GitHub
VLESS protocol: Add Reverse Proxy (4) Command and extremely simple config by RPRX · Pull Request #5101 · XTLS/Xray-core
先前讨论:#5088 (comment)
反向代理(内网穿透),第一版先复用现有 reverse 的代码,未来肯定会 break,不保证跨版本兼容性,大白鼠们小白鼠们来试试吧
这个 PR 的目的就是为了让 Xray 更适合做反向代理 / 内网穿透,独特的优势是你可以直接复用拿来翻墙的那台 VPS、复用 REALITY 的抗量子加密且防封,因为 REALITY 不仅可以稳定地穿透 GFW,也...
反向代理(内网穿透),第一版先复用现有 reverse 的代码,未来肯定会 break,不保证跨版本兼容性,大白鼠们小白鼠们来试试吧
这个 PR 的目的就是为了让 Xray 更适合做反向代理 / 内网穿透,独特的优势是你可以直接复用拿来翻墙的那台 VPS、复用 REALITY 的抗量子加密且防封,因为 REALITY 不仅可以稳定地穿透 GFW,也...
VLESS Reverse Proxy / VLESS 反向代理(内网穿透)与极简配置
https://github.com/XTLS/Xray-core/pull/5101
VLESS NFT:https://opensea.io/collection/vless
Project X NFT:https://opensea.io/item/ethereum/0x5ee362866001613093361eb8569d59c4141b76d1/1
https://github.com/XTLS/Xray-core/pull/5101
VLESS NFT:https://opensea.io/collection/vless
Project X NFT:https://opensea.io/item/ethereum/0x5ee362866001613093361eb8569d59c4141b76d1/1
👍39🔥5❤3
Xray-core v25.9.11 正式版,支持 VLESS Reverse Proxy 极简配置
VLESS NFT 自成一个系列,每个图片都不同且只有一个,你可以选择自己喜欢的图片来收藏,先到先得
https://opensea.io/collection/vless 首发放出了二十个不同的 VLESS NFT 图片
本次还放出了两个稀缺的 Project X NFT,如果你有余力,请支持一下:https://opensea.io/assets/ethereum/0x5ee362866001613093361eb8569d59c4141b76d1/1
VLESS NFT 自成一个系列,每个图片都不同且只有一个,你可以选择自己喜欢的图片来收藏,先到先得
https://opensea.io/collection/vless 首发放出了二十个不同的 VLESS NFT 图片
本次还放出了两个稀缺的 Project X NFT,如果你有余力,请支持一下:https://opensea.io/assets/ethereum/0x5ee362866001613093361eb8569d59c4141b76d1/1
👍34❤9🎉4🔥3
Telegram
Project X Channel in Project X
要不我还是把这个许愿池删了吧,就个开放 padding 参数是什么了不起的东西吗,简直闹麻了,Vision Seed PR 两年了你猜我为啥没合
真的是受不了了,我说一下吧,看过五年前我写的 VLESS ALPHA/BETA 那些的话就知道 VLESS Flow 和 Seed 机制的设计理念就是自定义流量特征,这就是 VLESS 协议的本意,只是 GFW 没行动我也不想过早行动,并且 Vision 的协议设计并非是所谓的“写死的 padding 参数”,实际上代码中兼容任意 padding,不同实现的 padding 参数是否一致我们都不知道,只是没有开放用户配置(Seed)而已,Seed 也 PR 两年了我都没合原因之一就是不急,有针对的行动才会有更大的优势,不然你就成为被针对的那个了,就算推出了你现在就能实现不同的“不被封”的效果吗?还是说追求概念?就像 REALITY SpiderX 有几个人用过
👍36⚡9😁3❤1🎉1
看了很多 Go 的 Windows TUN 发现全是 wintun.dll,还以为有啥新方式结果跟四年前的 Xray-tun 一样,只能说是糟糕的系统要啥啥没有,没有 Splice 也没有 TPROXY,不过好像 WFP 可行
😁34⚡5👍4❤2
根据这次泄露出来的文件:
1. 实锤了 GFW 会采用安装根证书的方式对 TLS 流量 MITM,REALITY YYDS,赢!https://github.com/XTLS/REALITY
2. 实锤了 GFW 针对明文 HTTP 流量的分析、注入能力,Web-Panel Plain-HTTP,输!https://github.com/XTLS/Xray-core/pull/3884
3. 实锤了省墙等地区墙的存在 https://github.com/net4people/bbs/issues/254#issuecomment-1562817397
4. 实锤了 GFW 早就会针对翻墙的个人进行监控、追踪,而不一定直接封你 https://github.com/net4people/bbs/issues/254#issuecomment-1563161126
总是有人通过臆想来说 GFW 不会怎么怎么样什么的,不如想想为什么我要把协议设计成这样,为什么要防证书链攻击,为什么要防客户端配置泄露,为什么要防监控等,因为我们五年前就得到了很多内部信息,我也多次提过,所以后来我开发的协议全部都有针对性
总有人觉得没被封就等于协议是安全的,然后硬是在那里用不够安全的加密还沾沾自喜,比如中转 SS,或者 ShadowTLS+SS 什么的,殊不知老大哥在注视着你,那确实够“安全”的,还在用偷个客户端配置就能解密的“加密协议”,不知道在想什么,建议使用 VLESS Encryption https://t.iss.one/projectXtls/1020
1. 实锤了 GFW 会采用安装根证书的方式对 TLS 流量 MITM,REALITY YYDS,赢!https://github.com/XTLS/REALITY
2. 实锤了 GFW 针对明文 HTTP 流量的分析、注入能力,Web-Panel Plain-HTTP,输!https://github.com/XTLS/Xray-core/pull/3884
3. 实锤了省墙等地区墙的存在 https://github.com/net4people/bbs/issues/254#issuecomment-1562817397
4. 实锤了 GFW 早就会针对翻墙的个人进行监控、追踪,而不一定直接封你 https://github.com/net4people/bbs/issues/254#issuecomment-1563161126
总是有人通过臆想来说 GFW 不会怎么怎么样什么的,不如想想为什么我要把协议设计成这样,为什么要防证书链攻击,为什么要防客户端配置泄露,为什么要防监控等,因为我们五年前就得到了很多内部信息,我也多次提过,所以后来我开发的协议全部都有针对性
总有人觉得没被封就等于协议是安全的,然后硬是在那里用不够安全的加密还沾沾自喜,比如中转 SS,或者 ShadowTLS+SS 什么的,殊不知老大哥在注视着你,那确实够“安全”的,还在用偷个客户端配置就能解密的“加密协议”,不知道在想什么,建议使用 VLESS Encryption https://t.iss.one/projectXtls/1020
👍250❤23😁20👀18🔥5⚡3🎉1
Project X Channel
根据这次泄露出来的文件: 1. 实锤了 GFW 会采用安装根证书的方式对 TLS 流量 MITM,REALITY YYDS,赢!https://github.com/XTLS/REALITY 2. 实锤了 GFW 针对明文 HTTP 流量的分析、注入能力,Web-Panel Plain-HTTP,输!https://github.com/XTLS/Xray-core/pull/3884 3. 实锤了省墙等地区墙的存在 https://github.com/net4people/bbs/issues/254#issuecomment…
👍61😁23⚡3
Project X Channel
https://github.com/XTLS/Xray-core/issues/5066 REALITY 只有在收到可信证书时有这个 log,他又说不影响使用 身在辐中不知辐
群里讨论了安装根证书然后 MITM 的问题,并不是说 GFW 在无差别地干这件事,那肯定不可行,因为肯定还有没这个根证书的设备,附带伤害太高,有别的国家试验过了
但是这并不代表定向爆破不可行,比如说 GFW 偶尔挑一条连接来测试,发现连接没断就可以知道在某些连接上是可行的,有需要的时候再对你进行定向爆破
就像中转机场的威胁模型还停留在十年前的“GFW 只在边境”,实际上省墙识别不出 SS 吗?当然可以,没到非封不可的时候而已,现阶段来说拿你密码来解个密收益更高
就不要幻想 GFW 不能拿到你密码或者拿到你密码后不会解密这种事了,以后再多泄露点文件出来你直接成小丑,甚至如果把这两件事结合起来,先解密再 MITM TLS 都行
放弃幻想,直面现实,只要存在攻击的可能性就必然有对应的攻击存在,还是那张图 https://t.iss.one/projectXtls/1020
但是这并不代表定向爆破不可行,比如说 GFW 偶尔挑一条连接来测试,发现连接没断就可以知道在某些连接上是可行的,有需要的时候再对你进行定向爆破
就像中转机场的威胁模型还停留在十年前的“GFW 只在边境”,实际上省墙识别不出 SS 吗?当然可以,没到非封不可的时候而已,现阶段来说拿你密码来解个密收益更高
就不要幻想 GFW 不能拿到你密码或者拿到你密码后不会解密这种事了,以后再多泄露点文件出来你直接成小丑,
放弃幻想,直面现实,只要存在攻击的可能性就必然有对应的攻击存在,还是那张图 https://t.iss.one/projectXtls/1020
❤57👍15😁6🔥4
Project X Channel
下个版本预告:XTLS Vision Seed
关于 Vision Seed,其实我之前不确定要不要加个“预连接”功能,现在非常确定了,因为它可以把 TCP 握手延迟都给干掉,再结合 Vision 的自由 padding 可以先演一下,所以只有自带 padding 的协议适合这么干
这么多年了我发现推动人们换新技术的并不是加密多安全,而是“不被封”,就像如今直连机场大量上 REALITY,所以需要同时给用户一些“肉眼可见的好处”,不然很难推动
“预连接”不同于“maxConcurrency=1”的连接复用,它本质上还是多条 TCP 连接,同样是消灭了延迟,至少有助于防止运营商或 GFW 对持续时间长的 TCP 连接进行降级,至于流量总量还是很大,只能是加钱了
这么多年了我发现推动人们换新技术的并不是加密多安全,而是“不被封”,就像如今直连机场大量上 REALITY,所以需要同时给用户一些“肉眼可见的好处”,不然很难推动
“预连接”不同于“maxConcurrency=1”的连接复用,它本质上还是多条 TCP 连接,同样是消灭了延迟,至少有助于防止运营商或 GFW 对持续时间长的 TCP 连接进行降级,
👍68😁11❤7⚡4🎉3
Forwarded from Project X Channel
反正我觉得 Xray 第一个贡献就是破除了人们对于 v2ray 的封建迷信,Xray 出来那个年代似乎 v2ray 是什么精神图腾而不是代理软件,具体表现为实际做事的人没几个,指点江山的人一大堆,无论是否在 org 内
👍81😁14👀8⚡5🔥3
GitHub
TLS / QUIC 不应被继续视为可靠的加密方式,以及针对 TLS in SS/TLS 的复合式 MITM,最后对于 VLESS Encryption 的介绍 · Issue #526 · net4people/bbs
多年以来即使是金融级别的互联网应用也依赖于 TLS,致使我们认为 TLS 是足够安全的,而完全忽视了证书链攻击的风险,本文是为了敲响警钟 根据 #519 泄露出来的文件,可以看到 GFW 这类国家级别的攻击者确实尝试过通过大规模安装根证书的方式来进行 MITM,这便是 TLS 的根本弱点 针对此次泄露出来的文件,我在 Project X Channel 已有过一些解读,比如 https://...
https://github.com/net4people/bbs/issues/526#issuecomment-3309923969
好用爱用多用
我没有任何兴趣继续辩论任何东西,我也没有任何责任对可能的 MITM 负责,我不过是发表了我的看法,不认同就算了,仅此而已
不好意思喝晕了
好用爱用多用
我没有任何兴趣继续辩论任何东西,我也没有任何责任对可能的 MITM 负责,我不过是发表了我的看法,不认同就算了,仅此而已
❤28😁14👍8👀4
下个版本的 VLESS 反向代理(内网穿透)功能会默认传递访问者真实 IP、端口到内网端,还没想好改哪里,再结合内网端 Direct 出站已有的 proxyProtocol 选项可以选择性把它们传递给最终的应用程序
🎉66❤10😁3⚡2👍2