关于近期在 USENIX 顶会发表的 TLS 特征检测论文
https://www.usenix.org/conference/usenixsecurity24/presentation/xue
这篇论文证明了重要的一点 即通过流量模型来识别 *任何* 加密代理协议中的内层 TLS 是可能的 且成本并不高
文章也提出了现有方法的一些弱点 比如
1. 当用户在代理内层使用 TLS v1.2 的时候 由于开头的5次握手包 特征明显超过3次的 TLS v1.3 握手 可以被针对性训练 达到非常高的阳性率
(好在 TLS v1.2 的使用越来越少的情况下 审查者想利用这个弱点的机会将逐渐减少)
2. 多路复用方法目前的一个缺点就是依赖用户的使用情况 假如一个代理连接的起始 刚好是用户发起的单连接 这会抵消多路复用的混肴作用
(要解决这个问题 一个方法是在每一个连接头插入一些伪造流量)
根据文章的数据 XTLS Vision 使得伪阳性率从 0.0544% 上升到 0.1989% 这意味着审查需要付出更大的代价 更为重要的 审查者必须使用重新训练的针对性模型 而且即使在这种情况下 阳性率还是从 0.748 下降到了 0.513
去年我们发布 XTLS Vision 的时候说 我们的设计目标是将“识别难度增加一个数量级”
可以说 这篇文章证明现有协议已经达到或者超过了我们的既定目标
自从 shadowsocks 以来 主流的学术圈和实用代理界出现了一些分野
UoT,VMESS+WS+TLS,Trojan 都没有引起学术界的重视 却是自建与机场的主流选择
这次文章作者 Diwen Xue 主动联系我们 我们也为文章提供了一些反馈 让我们的工作促进反审查科研圈与开发圈的交流 我们感到与有荣焉!
要解决 TLS-in-Any 特征 一个可行的方法是拆分连接 即把关键的内层握手包以某种方式拆分到多个代理连接中
今年早些时候 R佬已经发表了 switch 的构想并且在 [XUDP](https://github.com/XTLS/Xray-core/commit/be23d5d3b741268ef86f27dfcb06389e97447e87) 中实现了连接迁移的雏形
希望在不久的将来 反审查社区的合作越来越好 一起将这些构想化为现实
yuhan6665
https://www.usenix.org/conference/usenixsecurity24/presentation/xue
这篇论文证明了重要的一点 即通过流量模型来识别 *任何* 加密代理协议中的内层 TLS 是可能的 且成本并不高
文章也提出了现有方法的一些弱点 比如
1. 当用户在代理内层使用 TLS v1.2 的时候 由于开头的5次握手包 特征明显超过3次的 TLS v1.3 握手 可以被针对性训练 达到非常高的阳性率
(好在 TLS v1.2 的使用越来越少的情况下 审查者想利用这个弱点的机会将逐渐减少)
2. 多路复用方法目前的一个缺点就是依赖用户的使用情况 假如一个代理连接的起始 刚好是用户发起的单连接 这会抵消多路复用的混肴作用
(要解决这个问题 一个方法是在每一个连接头插入一些伪造流量)
根据文章的数据 XTLS Vision 使得伪阳性率从 0.0544% 上升到 0.1989% 这意味着审查需要付出更大的代价 更为重要的 审查者必须使用重新训练的针对性模型 而且即使在这种情况下 阳性率还是从 0.748 下降到了 0.513
去年我们发布 XTLS Vision 的时候说 我们的设计目标是将“识别难度增加一个数量级”
可以说 这篇文章证明现有协议已经达到或者超过了我们的既定目标
自从 shadowsocks 以来 主流的学术圈和实用代理界出现了一些分野
UoT,VMESS+WS+TLS,Trojan 都没有引起学术界的重视 却是自建与机场的主流选择
这次文章作者 Diwen Xue 主动联系我们 我们也为文章提供了一些反馈 让我们的工作促进反审查科研圈与开发圈的交流 我们感到与有荣焉!
要解决 TLS-in-Any 特征 一个可行的方法是拆分连接 即把关键的内层握手包以某种方式拆分到多个代理连接中
今年早些时候 R佬已经发表了 switch 的构想并且在 [XUDP](https://github.com/XTLS/Xray-core/commit/be23d5d3b741268ef86f27dfcb06389e97447e87) 中实现了连接迁移的雏形
希望在不久的将来 反审查社区的合作越来越好 一起将这些构想化为现实
yuhan6665
GitHub
XUDP protocol: Add Global ID & UoT Migration · XTLS/Xray-core@be23d5d
The first UoT protocol that supports UoT Migration
Thank @yuhan6665 for testing
Thank @yuhan6665 for testing
🔥239👍178❤39⚡5🎉5👀5😁2
快过年了,不要再讨论什么 CN2 、GIA ,什么 XTLS 、grpc 了,你的万兆过墙线路,回到家了并不会给你带来任何实质性作用,朋友们兜里掏出一大把钱吃喝玩乐,你默默在家里摆弄你的上网代理工具。亲戚朋友吃饭问你收获了什么,你说我撸了一个传家宝 vps ,延迟 20ms 以内,网速能上 10Gbps ,亲戚们懵逼了,你还在心里默默嘲笑他们,不懂你的线路的优质程度,也笑他们十有八九连上网代理都不知道是什么。
你父母的同事都在说自己的子女一年的收获,儿子买了个房,女儿购了台车,姑娘升职加薪了,你的父母默默无言,最后被人问到了,不说话不礼貌,才说我的儿子今年撸了好几个 vps ,里面有好几个传家宝级别的嘞。
你父母的同事都在说自己的子女一年的收获,儿子买了个房,女儿购了台车,姑娘升职加薪了,你的父母默默无言,最后被人问到了,不说话不礼貌,才说我的儿子今年撸了好几个 vps ,里面有好几个传家宝级别的嘞。
👍349😁155❤20👀15🎉7⚡5🔥5
Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.8
GitHub
Release Xray-core v1.8.8 · XTLS/Xray-core
Features
统一 XUDP 流量(例如 DNS 查询)使用 Vision 填充 ad3d347 @RPRX
注意:服务端需要 v1.8.1+
其它实现 xtls-rprx-vision 的开发者注意:请同步此修改 以后版本将只接受这种 UDP
balancer 新增 leastLoad 策略(基于 burstObservatory 多次测量之平均速度和标准差衡量稳定性的最优选) #2...
统一 XUDP 流量(例如 DNS 查询)使用 Vision 填充 ad3d347 @RPRX
注意:服务端需要 v1.8.1+
其它实现 xtls-rprx-vision 的开发者注意:请同步此修改 以后版本将只接受这种 UDP
balancer 新增 leastLoad 策略(基于 burstObservatory 多次测量之平均速度和标准差衡量稳定性的最优选) #2...
❤111🎉26🔥16👍13😁2
Project X Channel pinned «Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.8»
这下 gRPC 也能“域前置”了,没有 ALPN 问题,三年前就该出的
https://github.com/XTLS/Xray-core/pull/3076
https://github.com/XTLS/Xray-core/pull/3076
GitHub
Add Authority to gRPC Transport by RPRX · Pull Request #3076 · XTLS/Xray-core
今天心血来潮,想研究一下凭啥 gRPC 不能设置 Host,遂发现它有 Authority 可以当 Host 来用
这个 PR 可以实现 TLS ServerName 和 gRPC Authority 不同,已测试兼容 Cloudflare
但是不能让 gRPC 控制 TLS,否则会报错两个值不同,故代码里做了分离
这下 gRPC 也能“域前置”了,没有 ALPN 问题,三年前就该出的
客户...
