比如说只记录 100 个连接头以防重放,一开始是第 1-100 条连接,后面慢慢滑到第 201-300 条连接,小于 201 的就直接扔了,无需对时
Telegram
𝕆𝕓𝕛𝕖𝕔𝕥 𝕊𝕙𝕒𝕕𝕠𝕨 in Project X
滑动窗口 无需对时🤔怎么说?
时间戳那不是要对时嘛,我这滑动窗口无需对时,这就申请专利
Telegram
风扇滑翔翼 in Project X
一个一直在递增的东西 给它取个名字吧 就叫时间戳怎么样
都 2025 年了还想着用非 TLS 加密过墙呢?VLESS 加密不是给 GFW 看的
Telegram
𝕆𝕓𝕛𝕖𝕔𝕥 𝕊𝕙𝕒𝕕𝕠𝕨 in Project X
我的意思不是避免重放带来的影响
而是如何向重放方应答 以免暴露
而是如何向重放方应答 以免暴露
你在群里的一系列发言有点雷人,因为你想错了,我们说的窗口都是依附于第一次的完整握手,肯定不是整个服务器共用的
Telegram
𝕆𝕓𝕛𝕖𝕔𝕥 𝕊𝕙𝕒𝕕𝕠𝕨 in Project X
stateful 不是恰当的实现方法
假如服务端会重启?
假如服务端会重启?
TLS 的 0-RTT 不防重放,上层 HTTP GET 时才会用,POST 不会用
Telegram
𝕆𝕓𝕛𝕖𝕔𝕥 𝕊𝕙𝕒𝕕𝕠𝕨 in Project X
但是这我也不好理解
TLS 已经做防重放了
TLS 已经做防重放了
缺点就是有复用次数限制,其实滑起来也很简单,比如只允许最新序号减 100 以内的包,每次收到序号更大的包就 range map 把该请的清掉
或者固定时间比如每一分钟清一次,这样开销就更低了,可以忽略不计
或者固定时间比如每一分钟清一次,这样开销就更低了,可以忽略不计
Telegram
风扇滑翔翼 in Project X
我的意思是滑都不用滑 只需要记忆一个票据下的已用的id就行了 开销很低
Project X Channel pinned «我看到这条消息下面有一些辩论,我的看法是: 1. 中国人已经对付 GFW 十几年了,每个人都积累了大量经验,连我的专用 GitHub 账号都有五年了,而你们才刚开始两年,就觉得自己足够 clever、比我们的大量经验还 clever、不听建议,时间会证明你们的自以为是是错误的 2. 我说过,软件水平不等于反审查水平,同理,面板好用不等于它的反审查能力强,这完全是两回事,在反审查方面应当采纳反审查项目的建议,而非面板项目的建议 3. 虚拟货币的钱包地址本来就是公开的、交易人人可查的,不然就去用隐私币。有人一…»
Project X Channel pinned «新的一天,新的 PUA,我们的反审查之路,经历了: - 明文 HTTP 关键词被阻断 - VPN 协议被封禁 - SS 被主动探测而被封 IP、锱铢必较 - SS 等全随机数流量直接被封 IP - TLS 被过滤 SNI,甚至有白名单 - TLS 类代理被检测出 TLS in TLS 而被封端口 尤其是在 SS 时代,我们是逐个字节来分析它有没有暴露服务器是代理,有大量锱铢必较的研究,而现在你们直接默认明文 HTTP 访问面板、全盘托出,直接给我们干破防了。所以你们到底有没有反思过为什么知名反审查项目宁…»
这下 Xray 也开始无需代理、直连网站了(最适合伊朗):https://github.com/XTLS/Xray-examples/tree/main/MITM-Domain-Fronting
https://github.com/XTLS/Xray-core/commit/9b7841178a4cb7d5b7ce558afa221254d8d3fa56
https://github.com/XTLS/Xray-core/commit/9b7841178a4cb7d5b7ce558afa221254d8d3fa56
GitHub
Xray-examples/MITM-Domain-Fronting at main · XTLS/Xray-examples
Some examples of uses for Xray-core. Contribute to XTLS/Xray-examples development by creating an account on GitHub.
