到底混淆（伪装）是特征，还是“没有特征”就是特征呢？

@lcdtyph #20 然而就是看不到 这几年我尝试过无数次 相比之下 v2 的完整 TLS 才会有域名 (江苏联通的 DPI 还是很强的

@hundan 沒說現有協議 , 我只是告訴他混在海量 TCP/UDP 數據包裏面比混在 HTTP/HTTPS 這類本身就有特徵的流量裏更好罷了 , 至於怎麼實現還是用別人的輪子都更不容易被識別

混淆流量是通过混淆伪装正常流量，提供强特征以避免 QoS。
加密流量没有特征但可以阻断或 QoS，白名单才可以完全屏蔽。

@lcdtyph 首先你的目的是什么，这里应该有这些：
1，它认不出来目标就是它要的东西
2，目标应该也是足够低调（比如和大众足够相似），不致不引起它注意

@honeycomb #24 我的目的是：
1. 尽量不被注意
2. 万一被怀疑了或者抽查到了，也尽量不被检测出来

@geekvcn 有博客吗？想关注一下

破娃讨论过这个问题，好像还在 Twitter 上拿公交车 出租车 私家车打了个比喻

流量为王

你要看混淆的程度，现在有一种研究就是做对加密流量负载的特征分析，这样做得话，混淆了和没做的没啥区别，其次是端口探测，如果对于访问行为能正确响应的，那就能避免被容易探测出来而减少风险。对于流量分析，好像有个说法是在不确定具体账户情况下，对于账户间的大额金额流动是不敏感的。

所以，如果伪装得好，的确对抗分析还是有效果的。（其实就是流量整形和避免单纯模仿。）

@hundan 开个 ssr 直接在出口防火墙端提示异常 https 协议流量。ss 流量稍微大一点提示未知大流量协议。要解密流量很难也没必要，但是要把那些有问题的流量标志出来的成功率还是很高的，尤其是那些用来看 4k 的傻鸟。

@hundan 你这东西完全实现不了的。你的正常 http 单位时间能附加的东西是有限度的，而且没事连续高频刷几个页面本身就是高度可疑行为。结论就是流量一大分分钟被抓。目前所有工具在流量统计面前都是没啥用的，因为行为过于反常了，除非你能混在已经备案过的白名单流量里面。

@alfchin “连续高频刷几个页面”并不是我说的 是你自己理解的 理想状态下是构造出 http 协议下的正常页面 不是特定某几个页面
“ http 附加信息”这个也是你自己理解的 我指的不是在 http 下附加信息 并不是说现有的这种 http 伪装
理想状态下的 http 伪装 在 gfw 面前是一台日夜不停工作的爬虫 流量大但是内容正常

@hundan 正常爬虫会日夜不停地访问同一个 IP 吗？

@cwbsw 这不是很正常吗？其他不说，爬煎蛋的人应该不少吧？日夜不停地爬一个网站，有什么问题

说混淆特征更明显的既不懂密码学也不懂统计学，甚至连玄学都没学过。

@geekvcn 在一个莫名其妙的端口上，有巨大的不可解析的非常规协议的 tcp 流量，难道就比大流量的 http 特征更不明显了吗？

@geekvcn 你说的白名单时期我还真没经历过，臆想出来的吗？

@hundan 你自己都没发现你的逻辑有问题吗？一个啥都不是的网站，值得爬虫天天爬，大流量爬？墙现在也有主动探测能力。过去看一眼结合流量直接傻了。除非你能在白名单网站的网段内找到一个跳板，不然这招也是行不通。

@alfchin “啥都不是”这个不是你自己理解的吗？？

@alfchin 既然不考虑精力和开发难度，你都能把墙说得这么牛逼，能不能把你的想象力分一部分到伪装上？