El proxy que funciona en China, Irán y Rusia
La Ruta de la Seda Digital: Navegando la Censura con Proxies
Imagine el internet mundial como un bosque indómito: algunos caminos despejados, otros ahogados por zarzas y ojos vigilantes. En China, Irán y Rusia, los cortafuegos se alzan como antiguas murallas, proyectando largas sombras sobre el libre paso. Para burlar a estos centinelas, uno debe empuñar un proxy sutil y astuto: una capa que se ajusta tan bien que se confunde con un atuendo común.
Requisitos técnicos clave
| Característica | China (GFW) | Irán | Rusia | Notas |
|---|---|---|---|---|
| Huella digital TLS | Sí | Sí | Sí | Debe imitar navegadores/servicios populares |
| Inspección profunda de paquetes (DPI) | Sí | Sí | Sí | Ofuscación obligatoria |
| Filtrado SNI | Sí | Sí | Sí | Soporte ideal para ESNI/ECH |
| Lista negra de IP | Sí | Sí | Sí | Las direcciones IP rotativas y el fronting de dominio son útiles |
| Lista blanca de protocolos | Sí | Sí | Sí | HTTP/HTTPS más confiable |
| Sondeo activo | Sí | Sí | Sí | Debe resistirse a la detección y al interrogatorio. |
Proxy Technologies: La historia de las tres capas
1. Calcetines de sombra (con ofuscación)
Shadowsocks, el caballo de batalla del underground chino, es simple, rápido y, al combinarse con plugins, notablemente sigiloso. Sin embargo, por sí solo, es tan obvio como un zorro en un gallinero.
Mejor uso: China, Irán
Debilidad: Susceptible al sondeo activo sin complementos.
Configuración típica:
# Server (install Shadowsocks + v2ray-plugin)
sudo apt-get install shadowsocks-libev
sudo apt-get install v2ray-plugin
# Run server
ss-server -s 0.0.0.0 -p 8388 -k <password> -m aes-256-gcm --plugin v2ray-plugin --plugin-opts="server;tls;host=www.bing.com"
Opciones de complementos clave:
– v2ray-plugin (WebSocket+TLS): se camufla como HTTPS normal.
– obfs-plugin:Más simple, envuelve el tráfico en una capa similar a HTTP o TLS.
| Característica | Calcetines de sombra | Con el complemento v2ray |
|---|---|---|
| Evasión de DPI | Moderado | Alto |
| Huella digital TLS | Ninguno | Sí |
| Dominio frontal | No | Sí |
2. V2Ray (VMess/Realidad/XTLS)
La herramienta del artesano, V2Ray, es una plataforma proxy modular. El protocolo VMess, revestido de XTLS o Reality, elude la censura como un bardo en un baile de máscaras.
Mejor uso: China, Irán, Rusia
Puntos fuertes:
– Realidad: Imita sesiones TLS genuinas (no necesita certificado real).
– XTLS: Eficiente, resiste DPI.
Ejemplo: Fragmento de configuración de la realidad
- Obtenga la clave pública de un servicio popular (por ejemplo, Cloudflare).
- Configurar el servidor V2Ray:
{
"inbounds": [{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [{"id": "<uuid>"}],
"decryption": "none",
"fallbacks": []
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false,
"dest": "www.cloudflare.com:443",
"xver": 0,
"serverNames": ["www.cloudflare.com"],
"privateKey": "<private key>",
"shortIds": ["<shortid>"]
}
}
}]
}
Por qué funciona:
Reality/XTLS hace que su tráfico sea indistinguible del HTTPS legítimo, frustrando a los sabuesos de la censura.
3. Troyano
Trojan es un lobo con piel de oveja, que se envuelve en TLS genuino y se mezcla con el rebaño de tráfico HTTPS inocuo.
