• 希望你能勇敢追求自由,去成为海贼王。

2021年8月29日星期日

flyover

    说下,我只是从路边捡到的一个U盘里面看到的,然后觉得有点意思,就写到这里。

    flyover也是说个人对于相关工具的探索暂时告一段乱。

1. 工具和机制

    用过的工具:

  1. VPN, 包括赛风,自由门,蓝灯,无界等。
  2. openvpn,vpngate。
  3. tor,I2P。
  4. ss,ssr等。
  5. v2ray,trojan。
    某博客博主之前也科普过,各种的工具,不同的方案的基本原理。
    本质上来讲,就是代理两个字,本来要访问a,把请求发给b,由b代为访问a,然后把回应发给你。实际略有不同:
  •     vpn是跟服务器进行协商,完成以后,需要建虚拟的网卡,然后分配IP地址,本机再创建不同的路由表,比如在windows上面,route print就可以看到vpn所创建的新的路由标签。
  •     代理软件,就是通过sock代理或者http代理,将流量发给代理的端口,然后该端口后面的程序进行处理,这个程序就是本地安卓的客户端,然后客户端通过其他协议将流量发到服务端进行处理等。
    从攻防来说,就是你要隐藏自己的特征,然后对手去看你的特征,然后进行针对性的中断或者和降速,或者DNS污染等,总之让你用不了,或者用得半死不活。
    VPN的应用,因为需要先要客户端和服务端协商,然后协商完成以后才能开始启动路由代理,这个协商过程的流量特征太明显,已经基本都挂了。
    tor是洋葱路由,匿名化,然后还可以访问暗网,但是因为入口节点有限,直接把IP全封掉就game over。I2P和tor类似,但是I2P实在太慢,基本无法正常使用。
    自由门,蓝灯,无界等,没有怎么研究,都是不开源的程序,用起来有风险。比如老王VPN,基本已经确定后面是被监控和审查的。
    ss的作者已经被叫去喝茶,后将github上面的代码都删了,后有SSR和SSRR.
    v2ray的作者消失,然后就产生了v2fly和xray两个分支,以及相同理念产生的trojan。

2. vless和trojan协议,以及回落分流

    现在是2021年,这场攻防战也打了十几年了,或者不止。2021年的网络环境,https已经基本比较普及了,https也就是http over tls,加密方案是tls。大隐隐于市,如果代理的方案本身从客户端发到服务端的协议本身就是https的,而且如果其他人去直接访问这个服务器的域名,能得到正常的网站应答,打开发现就是个网站,那是不是完美的隐身?

    基于v2fly的v2ray,是一个代理方案,客户端和服务端配置一样,都是配置json文件,支持的协议广泛,最初是内置的vmess,但是看了下基础协议应该也是已经被攻破了,需要配置AEAD加密,而且时间同步要求严格。所以选择了vless协议,当然也可以用trojan协议,可配合传输流的TLS,实现完美的TLS加密传输,同时支持回落分流。

    这里涉及的技术:

  • TLS加密。
  • 回落分流
    TLS的加密,需要进行域名的申请或者购买,DNS的分配,以及HTTPS证书的申请,都有免费的方案,可以用certbot,也可用letsencrypt,甚至直接用cloudflare分配。
    回落分流部分,可以用nginx来进行分流,基于path,判断协议,进行proxy_pass将代理的流量转发给v2ray来处理。
    也可以用vless或者trojan自己的配置进行分流回落。回落的原理是进行判断,如果uuid可以认为是密码认证不通过,协议对不上等,就默认回落给web服务器进行处理,同时可以配置多个回落规则,根据path回落给不同的协议进行处理。
    官方测试是vless自己的回落分流比nginx代理性能要强。

3.WS+CDN。

    这里说下WS配合CDN的目的。客户端要跟服务端建立连接,如果CDN进行了代理的话,DNS解析出来域名是CDN的IP地址,这样客户端相当于直接向CDN的IP建立链接,然后CDN再跟实际的服务端建立链接,保护了服务端的真实IP地址。

    使用WS传输协议的目的,是方便的通过CDN,其他方案应该是无法通过。特别是性能强悍的XTLS。

    VLESS+XTLS号称终极解决方案,但是无法被CDN解密,也就无法通过CDN。

    XTLS的目的是效率,CDN的目的是隐形,当然目标也是不一样的。

4.依然浆糊

    依然没弄太明白的东西还是有的。

  • 安卓上面现在的代理软件也是用得VPN模式,这个VPN模式其实并不是VPN,因为没有虚拟网卡之类的,那么这个VPN的原理是啥?
  • cloudflare只能让ws方式通过,是因为cloudflare需要把协议完全解密,然后发现是ws才给代理,其他方式就不给代理吗?那么cloudflare还可以代理啥协议?
  • 说vmess如果进行DNS处理,是udp over tcp,vmess代理udp的难度和问题是什么?
  • nginx的SNI分流的使用?updateam的配置?
  • vless+tls然后回落到ws+tls,如何通过cloudflare,流向是啥样的?
  • vless回落分流的alpn,都是http的协议版本?是基于http的版本分流吗?
  • vless的首包长度分流是啥?

发帖者 时间:

没有评论:

发表评论

订阅: 博文评论 (Atom)