不明白为什么要搞那么一大堆梯子协议
直接 https 代理 不就可以了吗
https流量都是加密的,唯一明文的是SNI
把SNI伪造成可信域名岂不是更安全了
3 个赞
很多这么搞的,比如trojan、vmess、vless之类的,但是最终还是被墙了(据说是墙有时候会探测域名的IP,如果地区相差太远可能会挂)
其实还有个因素,就是你弄不到这些大网站的证书,自签证书就会被墙发现,然后挂得更快(证书信息是明文传输的,墙看得到)
3 个赞
请楼下大佬解答
1 个赞
想太多,很容易被发现的
参考
1 个赞
所以这些都是大杂烩,一大堆东西其实用户根本用不到。
直接https代理最简单粗暴
1 个赞
流量特征会很明显
2 个赞
因为墙是一个黑盒。
各种协议都是在摸象。
3 个赞
你猜几乎所有的加密流量为什么都会有特征
2 个赞
道高一尺,魔高一丈。墙是动态的,也在不断发展 
流量探测,深度包检测,分析流量特征,sni检测,主动探测。防火墙又不是吃素的
4 个赞
https才是最好浑水摸鱼的不是么
ssl连接会暴露服务器证书,包括域名和ip信息一旦gfw检测到(gfw检测ssl特征非常容易),域名或ip直接拉黑名单
4 个赞
想暴露什么还不是自己决定吗,可以暴露真实域名和真实的域名。gfw只是知道这个IP做为这个域名的cdn节点,我们实际的数据他又不知道。
私钥谁都不知道,公钥谁都知道。你就返回域名正确的公钥,但其实你客户端并不使用这个公钥,而是用内置好的。之后都是加密的他也不知道什么数据
emm 如果能用的话 肯定早就用了 在访问https页面时流量特征很明显的吧
参考
Shadowsocks的作者Clowwindy 写的为什么不应该用SSL翻墙
XTLS Vision, fixes TLS in TLS, to the star and beyond · XTLS/Xray-core · Discussion #1295 (github.com))
补充说明一下
https代理不支持udp内容,同时https代理为了兼容浏览器,在直接被当做 HTTPS Web 服务器访问时,会返回代理错误页或者 407 Proxy authentication required,很容易被主动探测干掉
你就按你想法试试就知道了
他是说会暴露证书
而我们的目的就是要暴露证书以获得gfw的信任
- 会暴露证书
- tls in tls 既代理访问https页面, 包长度会有明显变化,流量特征严重
- 去看下补充 udp不支持, 主动探测容易发现
- 我们讨论的是直接https代理, 而https代理就是这样的,如果你要对它进行修改,其实你就是在开发自己的代理协议,现在很多代理都是在tls上做修改,更改自己流量特征
补充一下
GFW有罪推定的 就是如果你的流量大,流量行为特征异常,就会加入到可疑名单。
参考下这个
5 个赞
小伙子思路不错,那就是reality干的事情啊。
问题是你伪造域名你证书是真的吗?
证书也是可以被GFW拿去去验证的。