分享 科学上网服务,我最服云梯

marksloan · 发布于 2017年06月26日 · 最后由 samport 回复于 2017年07月13日 · 7065 次阅读
12637
本帖已被设为精华帖!

一开始我是自建的,多年前随手买台 Linode 开个 SSH 转发就搞定了,后来 SSH 会随机被 TCP Reset。转向 GoAgent,慢慢的 GoAgent 也墙了……

后来,看到云梯一直可以用,才明白云梯老板在 teahour.fm 说的,专门用于科学上网的协议最终都会被墙,只有大量外资企业掩护的 VPN 协议才能长久稳定。自从转入云梯后,就开启了全新的世界,再也不用考虑什么协议会被墙,也不用换 IP 换端口了,也不用担心到一台服务器网络抽风,因为可以随便选,真的太爽了!

直到某一天:Apple 从 macOS Serria 中移除了 PPTP。。。主推安全的 IKEv2

VPN 在国外用于加密,不是上网,Apple 以不够安全的理由移除 PPTP 可以理解。 但是 Apple 不懂中国啊!在中国,VPN 是用来上网的! 加密的 PPTP 至少比 SS 安全,这样的安全性对上网来说就够了。

macOS Serria 发布前,云梯就已经发布了 IKEv2,我在公司电脑上和手机上用 IKEv2 都很快,也很稳定。但家里的网络,IKEv2 没有 PPTP 稳定,应该是和网络有关的。

我以为爽的日子要结束了,没,想,到,收到了以下邮件:

云梯居然在 macOS 上完整写出了一个 PPTP,集成进云梯 Mac App 了,这个有点屌!科学上网届的技术实力,我最服云梯!

云梯似乎什么东西都能自己研发出来,比其他只会搭建一下的服务商,不知道高到哪里去了,蛤-蛤-

现在,Mac App 里既能用 IKEv2,又能用 PPTP,我的困扰一下子就没有了。而且,这个 Mac App,做得真有 Mac 软件的范儿,连上后自动智能加速,我也不用配置什么域名什么 IP 要走 VPN,即开即用。

这么多年,推荐了很多同事和朋友用上云梯,有些原来自建了 VPN,自建了 SS,还有用其他不知名服务商的,他们换到云梯后最大的感受是速度快有逼格。很多同事以前不知道有服务商可以做到 20ms 这么低的延时,转入云梯后发现好几条线路延时这么低。看了下特别快的几个机房,发现自建不起,太贵了……不知道云梯在这些机房是不是有大客户专属价格。

最近看到 Green 不能用了,安利一下更好用的云梯,几年下来都很稳定。

无耻地放上我的推荐链接,用这个链接注册,你可以优惠10元,我也能得10元云梯推荐链接

共收到 72 条回复
96

小号打广告

3753
0b45a6dsh0416 回复

楼主说的安全维度。。。是指能不能放心的使用的维度。。。毫不关心过程的安全。。。

27

这广告打的有点 low

23196

不知道玩dota2用云梯到东南亚或者美服怎么样,有没肉测过的小伙伴..... 我现在用的ss就不怎样,无奈当初脑子发热直接买了一年 orz

16793
23196Catherine 回复

我可以猜测你水平不佳吗?😂

23196
16793killernova 回复

3000多点水平...之前开着ss忘了关,然后给匹配到东南亚那边去了,顺便打了几局,有点卡,但感觉那边打的真挺菜的,哈哈哈

就想着正好这ss要到期了,物色个好点的代理去那边划水😅

12637
32w7938940 回复

好激动,这么说,我写文章的水平已经赶上官方了? cc @kgen 你要不要考虑给我付点广告费? 😝

12637
0b45a6dsh0416 回复

SS 要解决的目标就是嗅探问题,你跟我说 SS 的缺陷是嗅探?你要不要跟 SS 的作者比一下谁更懂 SS?

你说的 SS 在加密方面没有缺陷,也跟 SS 作者说得相反。别欺负我没用过 SS,我为了比较问过好多卖 SS 的,他们都知道这个问题。

不过,我也不关心不安全的 PPTP 和不安全的 SS 谁更安全,五十步笑百步。。。要安全的时候,我肯定用 IKEv2,谁有本事破得了 IKEv2,就能扬名世界了。

12637
23196Catherine 回复

不玩 dota2 不确定快不快。不过我连着云梯买马航(那个飞机掉下来的马航)和新航的机票,上马来西亚新加坡的当地网站都很流畅。

12637
16793killernova 回复

dota2 东南亚服最菜?

10401

我就想问什么时候会被封

0b45a6
12637marksloan 回复

关于嗅探上的漏洞,Shadowsocks repo 中被讨论过多次。有关于OTA的,有关于 AEAD 的。这些都是官方讨论之后修复了的问题,我不知道你是从哪得出的 你跟我说 SS 的缺陷是嗅探?,但这些问题确实是存在的,而且直到最近几个月才刚被修复。 至于所谓 SS 在加密方面没有缺陷,也跟 SS 作者说得相反 Shadowsocks 一旦建立握手使用的加密 Cipher,官方目前默认推荐的 chacha20-ietf-poly1305AES-256-GCM 是 OpenSSL 的一部分,尚没有任何 vulnerability 出现。你说的 跟 SS 作者说得相反 建议你找到相关的 Issue。

至于 IKEv2,根据 RFC4306 定义的标准,其实是一个密钥交换协议,至于传输过程,使用的 Cipher 也是可选的,见 StrongSwan 文档(云梯就是基于这个进行搭建的),你可以看到里面已经有数个加密方式别标记了 broken,也就是因安全性问题而不再被推荐。实际上常用的加密协议还是 chacha20poly1305aes256gcm128 ,这两个都是 Shadowsocks 支持的加密 Cipher,和 Shadowsocks 的加密流一模一样。他们的主要区别在于 IKEv2 使用了 X.509 作为安全认证。而 Shadowsocks 使用长密钥作为安全认证。

密码学是个严肃的数学问题,不是靠我说它有缺陷或者我说它很安全它就安全了。

16370

云梯我也用了挺久的。
但是楼主你这个帖子还带优惠链接,怎么看都是在做广告啊哈哈哈哈

Eda824

加密的 PPTP 至少比 SS 安全,这样的安全性对上网来说就够了。

这句话写了很伤你这篇文章的说服力啊。。

96

决定用下云梯。别坑我。。

96

话说我每次在家开着云梯,没多久电脑会自动关机,连续出现几次。后来退出云梯,没出现这情况了,求解释

Bcfba5

服个毛线,完全没法用,还不给退款。

9800

小广告。。

370
12637marksloan 回复

谢谢你的推荐,不过你的广告有点硬。我根据 referral 联系你账号 Email 吧,下次请你吃大餐,算是广告费 😄

370
32balence 回复

没有人反馈过类似的情况,App 也没提供过任何自动关机的功能,毕竟不是下载工具。方便通过 ticket 反馈一下吗,方便我们了解具体情况。感谢!

3
370kgen 回复

值得为这个回复点赞加精华!

3 lgn21st 将本帖设为了精华贴 06月29日 13:22
96
370kgen 回复

赞!期待技术文。

24423
370kgen 回复

期待技术文。

15420

坐等技术贴@kgen

3a5cee

@kgen 不明觉厉

老实说,我只是有点担心ZF的态度

4257

列表里面看到这个帖子加精了,就知道评论中有货。

2880

安全的密钥交换过程往往容易被蔷检出特征 当年 OpenV*N 就是特征太明显了...

ss 这类协议很简单, 方便自己动手修改, 防开会能力还是相当强的

370
3a5ceerocLv 回复

Z.F. 是一个复杂的综合体,并不是像单个人,有比较明确的态度。

不同部门的需求不一样,某些部门可能希望不要有互联网是最好的,商务部科技部可能希望互联网四通发达是最好的。所以,Z.F. 的态度是不明朗的,是一种各部分利益斗争后的综合结果。

所以,最终态度看哪个部门占上风。

2880
370kgen 回复

我就是这个意思, 我的协议简单, 容易 block, 但只有我一个人用, 所以投资来搞我不值得...

