自行设计协议相关

2015-08-23 15:06:04 +08:00
 cnnblike

大家好,我是一个身居中国的爱国青年,明年应该就出去了。一想到到了美帝就要遭受到棱镜计划的窃听,一想到没法愉快的下载资源,我就深感不安,决定设计一个私有协议或者协议框架来应对可能遭受的窃听,阻断, tcp reset , dns poisoning 和 bit torrent honeypot 。
问题来了,从被广泛使用的已经倒下的第一代 goa 设计和连名字都不能提起的刚刚倒下的第二代设计中,有哪些是值得吸收的思想?
无状态连接?
libev 加快运行效率?
有没有必要设计得和 https 流量一样,然后配合端口复用让一部分包走加密一部分包访问网站上的内容,最后配合一个内容丰但富全站加密的博客,起到混淆 https 真实目的的作用?
我把这个协议放在哪层比较好呢?类似某个已经被封杀在握手阶段的威匹恩那样搞个虚拟网卡?还是建立在第几层?

5128 次点击
所在节点    问与答
42 条回复
breeswish
2015-08-23 15:15:44 +08:00
使用正确的加密算法的话可以应对窃听, NSA 除外…
pi1ot
2015-08-23 15:20:49 +08:00
只是混淆干扰的话,保持传播和使用范围的最小化就没事了。
cnnblike
2015-08-23 15:45:42 +08:00
@pi1ot 或者用一整个系列的可自行选择和定制化的部分用来搭建协议?

这样四五个公钥加密协议,几个不同层级的传输协议,配合少量胶水代码,就可以每个人自己弄一个框架出来了,比方说 rsa over udp , aes over socks ?比 ss 稍微有一点优势的方面就是人人都能维护一个完全自己定制的协议,每个协议都可以避免被封杀
pi1ot
2015-08-23 15:48:01 +08:00
@cnnblike 你要愿意的话直接拿 ss 代码改一下就是个新的私有协议,但是最大的成本在于有那么多系统和终端要去配合修改,我这里就在 osx , windows , android , ios 上同时使用着,都改一遍真就全栈了
cnnblike
2015-08-23 15:49:57 +08:00
@pi1ot 我再想想
ljbha007
2015-08-23 17:05:33 +08:00
ss 你定期换个密码就已经很难嗅探了 其他没必要搞了
49
2015-08-23 17:06:24 +08:00
不要惊慌…有这么多成熟的方案的嘛
obfsproxy+ss 之类的不是神搭配嘛,弥补了 SS 无特征于现阶段之不足
xmoon
2015-08-23 17:17:15 +08:00
可怜 shadowvpn
cnnblike
2015-08-23 17:47:13 +08:00
@49 我还是再去读读方校长的论文吧= =
aku
2015-08-23 17:47:34 +08:00
美帝国主义必将灭亡
最近频频展示军力,蠢蠢欲动
这是自掘坟墓

个人不觉得不可名之二代有什么问题
曾经怕的是,对单个 IP 的大流量切断
结果更狠

问一个问题,传闻二代已被破裂,有来源吗?
cnnblike
2015-08-23 18:41:18 +08:00
@aku 早晚。所以我现在的设想是在 443 端口上做复用,然后用正常浏览器访问就是正常的页面,代理程序去连接就是一个 https 代理。这样只要让自己挂的网页看上去无害,而且对墙内人很有用,那么基本就可以长期稳定使用了
dacapoday
2015-08-23 18:55:24 +08:00
@cnnblike 这个我在 openshift 上尝试过,前置 http 正常网站,访问某个 URL ,转到 OP 的 https 连接,该 URL 为 php 代理页面。
49
2015-08-23 19:07:29 +08:00
@cnnblike 关于你这个 443 端口复用, HTTPS Proxy 、 SSH 、 HTTP 集中在 443 的方案我在半年前弃坑-_-#
因为 Chrome 的一个 bug ,会导致 https proxy 在看 y2b 随机断流。不知道现在修复没有。
dacapoday
2015-08-23 19:29:32 +08:00
@49 同遇到 auto range 的问题,还有网盘下载 filesystem 断线无解
cnnblike
2015-08-23 19:35:54 +08:00
@49 现在应该已经修复了,试试 nghttpx squid http2 那一套
49
2015-08-23 20:24:07 +08:00
@cnnblike 我当初就是用的那一套,然后弃坑。通过定时平滑重启 nghttpx 可以大幅降低那种问题的出现概率。但是我还是弃坑了。线路是王道。
jimages
2015-08-23 22:11:10 +08:00
I have a question.四川电信,美帝之 2ptp 以及日本之 open 胃癖恩 都可以正常连接。没有看出来哪里被 ban 了...虽然速度慢。
cnnblike
2015-08-23 22:46:31 +08:00
@jimages 握手阶段特征检测,封杀速度很快,握手完你的 VPS 就进黑名单了。
你没有进 banlist 就偷着乐把= =我在新加坡 DO ,日本 Vultr 上都被封过
jimages
2015-08-23 23:01:54 +08:00
@cnnblike 日本有一个月了。美帝一年了。怎么感觉捡到宝贝了。
datocp
2015-08-23 23:11:54 +08:00
do,vultr 是特例吧,上次就有一帖讨论,跟搬瓦工这种廉价 vps 简直两重世界,年初的时候 l2tp 经常的几分钟一断,断断连连,却从来没遇到进黑名单的待遇,只有基于 ddns 的域名被污染的情况发生。

现在明明白白的用着 stunnel ,一个在地球上已经存在 15 年的软件,有 psk pki 认证方法适合证书加密在各种 ipv6 tunnel 穿越,以墙现在那种对单 ip 的 tcp reset 过程,对于多 ip 的服务器简直是弱爆了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/215338

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX