|
发表于 2023-12-24 23:13:47
|
显示全部楼层
本帖最后由 ProphetN 于 2023-12-24 23:35 编辑
你要不要再看看?对比的不是握手包长度?批判我之前你能不能先搞懂这个POC?搞笑。
该程序在 127.0.0.1:12345 接收 TLS 流量,并用 非 常 廉 价 的方式检测出其中的 Trojan 代理。
设置浏览器的 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。
设置 Trojan 链式 HTTP 代理至 127.0.0.1:12345,观察该程序的输出。
https://github.com/XTLS/Trojan-killer/issues/6#issuecomment-1586118256
就是看握手的时候传输数据的大小
upcount 650 ~ 750
downcound 170 ~ 180 or 3000 ~ 7500
https://github.com/XTLS/Trojan-killer/issues/4
这篇issue的作者反馈,他使用Rust编写的Trojan代理,只有10%-20%的检测成功率。所以完全是一个过拟合出来的东西。
再者,使用Trojan官方客户端作为代理的本身就极少,更多的是Clash、Surge之类的。而且这个对比仅限于浏览器和Trojan,很离谱的,不应该对比普通Go语言应用程序和Trojan吗?
这也就是Naive作者所说,如果关键问题是客户端指纹,那应该完全内置浏览器的连接栈。哪怕是uTLS也不能避免这个问题,甚至反过来会成为更明显的特征。
更何况我也从结果反推了,他R某人说这个检测握手包长度的方法成本低廉到可怕,并且准确率吓人。问题就是现在已经过去大半年了,还是没有出现针对Trojan协议的大规模封禁,如同当初Vmes出现重放漏洞一样。真当方院士不上Github是吧?
反正我只想跟R某的拥趸说一句,他的任何协议都没有被机场使用过。小圈子自娱自乐的东西,就别碰瓷ss、Vmess、Trojan这种被机场采用过的协议了。 |
|