Divulgazione affiliati — Questo articolo contiene link di affiliazione (Contabo, NordVPN). Se ordini un VPS o un abbonamento tramite i nostri link, guadagniamo una commissione senza costi aggiuntivi per te. Raccomandiamo solo ciò che utilizziamo effettivamente in produzione.
"Shadowsocks è una VPN, giusto?" — la domanda emerge spesso nei forum di self-hosting. Risposta breve: no. Shadowsocks è un proxy SOCKS5 crittografato, creato nel 2012 da "clowwindy" per bypassare il Grande Firewall della Cina. La sua filosofia è l'opposto di WireGuard: produrre traffico indistinguibile dal rumore casuale per sfuggire al radar DPI, mentre WireGuard produce traffico ultra-pulito, identificabile ma crittograficamente impeccabile.
I due strumenti non sono concorrenti diretti — rispondono a esigenze diverse. Questo confronto esamina entrambi su 8 dimensioni concrete (protocollo, prestazioni, censura, mobile, ecosistema, sicurezza, costo operativo, curva di apprendimento) con misurazioni reali su un VPS Contabo e un'analisi onesta di ciò che implementiamo in VPNSmith.
Architettura del protocollo: la differenza fondamentale
WireGuard opera al livello 3 (rete). Una volta che l'interfaccia wg0 è attiva, tutto il traffico IP della macchina può essere instradato al suo interno: DNS, ICMP, applicazioni, servizi di sistema. È una VPN nel senso classico: trasparente per le app, kill switch tramite tabelle di routing, singolo IP esposto all'esterno. Protocollo: UDP, crittografia ChaCha20-Poly1305, handshake Noise IK.
Shadowsocks opera al livello 7 (applicazione). È un proxy SOCKS5 + crittografia sopra. Le app devono esplicitamente puntare a 127.0.0.1:1080 (porta locale SS-client) per passare attraverso di esso. Conseguenza: Firefox via SS = crittografato; ping a 8.8.8.8 = testo chiaro diretto. Protocollo: TCP (UDP opzionale tramite plugin), crittografia AEAD ChaCha20-Poly1305 o AES-256-GCM.
Questa differenza di astrazione ha conseguenze pratiche:
| Aspetto | WireGuard | Shadowsocks-rust |
|---|---|---|
| Livello OSI | 3 (rete) | 5/7 (sessione/app) |
| Trasporto | UDP | TCP (+UDP tramite plugin) |
| Configurazione OS | Interfaccia wg0, modulo kernel | Demone in userspace + configurazione app/SOCKS5 |
| Copre tutto il traffico | Sì (predefinito) | No (le app devono optare) |
| Visibilità DPI | Handshake identificabile di 148 byte | Rumore AEAD senza struttura |
| Velocità percepita | Alta (kernel) | Alta ma in userspace |
Per un uso personale "sempre attivo" dove vuoi che tutto esca tramite il VPS, WireGuard. Per un uso mirato anti-censura (Firefox in Cina, Telegram in Iran) senza instradare tutto il traffico, Shadowsocks.
Prestazioni misurate su un VPS Contabo S
Test iperf3 + curl, VPS Contabo S Norimberga, cliente residenziale fibra gigabit a Parigi, mediana di 10 sessioni, aprile 2026.
| Metodo | Latenza aggiunta | Throughput TCP iperf3 | Download curl 1 GB | CPU server @ 100 Mbps |
|---|---|---|---|---|
| Diretto (nessun tunnel) | riferimento | 920 Mbps | 880 Mbps | — |
| WireGuard semplice | +6 ms | 195 Mbps | 188 Mbps | 4% |
| Shadowsocks-rust 2022 | +9 ms | 165 Mbps | 155 Mbps | 8% |
| SS + v2ray-plugin (TLS+WS) | +14 ms | 105 Mbps | 98 Mbps | 14% |
| WireGuard + wstunnel (WS+TLS) | +13 ms | 112 Mbps | 105 Mbps | 14% |
Analisi:
- WireGuard semplice vince sul throughput grezzo (kernel-space, batching dei pacchetti) e latenza (singolo viaggio UDP).
- Shadowsocks-rust semplice resta molto vicino (~85% del throughput di WG) — l'implementazione in Rust è molto ottimizzata.
- Nel momento in cui aggiungi un livello di offuscamento (TLS+WS), entrambi convergono intorno ai 100 Mbps. Il costo dell'offuscamento domina, non la scelta del protocollo sottostante.
Per il 99% dei casi d'uso umano (navigazione, video HD, videochiamate), tutto è ben al di sopra di quanto necessario. La distinzione di prestazioni diventa critica solo per lo streaming continuo in 4K, il gaming competitivo (<30 ms ping) o i grandi trasferimenti cloud.
Resistenza alla censura: dove Shadowsocks brilla
Questo è il terreno storico di Shadowsocks. Il GFW cinese e lo SmartFilter iraniano usano strategie diverse:
GFW (Cina):
- Rileva l'handshake di WireGuard in < 50 ms e lo blocca. Nessun bypass possibile senza offuscamento.
