V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jsjcjsjc
V2EX  ›  宽带症候群

目前兼具主动探测+指纹的是不是只有 naiveproxy?

  •  
  •   jsjcjsjc · 2022-12-09 22:52:39 +08:00 · 8160 次点击
    这是一个创建于 720 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近有时间统计了一下战况,就一台小鸡活着~~娘希匹哈 或者有其他方案?

    感谢

    30 条回复    2022-12-12 10:25:20 +08:00
    lin559671
        1
    lin559671  
       2022-12-09 23:25:17 +08:00 via Android   ❤️ 1
    稳定爬墙还是 udp ,不是千人骑的🐔,udp 存活率超高
    haikouwang
        2
    haikouwang  
       2022-12-10 00:36:22 +08:00
    udp 主要是容易 qos 非常容易 很多地区运营商都会对晚高峰 udp 做限制 部分地区移动直接 ban udp
    haikouwang
        3
    haikouwang  
       2022-12-10 00:43:13 +08:00   ❤️ 1
    顺便给自用鸡场打个广* aHR0cHM6Ly9nby5odXl1bi5pY3UvIy9yZWdpc3Rlcj9jb2RlPXlsTGU3WUtC
    fisherwei
        4
    fisherwei  
       2022-12-10 00:50:52 +08:00   ❤️ 3
    我用的 naiveproxy+国内中转,vps 上用 iptables 做了白名单,只允许国内中转机 ip 访问。

    最后那行 DROP 规则能看到很多访问请求,不知道是不是在 GFW 探测。
    zuosiruan
        5
    zuosiruan  
       2022-12-10 01:22:55 +08:00 via iPhone   ❤️ 1
    @fisherwei 电脑和手机用的啥客户端啊
    FranzKafka95
        6
    FranzKafka95  
       2022-12-10 01:26:31 +08:00 via Android   ❤️ 1
    放主动探测基本都有了好吧,无论是 Nginx 前置还是 Nginx 后置都可以,至于指纹嘛,uTls 了解一下。除了这些,你可能还需要解决 tls in tls 以及坊间的 AES 指纹。
    baobao1270
        7
    baobao1270  
       2022-12-10 01:33:22 +08:00   ❤️ 1
    看到有人说 gRPC+TLS 指纹伪装就行,不知道是不是真的
    wangyu17455
        8
    wangyu17455  
       2022-12-10 02:28:15 +08:00   ❤️ 1
    还得是 ipv6+udp ,一天跑两三百 g 都无事发生
    jasonselin
        9
    jasonselin  
       2022-12-10 03:25:39 +08:00   ❤️ 1
    @FranzKafka95 活捉大佬哈哈哈哈哈
    erfesq
        10
    erfesq  
       2022-12-10 06:59:56 +08:00 via Android   ❤️ 1
    ipv6 加 udp 确实可以
    datocp
        11
    datocp  
       2022-12-10 08:18:00 +08:00   ❤️ 1
    看看 stunnel 怎么做的,目前用的 verify = 2 。不怕中间人。

    https://www.stunnel.org/howto.html#authentication

    How does stunnel check certificates?
    Stunnel has 3 methods for checking certificates, which are controlled by the verify option:

    Do not Verify Certificates
    If no `verify` argument is given, then stunnel will ignore any certificates offered and will allow all connections.
    verify = 1
    Verify the certificate, if present. * If no certificate is presented by the remote end, accept the connection. * If a certificate is presented, then * If the certificate valid, it will log which certificate is being used, and continue the connection. * If the certificate is invalid, it will drop the connection.
    verify = 2
    Require and verify certificates Stunnel will require and verify certificates for every SSL connection. If no certificate or an invalid certificate is presented, then it will drop the connection.
    verify = 3
    Require and verify certificates against locally installed certificates.
    jsjcjsjc
        12
    jsjcjsjc  
    OP
       2022-12-10 11:40:36 +08:00
    @FranzKafka95 解决是没这个水平了哈~~
    想问一下大佬有现成的解决方案吗?我只会部署.....
    hronro
        13
    hronro  
       2022-12-10 12:11:53 +08:00
    udp 省着点用吧,用多了之后,也会被打的
    zxsa
        14
    zxsa  
       2022-12-10 12:20:27 +08:00   ❤️ 1
    xtls-rprx-vision 流控,需要用最新版 xray-core ,还没正式发布
    https://github.com/XTLS/Xray-core/releases
    https://github.com/XTLS/Xray-examples/blob/main/VLESS-TCP-XTLS-Vision/
    liulongquan
        15
    liulongquan  
       2022-12-10 12:58:51 +08:00
    @wangyu17455 IPV6 裸奔明文都没人管
    SOCKS5 移动直接不加密裸奔好久了,屁事都没有
    IPV6 目前还是几乎自由的
    mikeven
        16
    mikeven  
       2022-12-10 12:59:32 +08:00 via iPhone
    @fisherwei 这些 drop 的 ip 能不能做个 list 发一下?
    jsjcjsjc
        17
    jsjcjsjc  
    OP
       2022-12-10 13:06:46 +08:00
    @zxsa 感谢,客户端有支持的吗
    FranzKafka95
        18
    FranzKafka95  
       2022-12-10 14:14:27 +08:00 via Android
    @jasonselin 好熟悉的 ID,大佬你好😝
    FranzKafka95
        19
    FranzKafka95  
       2022-12-10 14:19:15 +08:00 via Android
    @jsjcjsjc 有以下方案可以尝试一下:1.udp 类的比如 Hysteria 与 tuic 等,如果本地运营商没有 Qos 还是不错的。2.传统的 tls 加密类试试在客户端开启 utls 3.服务侧 IP 白名单 4.可以试试*ray 的 xtls-rprx-vision 流控,同事客户端开启 utls. 5.避免 arm 设备让使用,如手机,路由器等
    majula
        20
    majula  
       2022-12-10 14:39:07 +08:00
    @FranzKafka95 #6

