Fexyn
Fexyn

Глоссарий

Что такое Shadowsocks

SOCKS5-стиль прокси с поточным шифрованием, созданный в 2012 для обхода Великого фаервола Китая. Предшественник VLESS Reality и других современных протоколов обхода цензуры.

Shadowsocks — прокси для обхода цензуры, созданный в 2012 китайским разработчиком под ником "clowwindy". Цель была конкретной: обойти Великий фаервол Китая, который к тому моменту надёжно блокировал стандартные VPN-протоколы.

Дизайн простой. Shadowsocks — SOCKS5-стиль прокси, в котором весь поток шифруется симметричным шифром. Никакого TLS handshake, никакой маскировки фейковым сервером, никакой устойчивости к active probing. Вся защита — в том, что зашифрованные байты выглядят более случайно, чем структурированный VPN-протокол, что делает их несколько сложнее для фингерпринтинга deep packet inspection.

Как работает Shadowsocks

Сервер Shadowsocks слушает TCP-порт. Клиенты открывают соединение, аутентифицируются по pre-shared ключу и туннелируют SOCKS5-запросы через шифрованный поток.

Оригинальный Shadowsocks использовал шифры chacha20-ietf или aes-256-cfb. Их вытеснили примерно в 2018 AEAD-варианты — chacha20-ietf-poly1305 и aes-256-gcm — добавляющие аутентификацию для предотвращения active manipulation атак.

Никакой TLS-обёртки вокруг потока. Никакого сертификата. Никакого фейкового сайта. Шифрованные байты текут по plain TCP с первого пакета.

Почему работало, потом перестало

Несколько лет (примерно 2012-2017) Shadowsocks надёжно работал против GFW. Причина: детекция GFW тогда опиралась в основном на фингерпринтинг протоколов (распознавание конкретных заголовков), а не на анализ энтропии. У шифрованного потока Shadowsocks не было распознаваемого заголовка для матчинга.

Что изменилось: GFW добавил энтропийный анализ примерно в 2017-2018. Шифрованные случайные байты легко идентифицируются. У настоящего HTTPS-трафика смешанная энтропия — структурированный TLS handshake в начале, потом шифрованные application data с характерными размерами записей. У потоков Shadowsocks высокая энтропия с первого пакета и без предшествующего handshake. Для статистического классификатора этот паттерн заметен.

К 2026 GFW и российский TSPU детектируют Shadowsocks (включая AEAD-варианты) с точностью 30-60% по community-тестированию. Работает в слабо фильтруемых средах; ненадёжно в DPI-плотных рынках.

Варианты и плагины

Несколько вариантов Shadowsocks пытались решить проблему энтропийной детекции:

  • simple-obfs и obfs-tls — плагины, оборачивающие Shadowsocks в TLS-подобный framing. Лучше plain Shadowsocks, но всё равно детектируется, потому что TLS-framing фейковый (нет настоящего handshake к настоящему сайту).
  • v2ray-plugin — оборачивает Shadowsocks в WebSocket-over-TLS к настоящему домену. Устойчивее; требует поддержки настоящего сайта за прокси.
  • shadow-tls — потомок Shadowsocks, делающий настоящий TLS handshake, по духу похожий на Reality. Менее зрелый, чем Reality, но архитектурно сильнее plain Shadowsocks.

Эти варианты отсрочили эффективный конец жизни Shadowsocks, но не остановили тренд. Протоколы, справляющиеся с современным DPI, — это VLESS Reality и NaiveProxy, оба структурно отличаются от Shadowsocks.

Почему он всё ещё важен

Shadowsocks остаётся исторически важным и педагогически полезным:

  • Изначальный blueprint. Дизайн Shadowsocks — шифрованный поточный прокси, простая аутентификация по ключу, фокус на форму трафика, а не на handshake — это шаблон, из которого выросли V2Ray, Trojan и Reality.
  • Экосистема self-hosters. Большое сообщество держит self-hosted Shadowsocks. Тулчейн (клиенты на каждой платформе, понятная документация, низкая операционная сложность) зрелый.
  • Легче Reality. В странах без активного DPI Shadowsocks проще развёртывать и легче по CPU, чем Reality.

Когда использовать (и когда нет)

Используй Shadowsocks, если:

  • Self-hosting и операционная простота важнее устойчивости к DPI
  • Ты в стране без активной фильтрации VPN-протоколов (большая часть Европы, Северная Америка, часть Латинской Америки, большая часть Subsaharan Africa)
  • Уже есть развёрнутый Shadowsocks и стоимость переключения реальна

Не используй Shadowsocks, если:

  • Ты в России, Китае, Иране, Пакистане, ОАЭ или другой стране с активным DPI в 2026 — детекция слишком высокая
  • Ищешь коммерческий VPN — большинство VPN-провайдеров ушли дальше Shadowsocks; те, кто всё ещё его пушат, не инвестировали в новые протоколы

Для рынков, на которых сосредоточен Fexyn, VLESS Reality + Vision flow — правильный ответ в 2026. Shadowsocks — протокол, на смену которому Reality и был построен.

Подробнее: гид по VLESS Reality, Сравнение протоколов обхода цензуры, VLESS vs Shadowsocks.

Связанные термины

Попробуй Fexyn бесплатно 7 дней

Приложение для Windows доступно сейчас в бета-версии. WireGuard, VLESS Reality и OpenVPN — без логов истории просмотров, DNS-запросов и содержимого трафика.

Цены
Что такое Shadowsocks | Fexyn VPN