这与 core 无关,既然现在 Xray 支持了先 MITM 再发假 SNI 再校验指定域名证书,图形化界面就是 2dust 要考虑的事情了,你们快建议他去写
Telegram
xiaohuangbo im_furry_data in Project X
你这也太麻烦了,早就有图形化界面PixCealer对小白用户十分方便友好的域前置工具了
Telegram
xiaohuangbo im_furry_data in Project X
对,GFW有时候并没有封IP,而是通过读取SNI来判断你访问了哪个网站,我曾经就在校园网内(代理会被发现喝茶)就用域前置来查维基百科,看谷歌和V2EX的(
啥时候他们能支持一下我想的 IP 前置 后置,比如把真正的 IP 藏 QUIC random 里,国外运营商拿着自己的私钥能解密出真正的 IP
之前我在 GitHub 上说的是藏 TLS session id 里,但它前面有个 TCP 握手不太好处理,所以 QUIC 更合适,可以被随意转发
之前我在 GitHub 上说的是藏 TLS session id 里,但它前面有个 TCP 握手不太好处理,所以 QUIC 更合适,可以被随意转发
Telegram
xiaohuangbo im_furry_data in Project X
其实域前置能上的海外网站还是很多的,X,google,v2ex,维基百科等等。
其实已经完全满足伊朗人的上网需求了,毕竟在西方大站,支持域前置是一种“人权”的提现,是种政治正确,之前还因为CDN不支持域前置西方还爆发了示威游行来着(本来域前置就是为了反封锁,进行伪装使用的技术,专业对口GFW了属于是)
其实已经完全满足伊朗人的上网需求了,毕竟在西方大站,支持域前置是一种“人权”的提现,是种政治正确,之前还因为CDN不支持域前置西方还爆发了示威游行来着(本来域前置就是为了反封锁,进行伪装使用的技术,专业对口GFW了属于是)
然而目标 IP 还是明文的,我这个能把真实目标 IP 都给隐藏了,看看能不能提交给 IETF,给 QUIC 加个默认开启的扩展更好(就像 ECH)
Telegram
xiaohuangbo im_furry_data in Project X
他们现在都在搞先进的ECH去了,实际上就是把SNI加密了,对于国外用户而言,ECH是“网站隐私最后一片拼图”,其实和域前置异曲同工之妙,域前置是假的SNI,ECH是加密的SNI,有了ECH,浏览器默认支持,不需要啥第三方工具了,没动力搞IP前置了(
Project X Channel pinned «这下 Xray 也开始无需代理、直连网站了(最适合伊朗):https://github.com/XTLS/Xray-examples/tree/main/MITM-Domain-Fronting https://github.com/XTLS/Xray-core/commit/9b7841178a4cb7d5b7ce558afa221254d8d3fa56»
XHTTP 服务端需及时升级至 v25.1.30,接下来的版本客户端将不会发送兼容性 path padding(已转移至 Referer header)以避免过长的日志
https://github.com/XTLS/Xray-core/releases/tag/v25.1.30
https://github.com/XTLS/Xray-core/releases/tag/v25.1.30
GitHub
Release Xray-core v25.1.30 · XTLS/Xray-core
See https://github.com/XTLS/Xray-core/releases/tag/v25.3.6
给了过渡时间,一键升级服务端很难吗,v25.1.30 同时兼容新旧客户端
Telegram
taiyi747 in Project X
😅怎么感觉又像是破坏性更新
Project X Channel pinned «XHTTP 服务端需及时升级至 v25.1.30,接下来的版本客户端将不会发送兼容性 path padding(已转移至 Referer header)以避免过长的日志 https://github.com/XTLS/Xray-core/releases/tag/v25.1.30»