151

2022 常见翻墙协议测试

 2 years ago
source link: https://nekoquq.github.io/posts/0010.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

2022 常见翻墙协议测试

2022 常见翻墙协议测试
2022-03-07 / 猫村 あおい 🍭

简单测试一下

猫很久没有撞过墙了,而且有机场这种奇妙的东西,很少亲自过墙。但是为了留个备用(?)还是需要了解一下目前主要翻墙协议的存活情况。

TLDR: 以下协议全部能用,能用多久不知道,有主动探测,尽量不要用 SS / SSR / VMESS TCP,改用基于 TLS / QUIC 的。

时间:2022 年两会期间(今年两会似乎墙不算高)

设备:普通的 Android 手机

软件:Matsuri 0.3.4

客户端协议实现:

v2ray-core v5.0.3 & clash v1.9.0

  • Shadowsocks
  • Shadowsocks 流密码 / ShadowsocksR (v2+clash缝合)
  • VMESS
  • Trojan

Xray-core v1.5.3

  • VLESS

Naiveproxy v99.0.4844.51-1

Hysteria v1.0.1

服务端使用我猜最多人用的那个。

测试内容: GMS 后台连接、Chrome 浏览网页、 Youtube 视频、 Telegram 聊天

  1. 本猫完全不懂理论,纯属乱测,有搞个大新闻的嫌疑。
  2. 测试时间较短,可能不具有代表性。
  3. 测试内容纯属随机,完全没有控制变量。
  4. 本文内容不适用于机场用户,但不代表机场喜欢用的 SS / SSR 入口在墙内就不会被识别。
  5. 个人立场:目前应该使用基于 TLS / QUIC 的代理,淘汰 SS / SSR / VMESS 等 TCP 代理。

Shadowsocks AEAD

服务器:shadowsocks-libev

正常使用,出人意料的快。

但是很快就有奇妙的重放包来了:

ERROR: crypto: AEAD: repeat salt detected
ERROR: failed to handshake with (IP): authentication error

看见主动探测马上拔线,不测了,睡大觉。

出现这个之后很快就断了,等候一会重连后还能用。

Shadowsocks 流密码

连接正常,速度正常。

也没有任何提示,真是玄学。

ShadowsocksR

服务器:shadowsocksR (py2万年版)

几分钟之后被阻断,等候一会重连后还能用。

服务器没有显示日志。

VMESS AEAD

服务器: v2fly/v2ray-core

(IP) rejected common/drain: common/drain: drained connection > proxy/vmess/encoding: invalid user > replayed request

出现这个之后很快就断了,等候一会重连后还能用。

WS+TLS

不会断,速度正常,就是 mux.cool 有亿点问题

某些人说 mux.cool 垃圾,不要开,我觉得你如果能接受延迟超级加倍,那也好。

VMESS MD5 TCP

alterId > 0

虽然是已淘汰的配置,但和 SSR 一样现在还有非常多人在用

proxy/vmess/encoding: Critical Warning: potentially invalid user: a non VMessAEAD connection is received. From 2022 Jan 1st, this kind of connection will be rejected by default. You should update or replace your client software now. This message will not be shown for further violation on this inbound.

然而用了一会并没有断。

VLESS

R 主席我好想你啊,您那高调的宣传,指点江山的样子,还有优秀的 Xray-core,真是令人着迷,好想再聆听您的谆谆教诲,Xray 还没成为终极方案,为什么您就失踪了呢

高级协议

用的是不知道哪里来的一键脚本装的 VLESS over TCP with XTLS + 回落 & 分流 to WHATEVER(终极配置)

不会断,速度正常,就是 XTLS 不支持 mux,延迟有点高。

不会断,速度正常。

Trojan

服务器: v2fly/v2ray-core

不会断,速度正常。

trojan-gfw 好惨,两边都是 v2ray(

NaïveProxy

不会断,速度正常。

可惜不支持转发 UDP 流量

Hysteria

不会断,速度较快。

2202 年了,主动探测已经非常普遍了,如上文所写,服务器日志里总能看到一些奇妙的中国 IP 在连接不久之后出现,非常恶心心。

要避免主动探测,最好还是 L7 的应用前置,如用 caddy / nginx 转发,把代理藏在某个 path 或者 password 后面( 所谓 ws+tls+nginx 还有 naiveproxy 就在干这种事情 )。而 SS / SSR / VMESS TCP 这种工作在 L4 的代理就比较难对抗主动探测了,所以不建议使用。

世某: ss 裸奔又不是不能用

Hysteria UDP 跑这么快,不符合平时「UDP 容易被 QoS」 的直觉,可能是因为去年扩容了?

但是 UDP 还是能封的,比如 wireguard 回程全丢包(去年这个时候似乎还没有),比较好奇这是在哪个层面实现的喵(

另外 SS / SSR 在处理 UDP 流量时,是向服务器的同一个端口发送 UDP 包的,这种同端口 TCP 1:1 + UDP 的流量是否为一个非常明显的特征?

写翻墙协议的人可能要注意一下,你写的东西火了就可能被机场拿去做后端,可能出现许多不听话的修改版和一键脚本。很显然,任何协议不可能永远是完美的,以后如果要淘汰什么禁用什么,就没这么容易了,而且还会折腾下游开发者,所以设计之初就要想好来,必要情况可以留一些后门(各种意义上的)。

  1. 审查者多少知道你在翻墙。
  2. 上面的许多协议是使用 Go TLS 的,其指纹仍然没有遭到封锁。
  3. 本次测试没有出现「封端口」的情况,可能是因为测试时间不够长,但主动探测和 TCP 连接阻断已经可以说明「墙觉得你在翻墙」了。
  4. SS / SSR / VMESS TCP 裸奔虽然已经被识别,但是或多或少还能用,封锁的力度可能受人为因素影响。

Links

本博客所有文章除特别声明外,均采用 CC BY-NC-SA 许可协议。
本文链接:
https://nekoquq.github.io/posts/0010.html

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK