Tuesday, August 21, 2018

Shadowsocks视窗版客户端(v4.1.1)

@celeron533 celeron533 released this 4 days ago · 5 commits to master since this release

Assets3

  • Fix auto hotkey reg issue when OS wakeup
  • Other minor bug fixes and improvements

If you encounter any issue, please refer to https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting.

如果遇到任何问题,请首先参考 https://github.com/shadowsocks/shadowsocks-windows/wiki/Troubleshooting


Info of Shadowsocks.exe

  • MD5: 5EBF675DE32F720DDDDAB1911523E5B4
  • SHA1: FEF836207D48120D854D693490359C6A6AACA7A3
  • SHA256: 602EBD1B423EAB06E0698351A1003AFF16A1363476530F4A9040658DCB2A7BCF
  • SHA512: 9077436CE481720E8CA54479BDD6C87E2ADD5C686B8077B83E6FE64A030539620102777BC1FD47D12F79600F520033B3B565B4B000167CF3ACBF35686D17FB44

原文:https://github.com/shadowsocks/shadowsocks-windows/releases/tag/4.1.1



via 细节的力量 https://ift.tt/2PspS6t

New Release: Tor Browser 8.0a10

by boklm | August 20, 2018

Update (8/21 7:45UTC): We got reports from users facing a weird update behavior: even after successfully applying an update to 8.0a10 the updater keeps downloading and applying updates. This is tracked in bug 27221. As a workaround, please either use a fresh 8.0a10 or go to about:config, search for 8.0a9. browser.startup.homepage_override.torbrowser.version and extensions.lastTorBrowserVersion will show up. Switch their values to 8.0a10. Sorry for the inconvenience.

Tor Browser 8.0a10 is now available from the Tor Browser Project page and also from our distribution directory.

It is the second alpha release based on Firefox ESR 60 and contains a number of improvements and bug fixes. The highlights are the following features and major bug fixes:

  1. This alpha includes big changes to the user onboarding experience, and there are more to come.
  2. We included a revamped start page (special thanks to Mark and Kathy for the implementation on short notice).
  3. The meek pluggable transport should be fully functional now.
  4. We audited and enabled HTTP2 which should give performance improvements on many websites.
  5. We added another bunch of locales and ship our bundles now additionally in ca, ga-IE, id, is, and nb-NO.

For Windows users we worked around a bug in mingw-w64 which affected updates on Windows (64bit) resulting in intermittent update failures. Moreover, we finally enabled hardware acceleration for improved browser rendering performance after applying a fix for a long-standing bug, which often caused crashes on Windows systems with graphics cards, e.g. from Nvidia.

The Tor version we ship is now 0.3.4.6-rc and it would be a good time now to report client issues, noticed with this release candidate or previous alpha releases, in case they did not get fixed so far.

Known Issues

We already collected a number of unresolved bugs since Tor Browser 8.0a9 and tagged them with our ff60-esrkeyword to keep them on our radar. The most important ones are listed below:

  1. On Windows localized builds on first start the about:tor page is not shown, rather a weird XML error is visible.
  2. Maybe related to the previous item, NoScript does not seem to work properly on Windows builds right now.
  3. We are not done yet with reviewing the network code changes between ESR52 and ESR60. While we don’t expect that proxy bypass bugs got introduced between those ESR series, we can’t rule it out yet.
  4. We disable Stylo on macOS due to reproducibility issues we need to investigate and fix. This will likely not get fixed for Tor Browser 8, as we need some baking time on our nightly/alpha channel before we are sure there are no reproducibility/stability regressions. The tentative plan is to get it ready for Tor Browser 8.5.

Note: This alpha release is the second one that gets signed with a new Tor Browser subkey, as the currently used one is about to expire. Its fingerprint is: 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2. We plan to use it for the stable series, too, once Tor Browser 8 gets released.

The full changelog since Tor Browser 8.0a9 is:

  • All platforms
    • Update Tor to 0.3.4.6-rc
    • Update Torbutton to 2.0.2
      • Bug 26960: Implement new about:tor start page
      • Bug 26961: Implement new user onboarding
      • Bug 26321: Move ‘New Identity’, ‘New Circuit’ to File, hamburger menus
      • Bug 26590: Use new svg.disabled pref in security slider
      • Bug 26655: Adjust color and size of onion button
      • Bug 26500: Reposition circuit display relay icon for RTL locales
      • Bug 26409: Remove spoofed locale implementation
      • Bug 26189: Remove content-policy.js
      • Bug 27129: Add locales ca, ga, id, is, nb
      • Translations update
    • Update Tor Launcher to 0.2.16.2
      • Bug 26985: Help button icons missing
      • Bug 25509: Improve the proxy help text
      • Bug 27129: Add locales ca, ga, id, is, nb
      • Translations update
    • Update NoScript to 10.1.8.16
    • Update meek to 0.31
      • Bug 26477: Make meek extension compatible with ESR 60
    • Bug 27082: Enable a limited UITour for user onboarding
    • Bug 26961: New user onboarding
    • Bug 14952: Enable HTTP2 and AltSvc
      • Bug 25735: Tor Browser stalls while loading Facebook login page
    • Bug 17252: Enable TLS session identifiers with first-party isolation
    • Bug 26353: Prevent speculative connects that violate first-party isolation
    • Bug 24056: Use en-US strings in HTML forms if locale is spoofed to english
    • Bug 26456: HTTP .onion sites inherit previous page’s certificate information
    • Bug 26321: Move ‘New Identity’, ‘New Circuit’ to File, hamburger menus
    • Bug 26833: Backport Mozilla’s bug 1473247
    • Bug 26628: Backport Mozilla’s bug 1470156
    • Bug 26237: Clean up toolbar for ESR60-based Tor Browser
    • Bug 26519: Avoid Firefox icons in ESR60
    • Bug 26039: Load our preferences that modify extensions (fixup)
    • Bug 26515: Update Tor Browser blog post URLs
    • Bug 27129: Add locales ca, ga, id, is, nb
    • Bug 26216: Fix broken MAR file generation
    • Bug 26409: Remove spoofed locale implementation
    • Bug 26603: Remove obsolete HTTP pipelining preferences
  • Windows
    • Bug 26514: Fix intermittent updater failures on Win64 (Error 19)
    • Bug 26874: Fix UNC path restrictions failure in Tor Browser 8.0a9
    • Bug 12968: Enable HEASLR in Windows x86_64 builds
    • Bug 9145: Fix broken hardware acceleration
    • Update tbb-windows-installer to 0.4
      • Bug 26355: Update tbb-windows-installer to check for Windows7+
    • Bug 26355: Require Windows7+ for updates to Tor Browser 8
  • OS X
    • Bug 26795: Bump snowflake to 6077141f4a for bug 25600
  • Linux
    • Bug 25485: Unbreak Tor Browser on systems with newer libstdc++
    • Bug 20866: Fix OpenGL software rendering on systems with newer libstdc++
    • Bug 26951+18022: Fix execdesktop argument passing
    • Bug 26795: Bump snowflake to 6077141f4a for bug 25600
  • Build System
    • All
      • Bug 26410: Stop using old MAR format in the alpha series
      • Bug 27020: RBM build fails with runc version 1.0.1
      • Bug 26949: Use GitHub repository for STIX
      • Bug 26773: Add –verbose to the ./mach build flag for firefox
      • Bug 26569: Redirect pre-8.0a9 alpha users to a separate update directory
      • Bug 26319: Don’t package up Tor Browser in the `mach package` step
    • OS X
      • Bug 26489: Fix .app directory name in tools/dmg2mar
    • Windows
      • Bug 27152: Use mozilla/fxc2.git for the fxc2 repository

原文:https://blog.torproject.org/new-release-tor-browser-80a10



via 细节的力量 https://ift.tt/2LdNloA

无界浏览18.04正式版 (2018年8月21日)

请升级到18.04,旧版有时会连接不上或速度慢。
执行版:
http://wujieliulan.com/download/u1804.exe
SHA512:58a97122dc1a077020bcdd69beb2f81f89e587892022fc441a7d2a3a1d93162aa95c25ec84932b1de78d84668688c3d4791dc6c3bd6a46289f66c230d8732f55
压缩版:
http://wujieliulan.com/download/u1804.zip
SHA512:f089822f736b2df8f8b3ebbd89b4d3092094d7c216d347e6589178818d46636af787a8865282ad422bc3ba9d322fa536b6d55326a2c2b26c78d44d6dab7fbd8a

原文:http://forums.internetfreedom.org/index.php?topic=23118.0



via 细节的力量 https://ift.tt/2PspPYl

安卓版: 无界一点通4.5正式版(2018年6月6日)

无界一点通4.5正式版, 解决了4.4运行不稳定的问题。
1.解决黑屏时广播会停的问题;
2.允许拷贝翻墙网址;
3.加强连通能力。
http://wujieliulan.com/download/um.apk
sha256: 91e30a293cfb20d0e966638f7be45ab9c9e83723506541f8ab68a961e3287cf3
md5: a50ae6a24b4fb68e73ad568a3b113f90
谢谢!
—————–
“无界一点通”是安卓版的翻墙软件, 让您看到没有被过滤的真实讯息。适用于安卓手机/安卓机顶盒等安卓平台。
安装”无界一点通”:
1。需要首先对手机进行设置: 按“菜单”键 –> settings(设置)–> Applications(应用程序), 钩选”Unknown sources”(未知源)。
注: 有的版本是: 按“菜单”键 –> settings(设置)–> security (安全) 里面, 钩选”Unknown sources”(未知源)。
2。将下载的um.apk文件拷贝到手机SD卡(或内置SD卡)上。如果下载的为压缩文件, 无须解压, 直接将文件扩展名 .zip 更改为 .apk 。
在安卓手机上点击um.apk文件便可安装。如与已经安装的无界一点通旧版有冲突,请先卸载旧版, 再安装新版。
3。详细说明见网址: 《网址》m.wujieliulan.com/userguide.html 《网址》
4。 注: 如果在VPN模式下使用其他浏览器(而不是无界一点通自带的浏览器),请使用其浏览器的“隐私模式”, 或退出无界一点通之后,请将浏览器的历史记录清除,否则在没有VPN的情况下无意中点击了这些历史记录,会有安全隐患。

原文:http://forums.internetfreedom.org/index.php?topic=22942.0



via 细节的力量 https://ift.tt/2LeRKYr

XX-Net V 3.12.11

@SeaHOH SeaHOH released this 12 days ago · 3 commits to master since this release

Assets3

What is new:

  • fix python path in start script (Mac)
  • fix gitlab backup link
  • fix path reference in enable_ipv6 script
  • fix #scan_setting anchor in web UI
  • fix close connection when an error occurs
  • fix call gae proxy api in smart router
  • avoid creating version-dependent shortcut (Win)
  • decrease dispatcher idle time

新版改进:

  • 修复启动脚本中的 python 路径 (Mac)
  • 修复 gitlab 备用链接
  • 修复 enable_ipv6 脚本路径引用错误
  • 修复网页 UI 中的 #scan_setting 锚点
  • 修复发生错误时未关闭代理连接
  • 修复智能代理无法正常调用 gae_proxy API
  • 避免创建依赖于版本的快捷方式 (Win)
  • 减小 dispatcher 空闲时间临界数值

原文:https://github.com/XX-net/XX-Net/releases/tag/3.12.11



via 细节的力量 https://ift.tt/2PspODL

Sunday, August 19, 2018

研究证实中国移动大规模拦截 DNS 请求

绝大部分用户默认使用 ISP 分配的递归 DNS 服务器,有少部分用户会修改设置改用流行的公共 DNS 服务器。DNS 域名解析是基于信任链,但在今天这个时代信任很容易被打破。在 DNS 解析路径上拦截设备可以向用户返回虚假的 IP 地址。清华大学、得州大学和复旦大学的研究人员在本周举行的 USENIX 安全会议上发表研究报告《Who Is Answering My Queries: Understanding and Characterizing Interception of the DNS Resolution Path》(PDF),对 DNS 拦截进行了大规模的分析。 他们调查的 3047 个自治系统(AS)有 259 个拦截了 DNS 请求,其中中国最大的移动公司中移动对 DNS 请求的拦截比例远远超过其它 ISP,这基本印证了中国移动用户对其网络的体验。在涉及中国的 TCP/UDP DNS 拦截研究中,中国电信(AS4134)、中国联通(AS4837)和中移动的三个 AS(AS9808,AS56040 和 AS56041)处理了最多的 DNS 请求,中移动的三个 AS 拦截比例最少超过 20%,最多超过 45%,偏爱的方法是请求重定向。中国 ISP 用于拦截的路由器设备由思科、北京派网和神行者制造,ZDNS、Haomiao 和爱立信以及 Xinfeng DNS 重定向系统都支持 DNS 拦截(中国移动研究人员发表了一篇论文叫《基于旁路抢答机制的异网DNS管控实践》)。发送给 Google 公共 DNS 的基于 UDP 请求有 27.9% 被拦截,TCP 请求则只有 7.3%。研究人员认为,加密的 DNS over TLS 请求有助于减少 DNS 拦截。他们发布了一个在线检查工具来帮助用户检查 DNS 拦截。

来源:https://ift.tt/2OK1U5J



via iGFW https://ift.tt/2PolGVB

Sunday, August 5, 2018

TunSafe——适用于Windows的高性能且安全的VPN客户端,使用WireGuard 协议

WireGuard ®是一种非常简单而现代,快捷的VPN,利用国家的最先进的加密技术。它旨在比IPSec 更快,更简单,更精简,更有用,同时避免大规模的头痛。它打算比OpenVPN更高效。WireGuard设计为通用VPN,可在嵌入式接口和超级计算机上运行,​​适用于多种不同情况。最初是为Linux内核发布的,现在它是跨平台的,可广泛部署。它目前正在大力发展,但它已经被认为是业内最安全,最易于使用,最简单的VPN解决方案。

TunSafe是第一个使用WireGuard 协议的 Windows VPN客户端。随着WireGuard不断增加的牵引力 – 现在是摆脱传统VPN实施的好时机。

要使用TunSafe,您需要一个支持WireGuard协议的VPN提供商帐户。对于高级用户,也可以在Linux上自行设置WireGuard服务器,您可以在“ 用户指南”中阅读更多相关信息。

VPN提供商将为您提供以扩展名结尾的WireGuard配置文件.conf。确保手头有这个,因为它很快就需要导入TunSafe。如果您还没有任何TunSafe / WireGuard兼容VPN提供商的帐户,那么您可以使用我们的免费VPN服务器开始使用。

首先确保下载并安装TunSafe。安装时,您将看到一条消息,要求获得安装TAP-Windows网络适配器的权限。确保单击“安装”。这是TunSafe用于从您的计算机捕获TCP / IP数据包的网络组件。

安装完成后,您应该看到TunSafe主窗口。

将您从VPN提供商处获得的配置文件拖到TunSafe的窗口中。将弹出一个对话框,要求您确认是否要导入该文件。单击确定。

然后TunSafe将自动连接到VPN服务器,如果一切正常,您应该Connection established在日志中看到该消息,并且您将收到一条通知泡泡,表示VPN现已连接。

[15:49:25]加载文件:C:\ Program Files \ TunSafe \ Config \ Hetzner.conf
[15:49:25] TAP驱动程序版本9.21 
[15:49:25]使用IPv6地址:fc00 :: 2/64
[15:49:25]阻止所有适配器上的标准DNS
[15:49:25]添加路线195.201.90.153/32 => 192.168.1.1         
[15:49:25]添加路线0.0.0.0/1 => 192.168.4.1         
[15:49:25]添加了路由128.0.0.0/1 => 192.168.4.1         
[15:49:25]添加了Route :: / 1 => fc00 :: 1             
[15:49:25]添加了Route 8000 :: / 1 => fc00 :: 1             
[15:49:25]发送握手......
[15:49:25]建立连接。IP 192.168.4.2

现在,根据您的VPN提供商的确切设置,您的所有互联网流量都将通过VPN隧道进行路由。下次启动TunSafe时,它将自动重新连接到上次使用的服务器。

注意:WireGuard官方已经开发出了适用于安卓、路由器(OpenWRT)、macOS和Linux的客户端,下载地址:https://www.wireguard.com/install/;WireGuard官方ios和windows系统客户端正在开发中,在此期间WireGuard官方不建议使用TunSafe这类第三方客户端,说是会存在风险。

此外TunSafe官方提供免费的WireGuard VPN服务,您使用TunSafe创建公钥后复制到https://tunsafe.com/vpn这里的位置来创建账号,下载配置文件后把里面的私钥换成你TunSafe创建公钥时生成的对应私钥就可以连接使用的,目前有几个美欧的服务器。

TunSafe创建的那个虚拟网卡和OpenVPN一样的,如果已经安装过OpenVPN了,直接下来TunSafe绿色版就可以运行连接了,无需安装了。



via iGFW https://ift.tt/2M4WKTZ

Saturday, August 4, 2018

udp2raw UDPspeeder OpenVPN原生运行在windows macOS上加速全流量(附OpenVPN控制udp2raw和UDPspeeder的方法)

原理图

(图本身分辨率很高,如果看不清楚,请单独打开图片查看)

配置OpenVPN

在VPS(linux系统)和本地安装好OpenVPN,并准备好证书和配置文件。 启动OpenVPN server端,Client先不要启动。

OpenVPN配置文件

Server端
local 0.0.0.0
port 7777
proto udp
dev tun

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem

server 10.111.2.0 255.255.255.0
ifconfig 10.111.2.1 10.111.2.6

client-to-client
duplicate-cn
keepalive 10 60

max-clients 50

persist-key
persist-tun

status /etc/openvpn/openvpn-status.log

verb 3
mute 20

comp-lzo no

fragment 1200       ##### very important    you can turn it up a bit. but, the lower the safer
mssfix 1200         ##### very important

sndbuf 2000000      ##### important
rcvbuf 2000000      ##### important
txqueuelen 4000     ##### suggested

replay-window 2000  ##### suggested

client端
client
dev tun100
proto udp

remote 127.0.0.1 3333
resolv-retry infinite 
nobind 
persist-key 
persist-tun  

ca ./ca.crt
cert ./client.crt
key ./client.key

keepalive 3 20
verb 3
mute 20

comp-lzo no

fragment 1200       ##### very important    you can turn it up a bit. but, the lower the safer
mssfix 1200         ##### very important

sndbuf 2000000      ##### important
rcvbuf 2000000      ##### important

replay-window 2000  ##### suggested

route 44.55.66.77 255.255.255.255 net_gateway
redirect-gateway def1
dhcp-option DNS 8.8.8.8
block-outside-dns          ### For non-Windows user delete this line
#route 0.0.0.0 128.0.0.0
#route 128.0.0.0 128.0.0.0

在服务端添加iptables规则 开启ipforward

iptables -t nat -A POSTROUTING -s 10.111.0.0/16 ! -d 10.111.0.0/16 -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward

运行udp2raw 和udpspeeder

在vps端运行

 ./speederv2 -s -l0.0.0.0:20000 -r127.0.0.1:7777 -f10:10 --mode 0
./udp2raw -s -l0.0.0.0:20001 -r 127.0.0.1:20000  --raw-mode faketcp  -a -k passwd

在本地运行

udp2raw_mp.exe -c -r44.55.66.77:20001 -l 127.0.0.1:8855 --raw-mode easyfaketcp -k passwd  #或者添加防火墙规则后用faketcp模式
speederv2.exe -c -l0.0.0.0:3333 -r127.0.0.1:8855 -f10:10 --mode 0 --report 10

note

本地是linux系统的用户用如下命令运行udp2raw:

./udp2raw_mp -c -r44.55.66.77:20001 -l 127.0.0.1:8855 --raw-mode faketcp -k passwd -a  

完成

用openvpn client +前面准备好的配置文件,运行,不出意外即可连上server。本地所有流量tcp/udp/icmp都会被udp2raw和UDPspeeder加速。

(但是注意你本地到VPS的流量默认是不走OpenVPN+udp2raw+UDPspeeder的,如果走了OpenVPN会产生环路)

来源:https://github.com/wangyu-/udp2raw-multiplatform/wiki/udp2raw-UDPspeeder-OpenVPN原生运行在windows-macOS上加速全流量

在win系统上OpenVPN客户端支持openvpn连接前和断开后启动脚本,利用这一点,我们设置udp2raw和UDPspeeder脚本来控制其运行和关闭,这样就省去了另外启动关闭udp2raw和UDPspeeder的麻烦了。

假设你的vpn配置文件名为UDPspeeder.ovpn,我们在同一文件夹下创建UDPspeeder_pre.bat和UDPspeeder_down.bat两个批处理(_pre.bat和_down.bat前面的名称一定要和.ovpn前面相同),UDPspeeder_pre.bat内容为

udp2raw_mp.exe -c -r44.55.66.77:20001 -l 127.0.0.1:8855 –raw-mode easyfaketcp -k passwd|speederv2.exe -c -l0.0.0.0:3333 -r127.0.0.1:8855 -f10:10 –mode 0 –report 10