- Per Shadowsocks-2022 semplice: analisi dell'entropia statistica sui primi pacchetti. Rileva il 60–80% delle sessioni dopo pochi minuti. Gli utenti locali segnalano un progressivo rallentamento, non un blocco netto.
- Per SS + v2ray-plugin (TLS+WS): molto difficile da bloccare senza danni collaterali massicci. Questo è il setup raccomandato dal GFW Report per il 2025-2026.
SmartFilter (Iran):
- WireGuard semplice: bloccato in 5–15 minuti a seconda del datacenter di destinazione.
- Shadowsocks-2022 semplice: passa per giorni nella maggior parte dei casi, forte rallentamento durante le proteste.
- SS + v2ray-plugin: molto affidabile, anche durante periodi tesi.
Russia (TSPU):
- Blocca WireGuard con riconoscimento progressivo dalla fine del 2024.
- Shadowsocks è ancora ampiamente utilizzato, ma TSPU si evolve ogni trimestre. Guarda ntc.party per lo stato delle tecniche.
Conclusione: se viaggi regolarmente nella Cina continentale, in Iran o in Russia, Shadowsocks + v2ray-plugin è più robusto di WireGuard semplice. Per approfondire, consulta la nostra guida al bypass DPI su Contabo.
Negabilità plausibile
Argomento sensibile ma legittimo: se usi un tunnel in un paese dove è illegale, puoi negare di farlo se vieni ispezionato?
WireGuard: debole negabilità. Un semplice comando ip link show rivela l'interfaccia wg0. Il file /etc/wireguard/wg0.conf è esplicito. Su un telefono, l'app WireGuard è elencata. Se il tuo dispositivo viene esaminato, sei nei guai.
Shadowsocks: negabilità moderata. Il binario ss-local può essere rinominato, la configurazione in un file arbitrario. Su mobile, app come Outline (Google Jigsaw) o Shadowrocket sono sugli store. Non indetectabile, ma meno ovvio. Per una vera negabilità plausibile, guarda Tor con obfs4 o Snowflake.
Nota importante: in ogni caso, alla frontiera cinese o iraniana, mai avere l'app sul telefono che presenti alla dogana è la regola. Un telefono pulito + configurazione sul posto rimane la pratica dei residenti che prendono seriamente l'argomento.
Ecosistema client mobile
Questo è un punto pratico spesso trascurato. Compatibilità 2026:
| Cliente | iOS | Android | Windows | macOS | Linux |
|---|---|---|---|---|---|
| WireGuard ufficiale | ✅ AppStore | ✅ PlayStore + F-Droid | ✅ | ✅ | ✅ wg-quick |
| Outline (Google Shadowsocks) | ✅ | ✅ | ✅ | ✅ | ✅ |
| Shadowrocket | ✅ ($2.99) | ❌ | ❌ | ❌ | ❌ |
| v2rayN / v2rayNG | ❌ | ✅ v2rayNG | ✅ v2rayN | ❌ | ❌ |
| ClashX / ClashY | ✅ | ✅ ClashY | ✅ | ✅ | ✅ |
Su iOS, l'ecosistema Shadowsocks è dominato da Shadowrocket (a pagamento, una tantum $2.99) che supporta SS, SS+v2ray-plugin, V2Ray, Trojan e offre un kill switch. Investimento ragionevole se pianifichi viaggi in Asia.
Su Android, v2rayNG (open source, F-Droid) gestisce tutti i protocolli SS + V2Ray. Outline (Jigsaw) è più semplice ma limitato solo a SS.
Per WireGuard, l'app ufficiale è universale ed eccellente. Difficile da battere in termini di UX. Chiara vittoria per l'uso quotidiano.
Sicurezza crittografica
Entrambi i protocolli utilizzano primitive moderne e sono considerati sicuri nel 2026.
WireGuard:
- ChaCha20-Poly1305 (crittografia autenticata AEAD)
- Curve25519 (scambio chiavi)
- BLAKE2s (hashing)
- HKDF (derivazione chiavi)
- Nessuna PFS per sessione (chiavi stabili finché non le ruoti), ma ricambio automatico periodico delle chiavi ogni 2 minuti o 60 GB.
Shadowsocks-2022 (SIP022):
- ChaCha20-Poly1305 o AES-256-GCM (AEAD)
- Chiave pre-condivisa (32 byte base64)
- Nessuno scambio chiavi asimmetrico — una debolezza teorica (impossibile fornire una segretezza in avanti rigorosa), ma in pratica la chiave condivisa statica va bene se casuale e ruotata ogni 6–12 mesi.
Verdetto sulla sicurezza: contro minacce "tecniche" (intercettazione passiva, MITM di rete), entrambi sono equivalenti nel 2026. Contro minacce "attive" (rivelazione dell'uso della VPN), Shadowsocks è più furtivo. Contro minacce "fisiche" (sequestro del dispositivo), nessuno è sufficiente — serve Tor + Tails.