370
2880luikore 回复

对,自定义协议 + 自用,肯定是最不会被墙的。墙也不愿意对个案搞方案,经济上不合算。

但是要小心墙的流量模型匹配,这方面墙做了很多研究,放出来的论文只是冰山一角。

0b45a6
370kgen 回复

1. 你认为用相同 Cipher 就有相同的安全性。

我的观点是使用相同的 Cipher 一旦建立起加密后,他们的安全性是一致的。这一个观点是面向楼主质疑加密本身安全性的问题。

事实上确实是这样,我们可以认为如果说交换 Key 的过程存在漏洞,比如 SSL 3.0 的漏洞就是这样的问题。对于这样的问题,如果用木桶效应来解释,这已经是超过协议本身范围的东西了。像 OpenSSL 之前 Heartbleed bug 缓冲区过读,这是实现的问题。无论是使用 IKEv2 也好还是使用 Shadowsocks 也好,只要调用了 OpenSSL 受影响的版本都会触发这样的问题。这不能用来比较说同一个 Cipher 在建立连接后双方是否存在安全性问题。

如果这个可以被当成问题,那么再比如 Windows XP 的 System API 中提供的伪随机数发生器也有一个漏洞,这使得无论你用哪种方法生成出来的 key 都存在问题,那么这样的问题不能看作是协议本身的问题,这也就是你所说的木桶效应。如果说我们讨论加密的安全性,那么交换密钥的部分应该额外讨论。他们任何一部分的问题确实都会影响安全性,但并非是 Cipher 本身的问题。如果确实是 Cipher 本身的问题,在实现上大多操作系统同样在调用 OpenSSL 的 Cipher 实现,并没有本质上的区别。

2. 你说 StrongSwan 文档中,有数个加密方式被标记被 broken,所以使用 IKEv2 不安全。

我的观点并非是 IKEv2 本身不安全,我指的是 IKEv2 本身的 Cipher 是可选可配置的,有一些 Cipher 是不安全的,所以已经很少使用了。这件事上也是和 Shadowsocks 一致的。大多数的操作系统内置的实现,也都已经禁用掉了这些不安全的算法。Shadowsocks 目前安装后也不会默认选择这些有问题的加密方式。

和 StrongSwan 一样,大多数可选 Cipher 的加密实现中都实现了一些有问题的算法,大多都是出于向下兼容的目的。一旦由于向下兼容遇到这些算法,那么其安全性确实是需要质疑。像 3DES 和 Blowfish 在过去的一两年内,破解方案都有了极大的飞跃。从同样的木桶效应来看,哪怕是 IKEv2,如果使用了不当的 Cipher 本身也是不安全的。从这一点上,我并不是批判 IKEv2。而是相反,我认为这不是 IKEv2 本身的问题,就像你不能把用 rc4-md5 造成的安全问题归咎到 Shadowsocks 本身的问题上。

3. 你说 Cipher 一样,所以 Shadowsocks 和 IKEv2 的加密流一模一样。

只要不是 CFB 类似的模式,你没办法重放出两个一模一样的加密流还能通过校验,如果能,这协议一定是垃圾。

我觉得你可能想说的是 ECB 而不是 CFB。当然如果你把校验的部分、IV 和 Key 都认为是加密流的一部分,那么我同意他们的加密流不一样。

补充

所以就我的观点,如果我们把问题落在单纯的加密上,事实上目前正在使用的各种协议的主流实现都是在基于 OpenSSL 的 Cipher 之上。一般出现的安全性问题确实都会落在生成 IV 和 Key 的方式、交换 Key 的方式、验证的方式之上。在这些问题上,目前也缺乏可靠的攻击来面对无论说 Shadowsocks 也好还是 IKEv2 也好。

我们可以认为 PPTP 是一个 1 米 4 的个子,是因为我们已经摸到了它的天花板。我们无法评价 Shadowsocks 或者 IKEv2 的个子,因为我们连它们的天花板都没有摸到。虽然 IKEv2 的安全设计环环相扣,我们也确实目前找不到可靠有效的攻击。但这对于目前 Shadowsocks 的情况也是一样的。如果我们翻旧账的话,那么 Shadowsocks 在去年变过过 1 米 6 过,因为可以通过对 CFB 的嗅探得知这是一个 Shadowsocks,但是无法对它进行有效的 MITM 攻击。当然我们可以直接墙掉它,这至少比 PPTP 的 MITM 安全,它无法被得知你的通讯内容。但 Shadowsocks 协议仍然持续演进,这不像 PPTP 之类成为 RFC 后修改变得非常困难。经过这次 AEAD 的升级之后,我们再一次摸不到它的天花板了,换句话说,也就是暂时找不到有效的攻击。

Shadowsocks 的协议设计确实比 IKEv2 简单太多,但正如你所说的:

安全是木桶效应

并不会因为协议设计的复杂了,它就一定安全。如果我们要找到一个协议设计的安全问题,并不是通过另一个更复杂的协议来说明,而是通过找到对这个协议的有效攻击来说明的。而对于 Shadowsocks 来说,它还有一些比较魔幻的功能,比如通过自定义插件来二次封装发包,从而增加流量识别的成本之类,这些功能比起 VPN 更专注于做安全的虚拟内网来说也更有显示意义。

370
0b45a6dsh0416 回复

你两次回复出现了类似的错误:

第一次你说,用一样的 Cipher 就代表安全性一样。我帮你 fix 了一轮。

第二次你又改说,都用了 OpenSSL,所以就安全性一样。我再来帮你 fix 一下吧。

OpenSSL 只是一个库,提供标准的接口和算法实现。它并不能保证你调用它写出来的程序就是安全的。更不能说两个流程都不一样的程序,因为都调用了 OpenSSL 库就认为安全性一样。很简单的例子:都是用 Ruby on Rails 写出来的网站,因为实现代码不同,流程不同,安全性千差万别。

说 A 和 B 用到了某个一样的模块,所以 A 和 B 的安全性是一样的,这是个典型的辩论技巧,试图找到一个优势事物和劣势事物的重合部分,从而让听众认为他们是一样的东西。但是,这些技巧在技术层面不堪一击:石墨和钻石都是碳原子,他们的光泽,强度,使用价值一样么?

后续你的回复,已经开始玩纯粹的文字游戏了,一会儿拿协议和实现工具对比,一会儿拿Cipher和协议对比,因为如果是协议对协议,工具对工具,Cipher对Cipher,你想拔高的协议就一项都没优势了。

再后面,连写不出可靠的 RFC 都算优点了,我担心下一句是“没法用代码实现的协议才是好协议”……


PPTP 作为一个1997年诞生的协议,在全球的眼睛盯着下,诞生15年后,其 MS-CHAP-v2 方式在2012年才发现可行的攻击方式。而且需要23小时才能攻击成功一个 Key。

Shadowsocks 作为一个2013年诞生的协议,只在中国特定人群关注下,3年内发现多个攻击方式和安全问题。

而且,2013年已经没人用不安全的 RC4 - MD5 了,2013年的 Shadowsocks 居然用跟1997年的 PPTP 一样的 RC4……

算了,我叫不醒一个装睡的人。


总结

其实,结论很早就清晰了,IKEv2 才是最安全的,因为全世界找不到可行的攻击办法。

所以,我也不想在一个没什么争议的点上,进行无意义的争论了。真正在乎安全的人,直接用 IKEv2 就好了。

4038

有点期待 @kgen 的后续博文… 观摩看两位大佬的深度交流 萌新有点瑟瑟发抖

296

感觉像在看大片一样的刺激,虽然我完全听不懂😂

0b45a6
370kgen 回复

第一次你说,用一样的 Cipher 就代表安全性一样。我帮你 fix 了一轮。

第二次你又改说,都用了 OpenSSL,所以就安全性一样。我再来帮你 fix 一下吧。

我两句概括,我不得不说,是典型的倾向性误导。

我无论在 3# 还是 13#,我都没有说过「Cipher 就代表安全性一样」。

我在 3# 的中我在比较 PPTP 本身的安全性问题和 Shadowsocks 出现过的安全性问题的严重程度,还没有来得及提及 Cipher。

我在 13# 的回复中提到 Cipher 的部分,提及的是 Shadowsocks 在加密过程中与 IKEv2 选用的 Cipher 都是较新的选项。同时我也提及了,Shadowsocks 和 IKEv2 在验证上使用了不同的方式,丝毫没有说过「Cipher 就代表安全性一样」。

