到底混淆（伪装）是特征，还是“没有特征”就是特征呢？

不是說了嗎 , 不管你怎麼搞 , 混淆還是不混淆 , 都能 100%識別 , 混淆更容易識別 , 特徵更明顯 , 不混淆也能識別 , 但是要在茫茫的合法和不合法流量裏挑出來很麻煩 , 也就是時間成本和性能開銷 , 非特殊時期部署後會不會影響正常合法流量和現有服務 , 一般特殊時期都是直接一刀切不管合法流量還是不合法 , 不止混淆是特徵 , 日流量 , 月流量 , 服務提供商等等都是特徵 , 真有必要物理斷網都行

混淆就是特征 没毛病

@geekvcn #1
先不考虑 100%识别的极端情况，因为不现实。
我觉得混淆之后的流量要识别是很麻烦的，因为要区分伪装的和真实的并不容易，从这个角度来说它的特征和已知合法协议一样，反而不那么明显了。
而没有特征的协议就不一样了，在特殊时期可以考虑随机阻断位置协议的流量，这个成本不要太低，所以没有特征本身就是一种特征呀。

我的观点：100%识别？没有特征是特征？混淆本身是特征？口嗨而已，讲讲细节讲的出来吗

@kljsandjb #2 能详细说说么

阿里云香港跟新加坡,无论你是正常做站的,还是拿来开飞机的,一律炸.
所以特征不特征的就只是看人家心情而已.

@yexm0 #6 阿里云可以直接在你的服务器上作行为监视，这个炸了不是很正常么。

@lcdtyph HTTPS , HTTP 的本身特徵都很明顯 , 但是偽裝後的流量和正常 HTTP , HTTPS 區別很大 , 比方說單 IP 訪問頻率 , 流量 , 沒有特徵意味著混在海量流量里 , 海量流量都是沒特徵的 , 而不是像伪装成微信视频通话的数据包 , HTTP , HTTPS 這些協議本身正常流量有很大特徵 , 不符合正常的特徵全部 ban 了

@lcdtyph 与监视无关,是连正常的做站也被干扰的.
@hundan 上一年带 R 的写了个检测不带 R 的流量的程序,然后不带 R 的那位反击写了个识别带 R 的流量的程序,这俩的程序识别出来的精确度还行.

@geekvcn #8
这个问题感觉是因为目前常用的混淆效果得不够好导致的…
你说的“海量流量”具体指什么呢，我理解的是这些在经过骨干节点的流量绝大多数都是 HTTP/HTTPS 吧。

反正我的机场只要是 tls 一律炸，不管是真 https 还是其他的东西

@lcdtyph 還有你一直說特殊時期 , 特殊時期一般是白名單制 , 混淆不混淆都沒用 , 就是我所說的一刀切 , 所以平時情況下混淆一定是更容易被識別

@lcdtyph TCP , UDP 流量那麼多 , http/https 只是 TCP 數據包中的一部分什麼時候占絕大多數了

@geekvcn #13 因为普通用户是绝大多数呀，能扩散出去的一般也就 HTTP(s)+DNS 了，顶多再有一些视频语音流量和 BT 什么的。

和正常的流量有任何一点不一样就是特征

@lcdtyph 就這麼和你說吧 , 全看當局臉色 , 嚴的時候白名單 , 或者物理斷網 , 不嚴的時候混在海量 TCP/UDP 流量里而不是 HTTP 這類只是 TCP 的一種更好 , 我就打個比方 , 一個國內的 IP 每天都對國外一個 IP 大流量 , 按照你說的一般人也就上上網而且是不同的網 , 那這個 IP 不是跳板是什麼? 而且這個 IP 還是搬瓦工這類大型企業不會用 , 一般人很多用來做跳板的 , 所以沒有混淆和不混淆 , 只有嚴不嚴

@yexm0 是这样的，如果说 100%识别能做到只是资源问题的话，反过来说也是一样的。这里并不是谈论现有的协议和检测手法，能被检测只能说明协议伪装不够完美。
流量的传递和识别，本质上一个是客户端和服务端的解析，然后中间人进行特征提取。
但理论上可以创造一种协议，比如伪装成 http，使得流量的内容在中间人看来可以完美的解析为 http，或者说流量可被浏览器解析为正常页面，而在两端被使用自有协议解析。
也就是说，理想情况下的流量和正常流量完全一致。
上面某人说的 100%识别只是资源问题，那我也可以说 100%伪装也是资源问题。
但是唯一的问题是开发难度极大。
当然如果你们加个前提条件:现有协议，那当我没说过。

虽然感觉你们在扯现有协议的问题，我可能扯远了

讲一件事 正常 TLS 流量在运营商后台是可以看到域名的. 而 s(r) 混淆出来的只有 IP.

@Love4Taylor 目前原版和 r 版的 tls 混淆都是有 sni 部分的，是看得见域名的。