目前兼具主动探测+指纹的是不是只有 naiveproxy?

小鸡

naiveproxy

娘希匹哈

战况

30 条回复 • 2022-12-12 10:25:20 +08:00

1

lin559671

2022-12-09 23:25:17 +08:00 via Android

1

稳定爬墙还是 udp ，不是千人骑的🐔，udp 存活率超高

2

haikouwang

2022-12-10 00:36:22 +08:00

udp 主要是容易 qos 非常容易很多地区运营商都会对晚高峰 udp 做限制部分地区移动直接 ban udp

3

haikouwang

2022-12-10 00:43:13 +08:00

1

顺便给自用鸡场打个广* aHR0cHM6Ly9nby5odXl1bi5pY3UvIy9yZWdpc3Rlcj9jb2RlPXlsTGU3WUtC

4

fisherwei

2022-12-10 00:50:52 +08:00

3

我用的 naiveproxy+国内中转，vps 上用 iptables 做了白名单，只允许国内中转机 ip 访问。

最后那行 DROP 规则能看到很多访问请求，不知道是不是在 GFW 探测。

5

zuosiruan

2022-12-10 01:22:55 +08:00 via iPhone

1

@fisherwei 电脑和手机用的啥客户端啊

6

FranzKafka95

2022-12-10 01:26:31 +08:00 via Android

1

放主动探测基本都有了好吧，无论是 Nginx 前置还是 Nginx 后置都可以，至于指纹嘛，uTls 了解一下。除了这些，你可能还需要解决 tls in tls 以及坊间的 AES 指纹。

7

baobao1270

2022-12-10 01:33:22 +08:00

1

看到有人说 gRPC+TLS 指纹伪装就行，不知道是不是真的

8

wangyu17455

2022-12-10 02:28:15 +08:00

1

还得是 ipv6+udp ，一天跑两三百 g 都无事发生

9

jasonselin

2022-12-10 03:25:39 +08:00

1

@FranzKafka95 活捉大佬哈哈哈哈哈

10

erfesq

2022-12-10 06:59:56 +08:00 via Android

1

ipv6 加 udp 确实可以

11

datocp

2022-12-10 08:18:00 +08:00

1

看看 stunnel 怎么做的，目前用的 verify = 2 。不怕中间人。

https://www.stunnel.org/howto.html#authentication

How does stunnel check certificates?
Stunnel has 3 methods for checking certificates, which are controlled by the verify option:

Do not Verify Certificates
If no `verify` argument is given, then stunnel will ignore any certificates offered and will allow all connections.
verify = 1
Verify the certificate, if present. * If no certificate is presented by the remote end, accept the connection. * If a certificate is presented, then * If the certificate valid, it will log which certificate is being used, and continue the connection. * If the certificate is invalid, it will drop the connection.
verify = 2
Require and verify certificates Stunnel will require and verify certificates for every SSL connection. If no certificate or an invalid certificate is presented, then it will drop the connection.
verify = 3
Require and verify certificates against locally installed certificates.

12

jsjcjsjc

OP

2022-12-10 11:40:36 +08:00

@FranzKafka95 解决是没这个水平了哈~~
想问一下大佬有现成的解决方案吗?我只会部署.....

13

hronro

2022-12-10 12:11:53 +08:00

udp 省着点用吧，用多了之后，也会被打的

14

zxsa

2022-12-10 12:20:27 +08:00

1

xtls-rprx-vision 流控，需要用最新版 xray-core ，还没正式发布
https://github.com/XTLS/Xray-core/releases
https://github.com/XTLS/Xray-examples/blob/main/VLESS-TCP-XTLS-Vision/

15

liulongquan

2022-12-10 12:58:51 +08:00

@wangyu17455 IPV6 裸奔明文都没人管
SOCKS5 移动直接不加密裸奔好久了，屁事都没有
IPV6 目前还是几乎自由的

16

mikeven

2022-12-10 12:59:32 +08:00 via iPhone

@fisherwei 这些 drop 的 ip 能不能做个 list 发一下？

17

jsjcjsjc

OP

2022-12-10 13:06:46 +08:00

@zxsa 感谢,客户端有支持的吗

18

FranzKafka95

2022-12-10 14:14:27 +08:00 via Android

@jasonselin 好熟悉的 ID,大佬你好😝

19

FranzKafka95

2022-12-10 14:19:15 +08:00 via Android

@jsjcjsjc 有以下方案可以尝试一下:1.udp 类的比如 Hysteria 与 tuic 等，如果本地运营商没有 Qos 还是不错的。2.传统的 tls 加密类试试在客户端开启 utls 3.服务侧 IP 白名单 4.可以试试*ray 的 xtls-rprx-vision 流控，同事客户端开启 utls. 5.避免 arm 设备让使用，如手机，路由器等

20

majula

2022-12-10 14:39:07 +08:00

@FranzKafka95 #6

大佬能否解释一下，所谓的“AES 指纹”指的是什么？

我在一些地方看到过这个说法，大概说是通过机器学习的手段，能够根据密文检测出不同的 AES 实现，甚至能具体到 CPU 型号或是库版本

但是没有看到过相关的原理解释。按理说不同的 AES 实现，对于相同的输入和参数，最终输出都是相同的（实现正确的前提下），不同的只有效率。所以很难想象如何从中提取出特征为 GFW 所用

21

zxsa

2022-12-10 14:41:39 +08:00

@jsjcjsjc #17 qv2ray ，v2rayN ，v2rayNG

22

heiher

2022-12-10 14:50:15 +08:00

ipv6 明文也自由？随便找个境内能访问的境外有 http 服务的 ipv6 地址，试试发送 Host 为 www.google.com 的 http 请求？难道不会 reset 吗？

curl -6 -i -H "Host: www.google.com" www.cloudflare.com

23

hqt1021

2022-12-10 15:59:59 +08:00

@heiher 嗨嗨嗨
MacBook-Pro ~ % curl -6 -i -H "Host: www.google.com" www.cloudflare.com

HTTP/1.1 409 Conflict
Date: Sat, 10 Dec 2022 07:58:55 GMT
Content-Type: text/plain; charset=UTF-8
Content-Length: 16
Connection: close
X-Frame-Options: SAMEORIGIN
Referrer-Policy: same-origin
Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Server: cloudflare
CF-RAY: 7774702f1e7c0cdf-LAX

24

heiher

2022-12-10 17:33:40 +08:00

@hqt1021 没有过透明代理吧？:P 看来墙的位置确实后移了，我这移动宽带如果加 google.com 的 Host 则 100% Reset 。

25

DogBear

2022-12-10 19:36:53 +08:00

@heiher 联通也不行 user@homelab:~# curl -6 -i -H "Host: www.google.com" www.cloudflare.com
curl: (56) Recv failure: Connection reset by peer

26

molezznet

2022-12-10 19:48:22 +08:00

@FranzKafka95 udp 主要暂时没 cdn ，cf 不能用…… v6 的欧洲机不用 cdn 几乎没速度家里宽带

27

molezznet

2022-12-10 19:49:48 +08:00

移动顺便推荐一个 v6cf 优 IP ，ping 35ms
正在测速 2606:4700:a0::
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
20 818M 20 168M 0 0 27.8M 0 0:00:29 0:00:06 0:00:23 28.5M

28

jasonselin

2022-12-10 20:51:58 +08:00

@FranzKafka95 我是咱群的 jason lin 啦~

29

hqt1021

2022-12-12 06:19:04 +08:00 via Android

@heiher 奇了怪了
MacBook100%复现
其他的设备就不行

30

heiher

2022-12-12 10:25:20 +08:00 via Android

@hqt1021 如果确认没有透明代理的话，有一种可能是因为 GFW 并没有在 tcp 流重组后做内容搜索，而是独立检查每个分片，macos 由于某种原因使得 host 落在两个分片中，从而匹配不上。