我在 35# 的回复中,也没有说过「用了 OpenSSL,所以就安全性一样」这样的观点

我整段提到 OpenSSL 的一共只有两处

像 OpenSSL 之前 Heartbleed bug 缓冲区过读,这是实现的问题。无论是使用 IKEv2 也好还是使用 Shadowsocks 也好,只要调用了 OpenSSL 受影响的版本都会触发这样的问题。这不能用来比较说同一个 Cipher 在建立连接后双方是否存在安全性问题。

还有

如果确实是 Cipher 本身的问题,在实现上大多操作系统同样在调用 OpenSSL 的 Cipher 实现,并没有本质上的区别。

我指的是大家都是在调用 OpenSSL 本身 Cipher 的实现,如果由于 OpenSSL 的 Cipher 的实现有问题,那么无论是什么协议,只要基于 OpenSSL 的实现,就有问题。

我说的是:「如果 A 有问题,那么 B 一定有问题」,这和你概括的所谓「如果用了 A,那么 B 就一样」是一个观点。安全是木桶效应,只要有一处有问题,那就是有问题;一处没问题,不代表全没问题。

后续你的回复,已经开始玩纯粹的文字游戏了,一会儿拿协议和实现工具对比,一会儿拿 Cipher 和协议对比,因为如果是协议对协议,工具对工具,Cipher 对 Cipher,你想拔高的协议就一项都没优势了。

我从头到尾都是拿 Shadowsocks 与 IKEv2 和 PPTP 作比较,他们不是协议吗?

我拿 Shadowsocks 使用的 Cipher 和 IKEv2 使用的 Cipher 作比较,他们不是 Cipher 吗?

我拿 PPTP 的安全性问题和 Shadowsocks 的安全性问题作比较,他们不是来安全性问题的严重性的吗?难道我指出的 PPTP 的安全性问题在握手过程中可以 MITM 上,而 Shadowsocks 的安全性问题落在 MtE 和 E&M 导致可嗅探,是为了对比这两者吗?

相反,你每段中粗体的概括,每次都和我之前的回复中的观点完全都是不一致的,将内容以偏概全、断章取义的,我倒是想知道是谁在玩文字游戏。

PPTP 作为一个 1997 年诞生的协议,在全球的眼睛盯着下,诞生15年后,其 MS-CHAP-v2 方式在2012年才发现可行的攻击方式。而且需要23小时才能攻击成功一个 Key。

Shadowsocks 作为一个 2013 年诞生的协议,只在中国特定人群关注下,3 年内发现多个攻击方式和安全问题。

按这个说法 IKEv2 本身也是一个演进协议,要是算上它爸爸 IKE,先后都改过 8 稿了。如果光说 IKEv2 这一代,2005 年 RFC 4306 标准被定义后,2008 年就爆出针对 IKEv2 first packet 的攻击的方案,从而实现嗅探。随后 IKEv2 就进行了标准的更新。难道 3 年内被发现安全问题就可以认为一个演进中的协议之后不安全吗?相反只要演进过程修复掉这样的问题,那么它又再是安全的了。怕的只有 PPTP 这种 2001 年后补充了一个 MPPE 后就再也不演进的协议。

7

该干嘛就干嘛,搞大盘子才是要紧事,没必要在翻这件事投入太多精力。迫害妄想症么,你以为你那仨瓜俩枣还真有人在乎。

96

如果真像广告主说的那么好, 我就是4年多的用户了而不是三年了。

12637
370kgen 回复

赞干货!期待 @kgen 技术文。

12637

1天没看,居然引来这么多回复。。。我只是看到 Green 不能用了,想到推荐云梯给同事反响都很好,就写了篇推荐文章,想赚一杯咖啡钱。没想到搞了个大新闻,吓死宝宝了。

96

IPsec全家桶(AH,ESP,IKE,IKEv2...)开发目的是传输加密数据,注重加密安全性。
Shadowsocks开发目的是穿透防火长城,注重混淆隐秘性。
综上:术业有专攻

15940

dalao们都停一停,我想问云梯支持Ubuntu下的IPSEC/IKev2么?

