Glossário
O que é Shadowsocks
Um proxy estilo SOCKS5 com criptografia de stream, criado em 2012 pra fazer bypass da Great Firewall da China. Predecessor do VLESS Reality e outros protocolos modernos de circumvenção de censura.
Shadowsocks é um proxy de circumvenção de censura criado em 2012 por um desenvolvedor chinês usando o pseudônimo "clowwindy". Sua finalidade era específica: fazer bypass da Great Firewall da China, que naquela época já bloqueava confiavelmente protocolos VPN padrão.
O design é simples. Shadowsocks é um proxy estilo SOCKS5 com o stream inteiro criptografado usando uma cifra simétrica. Não há handshake TLS, sem camuflagem de servidor falso, sem resistência a active probing. A defesa inteira é que os bytes criptografados parecem mais aleatórios que um protocolo VPN estruturado, o que faz com que sejam um pouco mais difíceis de deep packet inspection fingerprintar.
Como Shadowsocks funciona
Um servidor Shadowsocks escuta numa porta TCP. Clientes abrem conexão, autenticam com chave pré-compartilhada e tunelam requisições SOCKS5 pelo stream criptografado.
Shadowsocks original usava cifras chacha20-ietf ou aes-256-cfb. Foram superadas por volta de 2018 por variantes AEAD — chacha20-ietf-poly1305 e aes-256-gcm — que adicionam autenticação pra prevenir ataques de manipulação ativa.
Não há wrapper TLS em torno do stream. Não há certificado. Não há site alvo falso. Os bytes criptografados fluem sobre TCP puro desde o primeiro pacote.
Por que funcionou, depois parou de funcionar
Por vários anos (de ~2012 a 2017), Shadowsocks funcionou confiavelmente contra a Great Firewall. A razão: a detecção da GFW na época dependia principalmente de fingerprinting de protocolo (reconhecer headers específicos), não análise de entropia. O stream criptografado do Shadowsocks não tinha header reconhecível pra casar.
O que mudou: a GFW adicionou análise de entropia por volta de 2017-2018. Bytes criptografados aleatórios são fáceis de identificar. Tráfego HTTPS real tem entropia mista — handshake TLS estruturado no início, depois dados de aplicação criptografados com tamanhos de registro característicos. Streams Shadowsocks têm alta entropia desde o primeiro pacote e sem handshake precedente. Pra um classificador estatístico, esse padrão é conspícuo.
Em 2026, a Great Firewall e o TSPU da Rússia ambos detectam Shadowsocks (incluindo variantes AEAD) com 30-60% de precisão segundo testes da comunidade. Ainda funciona em ambientes filtrados levemente; não funciona confiavelmente em mercados com DPI pesado.
Variantes e plugins
Várias variantes do Shadowsocks tentaram resolver o problema de detecção por entropia:
- simple-obfs e obfs-tls — plugins que envolvem tráfego Shadowsocks em framing que parece TLS. Melhor que Shadowsocks puro mas ainda detectável, porque o framing TLS é falso (sem handshake real pra site real).
- v2ray-plugin — envolve Shadowsocks em WebSocket-sobre-TLS pra um domínio real. Mais resistente; requer operar um site que pareça real atrás do proxy.
- shadow-tls — descendente do Shadowsocks que faz handshake TLS real, similar em espírito a Reality. Menos maduro que Reality mas arquiteturalmente mais forte que Shadowsocks puro.
Essas variantes adiaram o fim de vida útil efetivo do Shadowsocks mas não pararam a tendência. Os protocolos que lidam com DPI moderno são VLESS Reality e NaiveProxy, ambos estruturalmente diferentes do Shadowsocks.
Por que ainda importa
Shadowsocks permanece historicamente importante e pedagogicamente útil:
- O blueprint original. O design do Shadowsocks — proxy de stream criptografado, auth simples baseada em chave, foco em forma de tráfego em vez de handshake — é o template do qual V2Ray, Trojan e Reality todos evoluíram.
- Ecossistema de self-hosters. Uma comunidade grande roda deployments self-hosted de Shadowsocks. O tooling (clientes em toda plataforma, documentação clara, baixa complexidade operacional) é maduro.
- Mais leve que Reality. Em países sem DPI ativo, Shadowsocks é mais simples de deployar e mais leve em CPU que Reality.
Quando usar (e quando não)
Use Shadowsocks se:
- Você está self-hosting e simplicidade operacional importa mais que resistência a DPI
- Você está em país sem filtragem ativa de protocolo VPN (maior parte da Europa, América do Norte, partes da América Latina, muito da África Subsaariana)
- Você tem deployment Shadowsocks existente e custo de mudança é real
Não use Shadowsocks se:
- Você está na Rússia, China, Irã, Paquistão, EAU ou outro país com DPI ativo em 2026 — taxas de detecção são altas demais
- Você está procurando uma VPN comercial — a maioria dos provedores VPN passou pelo Shadowsocks; os que ainda empurram fazem isso porque não investiram em protocolos novos
Pros mercados em que o Fexyn foca, VLESS Reality com o Vision flow é a resposta certa em 2026. Shadowsocks é o protocolo que Reality foi construído pra suceder.
Leia mais: guia do protocolo VLESS Reality, Protocolos de circumvenção de censura comparados, VLESS vs Shadowsocks.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços