如何评价 Xray 的主要开发者发布的检测 TLS in TLS(trojan) 的小工具?

2023-05-13 21:14:13 +08:00
 a632079

Xray 的主要开发者 RPRX 发布了一个简单检测 TLS in TLS 的工具,它可以精准地检测出 Trojan 代理。

以下为仓库 README:

这个 POC 是为了 狠 狠 打 脸 某些认为 TLS in TLS 检测不存在或成本很高的人。

该程序在 127.0.0.1:12345 接收 TLS 流量,并用 非 常 廉 价 的方式检测出其中的 Trojan 代理。

  1. 设置浏览器的 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。
  2. 设置 Trojan 链式 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。

我们的测试结果如下:

  1. 对于浏览器的 HTTPS 流量,几乎没有阳性结果
  2. 对于 Trojan 的 TLS in TLS 流量,Trojan 字样直接刷屏

这与我们多次收到的 Trojan 被封、XTLS Vision 存活的反馈相符(它们均可选 Golang 指纹)。

值得一提的是,根据我们的观察,目前 REALITY 的“白名单域名”会被豁免于这样的检测。

Repo: https://github.com/XTLS/Trojan-killer

15167 次点击
所在节点    宽带症候群
74 条回复
JingKeWu
2023-05-14 16:25:07 +08:00
难怪前几天服务器 ip 被封了
Remember
2023-05-14 16:27:09 +08:00
@SekiBetu 根本不知道前因后果就不要来抬杠了。
awinds
2023-05-14 18:33:00 +08:00
就目前这么多协议来说,哪个最安全?
BFDZ
2023-05-14 18:51:34 +08:00
tls 从去年大规模封锁开始就表现出不稳定了,肯定是被识别了
Danlianbiao
2023-05-14 19:33:18 +08:00
@XIU2 v6 的透明代理不好弄啊
zushi000
2023-05-14 20:15:26 +08:00
很多不懂技术的过分吹捧某种技术,虽然我也不懂技术.但是这个事情以前发生过.以前 ss 被爆出遭特征检测时,很多人也不承认,过分神话某个技术.没想到现在又发生这种事情了
azure2023us559
2023-05-14 21:36:40 +08:00
@yaoxuming v6 wireguard 一直很稳
azure2023us559
2023-05-14 21:41:06 +08:00
ss (no encryption ) over tls 路过,
SekiBetu
2023-05-14 22:28:11 +08:00
@Remember 想要剥夺别人的代码的所有权在你看来确实是喝水一样自然合理,这,就是 Debian ,你赢了
Remember
2023-05-14 22:42:08 +08:00
@SekiBetu 你这种纯傻逼,不要回我帖子了,谢谢你。
cy18
2023-05-15 01:47:44 +08:00
@awinds #43 有几个号称无特征的,但是估计也就是用的人少,人多了一样不行...
datocp
2023-05-15 06:45:12 +08:00
吃瓜群众路过。上次哪位朋友也告诉我 stunnel 也有像某某的特征。我还以为 tls 是普通人的特征,大家都有的特征就不叫特征?

问题是为什么这些旁门左道软件容易被封?用户基数大? stunnel 不也一样的特征?

stunnel 在连接前验证客户端身份,我觉得还是有用的。不验证有时候可能是中间人?发现连接会被插包出现错误。

tls1.2-1.3 满大街都是。。。
0o0O0o0O0o
2023-05-15 08:16:50 +08:00
@datocp #52

> 我还以为 tls 是普通人的特征

譬如 tls fingerprint

> 问题是为什么这些旁门左道软件容易被封?用户基数大? stunnel 不也一样的特征?

单单三个主要的 V2Ray-core 项目加起来 80k star ,还有各类周边生态,还有别的协议,issue pr 不计其数,你定义为旁门左道的标准是什么?

我不想与你争论 stunnel 和它们谁更好用,但请你意识到一点:GFW 是个黑盒,对抗它的人没有人真的知道它具体是怎么运作的,中国很大,网络环境很复杂,网络需求也不同,所以“个体差异”也很夸张,有些人用远古协议裸奔一样说没被墙,但前沿探索是要照顾“短板”的,也就是更容易被墙的人的。目前的它们的种种奇思妙想是灵丹妙药吗?不是,但面对不断升级的 GFW ,停止对抗的探索你觉得是正确的态度吗?

( V2Ray:A unified platform for anti-censorship.)

> stunnel 在连接前验证客户端身份

这些年,TLS 乃至于 QUIC 都被你定义的旁门左道圈子玩出花来了,你说的都是很基础的操作。
Masoud2023
2023-05-15 11:32:06 +08:00
RPRX 前阵子不是说失踪了么,vless 都不维护了?
Xiaosteven
2023-05-15 11:37:16 +08:00
@0o0O0o0O0o 我一直觉得 GFW 上千企业很难没有内鬼的,而且也不排除挟“盗”自重的可能。只需要在敏感时期调高审核力度就可以对上面交差了
ungrown
2023-05-15 13:31:21 +08:00
@cy18 #51 哪来的无特征这种说法,境外节点,无名小站,莫名其妙的主页,多到吓人的加密流量,这 4 大特征去不掉,却因掩盖了包长度之类的小特征而沾沾自喜,脑子有坑。
LnTrx
2023-05-15 17:19:54 +08:00
@ungrown 其实这几个还算正常
境外节点:国外 APP 很正常
无名小站:很多知名服务背后提供服务的域名也很怪
莫名其妙的主页:提供服务的域名没有主页都很正常
多到吓人的加密流量:毕竟 https 等已经很普及了

如果真按这个标准作为特征,误杀率想必居高不下
FrankAdler
2023-05-15 18:15:15 +08:00
希望类似的工具再多点,被识别就淘汰很正常,我流量一个月才 50G ,都被阻断 443 了,目标暂时用机场代替了。

PS: 推广 stunnel 的那个真是勤快啊,要不是有人回复了他,我都不知道他也回这个帖子了
SekiBetu
2023-05-15 20:31:35 +08:00
@Remember 逼着作者改成 MIT 协议,不改就骂人,这就是 V2EX 的风气,纯度大大降低了捏
SekiBetu
2023-05-15 20:36:44 +08:00
@Remember 你可以不用别人的代码,但是你不能逼着作者去修改开源协议,我觉得这是作为一个人最基本的道德,不过,你例外,你的思维就是和某 G 一样,"奉献自己才是对的,你都把代码公开了,为什么不修改协议为 MIT 呢?你是不是有私心?这样是不行的,我们 Debian 用户没有方便快捷的 v2ray 包可以用了,不能一键 apt install 了,你要被批判,要大字报批判你!这是对开源的不尊重!只有 MIT 协议才是我们 Debian 用户最纯正的信仰!"

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/939785

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX