谷姐:我们都是谷歌迷
We are all Google fans

史上最最最安全的个人自用留学方案,没有之一,先抛个砖-Tankie

Rate this post

概述:之前一直以为Trojan是完美的解决方案了,直到最近针对TLS的清网行动。之前没事在想TLS怎么才能更安全,还发过一个SB贴子,见:https://hostloc.com/thread-1083134-1-1.html。

但后来,我想通了,我的想法并不SB,只是中间要加一层中间人劫持。

原理:
1,浏览器--------(完成TLS握手,解密http发给本地客户端)------本地客户端
2,本地客户端---------(完成服务器上正规网站tls握手,将解密的浏览器http数据发给服务器端)-----------服务器端
3,服务器端---------(服务器端用浏览器的http请求信息加上本地自已的tls握手获得数据)--------------目标网站
4,数据从服务器端一路回传。

其中经历了三次TLS握手,但在外面监控流量的来看,就完全是正常的一次https访问。除非大局域网不让用外面https,否则理论上不可能封。

实现起来,对于神通广大的MJJ应该不难。因为涉及到根证书的东东,理论上只能小部分群体自用。

我自己尝试着实现了下,用的mitmproxy + flask + requests,因为我只懂一点python皮毛,所以只能在一堆报错的情况下,勉强用用。期待大佬完善一下。

试了下测速,因为在尝试可行性,只试了下get,所以测速,只能成功运行单向。

如图的中间人截持百度:

最后,看有没有大佬完善下脚本。

热议
推荐楼 1121744186 昨天16:45

用不着那么麻烦, tls + 大流量 + AI 上网习惯 一下就实锤了,再给你弄个 用户画像 "上网代理惯犯" 重点给你添加点判断权重

推荐楼 Meocat 昨天16:30

中间人劫持的方案是对的,只不过比较麻烦,没办法推广到机场

这样你访问网页的时候显示的应该都是你本地自签的证书,即使有一天真被中间人劫持了也看不出来

推荐楼 hitachi 昨天20:43

以及,TLS 从来都不是最完美的解决方案,只能说是一种别无选择的方案。
TLS 设计之初就不是为了对抗审查。TLS 建立会话需要交换大量信息,而信息交换得越多,特征越明显。
所有代理全都套层 TLS 更是加剧了同质化。

理想的解决方案应该是,每个人都自定义一套自己的协议,避免同质化。
成千上万种千奇百怪的协议,我看你怎么封。

2楼 Akewa 昨天15:42

楼下大神马上出现。

3楼 HOH 昨天15:43

根本就不是那一回事瞎折腾

4楼 Tankie 昨天15:45

根本就不是那一回事瞎折腾

这个只是https流量的双重TLS问题,其它的自然转发就好。

有什么问题吗,大佬?

5楼 炒土豆丝 昨天15:46

端口怎么选,五位数和443都会阵亡。

6楼 奧巴马 昨天16:04

端口怎么选,五位数和443都会阵亡。

那我六位数端口,无敌了吧.

7楼 主菜单 昨天16:05

不是sing-box的很像

8楼 adminisd 昨天16:24

根证书没必要,有根证书只是不报HTTPS不安全而已,v2ray忽略tls验证就行

9楼 waini1110 昨天16:25

这不就是shadow-tls的原理吗,给中间人表演一次正常的TLS。

10楼 Erik 昨天16:25

先留帖

在慢慢看看

12楼 Meocat 昨天16:30

中间人劫持的方案是对的,只不过比较麻烦,没办法推广到机场

这样你访问网页的时候显示的应该都是你本地自签的证书,即使有一天真被中间人劫持了也看不出来

13楼 pjk 昨天16:32

你想到的镇写软件的能想不到?感觉是你不太懂

RN促销(11.13截至):
2022元旦活动款 1c,512M内存,流量1T(可翻倍) https://my.racknerd.com/aff.php?aff=4458&pid=620
双十一特价款 1c,1.11G内存,流量3Thttps://my.racknerd.com/aff.php?aff=4458&pid=687
其他:
1C/2.11G/21G/4T$17.11/YEARhttps://my.racknerd.com/aff.php?aff=4458&pid=688

高品质VPS推荐:

IDC.WIKI 9299https://idc.wiki/lndex.php?productid=2677
RCP 9299https://clients.rcp.net/aff.php?aff=2476
hosthatch https://cloud.hosthatch.com/a/2873
cloedcone https://app.cloudcone.com/?ref=7438

挂机跑流量:
https://traffmonetizer.com/?aff=156020
https://p2pr.me/164388387661fbad64a8b2c

14楼 Tankie 昨天16:34

中间人劫持的方案是对的,只不过比较麻烦,没办法推广到机场

这样你访问网页的时候显示的应该都是你本地自 ...

所以,我说自用啊,只会小部分人,小范围用啊。

另个,你自己加的根证书理论只有你知道,即使有被人劫持风险,第一步要别人知道你加的根证书啊,然后才能劫持。

对于个人来说,这个风险太低了吧。

15楼 SK_ 昨天16:41

我听说实际情况是因为两次tls握手特征造成的。tls in tls就会产生6次握手,而且特征明显,可以精确匹配。

16楼 Tankie 昨天16:44

我听说实际情况是因为两次tls握手特征造成的。tls in tls就会产生6次握手,而且特征明显,可以精确匹配。 ...

这个方案就是避免这个情况

完全正规合法的TLS握手,不含丝毫伪造,100% 保真

17楼 1121744186 昨天16:45

用不着那么麻烦, tls + 大流量 + AI 上网习惯 一下就实锤了,再给你弄个 用户画像 "上网代理惯犯" 重点给你添加点判断权重

18楼 昔洛z 昨天19:17

学习一下呢

19楼 yem 昨天19:29

反正我现在都拉cf 随便你们怎么封

20楼 Senly 昨天19:33

确实如推荐所说,也许真的有用户画像,我和我弟都是联通的宽带,在一个村,一样的鸡,一样的配置,他用得少,从来不阻断,一个ip没死过。我用的多,阻断严重的时候几分钟无限循环,ip偶尔会挂。

22楼 baby不卑鄙 昨天20:30

trojan封了两次443

23楼 Yzindex 昨天20:31

MITM 确实能解决 TLS over TLS 的问题,但却引入了额外的问题。
相对于 e2e,这种方案没法确认对端证书;使 ...

还有人记得GoAgent这玩意?
记得彼时连谷歌Play都用不了。

对技术这块不是很懂……
我现在电脑常用PHP代理。
应该就类似楼主说的这种技术。

24楼 hitachi 昨天20:43

以及,TLS 从来都不是最完美的解决方案,只能说是一种别无选择的方案。
TLS 设计之初就不是为了对抗审查。TLS 建立会话需要交换大量信息,而信息交换得越多,特征越明显。
所有代理全都套层 TLS 更是加剧了同质化。

理想的解决方案应该是,每个人都自定义一套自己的协议,避免同质化。
成千上万种千奇百怪的协议,我看你怎么封。

25楼 idc专业户 昨天21:04

呃,我都是3389直接来的,不玩这些虚的,

26楼 Tankie 昨天21:40

MITM 确实能解决 TLS over TLS 的问题,但却引入了额外的问题。
相对于 e2e,这种方案没法确认对端证书,还 ...

真大佬。

安卓端其实同样可以信任证书。

局域网或自身开个共享代理就OK了。

确实只能个人规模用,感觉在未来的环境下,准备一下还是极好的。

27楼 sah 昨天21:47

RDP是不是就不用这么折腾了,还是说只要外网流量大就容易触发强

28楼 terrytw 昨天21:50

你都不知道人家封锁的时候靠的是什么原理

29楼 miss8 昨天23:02

技术大佬啊,膜拜一下。

30楼 tkn 1小时前

骚操作,好炫酷。墙:什么?流量大,封了。

32楼 萌十七 半小时前

用不着那么麻烦, tls + 大流量 + AI 上网习惯 一下就实锤了,再给你弄个 用户画像 "上网代理惯犯" 重点 ...

ai上网习惯来讲解一下
根据出境流量大小来判断?判断什么?
我有点不理解

申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。

未经谷姐允许不得转载:谷姐靓号网 » 史上最最最安全的个人自用留学方案,没有之一,先抛个砖-Tankie
分享到: 生成海报

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

买Google Voice认准【谷姐靓号网】

Google Voice靓号列表Google Voice自助购买
切换注册

登录

点击按钮进行验证

忘记密码 ?

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活

点击按钮进行验证