目前兼具主动探测+指纹的是不是只有 naiveproxy?

稳定爬墙还是 udp ，不是千人骑的，udp 存活率超高

udp 主要是容易 qos 非常容易 很多地区运营商都会对晚高峰 udp 做限制 部分地区移动直接 ban udp

顺便给自用鸡场打个广* aHR0cHM6Ly9nby5odXl1bi5pY3UvIy9yZWdpc3Rlcj9jb2RlPXlsTGU3WUtC

我用的 naiveproxy+国内中转，vps 上用 iptables 做了白名单，只允许国内中转机 ip 访问。

最后那行 DROP 规则能看到很多访问请求，不知道是不是在 GFW 探测。

@fisherwei 电脑和手机用的啥客户端啊

放主动探测基本都有了好吧，无论是 Nginx 前置还是 Nginx 后置都可以，至于指纹嘛，uTls 了解一下。除了这些，你可能还需要解决 tls in tls 以及坊间的 AES 指纹。

看到有人说 gRPC+TLS 指纹伪装就行，不知道是不是真的

还得是 ipv6+udp ，一天跑两三百 g 都无事发生

@FranzKafka95 活捉大佬哈哈哈哈哈

ipv6 加 udp 确实可以

看看 stunnel 怎么做的，目前用的 verify = 2 。不怕中间人。

https://www.stunnel.org/howto.html#authentication

How does stunnel check certificates?
Stunnel has 3 methods for checking certificates, which are controlled by the verify option:

Do not Verify Certificates
If no `verify` argument is given, then stunnel will ignore any certificates offered and will allow all connections.
verify = 1
Verify the certificate, if present. * If no certificate is presented by the remote end, accept the connection. * If a certificate is presented, then * If the certificate valid, it will log which certificate is being used, and continue the connection. * If the certificate is invalid, it will drop the connection.
verify = 2
Require and verify certificates Stunnel will require and verify certificates for every SSL connection. If no certificate or an invalid certificate is presented, then it will drop the connection.
verify = 3
Require and verify certificates against locally installed certificates.

@FranzKafka95 解决是没这个水平了哈~~
想问一下大佬有现成的解决方案吗?我只会部署.....

xtls-rprx-vision 流控，需要用最新版 xray-core ，还没正式发布
https://github.com/XTLS/Xray-core/releases
https://github.com/XTLS/Xray-examples/blob/main/VLESS-TCP-XTLS-Vision/

@wangyu17455 IPV6 裸奔明文都没人管
SOCKS5 移动直接不加密裸奔好久了，屁事都没有
IPV6 目前还是几乎自由的

@fisherwei 这些 drop 的 ip 能不能做个 list 发一下？

@zxsa 感谢,客户端有支持的吗

@jasonselin 好熟悉的 ID,大佬你好

@jsjcjsjc 有以下方案可以尝试一下:1.udp 类的比如 Hysteria 与 tuic 等，如果本地运营商没有 Qos 还是不错的。2.传统的 tls 加密类试试在客户端开启 utls 3.服务侧 IP 白名单 4.可以试试*ray 的 xtls-rprx-vision 流控，同事客户端开启 utls. 5.避免 arm 设备让使用，如手机，路由器等

@FranzKafka95 #6

大佬能否解释一下，所谓的“AES 指纹”指的是什么？

我在一些地方看到过这个说法，大概说是通过机器学习的手段，能够根据密文检测出不同的 AES 实现，甚至能具体到 CPU 型号或是库版本

但是没有看到过相关的原理解释。按理说不同的 AES 实现，对于相同的输入和参数，最终输出都是相同的（实现正确的前提下），不同的只有效率。所以很难想象如何从中提取出特征为 GFW 所用

@jsjcjsjc #17 qv2ray ，v2rayN ，v2rayNG

ipv6 明文也自由？随便找个境内能访问的境外有 http 服务的 ipv6 地址，试试发送 Host 为 www.google.com 的 http 请求？难道不会 reset 吗？

curl -6 -i -H "Host: www.google.com" www.cloudflare.com

@heiher 嗨嗨嗨
MacBook-Pro ~ % curl -6 -i -H "Host: www.google.com" www.cloudflare.com

HTTP/1.1 409 Conflict
Date: Sat, 10 Dec 2022 07:58:55 GMT
Content-Type: text/plain; charset=
Content-Length: 16
Connection: close
X-Frame-Options: SAMEORIGIN
Referrer-Policy: same-origin
Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Server: cloudflare
CF-RAY: 7774702f1e7c0cdf-LAX

@hqt1021 没有过透明代理吧？:P 看来墙的位置确实后移了，我这移动宽带如果加 google.com 的 Host 则 100% Reset 。

@heiher 联通也不行 user@homelab:~# curl -6 -i -H "Host: www.google.com" www.cloudflare.com
curl: (56) Recv failure: Connection reset by peer

@FranzKafka95 udp 主要暂时没 cdn ，cf 不能用…… v6 的欧洲机不用 cdn 几乎没速度家里宽带

移动顺便推荐一个 v6cf 优 IP ，ping 35ms
正在测速 2606:4700:a0::
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
20 818M 20 168M 0 0 27.8M 0 0:00:29 0:00:06 0:00:23 28.5M

@FranzKafka95 我是咱群的 jason lin 啦~

@heiher 奇了怪了
MacBook100%复现
其他的设备就不行

@hqt1021 如果确认没有透明代理的话，有一种可能是因为 GFW 并没有在 tcp 流重组后做内容搜索，而是独立检查每个分片，macos 由于某种原因使得 host 落在两个分片中，从而匹配不上。