如何评价 Xray 的主要开发者发布的检测 TLS in TLS(trojan) 的小工具?

2023-05-13 21:14:13 +08:00
 a632079

Xray 的主要开发者 RPRX 发布了一个简单检测 TLS in TLS 的工具,它可以精准地检测出 Trojan 代理。

以下为仓库 README:

这个 POC 是为了 狠 狠 打 脸 某些认为 TLS in TLS 检测不存在或成本很高的人。

该程序在 127.0.0.1:12345 接收 TLS 流量,并用 非 常 廉 价 的方式检测出其中的 Trojan 代理。

  1. 设置浏览器的 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。
  2. 设置 Trojan 链式 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。

我们的测试结果如下:

  1. 对于浏览器的 HTTPS 流量,几乎没有阳性结果
  2. 对于 Trojan 的 TLS in TLS 流量,Trojan 字样直接刷屏

这与我们多次收到的 Trojan 被封、XTLS Vision 存活的反馈相符(它们均可选 Golang 指纹)。

值得一提的是,根据我们的观察,目前 REALITY 的“白名单域名”会被豁免于这样的检测。

Repo: https://github.com/XTLS/Trojan-killer

13630 次点击
所在节点    宽带症候群
72 条回复
lopssh
2023-05-14 03:33:18 +08:00
@MZSAN trojan 的 client hello 特征是指什么,可进一步说明下吗?
nnbbaa
2023-05-14 05:40:37 +08:00
白名单域名有哪些?
764594334
2023-05-14 06:00:56 +08:00
分享个我用的,openai/流媒体解锁,5 元起,不限速不限制流量,现在很多机场跑满会限制你
aHR0cHM6Ly9zdXBwb3J0Lmh1Y2xvdWQubWUv
764594334
2023-05-14 06:03:09 +08:00
发错了想发隔壁,当没看见
naminokoe
2023-05-14 06:36:50 +08:00
最终解决只能靠润的
Cormic
2023-05-14 08:12:22 +08:00
土法建模
makelove
2023-05-14 08:57:33 +08:00
我没用这些高科技,只用 ss+obfs ,几年来没中招过,不知道是流量少每月才几百 G 还是别的原因
lovelylain
2023-05-14 08:57:52 +08:00
@MZSAN #18 套 nginx 能避免包大小问题吗?
MFWT
2023-05-14 10:26:25 +08:00
IPv6+原版 SS 路过
即使是晚高峰时期,中国移动,依然可以正常连接到美国机器
v6 还是一片净海,SS 毛问题没有,用不着 TLS
gearfox
2023-05-14 10:31:05 +08:00
@yaoxuming 请问你服务端也是 ipv6 吗??
Danswerme
2023-05-14 10:36:47 +08:00
@MFWT 请教下用 iPv6 + SS 时能访问国外的 iPv4 网站吗?是 iPv4 over iPv6 吗?
XIU2
2023-05-14 10:50:03 +08:00
@gearfox
@Danswerme
连接服务器走的是 IPv4 还是 IPv6 ,不影响 服务器访问目标网站走的是 IPv4 还是 IPv6 。
除非这个服务器只有 IPv6 地址,这种情况下,服务器才只能通过 IPv6 访问目标网站,不过这种情况也可以套 WARP+ 解决。

目前来说,各系统的这方面网络策略都相同,当设备有 IPv4+IPv6 时,会同时解析域名的 A 记录和 AAAA 记录,如果有 AAAA 记录,则会通过 IPv6 访问该网站(即优先 IPv6 ),反之则走 IPv4 。

而这个优先级也可以通过修改系统文件来控制是 IPv6 优先,还是 IPv4 优先。
Linux 可以修改文件:
/etc/gai.conf
找到下面这行并移除行首的 # 注释符,或者把这行插入文件底部也行:
precedence ::ffff:0:0/96 100
这时 Ping 谷歌域名就是 IPv4 地址了。
lwjef
2023-05-14 12:06:21 +08:00
@XIU2 #32 感觉解析双栈目标时不同软件分流是不是会有兼容性问题,需要通过域名分流来避免。
d1g1tal0cean
2023-05-14 12:28:29 +08:00
他这个就是老鼠有四条腿一个尾巴,所以有四条腿一个尾巴的都是老鼠
SekiBetu
2023-05-14 13:10:25 +08:00
@MZSAN 用 DOH 也能被检查吗
hronro
2023-05-14 13:20:31 +08:00
@SekiBetu #35 应该说的是检测者用的 DNS ,和你用的 DNS 没有关系
Remember
2023-05-14 13:39:07 +08:00
这个人性格有大问题,轴的很,从 debian 官方源的协议事件就能看出来。

v2ray 作者弃坑之后,他本可以接手整个项目的,但他怼完用户怼团队,最后自己 fork 了一个。
MFWT
2023-05-14 14:21:56 +08:00
@Danswerme
可以访问
基本可以认为是 4-over-6
SekiBetu
2023-05-14 15:37:48 +08:00
@Remember 对的,所有开源用户必须使用 MIT 协议,用其他协议的人性格都有问题,为什么不大方开源代码呢,小心我们 Debian 用户的铁拳砸到这些非 MIT 协议支持者的头上!
SekiBetu
2023-05-14 15:39:33 +08:00
@Remember https://lists.debian.org/debian-vote/2022/10/msg00000.html 早就该骂骂这种人了了,上次不骂,结果 Debian 也开始搞非开源软件进来了,太恶心了,不用 MIT 协议的都去_啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/939785

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX