理服务器就是SOCKS服务器,是一种通用的代理服务器。Socks是个电路级的底层网关,是DavidKoblas在1990年开发的,此后就一直作为Internet RFC标准的开放标准。Socks 不要求应用程序遵循特定的操作系统平台,Socks 代理与应用层代理、 HTTP 层代理不同,Socks 代理只是简单地传递数据包,而不必关心是何种应用协议(比如FTP、HTTP和NNTP请求)。所以,Socks代理比其他应用层代理要快得多。


VPN顾名思义,虚拟专网,你接入VPN就是接入了一个专有网络,那么你访问网络都是从这个专有网络的出口出去,好比你在家,你家路由器后面的网络设备是在同一个网络,而VPN则是让你的设备进入了另一个网络。同时你的IP地址也变成了由VPN分配的一个IP地址。通常是一个私网地址。你和VPN服务器之间的通信是否加密取决于连接VPN的具体方式/协议。

Sock5代理服务器则是把你的网络数据请求通过一条连接你和代理服务器之间的通道,由服务器转发到目的地。你没有加入任何新的网络,只是http/socks数据经过代理服务器的转发送出,并从代理服务器接收回应。你与代理服务器通信过程不会被额外处理,如果你用https,那本身就是加密的。

总结

VPN的开发目的是给企业内网直接传输加密数据,最重要的就是安全性,相反VPN的流量特征变得很明显,特别是SSL VPN类型,比如Openvpn有SSL证书的加密,安全性不必多说,但是握手依然是明文,流量更加明显,导致匹配流量特征很容易,在我这里一旦链接Openvpn那就是秒封。

VPN目前就科学上网方面来讲,PPTP大部分地区已死,L2TP大部分地区已经出现干扰和断开连接情况,Openvpn一封一个准。而anyconnect大多数都是企业用的,所以墙不敢乱封,IKEv1/IKEv2需要注意证书中间人攻击问题。

所以,在VPN科学上网这方面,一些地区已经根据VPN的流量特征做出了相应的匹配策略,可以有效封杀VPN了。


Shadowsocks的开发目的就是穿透防火墙,最重要的是增加墙的匹配流量效率封杀成本和难度,也就是混淆隐秘性。

Shadowsocks是更注重流量混淆隐秘,VPN则是更注重加密安全性。如果你需要安全你可能需要 VPN 或者 Shadowsocks+TOR匿名 ,否则就抗干扰能力来说Shadowsocks更适合拿来科学上网,VPN中的Opnevpn是最安全的VPN协议之一,然而第一个被墙宣布效率检测、封杀!

没有完美的工具,VPN和Shadowsocks在某种程度上可以说是两种相反的技术,开发目的不一样,注重点也不一样,缺点相应的也不一样,所以根据当地运营商的封杀策略选择最适合自己的方式。

Shadowsocks全局模式与VPN的区别

VPN控制的是你电脑的整个网络,只要需要连接到互联网的流量都会经过vpn。

你的IP会被更换为VPN的IP。连接VPN只需要知道IP和账号密码。

Shadowsocks的全局模式,是设置你的系统代理的代理服务器,使你的所有http/socks数据经过代理服务器的转发送出。而只有支持socks5或者使用系统代理的软件才能使用Shadowsocks(一般的浏览器都是默认使用系统代理)。

经过代理服务器的IP会被更换。连接Shadowsocks需要知道IP、端口、账号密码和加密方式。但是Shadowsocks因为可以自由换端口,所以定期换端口就可以有效避免IP被封!

Shadowsocks全局模式与PAC模式的区别

上面已经解释了Shadowsocks的全局模式,而PAC模式就是会在你连接网站的时候读取PAC文件里的规则,来确定你访问的网站有没有被墙,如果符合,那就会使用代理服务器连接网站,而PAC列表一般都是从GFWList更新的。GFWList定期会更新被墙的网站(不过一般挺慢的)。

简单地说,在全局模式下,所有网站默认走代理。而PAC模式是只有被墙的才会走代理,推荐PAC模式,如果PAC模式无法访问一些网站,就换全局模式试试,一般是因为PAC更新不及时(也就是GFWList更新不及时)导致的。

还有,说一下Chrome不需要Proxy SwitchyOmegaProxy SwitchySharp插件,这两个插件的作用就是,快速切换代理,判断网站需不需要使用某个代理的(ss已经有pac模式了,所以不需要这个)。如果你只用shadowsocks的话,就不需要这个插件了!


个人认为现在的Shadowsocks加密混淆技术是很不错的,推荐使用Shadowsocks,想要做到类VPN的方式(控制整个网络)可以搭配Proxifier使用,教程看这里

上面仅代表个人的浅层观点,目前墙针对VPN的封锁越来越严重,比较有名的OpenVPN已经被第一个集火了!而PPTP也逐渐不稳定了起来,可能今天能用,明天就不能用了。L2TP和IPSec目前还好,除了部分封锁严重地区其他的还无法效率匹配流量。

转载请超链接注明:逗比根据地 » Shadowsocks(Sock5代理)的PAC模式与全局模式与VPN的区别
责任声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!

赞 (285)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(30)个小伙伴在吐槽
  1. 请问通过ss进行联网的具体过程是怎么样的?当我要访问youtube这个网站的时候,是将这个域名解析到对应的IP地址上,请问这个过程是在本地完成,通过本地电脑设置的dns服务器,还是通过远地的vps上的服务器中的dns服务器解析的呢?我之所以会有这个疑问是因为最近无法访问youtube网站,修改本地dns服务器无效,最后修改本地hosts文件解决了问题。我大胆猜测解析域名的过程是在本地完成的,但是为什么其他网站就可以正常访问?求toyo解答
    黄河滴滴2018-09-01 19:11 回复
  2. 如果先连接上OPENVPN后,再用SS客户翻墙,这样两次的加密,会不会更安全一点呢?被墙识别的机率会比直接使用SS更高吗?
    coolglay2018-08-18 13:36 回复
  3. 我想请问一下,哪些软件是不支持socks5和不使用系统代理的呢,是大部分软件都支持socks5和使用系统代理的吗?除了http/socks以外,还有什么其他的数据类型在网络流量中占比是比较大的?
    1112018-08-17 09:42 回复
  4. 真好
    皮皮2018-08-14 23:45 回复
  5. SS安全性有保证?我听说一种技术,可以从出口侦测数据包?那是不是意味着容易被监视?
    支持逗大2018-01-11 20:03 回复
    • SS/SSR等不需要给任何人做保证,SS/SSR用的数据加密都是目前主流的加密方式,除非你选择不加密或者最弱的例如 RC4之类的加密方式,否则想要破解这些加密获取传输的数据内容,就算用超级计算机也需要大量时间,而时间就是金钱,全国同一时间多少SS/SSR流量,墙不可能也没必要一个个破解看看你们在干什么,有这功夫他们还不如去研究一下怎么更快更有效更准确的检测SS/SSR流量特征。
      你只需要知道,你的数据价值远低于破解你数据得到的价值,墙目前是想办法更有效更准确的匹配流量特征的方式去封锁。
      墙并不是一个独立的个体,墙是 各大一级运营商+遍及全国省分的超级计算机集群+工作人员等组成的,墙就是在各出口处做了一个检查站之类的,用于过滤经过的流量,采集样本、封锁符合特征的流量等。
      Toyo2018-01-11 20:38 回复
  6. 还是不太懂。 我最想知道的是 为什么shadowsocks不容易被封杀,而openvpn容易,它们不都是在和国外的IP进行交互吗?
    mod2332018-01-10 20:11 回复
    • 你只需要知道,VPN是专门为了安全传输数据而开发的技术,更注重数据安全,并没有考虑是否隐蔽是否容易被发现。而SS/SSR等代理则是专门为了穿透防火墙,也就是专门为了翻墙而开发的技术,SS/SSR等更注重隐秘性,增加防火墙的封锁成本(时间成本、技术成本),就是更难封锁的意思。
      VPN从一开始就没去考虑 隐秘性,而SS/SSR等则把流量伪装的很不起眼,很正常,让墙看不出有什么区别。
      就像人群中,一个间谍长的丑不拉几的影响市容,看见一次就印象深刻,另一个间谍则是长相普通,大众脸,大众衣服,很不起眼,很难引起注意。
      我也只能解释这么多了,我不是程序员和教师,也没办法说的太通俗,太让人理解。
      Toyo2018-01-10 20:56 回复
  7. 这两天学到很多 终于学会了ssr 以后有机会也弄个vps玩玩 有个疑问想跟博主讨论。=====在全局模式下,所有网站默认走代理。而PAC模式是只有在那个gfwlist里的网址才会走代理是吧?也就是pac模式下,即使网站被墙了但是没有在这个列表里但是没法上网是吧。。。在小白初级教程里有个,代理规则有个:绕过局域网和大陆,访问网站的是 大陆IP 都不走代理直连,访问 非大陆IP 的网站都走代理。。。。假如代理规则用这个,绕....和...但是这个代理规则好像是先判断 代理模式是什么,如果是pac才进一步判断是否绕...和...的是吧。。。所以问题来了,为什么软件不能直接判断访问的网站ip是境内还是境外?境外都走代理 实现这个不行吗?
    新人2017-11-09 21:45 回复
    • 看你说的一堆很乱。
      系统代理模式是判断 数据是否进入SSR客户端, 代理规则是判断 进入客户端的流量是否走代理
      当使用 系统代理模式 - PAC模式后,浏览器没有安装任何管理代理的扩展,直接读取系统代理,那么访问谷歌是浏览器会去PAC中查看规则,然后判断谷歌网站走代理,然后把谷歌网站的数据发送到本地代理服务器 127.0.0.1 1080,也就是SSR客户端中,然后如果你选择了 绕过局域网和非大陆(海外),那么SSR客户端会判断谷歌网站的IP是否是局域网和非大陆,而结果是非大陆(海外)的,于是不走代理,直连。
      如果代理规则 你选择了 绕过局域网和大陆,那么谷歌IP是国外的,于是SSR客户端就把谷歌网站数据发给SSR服务端,也就是走代理。
      自己慢慢想,很简单的概念,如果你是浏览器代理管理扩展 或其他软件 直接设置SOCKS5 127.0.0.1 1080代理(相当于系统代理 全局模式),那么直接就跳过了 系统代理模式 的判断步骤,直接开始 代理规则 判断。
      Toyo2017-11-09 22:11 回复
      • 我之前意思就是只需要根据ip判断走不走代理,设计软件的时候,没必要多个代理模式选择的按钮。。。现在明白了,原来这样设置:全局模式-绕过局域网和大陆,就能实现我说的只根据流量判断。。。而多了个pac模式,相当于精确打击,速度更快。
        新人2017-11-10 08:18 回复
      • 谢谢博主。
        新人2017-11-10 08:20 回复
  8. 您好,如果我想让在中国大陆慢的炸锅的Coursera速度变得正常,可以做哪一种选择呢?
    点蚊香2016-12-10 02:27 回复
    • 那用ss就行,我也是上Coursera。。
      是是是2017-02-09 15:10 回复
  9. 楼主及楼上各位,我从上周开始,家中所有win系统机器用ss均受阻。ping服务器地址延迟低于60ms,丢包率零,但一挂ss就基本上全time out,油管谷歌基本没法用。但同一路由下,用安卓手机挂ss体验正常,YouTube不卡。已经尝试还原台机系统,重启路由器,重启ss服务器,更换ss服务器端口和密码,均无解。有哪位知道是什么缘故吗? 在单位和另外居所使用均不受影响。
    Roc ren2016-11-29 11:42 回复
    • 建议你使用ShadowsocksR服务端和ShadowsocksR客户端,尝试混淆和协议试一试。
      Toyo2016-11-29 12:40 回复
  10. SS的PAC不就是全局吗?IE也可以翻啊,为什么说需要配合proxifier?最方便还是路由来翻,不用每个终端都设置。
    sb9452016-10-05 13:19 回复
    • PAC是PAC,全局是全局,Shadowsocks的PAC是根据pac文件规则判断那些网址走代理,Shadowsocks的全局是设置系统代理,让所有网址都走SS代理。和VPN的全局不一样的,Shadowsocks要实现VPN那样的全局,就需要proxifier这种软件辅助。
      Toyo2016-10-05 16:56 回复
  11. 刚装好SS的时候完全不会自己切换,是不是因为我没有更新PAC的原因呢??习惯性都会装SwitchyOmega配合来用。。。
    黑风2016-08-26 11:52 回复
  12. 好文,原来VPN更安全。
    guotiande2016-08-05 21:10 回复
  13. 学习学习,研究研究,呵呵
    yun2015-07-04 19:07 回复

e[NȂECir Yahoo yV LINEf[^[Ōz500~`I
z[y[W ̃NWbgJ[h COiq@COsیI COze