全新代理协议？MJJ来研究先-dole

看了下 意思是和白名单域名正常tls握手 完事了再跳指向自己的ip?

有一名开发者为突破G。F。W提供了一种新的思路，在 tcp 连接建立后，发起一个 tls 握手时，服务器端类似于端口流量转发到某白名单域名，以伪装成白名单域名的 tls 流量，当 tls 握手完成了，此时TCP连接保持传输真实的 TCP payload，该开发者已经发布了一个工具 ShadowTLS

https://v2ex.com/t/875975
https://github.com/ihciah/shadow-tls

这是做啥的
向中间人表演一次 TLS 握手，之后将流量交给其他连接透明代理掉。

你可以用它来包装任意的 TCP 连接，它的 client 会加一层 TLS 握手头，server 会将这层头剥离。双边部署即可。

啥原理啊
Trojan 将 payload 基于一个伪装的 TLS 连接承载，但它部署起来略微麻烦，主要在于需要证书签发上；并且最近某地开始搞百名单策略，这种方式就不再适用。

那么一个 idea 就是：作为 server 不再自己处理握手，而是将握手流量转发至一个可信的域名上。当握手结束则立刻跳车开始向自己的服务器中转流量。这样中间人看到的就是和 www.gov.xx 的合法握手（观测到的证书也是合法的），而这显然是个白名单域名，这时中间人就会标记这个连接为合法连接。

我咋部署
看项目 Wiki 。推荐使用 docker compose 一键启动。

限制
它基于 Monoio 实现，可以利用 io_uring 和 zero_copy 实现高性能数据转发，当前仅支持 Linux 和 macOS 。
对于握手后的数据没有做封装。

转载至TG-风向旗参考快讯

热议
推荐楼 Erica 昨天22:41

菜单 发表于 2022-8-28 22:07
伪装到www.gov.cn。就宇宙无敌了吧

啥伪装都不行，看你流量就露馅了，你天天gov几十G流量干啥呢

推荐楼 Cavolo 昨天22:54

Erica 发表于 2022-8-28 22:41
啥伪装都不行，看你流量就露馅了，你天天gov几十G流量干啥呢

一直伪装到www.xuexi.cn，学习强国一天不刷个几g流量的视频怎么说得过去

推荐楼 HOH 昨天22:26

理论上可行，但是gov那端记录一下异常握手你就嗝屁

推荐楼 gyjys43043 昨天22:11

没太明白，先跟白名单域名握手，握手完之后再换自己的IP来做代理。这IP都换了，中间人能不知道么？

2楼 ccs 昨天22:06

楼下研究

3楼 ohmyga 昨天22:06

感谢您的反馈,这就升级防火墙...

4楼 菜单 昨天22:07

伪装到www.gov.cn。就宇宙无敌了吧

5楼 lbw 昨天22:08

看起来很牛批

6楼 蜗牛也是牛 昨天22:09

谁去当小白鼠试试

8楼 来一口 昨天22:16

可惜暂时只支持Linux和macOS

9楼 darius 昨天22:17

gyjys43043 发表于 2022-8-28 22:11
没太明白，先跟白名单域名握手，握手完之后再换自己的IP来做代理。这IP都换了，中间人能不知道么？ ...

如果用cdn了怎么确定ip呢？

10楼 huanx 昨天22:24

等技术成熟一点再上车

12楼 HOH 昨天22:26

理论上可行，但是gov那端记录一下异常握手你就嗝屁

13楼 zerone110 昨天22:29

在高墙面前，所有协议都是浮云

14楼 weiguoxiu 昨天22:35

火钳刘明

15楼 Erica 昨天22:41

菜单 发表于 2022-8-28 22:07
伪装到www.gov.cn。就宇宙无敌了吧

啥伪装都不行，看你流量就露馅了，你天天gov几十G流量干啥呢

16楼 gyjys43043 昨天22:43

如果用cdn了怎么确定ip呢？

CDN也不会握手完成就马上换IP吧？

如果根据这个思路，墙倒简单了，只要握手后立即换服务端IP，就可以判断是代理

17楼 菜单 昨天22:43

啥伪装都不行，看你流量就露馅了，你天天gov几十G流量干啥呢

那就v.qq.com

18楼 dole 昨天22:43

理论上可行，但是gov那端记录一下异常握手你就嗝屁

gov.tw

19楼 0x4396 昨天22:46

之前不是说哪个地区有白名单来着，有那里的用户反馈吗？

20楼 spotlight 昨天22:46

试了docker compose无法部署，也没法验证其漏洞。
理论上你的tls握手域名与流量方向不一致是可以识别的，无非就是自己是中间人进行自我攻击，墙只需要看下dns就知道了

22楼 huanx 昨天23:02

试了docker compose无法部署，也没法验证其漏洞。
理论上你的tls握手域名与流量方向不一致是可以识别的，无 ...

如果有TLS的话 应该是可以识别的 如果没有的话 暂时不会

23楼 loveqianool 9小时前

https://github.com/zhenyolka/DPITunnel-android

24楼 dole 9小时前

https://github.com/zhenyolka/DPITunnel-android

这是啥新奇玩意哇

25楼 xxlm 9小时前

等技术成熟一点再上车

26楼 lisa1937 9小时前

直接放客户端和服务端测试文件好过千言万语

27楼 happy61 6小时前

只是证书合法，但是你实际上还是国外Ip。

28楼 深海空间 1小时前

仓库直接给关了 This repository has been archived

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。