Le proxy qui fonctionne en Chine, en Iran et en Russie
La Route de la Soie Numérique : Naviguer à travers la Censure avec les Proxies
Imaginez l'Internet mondial comme une forêt sauvage et indisciplinée : certains chemins sont dégagés, d'autres encombrés de ronces et d'yeux vigilants. En Chine, en Iran et en Russie, des pare-feu s'élèvent tels des remparts antiques, projetant de longues ombres sur le libre passage. Pour échapper à ces sentinelles, il faut manier un intermédiaire à la fois subtil et rusé : un manteau si bien ajusté qu'on le prend pour un simple vêtement.
Exigences techniques clés
| Fonctionnalité | Chine (GFW) | L'Iran | Russie | Remarques |
|---|---|---|---|---|
| Empreinte digitale TLS | Oui | Oui | Oui | Doit imiter les navigateurs/services populaires |
| Inspection approfondie des paquets (DPI) | Oui | Oui | Oui | Obfuscation obligatoire |
| Filtrage SNI | Oui | Oui | Oui | Soutien ESNI/ECH idéal |
| Liste noire IP | Oui | Oui | Oui | La rotation des adresses IP et le fronting de domaine sont utiles |
| Liste blanche des protocoles | Oui | Oui | Oui | HTTP/HTTPS le plus fiable |
| Sondage actif | Oui | Oui | Oui | Doit résister à la détection et à l'interrogatoire |
Technologies Proxy : Le Conte des Trois Manteaux
1. Shadowsocks (avec Obfuscation)
Véritable bête de somme de l'underground chinois, Shadowsocks est simple, rapide et, associé à des plugins, remarquablement discret. Pourtant, seul, il est aussi visible qu'un renard dans un poulailler.
Meilleure utilisation : Chine, Iran
Faiblesse: Sensible au sondage actif sans plugins.
Configuration typique :
# Server (install Shadowsocks + v2ray-plugin)
sudo apt-get install shadowsocks-libev
sudo apt-get install v2ray-plugin
# Run server
ss-server -s 0.0.0.0 -p 8388 -k <password> -m aes-256-gcm --plugin v2ray-plugin --plugin-opts="server;tls;host=www.bing.com"
Options clés du plugin :
– v2ray-plugin (WebSocket+TLS) : se camoufle en HTTPS standard.
– obfs-plugin:Plus simple, enveloppe le trafic dans une couche de type HTTP ou TLS.
| Fonctionnalité | Chaussettes d'ombre | Avec le plugin v2ray |
|---|---|---|
| Évasion DPI | Modéré | Haut |
| Empreinte digitale TLS | Aucun | Oui |
| Fronting de domaine | Non | Oui |
2. V2Ray (VMess/Réalité/XTLS)
L'outil de l'artisan, V2Ray, est une plate-forme proxy modulaire. Le protocole VMess, habillé de XTLS ou de Reality, danse devant les censeurs comme un barde lors d'une mascarade.
Meilleure utilisation : Chine, Iran, Russie
Points forts :
– Réalité : imite les véritables sessions TLS (pas besoin de véritable certificat).
– XTLS : Efficace, résiste au DPI.
Exemple : extrait de configuration de la réalité
- Obtenez la clé publique d'un service populaire (par exemple, Cloudflare).
- Configurer le serveur V2Ray :
{
"inbounds": [{
"port": 443,
"protocol": "vless",
"settings": {
"clients": [{"id": "<uuid>"}],
"decryption": "none",
"fallbacks": []
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false,
"dest": "www.cloudflare.com:443",
"xver": 0,
"serverNames": ["www.cloudflare.com"],
"privateKey": "<private key>",
"shortIds": ["<shortid>"]
}
}
}]
}
Pourquoi ça marche :
Reality/XTLS rend votre trafic impossible à distinguer du HTTPS légitime, frustrant ainsi les chiens des censeurs.
3. troyen
Trojan est un loup déguisé en mouton, s'enveloppant dans un véritable TLS, se fondant dans le troupeau de trafic HTTPS inoffensif.
