关于reality协议实现科学上网
2023-5-21
| 2023-6-5
0  |  阅读时长 0 分钟
type
status
date
slug
summary
tags
category
icon
password
Property
Jun 5, 2023 03:17 AM

前言

在2022年10月4日时,大批量的科学上网的机器被封禁了443端口,并且基本上没有影响到任何正常用户的建站等,也就是说,我们用于科学上网的协议出现了问题,经过查证,最终推测出,是科学上网的TLS in TLS特征出卖了我们。

什么是TLS in TLS特征

最开始,我们只有http协议,这种协议是不安全的,为了安全性,我们引入了http+tls构成了https协议,在我们访问一个正常的https网站的的时候,我们的数据在互联网传输的时候,是由网站的证书公钥进行加密的(涉及公钥私钥,不做详细解释,原理可以自行bing)。这时的数据已经经过了tls加密。
notion image
然而我们需要经过我们的vps中转流量,那么情况就会变成下面这样:
notion image
从图中,我们可以看出,在我们通过魔法访问网站时,经过GFW的流量是经过两次tls加密的,这就是我们所说的TLS in TLS。

TLS in TLS十分危险

在github有一个项目,可以用很简单的办法识别TLS in TLS特征!
项目名称是 Trojan-Killer
下面是Trojan-Killer的描述:
这个 POC 是为了 狠 狠 打 脸 某些认为 TLS in TLS 检测不存在或成本很高的人。
该程序在 127.0.0.1:12345 接收 TLS 流量,并用 非 常 廉 价 的方式检测出其中的 Trojan 代理。
  1. 设置浏览器的 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。
  1. 设置 Trojan 链式 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。
我们的测试结果如下:
  1. 对于浏览器的 HTTPS 流量,几乎没有阳性结果
  1. 对于 Trojan 的 TLS in TLS 流量,Trojan 字样直接刷屏
这与我们多次收到的 Trojan 被封、XTLS Vision 存活的反馈相符(它们均可选 Golang 指纹)。
值得一提的是,根据我们的观察,目前 REALITY 的“白名单域名”会被豁免于这样的检测。
借用一下issue里面的测试结果给大家看看:
notion image
notion image
所以说,之前的基于tls加密的方式,已经不再安全,还请大家尽快更换其他协议!

reality协议的优点

用 REALITY 取代 TLS,可消除服务端 TLS 指纹特征,仍有前向保密性等,且证书链攻击无效,安全性超越常规 TLS
可以指向别人的网站,无需自己买域名、配置 TLS 服务端,更方便,实现向中间人呈现指定 SNI 的全程真实 TLS
通常代理用途,目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用(主域名可能被用于跳转到 www)
加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling
配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)
REALITY 也可以搭配 XTLS 以外的代理协议使用,但不建议这样做,因为它们存在明显且已被针对的 TLS in TLS 特征
REALITY 的下一个主要目标是“预先构建模式”,即提前采集目标网站特征,XTLS 的下一个主要目标是 0-RTT
 

reality协议节点搭建

请注意!xray在1.8版本后才支持reality协议,如果您使用的v2rayN,那么请启用 检查Pre-Release更新(请谨慎启用)
notion image
开启后,请更新xray核心为最新版本!
notion image
安装命令我们使用mack-a大佬写的脚本实现
 
本次的vps还是我之前给大家推荐过的那个机器,最进我惊奇的发现,这些机器的ip竟然可以直接访问chatGPT,这对于我来说可是非常方便了,毕竟这个服务器一个月才不到1刀的价格,比那些支持chatGPT的机场的价格便宜太多了。
详情可以参见我之前的文章 : 超低价VPS推荐低至5r/月!
notion image
通过脚本测试也能得出,这个ip是解锁OpenAI的!

安装bbr加速

notion image
直接输入19,安装一下bbr
这里不做过多展示,安装适合你的bbr后,配置好bbr,然后重启服务器
notion image
 
我选择安装时bbrplus,到这里你需要确保自己有内核,否则重启后机器就只能重置了。
到这里的时候,输入n,我们把bbr相关的配置全部配置完,之后再重启。
重启完成后,我们重新进入19里面看看bbr是否开启成功。
notion image
可以看到,我的bbrplus开启成功了。

搭建reality节点

此时退回主脚本,输入5,开始搭建节点。
由于搭建过程基本上不需要任何别的操作,所以就不做展示,但是到输入回落域名的时候,可以自行选择一个你那可以访问的域名,并且输入的域名最低标准为:国外网站支持 TLSv1.3H2。
notion image
你可以从下面的域名进行选择:
详情请参考
过程展示如下:
然后将通用格式的链接复制到v2rayN中,尝试链接。

测试

notion image
notion image
延时表现也还可以,直接ping延时在160左右。
速度表现很不错,油管5w-6w,而且是晚高峰附近,白天表现应该更好,至少4k视频没什么压力,白天应该能看8k。
notion image
下面是白天的测试结果,轻轻松松8k。
notion image
因为他们的机器很便宜,所以网络路线都不是很好的路线,这个表现已经很不错了。
notion image

结语

总的来说,表现非常不错,reality协议的节点我也使用了一周左右,没有被封禁,建议大家试试,如果你的机器也经常被封端口,那么不妨尝试一下这个新的协议!如果你有什么部署方面的问题,欢迎留言讨论,也欢迎加入我的tg闲聊站讨论!
  • VPS
  • 魔法
  • 云服务器
  • 常用VPS测试脚本收集VISIO安装激活保姆级教程
    Loading...