全新代理协议？MJJ来研究先

共计 2008 个字符，预计需要花费 6 分钟才能阅读完成。

看了下 意思是和白名单域名正常 tls 握手 完事了再跳指向自己的 ip?
有一名开发者为突破 G。F。W 提供了一种新的思路，在 tcp 连接建立后，发起一个 tls 握手时，服务器端类似于端口流量转发到某白名单域名，以伪装成白名单域名的 tls 流量，当 tls 握手完成了，此时 TCP 连接保持传输真实的 TCP payload，该开发者已经发布了一个工具 ShadowTLS
https://v2ex.com/t/875975
https://github.com/ihciah/shadow-tls
这是做啥的
向中间人表演一次 TLS 握手，之后将流量交给其他连接透明代理掉。
你可以用它来包装任意的 TCP 连接，它的 client 会加一层 TLS 握手头，server 会将这层头剥离。双边部署即可。
啥原理啊
Trojan 将 payload 基于一个伪装的 TLS 连接承载，但它部署起来略微麻烦，主要在于需要证书签发上；并且最近某地开始搞百名单策略，这种方式就不再适用。
那么一个 idea 就是：作为 server 不再自己处理握手，而是将握手流量转发至一个可信的域名上。当握手结束则立刻跳车开始向自己的服务器中转流量。这样中间人看到的就是和 www.gov.xx 的合法握手（观测到的证书也是合法的），而这显然是个白名单域名，这时中间人就会标记这个连接为合法连接。
我咋部署
看项目 Wiki。推荐使用 docker compose 一键启动。
限制
它基于 Monoio 实现，可以利用 io_uring 和 zero_copy 实现高性能数据转发，当前仅支持 Linux 和 macOS。
对于握手后的数据没有做封装。复制代码
转载至 TG- 风向旗参考快讯

啥伪装都不行，看你流量就露馅了，你天天 gov 几十 G 流量干啥呢

一直伪装到 www.xuexi.cn，学习强国一天不刷个几 g 流量的视频怎么说得过去理论上可行，但是 gov 那端记录一下异常握手你就嗝屁没太明白，先跟白名单域名握手，握手完之后再换自己的 IP 来做代理。这 IP 都换了，中间人能不知道么？楼下研究感谢您的反馈, 这就升级防火墙 … 伪装到 www.gov.cn。就宇宙无敌了吧看起来很牛批谁去当小白鼠试试可惜暂时只支持 Linux 和 macOS

如果用 cdn 了怎么确定 ip 呢？等技术成熟一点再上车我只会等一个一键包理论上可行，但是 gov 那端记录一下异常握手你就嗝屁在高墙面前，所有协议都是浮云火钳刘明

啥伪装都不行，看你流量就露馅了，你天天 gov 几十 G 流量干啥呢

CDN 也不会握手完成就马上换 IP 吧？
如果根据这个思路，墙倒简单了，只要握手后立即换服务端 IP，就可以判断是代理

那就 v.qq.com

gov.tw之前不是说哪个地区有白名单来着，有那里的用户反馈吗？试了 docker compose 无法部署，也没法验证其漏洞。
理论上你的 tls 握手域名与流量方向不一致是可以识别的，无非就是自己是中间人进行自我攻击，墙只需要看下 dns 就知道了

一直伪装到 www.xuexi.cn，学习强国一天不刷个几 g 流量的视频怎么说得过去

如果有 TLS 的话 应该是可以识别的 如果没有的话 暂时不会 https://github.com/zhenyolka/DPITunnel-android

这是啥新奇玩意哇等技术成熟一点再上车直接放客户端和服务端测试文件好过千言万语只是证书合法，但是你实际上还是国外 Ip。仓库直接给关了 This repository has been archived