reality的潜在针对方式
#5606
-
|
最近在通过xray手搓链式代理时注意到中转的节点如果没有启用routeOnly,这是xray的默认行为,会导致落地的reality无法连接,具体表现为:
由此不难发现一个可能低成本屏蔽reality的方案,防火墙依托本就有的,针对是sni的嗅探/DPI,重新解析后重定向流量到真实服务器.这个过程只需要针对tls1.3操作,最小化了误伤.对于非reality的tls1.3连接来说,这个操作理论上不会导致任何问题(否则默认有sniffing的xray早就应该把大家的tls1.3炸光了) 虽然没有实测,但是理论上可以很方便的依托xray新实现的tun来做一个上述方案的本地验证, |
Beta Was this translation helpful? Give feedback.
Answered by
RPRX
Jan 25, 2026
Replies: 1 comment
-
|
这样的话 GFW 实际上变成了正向代理,需要先终结并重新协商 TCP,对正经运营商来说会导致用户遇到一些问题且增加了网关的成本
|
Beta Was this translation helpful? Give feedback.
0 replies
Answer selected by
RPRX
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
这样的话 GFW 实际上变成了正向代理,需要先终结并重新协商 TCP,对正经运营商来说会导致用户遇到一些问题且增加了网关的成本
当初就担心 GFW 会这样做所以就有了 SpiderX 然而文档至今没写