Mejor uso: China, Rusia
Fortaleza:
– Utiliza certificados TLS legítimos (por ejemplo, de Let's Encrypt)
– Parece idéntico al HTTPS estándar
Instalación rápida del servidor:
sudo apt install trojan
sudo certbot certonly --standalone -d mydomain.com
Esqueleto de configuración del servidor:
{
"run_type": "server",
"local_addr": "0.0.0.0",
"local_port": 443,
"password": ["<password>"],
"ssl": {
"cert": "/etc/letsencrypt/live/mydomain.com/fullchain.pem",
"key": "/etc/letsencrypt/live/mydomain.com/privkey.pem"
}
}
4. Meek (Dominio Fronting vía CDN)
Cuando los muros parecen insuperables, Meek excava túneles a través de los cimientos, escondiendo en su interior solicitudes a dominios de alto perfil.
Mejor uso: Irán, Rusia
Fortaleza:
– Fronting de dominio a través de las principales CDN (por ejemplo, Azure, Cloudfront)
Cómo funciona:
– El cliente se conecta a fronted.domain.com (p.ej, ajax.aspnetcdn.com)
– CDN reenvía solicitudes ocultas a su backend a través de un dominio desbloqueado.
Limitaciones:
– Más lento y menos confiable; el dominio frontal está siendo bloqueado activamente por algunas CDN.
Tabla comparativa: Efectividad del proxy
| Proxy/Protocolo | GFW (China) | Irán | Rusia | Evasión de DPI | Camuflaje TLS | Resistencia al sondeo activo | Notas |
|---|---|---|---|---|---|---|---|
| Calcetines de sombra (obfs) | ✓ | ✓ | ✓ | Medio | Débil | Débil | Utilice el complemento v2ray para obtener mejores resultados |
| V2Ray (Realidad) | ✓✓ | ✓✓ | ✓✓ | Fuerte | Fuerte | Fuerte | Los más resilientes en 2024 |
| Troyano | ✓✓ | ✓ | ✓✓ | Fuerte | Fuerte | Fuerte | Requiere certificado TLS válido |
| Manso/Frente | ✓ | ✓✓ | ✓ | Acérrimo | Acérrimo | Fuerte | Limitado por la política de CDN |
Pasos prácticos para desbloquear
Elegir la herramienta adecuada
- Para China: Utilice V2Ray (Reality o XTLS) o un troyano con dominio personalizado y certificado válido.
- Para Irán: V2Ray con Reality, o Meek (si el dominio frontal aún está disponible).
- Para Rusia: Troyano y V2Ray; también considere usar una combinación con complementos de ofuscación.
Ubicación del servidor
- Servidores alojados fuera del país de destino.
- Seleccione IP y dominios que no hayan estado asociados previamente con la elusión.
Imitación de huellas dactilares TLS
La huella digital TLS es la herramienta clave de la censura moderna. V2Ray (Reality/XTLS) y Trojan destacan porque imitan el comportamiento y el olor de las conexiones legítimas, lo que dificulta su detección para los censores.
Ejemplo: Configuración del cliente V2Ray
{
"outbounds": [{
"protocol": "vless",
"settings": {
"vnext": [{
"address": "your.server.com",
"port": 443,
"users": [{
"id": "<uuid>",
"encryption": "none",
"flow": "xtls-rprx-vision"
}]
}]
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"publicKey": "<server public key>",
"shortId": "<shortid>",
"serverName": "www.cloudflare.com"
}
}
}]
}
Complementos de ofuscación y capas
El arte del subterfugio:
– Empareje Shadowsocks con el complemento v2ray (WebSocket+TLS).
– Utilice múltiples capas: por ejemplo, V2Ray sobre WebSocket sobre TLS.
– Rotar periódicamente las IP y los dominios del servidor.
Consejos finales: Mantenerse invisible
- Utilice dominios respaldados por CDN para la fachada siempre que sea posible.
- Supervise periódicamente las listas de bloqueo para su IP/dominio.
- Evite utilizar servidores proxy públicos populares ya que se bloquean rápidamente.
En este cuento digital, el héroe no es el más fuerte, sino el más adaptable. Cada proxy es una máscara ingeniosa: elige la que mejor se adapte al baile de máscaras al que debes asistir.
Comentarios (0)
Aún no hay comentarios aquí, ¡puedes ser el primero!