    大佬能否解释一下,所谓的“AES 指纹”指的是什么?

    我在一些地方看到过这个说法,大概说是通过机器学习的手段,能够根据密文检测出不同的 AES 实现,甚至能具体到 CPU 型号或是库版本

    但是没有看到过相关的原理解释。按理说不同的 AES 实现,对于相同的输入和参数,最终输出都是相同的(实现正确的前提下),不同的只有效率。所以很难想象如何从中提取出特征为 GFW 所用
    zxsa
        21
    zxsa  
       2022-12-10 14:41:39 +08:00
    @jsjcjsjc #17 qv2ray ,v2rayN ,v2rayNG
    heiher
        22
    heiher  
       2022-12-10 14:50:15 +08:00
    ipv6 明文也自由?随便找个境内能访问的境外有 http 服务的 ipv6 地址,试试发送 Host 为 www.google.com 的 http 请求?难道不会 reset 吗?

    curl -6 -i -H "Host: www.google.com" www.cloudflare.com
    hqt1021
        23
    hqt1021  
       2022-12-10 15:59:59 +08:00
    @heiher 嗨嗨嗨
    MacBook-Pro ~ % curl -6 -i -H "Host: www.google.com" www.cloudflare.com

    HTTP/1.1 409 Conflict
    Date: Sat, 10 Dec 2022 07:58:55 GMT
    Content-Type: text/plain; charset=UTF-8
    Content-Length: 16
    Connection: close
    X-Frame-Options: SAMEORIGIN
    Referrer-Policy: same-origin
    Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
    Expires: Thu, 01 Jan 1970 00:00:01 GMT
    Server: cloudflare
    CF-RAY: 7774702f1e7c0cdf-LAX
    heiher
        24
    heiher  
       2022-12-10 17:33:40 +08:00
    @hqt1021 没有过透明代理吧?:P 看来墙的位置确实后移了,我这移动宽带如果加 google.com 的 Host 则 100% Reset 。
    DogBear
        25
    DogBear  
       2022-12-10 19:36:53 +08:00
    @heiher 联通也不行 user@homelab:~# curl -6 -i -H "Host: www.google.com" www.cloudflare.com
    curl: (56) Recv failure: Connection reset by peer
    molezznet
        26
    molezznet  
       2022-12-10 19:48:22 +08:00
    @FranzKafka95 udp 主要暂时没 cdn ,cf 不能用…… v6 的欧洲机不用 cdn 几乎没速度家里宽带
    molezznet
        27
    molezznet  
       2022-12-10 19:49:48 +08:00
    移动顺便推荐一个 v6cf 优 IP ,ping 35ms
    正在测速 2606:4700:a0::
    % Total % Received % Xferd Average Speed Time Time Time Current
    Dload Upload Total Spent Left Speed
    20 818M 20 168M 0 0 27.8M 0 0:00:29 0:00:06 0:00:23 28.5M
    jasonselin
        28
    jasonselin  
       2022-12-10 20:51:58 +08:00
    @FranzKafka95 我是咱群的 jason lin 啦~
    hqt1021
        29
    hqt1021  
       2022-12-12 06:19:04 +08:00 via Android
    @heiher 奇了怪了
    MacBook100%复现
    其他的设备就不行
    heiher
        30
    heiher  
       2022-12-12 10:25:20 +08:00 via Android
    @hqt1021 如果确认没有透明代理的话,有一种可能是因为 GFW 并没有在 tcp 流重组后做内容搜索,而是独立检查每个分片,macos 由于某种原因使得 host 落在两个分片中,从而匹配不上。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3258 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:47 · PVG 18:47 · LAX 02:47 · JFK 05:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.