前言

我们都知道, 普通的 TLS 代理的一个重要弱点就是各种加密进行套娃,虽然加密包的外观让防火墙无法进行分辨,但是加密套娃无可避免的一个点就在于,它会在每个包都增加一个数据包头,那加密的层数越多,包的头也会越多,这个增量虽然不大,但这个数据可能具有某些统计学的一些特征。

额,那若是发现这个特征嘞,是的,那 TLS 的代理也就不太安全了。

想当初,RPRX 发布了 XTLS,而 XTLS 其主要原因就是为了减少额外的加密,在 TLS 代理的特征被暴露以后,Xray-core 1.8.0 马上推出了新的流控 —— Vision,至此,当使用 Vision 传输 TLS1.3 的数据时,99% 的数据包,几乎拥有完美的流量特征,因为他是原始数据,没有经过任何的加工。

然而在此之外,今年的三月,Xray-core 1.8.0 又进一步推出了 REALITY 协议来取代传统的 TLS 服务,这样可以消除服务端 TLS 的指纹特征,仍然具有前向保密性,而且证书链也是攻击无效,那这样安全性的确就超越了常规的 TLS,关键可以指向别人的网站,所以无须自己购置域名,布置证书等,而且,不必使用 VPS 的 443 端口,所以,的确是方便和安全了不少。甚至,在我自己长达半年的使用过程中 Reality + Vision,没有出现任何问题,延迟、速率也是很不错。

视频演示:

准备工作

1、VPS 一台,新手请重置好主流的操作系统(CentOS / Debian / Ubuntu)

2、找到目标指向网站

  • 要求支持 TLS 1.3 ,H2 连接 (不明白 请看视频 或是博客下面文章)

3、Reality GitHub:点击访问

搭建 Reality

安装所需组件

以下命令,请根据自己的操作系统作出选择

安装 X-ui

因为原版的 X-UI 已经很久没有更新和维护了,以下的 X-UI 为改版,来自 GitHub :点击访问

更新频率更高,推荐大家使用。

设置 X-ui 面板

找到左侧面板设置,记录 “面板 url 根路径” ,以后访问 X-ui 面板的地址为 http://ip:端口/面板url根路径

如何寻找 TLS1.3/H2 的网站

目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用

加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling

配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)

可以使用这个网站:点击访问 ,来寻找 TLS1.3 / X25519 / H2 的指向站点,更多注意事项,请看 本期视频

也可以使用这个网站:点击访问 ,来查询目标网站是否支持 OCSP Stapling (加分项而已,不支持也没有太大关系

注意:大家代理出现问题,第一个需要检查的是目标网站是否存在问题!!!!!!

部署 Reality 节点

创建 Reality 节点还是很简单的,如下图,更多注意事项请看 本期视频

开启 BBR 加速

以下 BBR 加速,请自选一种

1、系统自带 BBR 加速

2、BBRplus 加速

客户端下载:

参看官网github  https://github.com/XTLS/Xray-core

后记

有了 X-ui 面板,可视化的搭建 Reality ,也是极为方便,而且这种协议也是目前来说比较安全的代理方式之一,不需要自己购买的域名,可以有效的去除普通 TLS 代理过程中的一些特征。

但是互联网没有绝对,无非也就是矛与盾之间的较量,只是在目前来说不容易被封 IP 和端口。

若是你问我,是不是推荐所有人都来使用它,其实我不推荐,这只是一种方法,若是你自创的一种方式能长期稳定的使用,那么我不推荐你进行更换,就和 XTLS 官方所说:“把所有的鸡蛋都放在一个篮子里是十分危险的,我们鼓励大家善用每个工具的特性,分散特征”。

比如:NaiveProxy、魔改的 Shadowsocks,MITM 代理 等等。我个人觉得,越少冷门越好。

Related posts:

4 条评论

    1. Author

      你好,感谢反馈,刚刚进行了修复,请再次查阅

  2. 还是得大佬你这个可选域名 昨天找了几个域名都搭建失败

    1. Author

      得谢谢波仔大佬,他分享的办法真的很好用

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注