目录
一,Xray-core新协议Reality
为了应对 TLS in TLS 和指纹识别等阻断或封禁的风险,Xray-core 团队推出了 Vision 和 Reality 两种新颖的技术方案。它们能够有效地隐藏和保护流量的特征,提高安全性和稳定性。如果您想了解更多关于 Vision 和 Reality 的详细信息。
如果用 REALITY 取代传统的 TLS 服务,可以消除服务端 TLS 指纹特征,同时保留前向保密性等功能,证书链攻击也无效。这样的安全性超越了常规的 TLS。
使用 REALITY 可以指向别人的网站,无需自己购买域名和配置 TLS 服务端,更为方便。同时,实现了向中间人呈现指定 SNI 的全程真实 TLS。
通常用于代理的目的,目标网站最低标准是支持 TLSv1.3 和 H2 的国外网站,域名非跳转使用(主域名可能被用于跳转到 www)。加分项包括:目标 IP 与代理 IP 相近(更像,且延迟低),在 Server Hello 后的握手消息中一起加密(如 dl.google.com),有 OCSP Stapling。
在配置方面,禁止回国流量,并转发 TCP/80 和 UDP/443 等端口(REALITY 对外表现为端口转发,目标 IP 冷门或许更佳)。
REALITY 也可以搭配 XTLS 以外的代理协议使用,但不建议这样做,因为它们存在明显且已被针对的 TLS in TLS 特征
REALITY 的下一个主要目标是“预先构建模式”,即提前采集目标网站特征,XTLS 的下一个主要目标是 0-RTT
REALITY 不支持套CDN。
二、搭建
wget -P /root -N --no-check-certificate "https://raw.githubusercontent.com/mack-a/v2ray-agent/master/install.sh" && chmod 700 /root/install.sh && /root/install.sh
三、REALITY 的设计哲学
- 在设计上就把安全等级拉满,限制人的可控范围,最大程度降低人为因素的影响
- 信任服务端,客户端不可信,甚至默认客户端持有的节点信息全泄露了
- 服务端对客户端是有选择的,比如拒绝版本过低的 Xray-core 连接,防止过时的客户端实现不当害了服务端,比如指纹过时
以后服务端还可以带信息给客户端,告知客户端有新版了/告知客户端版本过低,要求更新,否则多长时间后不再支持
以上部分内容来自 XTLS/REALITY README和RPRX issues区回答
其他一件脚本
除了xray以外,还有其它一些常用的代理工具,比如Shadowsocks/V2ray/Trojan/WireGuard等,可以作为xray的备用选择。
具体搭建流程可以参考: