本帖最後由 kingwilliam 於 2019-10-1 09:35 編輯
回復 69# wingchai
先講總結:不安全
補充說明:牆可以有“被動式"和“主動式"探測 兩種。
“被動式探測":就是有數據包流過牆,牆可否確認數據是甚麼。(等同海關,有人出入關口才看看)
“主動式探測":就是主動偽裝自己去訪問伺服器是甚麼。(等同公安,收到海關資料,會主動出擊)
解說:“安全”可分兩種理解,(1)牆可否得知你是用甚麼工具翻牆,(2)牆可否看得到你在看甚麼內容。
先解說(2)如pptp vpn,很久前已給破解,只需輕易就可看到數據包內是甚麼,如你在看"a for apple, b for boy"牆都一清二楚。所以pptp在牆角度如同http沒分別。
所以先回答ss和openvpn可否在“被動式探測"看見甚麼內容?不能
同時ss和openvpn特徵非常明顯,所以可回答牆可否在“被動式探測"得知你在用甚麼工具?能
還有牆也可“主動式探測”, 因ss和openvpn伺服器都不能隱藏, 服務一定要直接連接互聯網, 所以牆只需問伺服器你是不是ss或openvpn?這時伺服器一定會回答“對!我就是”。這就不死才怪。
所以回應上面總結:不安全
彩蛋:現在openvpn 還是 verson 2.4.x, 如下個版本2.5.0開始會加入 plugin功能, 其中一個plugin就是 sni, 即如同偽裝 https. 到時就可張openvpn伺服器直接放在 reverse proxy 後(如 haproxy).(等同今天 openvpn over v2ray一樣) 需可隱藏openvpn身份, 但長期連接也會給牆發現。 |