UDPspeeder_down.bat内容为

taskkill -f -im speederv2.exe -im udp2raw_mp.exe

注意要保证udp2raw_mp.exe和speederv2.exe两个文件和上面的三个文件在同一文件夹下(以上内容要根据自己的实际情况变动)。

设置后管理员权限启动OpenVPN客户端连接UDPspeeder即可(点击连接后openvpn会首先调用UDPspeeder_pre.bat脚本来运行udp2raw_mp.exe和speederv2.exe,会等一小段时间,等udp2raw_mp.exe和speederv2.exe运行正常后会弹出连接VPN的界面;断开VPN连接后openvpn会调用UDPspeeder_down.bat脚本来关闭udp2raw_mp.exe和speederv2.exe)。

这里使用了udp2raw和UDPspeeder改变了openvpn数据包也不那么容易被发现了,不过还是建议使用http://www.pivpn.io/此脚本来搭建OpenVPN抗干扰能力强而且OpenVPN2.4的新功能都能用上。



via iGFW https://ift.tt/2ADMFcd

Wednesday, August 1, 2018

聊聊网络加速的东东

1. 概述

一谈到网络加速,网友的第一反应就是网游加速器。例如最近热门的游戏绝地大逃杀,热门主播们在玩游戏前经常会挂上一款网游加速器。尤其是在欧服,美服,更是必不可少。网游加速器主要用于改善网络丢包率,降低网络延时,提升客户端和游戏服务器之间链接的稳定性。

网络加速

网游加速器当然是可以归属到网络加速范围内,且网络加速器所用的技术众多,包括协议优化,数据压缩,数据重发,路由自动择优等等。网游加速器只是网络加速的上层应用,笔者这里聊的是稍微是底层一些的技术,主流的网络加速(一般指tcp加速)技术大致可以分为单边加速双边加速

1.1 单边加速

故名思议,只需要在tcp的一端部署的加速技术。因为部署容易,变动不大,所以应用范围较广,包括目前各种商业的的动态加速技术,也大都包含单边加速技术。但也正因为其在tcp一端部署的特性,其必须兼容标准的tcp协议,导致其能优化和调整的地方不如双边加速那么多。绝大大多数的单边加速都是通过优化tcp的拥塞控制算法来实现tcp加速的。

1.2 双边加速

相较于单边加速,双边加速是双端部署,如果是服务器对服务器,那么两边的服务器上都要进行部署,如果是服务器对客户端,那么除了服务器端部署外,客户端也要安装软件。

因为是双边,所以基本上可以说自己的天下了。可以采用各种优化加速技术,例如实现自己更高效的传输协议,数据缓存,流量压缩,多路径转发等。

因为双边加速并未明确的标准或者规范限制,所以各厂商的具体实现也往往不同,但是实现原理大多相同。

笔者自己也经常会使用一些网络加速软件,但是具体加速性能好坏也从来没有对比过,这里主要选择了几款开源(或者能获取到)单边和双边加速软件,对其效果进行测试对比。我们线上业务也有采用类似BBR的单边加速,尤其是针对移动端效果显著(国内的主流网民的网络延时在100ms以下,丢包率10%以下),而网宿,腾讯之类的商业CDN厂商更是很早就已经支持,可以针对特定的网络场景进行优化。

接下来是无聊的部署和测试数据,不感兴趣的可以直接跳到总结。

2. 单边加速

常用的单边加速有FastTCP,ZetaTCP(LotServer锐速),TCP Vegas, KernelPCC以及最近谷歌开源的BBR等。

2.1 部署

2.1.1 Google BBR

地址:https://ift.tt/2dpUJzM

安装配置:开启BBR优化算法内核版本必须 4.9 以上,可以使用elrepo的yum源,直接yum安装

#安装yum源 rpm -Uvh https://ift.tt/2ePpNwe #更新到最新版的内核 yum –enablerepo=elrepo-kernel install kernel-ml #vim修改grub.conf的启动首选项,修改为安装内核所在顺序(顺序从0开启)

网络加速

#reboot重启服务器,切换拥塞控制算法到bbr sysctl -w net.ipv4.tcp_congestion_control=bbr #核实在用的拥塞控制算法 sysctl net.ipv4.tcp_congestion_control

2.1.2 ZetaTCP(LotServer锐速)

地址:官网或者网上第三方提供(一键安装)

安装配置:安装安装说明,一路安装,注意选择跟自己内核相同或者相近的选项。安装成功后不需要重启服务器自动生效

注意:ZetaTCP为商业闭源产品,建议在线上环境上使用时要慎重。

2.1.3 TCP Vegas(优化版)部署

地址:https://ift.tt/2kTLjC2

安装部署:

#升级系统内核到4.9后,切换到qvegas的源代码目录,编译,告警信息可以忽略 make #加载内核模块 insmod tcp_qvegas.ko lsmod | grep qvegas #查看可用的拥塞控制算法 sysctl net.ipv4.tcp_available_congestion_control #切换拥塞控制算法到qvegas sysctl -w net.ipv4.tcp_congestion_control=bbr #核实在用的拥塞控制算法 sysctl net.ipv4.tcp_congestion_control

2.1.4 KernelPCC部署

地址:https://ift.tt/2s53DYC

安装部署:

#升级系统内核到4.9后,编辑tcp_TA.c,替换NET_INC_STATS_BH为NET_INC_STATS,替换NET_ADD_STATS_BH为NET_ADD_STATS,保存。 #切换到KernelPCC的源代码目录,编译,告警信息可以忽略 make #加载内核模块 insmod tcp_TA.ko lsmod | grep TA #查看可用的拥塞控制算法 sysctl net.ipv4.tcp_available_congestion_control #切换拥塞控制算法到TA sysctl -w net.ipv4.tcp_congestion_control=TA #核实在用的拥塞控制算法 sysctl net.ipv4.tcp_congestion_control

注意:代码中的name即为算法名称

代码

2.2 加速测试

主要测试在不同的丢包率和延时情况下,采用不同的加速方式,测算其最终吞吐量(由于广域网环境复杂,测试并不能完全代表实际环境)

2.2.1 测试方法 

开箱即用,不调整任何参数,即使用默认的参数。测试在两台千兆服务器之间进行wget下载测试,服务器的地址分别位于河北和江苏。测试文件为100M文件(经过多次反复压缩后截取100M)。统计下载时间,三次测试取其平均值作为有效值。

分别测试各加速软件在延时17ms,50ms和100ms,其丢包率分别为0%, 10%,30%,50%网络环境下的下载表现。

采用tc模拟丢包率和延时。

2.2.2 测试结果

NOMAL:河北->江苏 丢包0% 延时17ms

(1) 对比曲线

(2) 详细数据

数据

(3) 小结

  1. 各阻塞控制算法在低延迟和低丢包率的情况下表现最优,其中bbr的下载性能最好
  2. 随着延时的增加,各下载软件的下载性能也随之降低。其中bbr和zetatcp在高延时的网络环境下表现良好,bbr>zetatcp。
  3. 随着丢包率的增加,各下载软件的下载性能也随着降低。其中zetatcp和bbr在高丢包的网络环境下表现良好。
  4. 如果是高延时和高丢包环境下,zetatcp表现良好。

3. 双边加速

常用的双边加速有kcptun,finalspeed以及UDPspeeder等。

3.1 部署

3.1.1 kcptun

地址:https://ift.tt/1T0rrEX

安装部署:

#直接下载二进制文件 https://ift.tt/2b5uMa6 #KCP 客户端 ./client_linux_amd64 -r “KCP_SERVER_IP:4000” -l “:8388” -mode fast2 #KCP 服务段 ./server_linux_amd64 -t “TARGET_IP:8388” -l “:4000” -mode fast2

上面命令会给8388端口建立端口转发,具体数据流如下

应用-> KCP 客户端(8388/tcp) -> KCP 服务端(4000/udp) -> 目标服务器端(8388/tcp)

将原始链接封装进隧道

应用 -> 目的服务器 (8388/tcp)

3.1.2 finalspeed

地址:https://ift.tt/22rhjKD

安装部署:该地址已经暂停更新,根据页面信息已经改是闭源改为商业产品了。可以使用第三方提供的一键安装包(安装的是之前开源的方案)。

3.1.3 UDPspeeder

地址:https://ift.tt/2yBLwz4

安装部署:

