vless系协议真的很烂吗，偶然看到sing-box作者对vless的痛批-在7楼

乱逛发现的，sing-box的作者（世界）的个人静态博客，最新两篇是对xtls协议以及其衍生的vless、vision和reality协议的批评，感觉挺有意思，转过来给大家一起看下：

简述 XTLS 相关协议：https://sekai.icu/posts/the-myth-of-xtls/
VLESS 协议中的设计问题：https://sekai.icu/posts/design-issues-in-the-vless-protocol/

世界这里也是很刚，直接说vless作者写的XTLS，是“胡乱设计”，“代码混乱”，“缺乏二进制数据结构相关经验”，说vless抄了Trojan，且为了兼容包含了曾经vmess的大量缺点，画蛇添足地加了个没用的版本管理功能。
最新的vison和reality由于技术缺陷，“该协议一开始就有可以被识别的”，且已经被伊朗防火墙证实，很容易被识别并封锁。

v2ray的作者也躺枪了一波，说是“V2Ray 项目原作者对 TCP/IP 的理解水平不足，V2Ray 中将 UDP 与 TCP 连接混为一谈，导致其在 UDP 传输上的设计存在严重缺陷，而其他项目根本不存在这个问题”。

除了技术上的diss，里面有些八卦也很有意思，比如说klzgrad（naiveproxy的作者）很早就指出xtls的缺陷，但是作者嘴硬不承认，然后2年后被打脸。还有说不清的对shadow-tls的抄袭问题。。。

看完挺乐的，估计是世界在写sing-box时，需要实现vless的系协议，不能避免地需要去看源码，然后由于代码混乱，某些设计又不认同，于是越写越气，但又还不能让sing-box直接放弃这系列协议（毕竟有大量用户在用），写出工伤了。

能感觉到，最近v2ray系协议确实有衰落地迹象，个人来说，这些协议也都用过，sing-box设计上也确实很优秀，naive和hysteria这些后起之秀也都在逐渐壮大。

不知道v2ray系协议会不会真的成为过去式？
大家咋看

热议
2楼 会呼吸的痛 前天21:52

能用，好用，就行了，操心这些干什么

一个协议如果不能用了，自然大家会转到其他能用的

3楼 ftlh2005 前天21:53

能用的协议就是好协议

4楼 呆呆的游客 前天21:54

说那么多。sing-box是啥，新协议吗

5楼 那山很优雅 前天21:54

singbox作者挺厉害的

6楼 Fightlee 前天21:55

黑猫白猫
能抓老鼠的就是老猫

vless vmess
能上网的都是好猫

7楼 HOH 前天21:56

良好的协议设计是只设计框架（定义接口/定义字段）而不关心其内容

8楼 你看起来真好笑 前天21:56

呆呆的游客 发表于 2023-12-23 21:54
说那么多。sing-box是啥，新协议吗

类似于clash和xray这种内核

9楼 rammiah 前天21:56

现在有什么新协议？sing-box只是内核，跑的协议还是trojan，vless那些啊

10楼 yexm0 前天21:59

所以现在游戏UDP处理得最好的依然是SS.大神就是大神.

12楼 Slotheve 前天22:00

可笑, 他自己的sb搭ss有些客户端无udp, v2和xray都有udp, 一模一样的加密, 一模一样的客户端配置, 一模一样的tcp+udp, sb就是有些客户端无udp, 搞得他很nb一样。
爱用什么协议我的自由, 而且我看他的内核和xray一样一样, 无非多支持了几个纯udp协议, 多了几个没几个人用的特性, 就牛逼哄哄的。

13楼 牛毛党 前天22:01

SB有什么协议是自己的，就是个重新制造轮子的大杂烩。

14楼 魔法师 前天22:04

然而绝大部分机场依然是ss简单粗暴 反正套个前置落地不过墙

15楼 Slotheve 前天22:05

SB有什么协议是自己的，就是个重新制造轮子的大杂烩。

对, 就重新整合了一下, 多了些无所谓的特性, 他就觉得自己很nb

16楼 maxkvm 前天22:07

openvp n还能丝滑使用呢！说它过时的都是纯小白

17楼 Gobala 前天22:16

sing-box兼容多协议，还能和xray一样分流，感觉还是挺好的

18楼 LYCX2015 前天22:22

我还在用SS

19楼 枝江小狼王 前天22:29

坚持SS一百年不改变

20楼 牛毛党 前天22:32

singbox作者挺厉害的

除了吹牛逼没啥用，就是个缝合怪而已，不信你问问他有啥自己的原创？

22楼 hkc 前天22:35

sinbox挺好的，还有neko系列客户端，支持的多，而且简单稳定

23楼 保安 前天22:44

sing-box确实强 看不下去评论区有些人

24楼 pag 前天22:46

还是喜欢SS协议，机场也优先选SS协议的

25楼 NEXT666 前天22:53

建议楼主还是取消投票，这种有争议的撕逼贴一直被顶没啥意义，两边都是大神，mjj对这个深入研究的应该也不多

26楼 kpain 前天22:58

ss 全称叫什么 忘记了 SSR ?

shadowsocks ，原作者在美国呢，推偶尔发发游戏

27楼 hcyme 前天23:00

shadowsocks还行

28楼 Slime 前天23:00

文人相轻是常态，反而你在这里拱火就不对了，想再搞一次SSR事件？

29楼 binggo 前天23:02

这个作者，谁都喷，最先喷的是v2rayng的作者

30楼 sbrvnc 前天23:04

你想坚守防火墙不让啊，道高一尺魔高一丈，打一枪换一炮

32楼 haoren8 前天23:10

33楼 李时珍 前天23:23

都是有个性的开发者

34楼 Troo 前天23:34

有缺点，但目前就是可用性较强的

35楼 zaojiapai 前天23:39

sing-box就搞好自己的东西 看看sing-box发展时间有几年了，用的人还是那么少

36楼 ximomo 前天23:42

缝合怪，喷这个喷那个，自己又没给出什么新东西

37楼 dawnz 前天23:47

sing-box写的也一般，nekobox作者都喷了好几次了，发pr也不合并。

38楼 heiheihei 前天23:48

这作者被r大喷过。一个自以为是的家伙。没啥原创。

39楼 太阳照耀万物 昨天00:04

坚持SS一百年不改变

ss怎么搭建呀？我搭的ss一天就被墙，套tls直接不能用

40楼 130ta0d 昨天00:16

能用的协议就是好协议

42楼 huanx 昨天02:02

看来MJJ 对这一块还是很懂得. 如果vless真的很烂 那麻烦创造出比他更好的东西..

43楼 nttstar 昨天02:21

shadowsocks ，原作者在美国呢，推偶尔发发游戏

不知道还有几个人记得他当年也是玩黄油汉化黄油的…

44楼 ProphetN 昨天02:58

sb这个作者真的有点sb了，喷被伊朗识别我真的有点蚌埠住了

https://github.com/XTLS/Xray-core/discussions/2281#discussioncomment-6374198

reality被伊朗防火墙识别都已经是老新闻了。伊朗对SNI额外做了IP接入量的设置，否则就会遭遇QOS。不过这个应该只是运营商行为，不是墙。

但凡有点正常逻辑，偷大厂SNI，被不知名VPS托管。然后还只有几个IP接入，每天保持大量的长连接。这协议一旦用户上来，简直和送人头没啥区别。

说实话这么离谱的协议能被设计出来。RPRX的东西我是一概敬而远之，又菜又爱装。

45楼 uoox 昨天05:36

SingBox作者说的可能真没啥问题，哈哈。不过还是感谢这些开源开发者作出的贡献，就事论事就好。

46楼 一顷地 昨天07:23

太阳照耀万物 发表于 2023-12-24 00:04
ss怎么搭建呀？我搭的ss一天就被墙，套tls直接不能用

用ss过墙你不是找封嘛，当然要转发

47楼 adef_1 昨天07:26

吃屎的嫌拉屎的不够优雅？sb修不完的bug三天两头刷版本，还怼别人？sb的开发者鼻孔朝天一幅恨不得把别人都踩在脚下的样子，low逼得很。

48楼 heiheihei 昨天07:45

ProphetN 发表于 2023-12-24 02:58
https://github.com/XTLS/Xray-core/discussions/2281#discussioncomment-6374198

reality被伊朗防火墙 ...

来。你这么懂。你写个比这个更好的协议出来？

49楼 lev1ne 昨天08:20

https://github.com/XTLS/Xray-core/discussions/2281#discussioncomment-6374198

reality被伊朗防火墙 ...

那推荐啥协议吖？Trojan还是Hysteria2嘛？

50楼 陈然172 昨天08:22

现在在用的juicity最稳定，原来的tuicv5和hy2总会是不是的出点问题
当然，线路好的用naive也不错

52楼 cxx 昨天08:45

终局是自己写一个协议 不要公开就能稳定运行

53楼 iks 昨天09:07

唉世界猫，唉 mjj

54楼 muyijiang 昨天09:29

希望singbox作者能写出新的安全的协议

55楼 jamesbonde 昨天09:29

好的东西往往是最差的

56楼 啤酒瓶 昨天09:39

那个什么R，XTLS出来的时候狂吹，后来不行了又对reality屎吹
恶心的是，为了说明自己的优越性，还出个工具证明trojan有问题

reality偷证书，鬼知道是不是抄袭的shadow-tls的idea

57楼 wxcszh123 昨天10:09

看看分析

58楼 zihhw 昨天10:11

能用的协议就是好协议

59楼 ahleang 昨天10:18

rn安装vless+ws油管速度只有几千，安了h2和tuic。速度至少上5W

60楼 entropy 昨天10:32

哪天试试singbox

62楼 一身惆怅 昨天11:47

协议的消亡和新生，都是常理
还是顺其自然吧，我对 vless 没什么特殊的好感

63楼 xiaodunzi 昨天12:50

64楼 taoqi 昨天13:21

文人想轻，嗯，技术这东西其实是能分出高下的，不爽，可以自己写一个，输出那么多，有用吗？？？这点我就比较喜欢隔壁：“今天又造了个轮子，欢迎star”。

65楼 fengyaochen 昨天13:45

还在用ssr

66楼 makenosense 昨天14:01

作者貌似修改文章承认自己不足了：

由于我的 Blog 原始文件托管在 GitHub pages 上，推送到个人仓库后上一篇文章立即被相关人士扩散并引发争议，并被指出内容存在错误。

事后，我与该作者进行了交流，也重新分析了相关协议，所以我在这里分享我的改正的对 VLESS 协议的新的理解。

由于有好事者盯着我的个人仓库看，我已经将其转为 private，且也不会删除上一篇文章，留作参考。

我上一篇文章写：

Xray 对 UUID 使用了 ReadFull，这意味着 VLESS 可能并没有与 Trojan 相同的探测保护，向其发送 1+15
字节后停止，服务器长时间等待将会成为特征。

但这是错误的，由于我简易检查时忽略了 Xray 代码的复杂度，没有发现外部再次嵌套了缓冲区再次进行了处理，这也是他在频道中唯一反驳我的。

关于 VLESS 的设计，我曾以为如此设计必然不会主动宣传，然而我确实在文档中发现了作者对此的解释。
version

“协议版本”不仅能起到“响应认证”的作用，还赋予了 VLESS 无痛升级协议结构的能力，带来无限的可能性。 “协议版本”在测试版本中均为 0，正式版本中为 1，以后若有不兼容的协议结构变更则应升级版本。

VLESS 服务端的设计是 switch version，即同时支持所有 VLESS 版本。若需要升级协议版本（可能到不了这一步），推荐的做法是服务端提前一个月支持，一个月后再改客户端。VMess 请求也有协议版本，但它的认证信息在外面，指令部分则高度耦合且有固定加密，导致里面的协议版本毫无意义，服务端也没有进行判断，响应则没有协议版本。Trojan 的协议结构中没有协议版本。

总结：VLESS 具有无痛升级协议结构的能力、无限的可能性、同时支持所有版本；VMess 请求也有协议版本，但毫无意义；Trojan 的协议结构中没有协议版本。

67楼 大炮 昨天14:08

很好用啊。

68楼 rammiah 昨天14:27

ss怎么搭建呀？我搭的ss一天就被墙，套tls直接不能用

是你国内连接用的，过墙不能用，都是中转用ss

69楼 rammiah 昨天14:29

那个什么R，XTLS出来的时候狂吹，后来不行了又对reality屎吹
恶心的是，为了说明自己的优越性，还出个工具 ...

确实找出来trojan的问题了啊，检测工具就在放着，事实胜于雄辩

70楼 960105 昨天14:34

rammiah 发表于 2023-12-23 04:56
现在有什么新协议？sing-box只是内核，跑的协议还是trojan，vless那些啊

Trojan不是早被识别了吗

72楼 sbrvnc 昨天15:17

kpain 发表于 2023-12-23 22:58
shadowsocks ，原作者在美国呢，推偶尔发发游戏

cowwiny实现了他自由美国梦，当初离开时候他想自由的写代码，拉开民间对抗墙的序幕

73楼 init6 昨天15:17

以前我说过不要对低龄机场有什么过分期待。
对开发者其实也差不多。
喜欢看撕逼的另说。

74楼 xiuuscv 昨天17:39

ProphetN 发表于 2023-12-24 02:58
https://github.com/XTLS/Xray-core/discussions/2281#discussioncomment-6374198

reality被伊朗防火墙 ...

请先区分被精准识别和无差别屏蔽。伊朗是后者，与是不是大站sni，和使用什么协议完全无关，用这个来抨击别人的协议不搞笑吗？或者按这个逻辑，哪个协议没有被伊朗“识别”？都是nc250呗

75楼 ProphetN 昨天17:51

请先区分被精准识别和无差别屏蔽。伊朗是后者，与是不是大站sni，和使用什么协议完全无关，用这个来抨击 ...

都已经跟你解释过检测成本有多低廉了，大厂SNI+不知名托管IP，这个特征比他R某人之前提到的指纹特征不明显一万倍？

他R某人吹牛说Trojan能被POC精准识别，现在一年过去了有用吗？那个识别就很搞笑，对比浏览器指纹和Trojan客户端指纹。Trojan用的GO网络库，其它客户端，比如Surge用的iOS标准网络库。根本就不是一个东西，最终结果也就是Trojan客户端不是浏览器客户端，这不是对比了个寂寞？

76楼 ProphetN 昨天17:53

那个什么R，XTLS出来的时候狂吹，后来不行了又对reality屎吹
恶心的是，为了说明自己的优越性，还出个工具 ...

他R某人吹牛说Trojan能被POC精准识别，现在一年过去了有锤子用吗？那个识别就很搞笑，对比浏览器指纹和Trojan客户端指纹。Trojan用的GO网络库，其它客户端，比如Surge用的iOS标准网络库。根本就不是一个东西，最终结果出来最多也就是访问终端应用不是浏览器，这不是对比了个寂寞？

不知名小站+单一IP大流量长连接，这个最大的特征无法解决，整体纠结什么指纹之类捕风捉影的东西。指纹真有那么高识别几率，为什么到现在还没出现之前ss和vmess重放漏洞级别的杀灭效率？他R某人倒好，直接偷大厂SNI，生怕特征不够明显，主动脑门贴字……

77楼 wherl 昨天19:11

说那么多，自己完善或者写一个完美的协议出来啊，嘴上功夫算什么

78楼 diocat 昨天19:28

批判了这么多，但是reality目前跑大流量就是不会被封

你sing-box缝合了这么多东西扩大知名度，反过来攻击他们这么烂，除了缝合以外singbox还创造了什么玩意？

79楼 FranzkafkaYu 昨天19:38

ProphetN 发表于 2023-12-24 17:53
他R某人吹牛说Trojan能被POC精准识别，现在一年过去了有锤子用吗？那个识别就很搞笑，对比浏览器指纹和Tr ...