我没有找到相关帮助文档😀

370
32anticr 回复

对!所以我看到有人试图说明后者比前者安全的,我就笑了。

370
15940somejump 回复

云梯支持 Ubuntu 下配置 IKEv2,只是帮助文档还没更新,下个月会更新 Ubuntu 的帮助文档。

96

别说那么多,云梯是最早被墙的。能连接上速度也几乎打不开网页。就算IKEv2我连接上也是经常断,买了一年云梯用了根本没几天再没续费。这广告打的也是无语

7809

不知道以前的云梯怎么样,我今年才用的,半年来觉得 95% 的时间里是可用的,这对于一款 vpn 工具来说应该算很不错了吧。家里用效果差点,也可能是因为公司网络是电信企业套餐的原因。

96
32palytoxin 回复

同作为曾经的用户表示 这帖子就是个坑,还加精华帖😄 , vpn加密再牛逼,你的协议特征太明显,根据你的isp、企业还是个人、境内还是境外,可以说花样墙你没得说。 这种广告贴下假装讨论技术问题也是新思路了。 也不是说云梯技术不好、服务不好,只是在这大环境下你这vpn你没法玩,按照最新的《网络安全法》 等于非法提供vpn加密、国外专线服务了。ss再普通,它假装成普通的https服务,it just works; IKEv2再牛逼,it just doesn’t。 我也是蛋疼, 又在这回复了。😂

370
7809wootaw 回复

电信企业套餐的网络的确比个人套餐好(前提是真正的企业套餐)。

这涉及到运营商的分级机制,我来透露一下:

中国电信的网络是分级的:金牌,银牌,铜牌,其他。每一个级别对 SLA,丢包率,延时的 std dev 都有合同保证的。只有铜牌以下,是没有任何保证的,简单来说,多出来的带宽就给铜牌以下的用。

企业可以选择买金牌,银牌,铜牌的链路,个人就是铜牌以下的普通链路。所以,体验会有差别。

100M 只要几百的,都是铜牌以下的。真正的铜牌链路,10M 也要超过1000一个月。


中国联通和中国移动也有类似的机制,名称不同。

162
32palytoxin 回复

我推荐过云梯给很多朋友,超过10个了吧,和宽带提供商有很大关系,比如我温州的2个朋友和你情况类似,效果很差,而大部分人情况和我类似,非常稳定。

上网高峰期(晚上9点~11点),下行速度一般在5M以下,延迟150ms+,非高峰期,超过10M,看youtube 720P无压力

证明不是托,我来随手贴个图:

2329

前几年用云梯的时候还不支持ikev2协议,频繁掉线,mac上安装的体验也不好。 后来就用了一年的SS,用了一两年的免费蓝灯。

最近又尝试了下云梯,这些问题都没有了,基本没有掉过线,还可以支持智能加速。惊叹技术驱动的企业的后劲。

7809
370kgen 回复

这么看来我们是铜牌了

14560

虽然一点不懂,但是感觉 @kgen 谈话完全是在在误读 @dsh0416 的言论, 一个在完全讨论技术,一个是在证明ikev2 协议比其他的都好,其他的都是垃圾。。。。。。。

吐槽一下云梯:14-15年的时候,还去参加了一次在北京的ruby conf,有云梯老板的演讲,但是我就想知道,为啥云梯这么慢,还能够站在台上讲话。难道就没有人遇到慢成翔的问题吗?

96
0b45a6dsh0416 回复

呀,换头像了,我不参与安全性讨论话题,只是路过看到。

话说这个是广告贴,都被 @kgen 扭成别的模样了。

1

我用云梯都四年多了,可用性起码3个9,说不好用的大都是不懂技术又不听解释。

我可以透露一下,我的推广链接已经推广上千人了,没有一个人向我抱怨不好用的,当然,可能是面子上不好说。但在我看来,说不好用的只是极少数。

我现在很少为云梯推广了,因为自己偷偷用就好,人多了还怕树大招风,别人不好用的又不关我事。

都是网络难民还互撕其实挺傻的。

96
1Rei 回复

我只希望广告发出来之前,起码提示一下,可能在部分地区或者运营商条件下几乎不可用吧。

我觉得既然都是网络难民,kgen赚钱无可厚非,ruby-china打广告也无可厚非,可用性的问题你那里是三个9,我这里是0.01。 费用掏了基本没用几次yt,我也没怎样,但是上面kgen一直说这里有问题,那里有问题,自己上了IKEv2其他服务商都是垃圾,唯独不承担自己线路在部分地区几乎不可用的后果。 我当时想退费,也提交了工单。客服支支吾吾不给退,我也就作罢了。本来也是听现实朋友推荐(然而推荐我的这个朋友后来也说自己用的不怎么样了

网络状况已经这么不堪了,希望大家都能真诚一点。

244
370kgen 回复

第一次听说还有“流量模型匹配”这种做法,如果按照字面意思的理解,似乎云梯也无能为力?

96

我记得 clowwindy 说过 ss 不以安全性为开发重心,而是注重协议本身的隐蔽性和流量混淆。所以你们拿一个从设计上就不以安全为中心考虑的协议和一个以安全安身立命的协议比安全,这不是有点勉强么?

96

我也是云梯多年的用户了,我来说说我的感受。

云梯的 Windows 配置过程很繁琐,第一次要手动操作大约10几个步骤才能配置完一个 VPN 连接,这种繁琐程度简直无语。我因为工作原因,有时候仍然需要用 Windows,希望云梯改善一下 Windows 上配置的体验。

云梯的 Mac 体验出奇的好,App 打开,点击一下,连上,分流什么的都帮我弄好了,也没什么需要我做的。gem install 和各种命令也不用设置,已经通过 VPN 了。没有用过云梯 Mac 的,强烈推荐,云梯是 Mac 上体验最好的 VPN。就像第一次用 retina 屏幕后的感觉,用过了就再也回不去了。

iPhone 上以前用云梯,要进设置拨 VPN 开关,有点烦的。后来官方出了 App,直接在 Widget 那里点一下就连上了,很不错。

稳定性,几年体验的结果,至少 99% 是有的。以前用 PPTP, L2TP 的时候,云梯一天偶尔会断一两次,自从后来换了 IKEv2,每天用8,9个小时都几乎没断线的,非常稳定。每年“开会”的时候,周围很多人的都不能用了,云梯还是一整天不断线的。这一点比较满意。

经常听人说 VPN 特征明显容易被墙,某个专用翻防火墙的协议没有特征不容易被墙,结果国内一开会,有些同事的“没有特征不容易被墙的"被墙到上网困难,但是云梯照样流畅的上,我们几个用云梯的就开始狂笑他们几个用的“号称没有特征”的总是被墙,哈哈。

速度方面我测试过很多次,差别很大。我在公司用大约有 60M 左右,差一点的时候也有 50M,家里大概只有 10 到 20M。手机用的时候,信号差的地方就只有3M,4M的样子,信号好的时候测出 60多M,都快接近4G的极限了。我对这个速度很满意。

我也给同事推荐过云梯,几年大概推荐成功过20几个人,有1个同事跟我抱怨过云梯在他老家很卡很卡,后来他春节后回到我们的城市后很好。其他的同事都比较满意,1/20 的抱怨,还可以了。

如果要打分,我给云梯90分,稳定性,速度,Mac 软件都很好,扣10分就是 Windows 上太繁琐了。

96

最开始用的也是云梯,刚开始还挺稳定的,后来实在是非常不稳定,就换成了astrill。不是黑云梯,云梯在我的使用体验中,稳定性不如国内的多态,但是我个人觉得astrill是我使用的VPN服务中最好的一个,而且支持所有的平台,如果要排名:astril > 多态 > 云梯。