#下载编译好的二进制文件,解压到本地和服务器的任意目录。 https://ift.tt/2inLDIy #在server端运行: ./speederv2 -s -l0.0.0.0:4096 -r127.0.0.1:7777  -f20:10 -k “passwd” #在client端运行: ./speederv2 -c -l0.0.0.0:3333 -r x.x.x.x:4096 -f20:10 -k “passwd”

现在client和server之间建立起了tunnel。想要连接x.x.x.x:7777,只需要连接 127.0.0.1:3333。来回的所有的udp流量会被加速。

默认情况下只能加速udp流量,如果是其他协议的流量需要配合vpn之类的使用。

3.2 加速测试

3.2.1 测试方法

测试方法同单边加速

3.2.2 测试结果

(1) 对比曲线

(2) 详细数据

数据

说明:

  1. 下载速度的单位为KB/S
  2. 下载速度为0代表无法正常下载,下载速度为0

(3) 小结

  1. 其中正常下载的下载性能在低延时和低丢包率的网络环境下最好。
  2. 随着延时的增加,各下载软件的下载性能也随之降低。其中kcptun和finalspeed在高延时的网络环境下表现良好。
  3. 随着丢包率的增加,各下载软件的下载性能也随着降低。其中kcptun和finalspeed在高延时的网络环境下表现良好。
  4. 如果是高延时和高丢包环境下,kcptun表现良好。

4. 总结

上面是笔者选取了几款单边加速和双边加速软件进行实际测试的结果。不知道是不是双边加速参数调整的问题,测试的结果显示双边加速的优化效果大都不及单边加速(也有可能是因为测试的文件是采用多次压缩的问题,无法发挥双边加速的数据压缩特性)。

注意:双边加速大多都有采用多发的策略,如果部署双边加速,一定要留意服务器是否按照流量进行收费。

测试显示大多加速软件(包括单双边)都有其一定的适用范围:

  1. 对于低延时低丢包率的网络情况,不采用任何加速或者使用bbr或者zetatcp加速比较ok。
  2. 中等丢包率(10%左右)使用bbr无疑是最好的选择。
  3. 高丢包率(>20%)高延时(>100ms)的网络环境下,使用zetatcp或者双边加速kcptun比较合适。尤其是zetatcp和双边加速kcptun在延时100ms,丢包率50%的情况下都能发出会良好的下载加速效果,实在是让人印象深刻。

原文来自微信公众号:运维军团



via iGFW https://ift.tt/2LJlP7z

一窥中国的审查和监控技术

作为高科技公司密集和监控技术位居全国/全球前列的城市,北京市公布的 2018 年度科学技术奖初审结果,让人有机会一窥中国的互联网审查和监控技术,许多被列入的项目显然与审查和监视有着密切关系:中科院自动化所及其孵化器银河水滴科技公司的“远距离步态识别系统研究与应用”(此前已介绍过),“研究基于深度学习的步态分析,提取人在行走过程中的周身信息特征,用于打造适合远距离、大范围、抗噪声的身份认证系统,将跨视角识别精度从 65% 提高到 94%”;奇虎 360 参与的“网络安全威胁态势感知和应急处置技术研发及产业化”;北京同方的“视频大数据人工智能应用及运营服务”,“发现了群体的宏观状态与个体速度的关联性,实现事件的精确检测”;神州绿盟参与的“网络空间大规模关键信息基础设施安全态势感知关键技术研究与应用”,“基于机器学习的海量 DNS 监测体系。针对海量的 DNS 行为日志、互联网 Whois 库、IP 库等大规模观测数据,通过特征工程引擎和大规模图计算引擎将观测数据形成机器可理解的特征、行为和关联知识结构,发现攻击事件和未知威胁”;公安部第三研究所参与的“ 超大规模数据接入采集平台关键技术研发及产业应用”,“采用网络应用协议快速识别与跟踪技术、多方式互关联网络报文匹配技术,在基于端口、基于特征码和基于行为等匹配方式间建立动态的关联关系,提高报文匹配能力和协议识别能力,解决各类复杂内容及行为特征的匹配和加密网络数据流的识别等难点问题,实现网络协议准确识别与数据多样化采集,网络协议识别数量超过 1000 种,准确率大于 95%”,等等。

来源:https://ift.tt/2M8LyCA



via iGFW https://ift.tt/2AxUHTR