Costo operativo su un VPS
Sul medesimo VPS Contabo S (€4.99/mese, vedi offerta):
| Metrica | WireGuard semplice | Shadowsocks-rust + plugin |
|---|---|---|
| RAM a riposo | ~5 MB | ~15 MB |
| RAM @ 100 Mbps | ~12 MB | ~45 MB |
| CPU @ 100 Mbps | 4% di una vCPU | 8–14% di una vCPU |
| Disco usato | ~2 MB binario | ~12 MB binario + cert TLS |
| Log (auto-rotati) | ~500 KB/giorno | ~1.5 MB/giorno |
Su un VPS S con 4 vCPU / 8 GB RAM, puoi ospitare entrambi contemporaneamente senza degrado. Questo è il nostro setup raccomandato: WireGuard per il 90% dell'uso, Shadowsocks come fallback per reti ostili.
Curva di apprendimento
WireGuard: ~2 ore per un sysadmin per comprendere chiavi pub/priv, AllowedIPs, NAT per inoltro, kill switch tramite PostUp/PostDown. I documenti ufficiali sono buoni, la nostra guida self-host su Contabo copre tutto.
Shadowsocks-rust: ~1 ora per la configurazione base semplice. +2 ore per comprendere v2ray-plugin (TLS+WS), dominio, Caddy. Documenti ufficiali decenti, molti tutorial in cinese (da tradurre con DeepL).
Per un principiante completo: WireGuard è più semplice concettualmente, Shadowsocks è più semplice da installare "così com'è" senza offuscamento. Con offuscamento, sono equivalenti.
Quando scegliere una VPN commerciale invece
Onestà editoriale: self-hosting Shadowsocks o WireGuard richiede un VPS + manutenzione. Se vuoi solo una VPN per Netflix US, mascherare il tuo IP quotidiano o un uso sporadico non tecnico, una VPN commerciale è più efficace in termini di tempo.
La nostra scelta cross-sell: NordVPN offre WireGuard (NordLynx) + server offuscati (basati su OpenVPN offuscato). Buono in Cina il 70% delle volte, eccellente altrove. Costo ~3€/mese sul piano biennale.
Quando il self-host vince:
- Uso permanente + necessità di un IP fisso, non condiviso.
- Alto volume di trasferimento (le VPN commerciali limitano dopo ~500 GB/mese in pratica).
- Forte riservatezza (un provider commerciale può essere citato in giudizio; il tuo VPS è tuo).
Quando la commerciale vince:
- Elevata mobilità geografica (NordVPN ha oltre 6000 server in 60 paesi, il tuo VPS Contabo ne ha 1).
- Nessun appetito per la manutenzione (nessun aggiornamento Ubuntu, nessun cert TLS, nessun fail2ban).
- Necessità di IP diversi regolarmente (sport, streaming geo-bloccato).
Molti dei nostri lettori utilizzano entrambi: self-host per l'uso quotidiano, commerciale per casi specifici.
Matrice decisionale finale
| Vuoi... | Scegli | Perché |
|---|---|---|
| Sempre attivo tutto il traffico, semplice | WireGuard | Trasparente per il sistema operativo, facile kill switch |
| Bypassare il GFW cinese | SS + v2ray-plugin | Più furtivo per il DPI |
| Bypassare firewall aziendale (solo 443) | SS + v2ray-plugin o wstunnel | TLS + WS su 443 |
| Massima velocità su link stabile | WireGuard | Kernel-space, singolo viaggio UDP |
| Multiplexare più utenti/app | Shadowsocks | SOCKS5 standard |
| Configurazione più veloce (nessun offuscamento) | WireGuard | Strumenti maturi |
| Instradamento per app mirato (split tunneling a livello di app) | Shadowsocks | Opt-in esplicito per app |
| Furtività contro ispezione del dispositivo | SS > WG (ma limitato) | Nessuna interfaccia di rete dedicata |
Ulteriori letture
- Self-host VPN su Contabo: guida completa WireGuard 2026
- V2Ray VMess/VLess: configurazione completa 2026
- wstunnel: TCP/UDP su WebSocket 2026
- Routing VPN personalizzato su Contabo: bypass DPI Iran / Cina
Fonti tecniche:
- Specifiche Shadowsocks 2022 (SIP022)
- Whitepaper WireGuard — Jason A. Donenfeld
- GFW Report — dati di blocco in tempo reale
- shadowsocks-rust GitHub
- v2ray-plugin GitHub
Pubblicato il 2026-06-03. Benchmark eseguiti su un VPS Contabo S Norimberga + cliente residenziale fibra a Parigi, aprile 2026. Tutte le tecniche anti-censura evolvono rapidamente: ciò che è vero nel Q2 2026 potrebbe cambiare entro il Q4. Verifica sempre con fonti locali prima di viaggi rischiosi.
Promemoria legale: l'uso di Shadowsocks o WireGuard è legale nell'UE, negli Stati Uniti, in Canada e nella maggior parte dei paesi. Illegale in Cina, Iran, Russia, UAE con sanzioni variabili. VPNSmith pubblica questo confronto a scopo educativo — sei tu il solo responsabile del tuo utilizzo.
★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti
A VPS you fully control for tunneling & obfuscation → ContaboRoot access · open any port · run your own stack→
