Clicky

一个头铁的使用腾讯云扶墙的思路

众所周知腾讯云的香港轻量应用服务器性价比高,线路好,价格24元/月,给30M带宽,如果用来扶墙非常舒服,类似的还有一些国内商家开设的一些性价比高、线路好的VPS。一切都很美好,但素,有一个致命问题,就是如果腾讯云有心分析你的流量,是非常容易获取你的秘密的。

默认情况:直接使用腾讯云轻量出口

1、例如你在本地访问google.com,本地Xray客户端(vmess协议,aes-128-gcm加密后,又使用TLS可靠信道)加密后,传输到腾讯云轻量服务器,此时Xray服务端会将访问数据解密,此时如果在腾讯云轻量服务器上抓包,虽然不容易发现你在访问google的什么内容,但可以分析到你在访问google.com。

上图方式搭建后,本地PC访问google,在轻量服务器使用tcpdump抓个包,看看是否有google相关数据,如下图

看,轻松获取你访问过的网站。

Nginx跳板:轻量服务器做跳板,在落地机上解密Xray数据

使用这种方式,本地和Nginx间配置TLS可靠信道过墙,然后转发流量到落地机Xray服务端,而后解密数据转发到目的网站。在轻量服务器上虽然经过TLS解密,但仍然存在vmess的aes-128-gcm加密,可有效防止抓包解密流量,且你转发的地址是落地机地址,通过这个地址并不能分析出什么有效信息。

配置实践

  1. 采用Xray vmess+ws+tls方式搭建
  2. 需要两台服务器,一台为线路好的中转机,一台为非国内商家的落地机

1、首先在中转机配置Nginx,同时申请证书,配置ws转发

首先安装Nginx,然后申请证书,下面贴出Nginx配置文件

server { 
listen 80;
server_name yourdomain.com;
rewrite ^(.*)$ https://$host$1 permanent; 
}
server {
listen 443 ssl http2;
server_name yourdomain.com;
root /usr/share/nginx/html;
index index.php index.html;
ssl_certificate /etc/nginx/ssl/fullchain.cer; 
ssl_certificate_key /etc/nginx/ssl/private.key;
#TLS 版本控制
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5';
ssl_prefer_server_ciphers on;
# 开启 1.3 0-RTT
ssl_early_data on;
ssl_stapling on;
ssl_stapling_verify on;
#add_header Strict-Transport-Security "max-age=31536000";
#access_log /var/log/nginx/access.log combined;
location /atrandys {
proxy_redirect off;
proxy_pass http://落地机IP:11234; 
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $http_host;
}
location / {
try_files $uri $uri/ /index.php?$args;
}
}

2、在落地机搭建Xray,配置Xray接收中转机转发数据

贴出xray配置

{
"log" : {
},
"inbound": {
"port": 11234,
"listen":"0.0.0.0",
"protocol": "vmess",
"settings": {
"clients": [
{
"id": "2c484d24-fd10-42a9-88ea-8c04d53888a8",
"level": 1,
"alterId": 64,
"email": "[email protected]"
}
]
},
"streamSettings": {
"network": "ws",
"wsSettings": {
"path": "/atrandys"
}
}
},
"outbound": {
"protocol": "freedom",
"settings": {}
}
}

3、测试方案正常使用

配置实践详细步骤待补充,如有需要的话。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