关于梯子的疑惑

证书肯定是真的。你可以获取任意网站的真实证书来握手,因为客户端是自定义的,什么证书都无所谓,只是走个形式,最后加密是掏出自己的证书。GFW也没有别人网站的私钥验证不了的。

用来访问网站的话,数据特征是差不多的。
流量特征和cdn节点是非常类似的,cdn节点流量大很正常

首先 https代理只能代理tcp流量无法代理udp流量 所以肯定要有其他协议

其次 我不是很理解你的https代理想法,我觉得只使用https代理应该是可以直接在浏览器上设置的https代理

https代理 是在http代理基础上使用了tls加密你到服务器这段的数据

http代理有两种方式
一种 RFC 7230 - Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing (ietf.org) 扮演中间人,你需要足够信任代理服务器

你需要自己在本地信任自己的根证书才能让浏览器什么解密流量,在android上需要root或magisk才能让应用信任自己安装证书。 同时部分软件不依赖系统根证书,自己维护信任证书列表

还有一种是 draft-luotonen-web-proxy-tunneling-01 (ietf.org) 建立一个中间隧道,流量特征是tls in tls 很容易识别

同时你考虑过任意网站证书握手,GFW主动探测怎们防御,使用网站原版证书,gfw主动访问你无法握手成功,使用自签证书,根本不认可你
同时流量特征和cdn节点差不多,是指长时间长连接,可能还会有大流量吗,甚至固定几个IP访问?自定义客户端的话,考虑过tls指纹吗 可能cloudflare都过不去。同时如果你代理规则设置不当,部分国内流量从代理服务器出来访问怎们解释?
最后 如果你都考虑到了,你可能实现了一个新的代理协议 当然 先看看trojan,Reality,vmess这些使用了tls的协议吧。

总结的话
首先我也不是专业写代理协议的,可能有一些错误
但一个很简单的,别人都能想到的事没有去用,一定是有道理的。
最后重复造轮子是件很酷的事!

1 个赞

你自己搭个gfw来玩玩就知道了

2 个赞

低估了 那堵墙才会这么说吧.

防火墙发展这么多年了,真以为组织的人都是饭桶啊 :joy:,都是个顶个的英杰,协议这些也只是想办法把字写难看,让墙看不出来,但是墙是怎么识字的,能不能看出写丑的字,谁知道

http协议本身就该进化了

实践成功了记得贴个github链接 :smiling_face_with_three_hearts:

问:对于未来你推荐国密比如 sm4 吗?
答:不推荐,正如一开始提到,我们认为最安全的方法就是隐藏于互联网中最常见的流量之中。除了 HTTPS 以外,我们应该考虑什么样的出国流量是常见的。SSH?Remote Desktop?微信视频?Email(雾)?电波通信(大雾)?
而不是使用一个极其小众的加密和协议。
引用

国密的含金量, hhh

GFW好歹也是国家产物