370
244fsword 回复

你对“流量模型匹配”感兴趣,我解释一下这个原理和影响力。

墙开始用流量模型匹配,是2012年左右,在2013年前后有相关的论文放出来。最早是为了识别翻.墙的 SSH 和普通管理服务器的 SSH 连接的。那一轮直接导致 SSH 被识别出特征就被 reset,就像2016年3月那一轮,墙对 SS 做的一模一样。

很多人把墙想得比较简单,觉得就是机房用的 Firewall。但实际上墙在的位置非常微妙:所有民用流量的出入口。当你能控制所有物理出入口的时候,你就能站在全局的角度进行分析,而不是针对具体的一个个连接和协议。

自从墙出现这个之后,单纯依靠协议混淆是没有意义了。

你问云梯受不受流量模型匹配影响呢?

我很坦诚,当然同样被识别。

那么为什么不被墙呢?

因为用商业协议,无法自动化判断这是企业在用,还是个人在用,还是企业的员工出差在用,所以投鼠忌器,最终结果是不墙或者只有偶尔人工干预的时候才墙(对于人工干预,我们有一套针对性的自动化方案)。

相反,专门用于翻.墙的协议,一旦识别出来,墙不用担心会误伤企业,所以墙起来就自动化得多。

总结

这是一个经济问题,不是一个技术问题。墙的目标是最大化限制普通人访问,但是不影响企业和工作。如果墙不在乎企业的话,直接物理断.网就行了,像某年的西北某省一样。所以,尽可能和企业商用捆绑上,才是根本解决方案。

其实墙很强的,就目前所有公开的翻.墙.技术而言,其实没有技术层面可以骗过墙的。只有从业务逻辑,成本考量等层面,才能绕过墙。

1107

插一句和云梯无关的,认识一个见过墙本体的朋友,跟我说了两句话(就当个谣传听,没法验证的也):1.大约十年前,墙解析 TCP 数据包的性能已经接近理论值了 2.墙还有很多功能目前还没有打开

244
370kgen 回复

谢谢,学到了

66楼 已删除
96

喜欢用 ss 的主要原因是每次断网后不用重连,不管你联不联网,它就在那里,不来不去

96

我是云梯两年的用户,总体感觉还可以,去年开始自己搭建了ss,觉得自己搭的服务更好用些

D77582

同为云梯用户,也用了三年了,不过我这里的云梯体验并不是那么好,有时候显得比较鸡肋,原因如下:

1. 有时候并连不上

mac 10.12系统,使用官方网站下载后的配置文件导入配置,但是就像来姨妈一样,L2TP和IKEv2经常性的连不上,网络为广西电信

2. 就算连上了,速度也不能说是快

尽管尝试过HK JP SG等等,youtube 480p还会卡,coursera的视频几乎可以说是无法载入,后面转战SS明显缓解这个问题

总的来看

大部分时间算是可用的状态,用不了的时候,也只好用自己改过的SS顶一下,科学上网的过程,也算是顺利

就使用上来说,qiang是有模式识别的功能的,他可以识别SS,也可以识别各种协议的VPN,不过采取的措施不一样,SS是直接关闭,VPN一般是被流量整型或者关闭。

同时我也不认为SS的安全性有多好,就未来来说,我希望可以百花齐放,方便支持各种自定义协议的工具出来,不说安全,只为了识别起来更难。

4257

最近最久的一次连接,我买的云梯和 shadowsocks.com 备用,不过电脑上基本没有用上备用的,手机上倒是一直用的 ss,不知道云梯什么时候出 Android 客户端。

云梯的速度的确不算快,但感觉还是蛮稳定的,我是西安电信。

1714

不是一般的慢, 在公司50M 专线, 不管连接哪一个云梯的服务速度都是如下图的:

我该情何以堪, 想来是因为我所处地域(坐标: 北京)不对么?

@kgen 你们出来给我解释清楚嘛!

4472
23196Catherine 回复

玩游戏什么的,还是用UU加速器这类专门优化过的比较好吧

Fd55ed

我之前一直用多态,也蛮不错的,结果多态停止服务了,还退了我2个月的钱,看样子是真不做了。。。

26232

我听朋友说到明年2月为止,天朝会切断所有的个人伟屁恩通信,只允许大公司正规登记过的国际专线,真会这样吗?

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册