Meilleure utilisation : Chine, Russie
Force:
– Utilise des certificats TLS légitimes (par exemple, de Let's Encrypt)
– Ressemble au HTTPS standard
Installation rapide du serveur :
sudo apt install trojan
sudo certbot certonly --standalone -d mydomain.com
Squelette de configuration du serveur :
{
"run_type": "server",
"local_addr": "0.0.0.0",
"local_port": 443,
"password": ["<password>"],
"ssl": {
"cert": "/etc/letsencrypt/live/mydomain.com/fullchain.pem",
"key": "/etc/letsencrypt/live/mydomain.com/privkey.pem"
}
}
4. Meek (fronting de domaine via CDN)
Lorsque les murs semblent insurmontables, Meek creuse des tunnels à travers les fondations, cachant à l'intérieur des requêtes vers des domaines de haut niveau.
Meilleure utilisation : Iran, Russie
Force:
– Fronting de domaine via les principaux CDN (par exemple, Azure, Cloudfront)
Comment ça marche :
– Le client se connecte à fronted.domain.com (par exemple, ajax.aspnetcdn.com)
– Le CDN transmet les requêtes cachées à votre backend via un domaine débloqué.
Limites:
– Plus lent et moins fiable ; le fronting de domaine est activement bloqué par certains CDN.
Tableau comparatif : efficacité des proxys
| Proxy/Protocol | GFW (Chine) | L'Iran | Russie | Évasion DPI | Camouflage TLS | Résistance au sondage actif | Remarques |
|---|---|---|---|---|---|---|---|
| Chaussettes d'ombre (obfs) | ✓ | ✓ | ✓ | Moyen | Faible | Faible | Utilisez le plugin v2ray pour de meilleurs résultats |
| V2Ray (Réalité) | ✓✓ | ✓✓ | ✓✓ | Fort | Fort | Fort | Le plus résilient en 2024 |
| troyen | ✓✓ | ✓ | ✓✓ | Fort | Fort | Fort | Nécessite un certificat TLS valide |
| Doux/Frontant | ✓ | ✓✓ | ✓ | Très fort | Très fort | Fort | Limité par la politique CDN |
Étapes pratiques pour débloquer
Choisir le bon outil
- Pour la Chine : Utilisez V2Ray (Reality ou XTLS) ou Trojan avec un domaine personnalisé et un certificat valide.
- Pour l'Iran : V2Ray avec Reality, ou Meek (si le fronting de domaine est toujours disponible).
- Pour la Russie : Trojan et V2Ray ; pensez également à utiliser une combinaison avec des plugins d'obfuscation.
Emplacement du serveur
- Héberger des serveurs en dehors du pays cible.
- Choisissez des adresses IP et des domaines qui n’ont pas été précédemment associés au contournement.
Mimétisme d'empreinte digitale TLS
L'empreinte digitale TLS est le chien de garde des censeurs modernes. V2Ray (Reality/XTLS) et Trojan excellent car ils imitent la démarche et l'odeur des connexions légitimes, rendant la détection périlleuse pour les censeurs.
Exemple : configuration du client V2Ray
{
"outbounds": [{
"protocol": "vless",
"settings": {
"vnext": [{
"address": "your.server.com",
"port": 443,
"users": [{
"id": "<uuid>",
"encryption": "none",
"flow": "xtls-rprx-vision"
}]
}]
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"publicKey": "<server public key>",
"shortId": "<shortid>",
"serverName": "www.cloudflare.com"
}
}
}]
}
Plugins d'obfuscation et superposition
L'art du subterfuge :
– Associez Shadowsocks avec le plugin v2ray (WebSocket+TLS).
– Utilisez plusieurs couches : par exemple, V2Ray sur WebSocket sur TLS.
– Faites tourner périodiquement les adresses IP et les domaines des serveurs.
Conseils finaux : rester invisible
- Utilisez des domaines soutenus par CDN pour le fronting lorsque cela est possible.
- Surveillez régulièrement les listes de blocage pour votre IP/domaine.
- Évitez d’utiliser des proxys publics populaires, car ils sont rapidement bloqués.
Dans ce conte numérique, le héros n'est pas le plus fort, mais celui qui s'adapte le mieux. Chaque incarnation est un masque astucieux : choisissez celui qui correspond le mieux au bal masqué auquel vous devez assister.
Commentaires (0)
Il n'y a pas encore de commentaires ici, vous pouvez être le premier !