这个 PR 可以实现 TLS ServerName 和 gRPC Authority 不同,已测试兼容 Cloudflare
但是不能让 gRPC 控制 TLS,否则会报错两个值不同,故代码里做了分离
这下 gRPC 也能“域前置”了,没有 ALPN 问题,三年前就该出的
客户...
👍80⚡10❤6🔥4😁3🎉1
Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.9
GitHub
Release Xray-core v1.8.9 · XTLS/Xray-core
Sharing Links
#716 gRPC 新增 authority #3076,修订 serviceName 必须使用 encodeURIComponent 转义 #1815
#716 新增 HTTPUpgrade 传输方式
Features
新增 HTTPUpgrade 传输方式 Xray 文档 @maskedeken @xiaokangwang
gRPC 传输方式支持设置 a...
#716 gRPC 新增 authority #3076,修订 serviceName 必须使用 encodeURIComponent 转义 #1815
#716 新增 HTTPUpgrade 传输方式
Features
新增 HTTPUpgrade 传输方式 Xray 文档 @maskedeken @xiaokangwang
gRPC 传输方式支持设置 a...
👍81🎉22❤7😁4🔥2
Forwarded from x fab
不是我恶意揣测,我不相信不被封是因为 xray 技术牛逼,可能就是背后有人支持
😁187👍26👀17🔥9⚡5❤3
Forwarded from GitHub
💬 New comment on Xray-core#3076 Add Authority to gRPC Transport
by @RPRX
> 这个有上面用?
技术是在进步的,别人造出了你能看懂的好东西不可怕,最可怕的是别人干了但你看不懂别人在干什么或者说为什么要这么干,就像以前我写的很多东西一样,~~不过这次我是真的不能细说,或许有一天除了我和 @yuhan6665 之外的人会发现它的真实用途~~
我一直催 @yuhan6665 发 1.8.9 就是为了它,~~就是为了这口醋才下了这盘饺子,结果 NG 新版没它我又去说 https://github.com/2dust/v2rayNG/issues/2924~~
Reply to this message to post a comment on GitHub.
by @RPRX
> 这个有上面用?
技术是在进步的,别人造出了你能看懂的好东西不可怕,最可怕的是别人干了但你看不懂别人在干什么或者说为什么要这么干,就像以前我写的很多东西一样,~~不过这次我是真的不能细说,或许有一天除了我和 @yuhan6665 之外的人会发现它的真实用途~~
我一直催 @yuhan6665 发 1.8.9 就是为了它,~~就是为了这口醋才下了这盘饺子,结果 NG 新版没它我又去说 https://github.com/2dust/v2rayNG/issues/2924~~
Reply to this message to post a comment on GitHub.
👀22👍9❤3🔥3⚡1😁1
Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.10
GitHub
Release Xray-core v1.8.10 · XTLS/Xray-core
HTTPUpgrade 0-RTT
#3152 @RPRX
现在在 HTTPUpgrade path 后加上 ?ed=2560 才会启用 0-RTT
现在起 WebSocket ed 建议填 2560 而不是 2048
Features
gRPC API 现支持增删路由规则 #3189 @hossinasaadi
leastPing 与 roundRobin 负载均衡器策略现支持 ...
#3152 @RPRX
现在在 HTTPUpgrade path 后加上 ?ed=2560 才会启用 0-RTT
现在起 WebSocket ed 建议填 2560 而不是 2048
Features
gRPC API 现支持增删路由规则 #3189 @hossinasaadi
leastPing 与 roundRobin 负载均衡器策略现支持 ...
⚡66❤19👍13👀7🎉6🔥4😁1
Project X Channel pinned «Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.10»
Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.11
GitHub
Release Xray-core v1.8.11 · XTLS/Xray-core
感谢 @Fangliding 加了 issue 模板!
Features
tls ech 命令产生一对 ech 密钥证书 #3273 @chise0713
封禁源 IP 的 API 命令 #3211 @hossinasaadi
Fixes
提出一个网站可以扫描 Browser Dialer 端口并获取服务器信息的漏洞 并引入 csrf token 验证 #3295 @mmmray
修复...
Features
tls ech 命令产生一对 ech 密钥证书 #3273 @chise0713
封禁源 IP 的 API 命令 #3211 @hossinasaadi
Fixes
提出一个网站可以扫描 Browser Dialer 端口并获取服务器信息的漏洞 并引入 csrf token 验证 #3295 @mmmray
修复...
❤48👍14🔥7
Project X Channel pinned «Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.11»
Forwarded from GitHub
💬 New comment on Xray-core#3141 [疑问]Xray 前置时从 Nginx 下载文件报错
by @RPRX
好久没看 fallbacks 相关代码了,不过说起回落,**虽然总有人觉得 VLESS 和 Trojan 很像,但 Trojan 协议的 CRLF 是为旧回落方式而设计的,而 VLESS 的 flow 和 seed 是为改变流量特征而设计的,这是两个协议在设计理念上的本质区别**,VLESS 是为 *ray 原生设计的,就像你在不需要回落的其它传输方式上空跑 CRLF 不会觉得很奇怪吗,~~并且我设计 VLESS 时没看 Trojan 的协议结构不然会把 UDP 抄过来,好在后来 VLESS 有支持 Mux 和“连接迁移”的 XUDP~~,我还给 VLESS 独创了更安全高效的回落方式就是直接判断首包长度而不需要 CRLF,还有根据首包内容各种分流让大家玩得很开心,~~不过后来我们有了 REALITY 就不太需要 fallbacks 了,虽然它们的文章都被我鸽了所以总会有人不清楚它们比各自类似的东西好在哪,咕咕咕~~,好了一段话讲完了主要区别挺爽的
Reply to this message to post a comment on GitHub.
by @RPRX
好久没看 fallbacks 相关代码了,不过说起回落,**虽然总有人觉得 VLESS 和 Trojan 很像,但 Trojan 协议的 CRLF 是为旧回落方式而设计的,而 VLESS 的 flow 和 seed 是为改变流量特征而设计的,这是两个协议在设计理念上的本质区别**,VLESS 是为 *ray 原生设计的,就像你在不需要回落的其它传输方式上空跑 CRLF 不会觉得很奇怪吗,~~并且我设计 VLESS 时没看 Trojan 的协议结构不然会把 UDP 抄过来,好在后来 VLESS 有支持 Mux 和“连接迁移”的 XUDP~~,我还给 VLESS 独创了更安全高效的回落方式就是直接判断首包长度而不需要 CRLF,还有根据首包内容各种分流让大家玩得很开心,~~不过后来我们有了 REALITY 就不太需要 fallbacks 了,虽然它们的文章都被我鸽了所以总会有人不清楚它们比各自类似的东西好在哪,咕咕咕~~,好了一段话讲完了主要区别挺爽的
Reply to this message to post a comment on GitHub.
👀39❤22👍12⚡2🔥2😁2
Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.13
GitHub
Release Xray-core v1.8.13 · XTLS/Xray-core
安全更新:Socks5 入站有密码时,丢弃未认证过的来源 IP 的 UDP 请求 #3371 @Fangliding @RPRX
Features
负载均衡 random roundRobin 配置 fallbackTag 仅选择可用节点(需配合连接观察模块) 84eeb56 @mkmark
新增 API listen 简化配置 #3317 @vrnobody
REALITY 服务端 sh...
Features
负载均衡 random roundRobin 配置 fallbackTag 仅选择可用节点(需配合连接观察模块) 84eeb56 @mkmark
新增 API listen 简化配置 #3317 @vrnobody
REALITY 服务端 sh...
🔥47😁13👍9👀7❤4
Project X Channel pinned «Latest release: https://github.com/XTLS/Xray-core/releases/tag/v1.8.13»