返回列表 發帖

SS 與 IPv6

想請教如果我個 ss 只可以行 ipv4,而 BigSix 果邊行ipv6,會吾會有問題出現?

回復 1# milanolarry

CHing,你那里开始有IPV6 IP?

TOP

本帖最後由 tomleehk 於 2018-2-13 00:25 編輯

第一個難題
How do i reach IPv4 addresses from an IPv6-only network?
https://serverfault.com/question ... n-ipv6-only-network

坦白講, 要花d時間研究下點解決
可能要研究吓ISP支唔支援 6to4 tunneling, DDNS支唔支援ipv6等等

TOP

其實吾關用吾用到既問題,而係睇翻 ss 個 log ,不時會發現一 d 異常。有時響 B6 連線翻老家既時候,發現同一個 request,香港果邊會收到兩次,而兩次係來自吾同既 v4 IP,但第一次就一定會係 wrong password 又或者 wrong encrypt method。要到第二次先冇問題,仲係來自我 B6 既 v4 IP。我問過人,有人認為可能係因為 B6 果邊用緊 ipv6,所以想問o下係咪真係會有問題。其實E個問題前排都響 E 度問過,不過冇乜人回。但係近幾日,我突然有一個想法,想講出黎睇下各位有識之士有乜意見。有冇可能第一次既 request 其實係來自 GFW,目的係 hack ss server。同一般 hacking 吾同, e 種 hack 法只會在用家使用時進行 (會難察覺好多),就算用左 white list 可能都防佢吾到。   其實19大果排,國內已經聽到吾少人話 v2 用 ss 都用吾到,連自已都連吾到老家個 ss server,即係話牆叔好有可能已經有能力分辨出 ss 既 traffic,只不過基於某種原因而投鼠忌器。

TOP

本帖最後由 tomleehk 於 2018-2-14 02:22 編輯

仲用緊舊版OTA ?

为何 shadowsocks 要弃用一次性验证 (OTA)
https://blessing.studio/why-do-shadowsocks-deprecate-ota/
根据流加密的这个特性,坏东西们就可以通过伪造 TCP 数据包来主动探测 shadowsocks 服务器了。攻击者只要暴力尝试修改加密后的数据包中 IV 之后紧接着的那个字节(如果使用的加密算法 IV 长度为 16 字节,那么就修改第 17 个字节),穷举 2^8 = 256 种可能性,如果被测试的服务器有一种到三种情况下没有立即关闭连接,就可以判断出这台机子的这个端口开放的是 shadowsocks 服务。或许这种主动探测方法正在被 GFW 大规模应用,谁知道呢?你正在使用的原版 shadowsocks 代理随时有可能被封锁。


不過其實如果擔心牆嘅試探, 最好用新版ss-server加埋用web-server 做obfs
https://github.com/shadowsocks/simple-obfs
Coexist with an actual Web server
# suppose you have an HTTP webserver (apache/nginx/whatever) listening on localhost:8080 and HTTPS on 8443
# (you probably shouldn't expose these ports)
obfs-server -s server_ip -p 80 --obfs http -r 127.0.0.1:8388 --failover 127.0.0.1:8080
obfs-server -s server_ip -p 443 --obfs tls -r 127.0.0.1:8388 --failover 127.0.0.1:8443

TOP

本帖最後由 milanolarry 於 2018-2-13 23:46 編輯

我個 server 應該係用緊 OTA 出現前既版本 ,係咪就咁用 apt-get update 定要成個 ss 重新裝過先得?
B6果邊 port 80, 443同 8080 封左喎,要特別伸請先有得開,仲可以用 HTTP 做掩護咩?
另外,如果我既情況好似上文既描述咁,佢理論上一早就知我部機係ss,但除左19大果排之外,我又冇話用吾到。

TOP

本帖最後由 tomleehk 於 2018-2-14 10:11 編輯

其實shadowsocks-libev 由v3.0開始放棄咗用OTA, 改咗用AEAD, HK ss-server, 原則上update個ss package就得, 當然最好重新setup一次

B6果邊只喺封左  port 80, 443同 8080 (入) 呀嘛 ?
如果B6果邊封左  port 80, 443同 8080 (出) 你點上網睇網頁  ?
obfs 喺响HK ss-server嗰邊搞, 所以B6果邊無封port 80, 443同 8080 (出) 就得

如果要外加 obfs coexist with an actual web-server, 當然要自己起一隻web-server
參考
https://zengwh.com/blog/shadowsocks-with-obfs/
https://dcamero.azurewebsites.net/shadowsocks-simple-obfs.html
https://ttz.im/2017/08/1415
目標: obfs server 會視乎收到嘅嘢分流,收到B6果邊用ss-client(密碼正確)就可以正常分流去ss-server成功翻牆,其他收到嘅嘢會分流去web-server,例如喺B6果邊用瀏覽器打開網址只會看到web-server提供的內容,實現ss-server同web-server同port偽裝。

如果HK server嗰邊可以做到日日自動轉ip,日日走鬼就仲理想

利申:lede平台,ss-server行obfs plug-in mode, port 443, http 偽裝, web server用lighttpd


另外,翻牆渠道要幾時整頓,幾時唔整頓,有幾大力道,完全B6話事,而家我都奇怪ovpn,pptp呢d仲間聽到有人話仲work

TOP

我是用v2ray里的SS和vmess,效果非常好!特别是vmess。

TOP

本帖最後由 milanolarry 於 2018-2-14 21:12 編輯

吾該 Tomleehk 兄
角色兄,有冇不時睇下 v2ray 個 log 有冇異常呀?
自已始終對 v2ray 吾多信任。另外係發現響 Android 度 Actinium  同 ss 撞,裝左一個就用吾到第二個。

TOP

回復 9# milanolarry

我用container安装,都不知道在哪里看个log?

TOP

返回列表