如何评价 Xray 的主要开发者发布的检测 TLS in TLS(trojan) 的小工具?

2023-05-13 21:14:13 +08:00
 a632079

Xray 的主要开发者 RPRX 发布了一个简单检测 TLS in TLS 的工具,它可以精准地检测出 Trojan 代理。

以下为仓库 README:

这个 POC 是为了 狠 狠 打 脸 某些认为 TLS in TLS 检测不存在或成本很高的人。

该程序在 127.0.0.1:12345 接收 TLS 流量,并用 非 常 廉 价 的方式检测出其中的 Trojan 代理。

  1. 设置浏览器的 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。
  2. 设置 Trojan 链式 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。

我们的测试结果如下:

  1. 对于浏览器的 HTTPS 流量,几乎没有阳性结果
  2. 对于 Trojan 的 TLS in TLS 流量,Trojan 字样直接刷屏

这与我们多次收到的 Trojan 被封、XTLS Vision 存活的反馈相符(它们均可选 Golang 指纹)。

值得一提的是,根据我们的观察,目前 REALITY 的“白名单域名”会被豁免于这样的检测。

Repo: https://github.com/XTLS/Trojan-killer

15410 次点击
所在节点    宽带症候群
74 条回复
yaoxuming
2023-05-13 21:24:32 +08:00
说的好,但我选择 ipv6 ,ss 都没人管
liulongquan
2023-05-13 21:29:23 +08:00
@yaoxuming
电信联通 IPV6 线路很糟糕的啦,这两家网络情况决定了 gfw 整体策略,移动 IPV6 是一个 bug 。
真的爽的 IPV6 还要看教育网
yaott2020
2023-05-13 21:41:12 +08:00
xray tg 群组还有更加劲爆的内鬼消息
yaoxuming
2023-05-13 21:44:13 +08:00
@liulongquan 电信可以用 cf 的优选 ipv6 ,除了晚高峰都有保障。教育网走香港 hkix 拉港台新澳飞快,欧美不太行
bunnyblueair
2023-05-13 21:51:55 +08:00
@yaott2020 来个
mohumohu
2023-05-13 21:57:28 +08:00
无所谓了,现在还有多少直连的机场?
BigShot404
2023-05-13 22:13:45 +08:00
这是拆台还是反拆台?
cnbatch
2023-05-13 22:42:05 +08:00
既然这样,我选择用 UDP
deorth
2023-05-13 22:45:09 +08:00
rprx 这样子又不是第一天了。我建议加大力度,加速双方技术竞争
MeMoDiv
2023-05-13 22:45:49 +08:00
这个脚本主要检测上传和下载的数据包大小特征来判断目标主机是否可能被感染恶意软件。
具体的特征条件是:
上传数据包大小在 650 到 750 字节之间;
同时,下载数据包大小符合以下两个条件之一:
1. 在 170 到 180 字节之间;
2. 在 3000 到 7500 字节之间;
wdlth
2023-05-13 22:59:55 +08:00
应该是通过 TLS 1.3 的 Change Cipher Spec 进行检测吧
K8dcnPEZ6V8b8Z6
2023-05-13 23:28:09 +08:00
@yaott2020 人在群组,错过了什么?无内鬼来点消息
yaott2020
2023-05-13 23:51:02 +08:00
@K8dcnPEZ6V8b8Z6 风向旗评论区有,自己看
leewi9coder
2023-05-14 00:03:56 +08:00
搞事情搞事情
benedict00
2023-05-14 00:06:44 +08:00
估计还有人还在 simple-obfs 呢吧
billlee
2023-05-14 00:07:57 +08:00
@MeMoDiv 3000 到 7500 是什么回事,现在公网都支持这么大的 MTU 了吗
leewi9coder
2023-05-14 00:10:04 +08:00
请直接告诉我哪个协议和配置最安全
MZSAN
2023-05-14 01:22:56 +08:00
这个程序写得很简单,只是简单检测一下大小 套个 grpc 可暂时缓解,但特征依旧存在。
实际上,Trojan tls in tls 的 client hello 特征非常明显。而理论上所有 TLS in TLS 都可以监测,并且由于 TLS IN TLS 的特征几乎只会在代理中出现,误杀有但较少,所以不排除特殊时期 GFW 会采用这种相对激进的监测手法。
MZSAN
2023-05-14 02:16:16 +08:00
另外也别觉得 Reallity 就能解决问题,目前已经可直接通过 DNS 来检查访问 IP 是否属于所声称的域名。偷域名的方案 reallity/shadowtls/restls 一概通杀。。
https://github.com/3andne/restls/issues/8
C47CH
2023-05-14 02:20:33 +08:00
GFW 去年就完成升级了,好像还有一篇文章专门测试 GFW 的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/939785

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX