概述:之前一直以为Trojan是完美的解决方案了,直到最近针对TLS的清网行动。之前没事在想TLS怎么才能更安全,还发过一个SB贴子,见:https://hostloc.com/thread-1083134-1-1.html。
但后来,我想通了,我的想法并不SB,只是中间要加一层中间人劫持。
原理:
1,浏览器--------(完成TLS握手,解密http发给本地客户端)------本地客户端
2,本地客户端---------(完成服务器上正规网站tls握手,将解密的浏览器http数据发给服务器端)-----------服务器端
3,服务器端---------(服务器端用浏览器的http请求信息加上本地自已的tls握手获得数据)--------------目标网站
4,数据从服务器端一路回传。
其中经历了三次TLS握手,但在外面监控流量的来看,就完全是正常的一次https访问。除非大局域网不让用外面https,否则理论上不可能封。
实现起来,对于神通广大的MJJ应该不难。因为涉及到根证书的东东,理论上只能小部分群体自用。
我自己尝试着实现了下,用的mitmproxy + flask + requests,因为我只懂一点python皮毛,所以只能在一堆报错的情况下,勉强用用。期待大佬完善一下。
试了下测速,因为在尝试可行性,只试了下get,所以测速,只能成功运行单向。
如图的中间人截持百度:
最后,看有没有大佬完善下脚本。
热议
推荐楼 1121744186 昨天16:45
用不着那么麻烦, tls + 大流量 + AI 上网习惯 一下就实锤了,再给你弄个 用户画像 "上网代理惯犯" 重点给你添加点判断权重
推荐楼 Meocat 昨天16:30
中间人劫持的方案是对的,只不过比较麻烦,没办法推广到机场
这样你访问网页的时候显示的应该都是你本地自签的证书,即使有一天真被中间人劫持了也看不出来
推荐楼 hitachi 昨天20:43
以及,TLS 从来都不是最完美的解决方案,只能说是一种别无选择的方案。
TLS 设计之初就不是为了对抗审查。TLS 建立会话需要交换大量信息,而信息交换得越多,特征越明显。
所有代理全都套层 TLS 更是加剧了同质化。
理想的解决方案应该是,每个人都自定义一套自己的协议,避免同质化。
成千上万种千奇百怪的协议,我看你怎么封。
2楼 Akewa 昨天15:42
楼下大神马上出现。
3楼 HOH 昨天15:43
根本就不是那一回事瞎折腾
4楼 Tankie 昨天15:45
根本就不是那一回事瞎折腾
这个只是https流量的双重TLS问题,其它的自然转发就好。
有什么问题吗,大佬?
5楼 炒土豆丝 昨天15:46
端口怎么选,五位数和443都会阵亡。
6楼 奧巴马 昨天16:04
端口怎么选,五位数和443都会阵亡。
那我六位数端口,无敌了吧.
7楼 主菜单 昨天16:05
不是sing-box的很像
8楼 adminisd 昨天16:24
根证书没必要,有根证书只是不报HTTPS不安全而已,v2ray忽略tls验证就行
9楼 waini1110 昨天16:25
这不就是shadow-tls的原理吗,给中间人表演一次正常的TLS。
10楼 Erik 昨天16:25
先留帖
在慢慢看看
12楼 Meocat 昨天16:30
中间人劫持的方案是对的,只不过比较麻烦,没办法推广到机场
这样你访问网页的时候显示的应该都是你本地自签的证书,即使有一天真被中间人劫持了也看不出来
13楼 pjk 昨天16:32
你想到的镇写软件的能想不到?感觉是你不太懂
RN促销(11.13截至):
2022元旦活动款 1c,512M内存,流量1T(可翻倍) https://my.racknerd.com/aff.php?aff=4458&pid=620
双十一特价款 1c,1.11G内存,流量3Thttps://my.racknerd.com/aff.php?aff=4458&pid=687
其他:
1C/2.11G/21G/4T$17.11/YEARhttps://my.racknerd.com/aff.php?aff=4458&pid=688
高品质VPS推荐:
IDC.WIKI 9299https://idc.wiki/lndex.php?productid=2677
RCP 9299https://clients.rcp.net/aff.php?aff=2476
hosthatch https://cloud.hosthatch.com/a/2873
cloedcone https://app.cloudcone.com/?ref=7438
挂机跑流量:
https://traffmonetizer.com/?aff=156020
https://p2pr.me/164388387661fbad64a8b2c
14楼 Tankie 昨天16:34
中间人劫持的方案是对的,只不过比较麻烦,没办法推广到机场
这样你访问网页的时候显示的应该都是你本地自 ...
所以,我说自用啊,只会小部分人,小范围用啊。
另个,你自己加的根证书理论只有你知道,即使有被人劫持风险,第一步要别人知道你加的根证书啊,然后才能劫持。
对于个人来说,这个风险太低了吧。
15楼 SK_ 昨天16:41
我听说实际情况是因为两次tls握手特征造成的。tls in tls就会产生6次握手,而且特征明显,可以精确匹配。
16楼 Tankie 昨天16:44
我听说实际情况是因为两次tls握手特征造成的。tls in tls就会产生6次握手,而且特征明显,可以精确匹配。 ...
这个方案就是避免这个情况
完全正规合法的TLS握手,不含丝毫伪造,100% 保真
17楼 1121744186 昨天16:45
用不着那么麻烦, tls + 大流量 + AI 上网习惯 一下就实锤了,再给你弄个 用户画像 "上网代理惯犯" 重点给你添加点判断权重
18楼 昔洛z 昨天19:17
学习一下呢
19楼 yem 昨天19:29
反正我现在都拉cf 随便你们怎么封
20楼 Senly 昨天19:33
确实如推荐所说,也许真的有用户画像,我和我弟都是联通的宽带,在一个村,一样的鸡,一样的配置,他用得少,从来不阻断,一个ip没死过。我用的多,阻断严重的时候几分钟无限循环,ip偶尔会挂。
22楼 baby不卑鄙 昨天20:30
trojan封了两次443
23楼 Yzindex 昨天20:31
MITM 确实能解决 TLS over TLS 的问题,但却引入了额外的问题。
相对于 e2e,这种方案没法确认对端证书;使 ...
还有人记得GoAgent这玩意?
记得彼时连谷歌Play都用不了。
对技术这块不是很懂……
我现在电脑常用PHP代理。
应该就类似楼主说的这种技术。
24楼 hitachi 昨天20:43
以及,TLS 从来都不是最完美的解决方案,只能说是一种别无选择的方案。
TLS 设计之初就不是为了对抗审查。TLS 建立会话需要交换大量信息,而信息交换得越多,特征越明显。
所有代理全都套层 TLS 更是加剧了同质化。
理想的解决方案应该是,每个人都自定义一套自己的协议,避免同质化。
成千上万种千奇百怪的协议,我看你怎么封。
25楼 idc专业户 昨天21:04
呃,我都是3389直接来的,不玩这些虚的,
26楼 Tankie 昨天21:40
MITM 确实能解决 TLS over TLS 的问题,但却引入了额外的问题。
相对于 e2e,这种方案没法确认对端证书,还 ...
真大佬。
安卓端其实同样可以信任证书。
局域网或自身开个共享代理就OK了。
确实只能个人规模用,感觉在未来的环境下,准备一下还是极好的。
27楼 sah 昨天21:47
RDP是不是就不用这么折腾了,还是说只要外网流量大就容易触发强
28楼 terrytw 昨天21:50
你都不知道人家封锁的时候靠的是什么原理
29楼 miss8 昨天23:02
技术大佬啊,膜拜一下。
30楼 tkn 1小时前
骚操作,好炫酷。墙:什么?流量大,封了。
32楼 萌十七 半小时前
用不着那么麻烦, tls + 大流量 + AI 上网习惯 一下就实锤了,再给你弄个 用户画像 "上网代理惯犯" 重点 ...
ai上网习惯来讲解一下
根据出境流量大小来判断?判断什么?
我有点不理解
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。