你真的有去看过POC吗，“对比浏览器指纹和Trojan客户端指纹”，你自己看看你这说的些什么，批判人家之前先把基础打好可以么

80楼 nmdwsm 昨天19:57

万元申万的

82楼 阿键 昨天21:21

我目前一直用vless，我不怎么玩游戏的，目前感觉没什么问题。

83楼 YakaMiraris 昨天21:58

不管怎么说，我VLESS+XTLS-Vision+Reality半年多用下来就是非常稳定可靠

84楼 hcyme 昨天22:01

VLESS+XTLS-Vision+Reality没什么感觉，部署还方便，就是不能链式代理，

85楼 ProphetN 昨天23:13

你真的有去看过POC吗，“对比浏览器指纹和Trojan客户端指纹”，你自己看看你这说的些什么，批判人家之前 ...

你要不要再看看？对比的不是握手包长度？批判我之前你能不能先搞懂这个POC？搞笑。

该程序在 127.0.0.1:12345 接收 TLS 流量，并用 非 常 廉 价 的方式检测出其中的 Trojan 代理。

设置浏览器的 HTTP 代理至 127.0.0.1:12345，观察该程序的输出。
设置 Trojan 链式 HTTP 代理至 127.0.0.1:12345，观察该程序的输出。

https://github.com/XTLS/Trojan-killer/issues/6#issuecomment-1586118256

就是看握手的时候传输数据的大小
upcount 650 ~ 750
downcound 170 ~ 180 or 3000 ~ 7500

https://github.com/XTLS/Trojan-killer/issues/4

这篇issue的作者反馈，他使用Rust编写的Trojan代理，只有10%-20%的检测成功率。所以完全是一个过拟合出来的东西。

再者，使用Trojan官方客户端作为代理的本身就极少，更多的是Clash、Surge之类的。而且这个对比仅限于浏览器和Trojan，很离谱的，不应该对比普通Go语言应用程序和Trojan吗？

这也就是Naive作者所说，如果关键问题是客户端指纹，那应该完全内置浏览器的连接栈。哪怕是uTLS也不能避免这个问题，甚至反过来会成为更明显的特征。

更何况我也从结果反推了，他R某人说这个检测握手包长度的方法成本低廉到可怕，并且准确率吓人。问题就是现在已经过去大半年了，还是没有出现针对Trojan协议的大规模封禁，如同当初Vmes出现重放漏洞一样。真当方院士不上Github是吧？

反正我只想跟R某的拥趸说一句，他的任何协议都没有被机场使用过。小圈子自娱自乐的东西，就别碰瓷ss、Vmess、Trojan这种被机场采用过的协议了。

86楼 NEXT666 昨天23:55

ProphetN 发表于 2023-12-24 23:13
你要不要再看看？对比的不是握手包长度？批判我之前你能不能先搞懂这个POC？搞笑。

好奇问下，除了hy2,tuic这两个quic的，现在自建节点的主流不就是vless reality吗，套cdn的话选择可能多点

87楼 cdn5 6小时前

vless协议不咋滴，现在基本不用这个了吧

88楼 kingground 5小时前

那个什么R，XTLS出来的时候狂吹，后来不行了又对reality屎吹
恶心的是，为了说明自己的优越性，还出个工具 ...

XTLS一开始不太成熟，但有了Vision加成后抗检测能力大大增强

Reality是否存在漏洞还不好说，但不可否认的是人家一直在调整方向，并不断进步，相比其他协议VLESS还是最实用的

89楼 msbtx 5小时前

理念不一样，rprx是hacker的思路，世界是想抽象大统，但是真正搞起协议来，真没那么容易抽象，各个细节在不同的场景下表现都不一样

90楼 yaa 2小时前

融合怪而已，全身没一个协议原创。

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。