史上最最最安全的个人自用留学方案，没有之一，先抛个砖

Tankie

概述：之前一直以为Trojan是完美的解决方案了，直到最近针对TLS的清网行动。之前没事在想TLS怎么才能更安全，还发过一个SB贴子，见：https://lilynana.eu.org/thread-1083134-1-1.html。

但后来，我想通了，我的想法并不SB，只是中间要加一层中间人劫持。


原理：
1，浏览器--------（完成TLS握手，解密http发给本地客户端）------本地客户端
2，本地客户端---------（完成服务器上正规网站tls握手，将解密的浏览器http数据发给服务器端）-----------服务器端
3，服务器端---------（服务器端用浏览器的http请求信息加上本地自已的tls握手获得数据）--------------目标网站
4，数据从服务器端一路回传。

其中经历了三次TLS握手，但在外面监控流量的来看，就完全是正常的一次https访问。除非大局域网不让用外面https,否则理论上不可能封。

实现起来，对于神通广大的MJJ应该不难。因为涉及到根证书的东东，理论上只能小部分群体自用。

我自己尝试着实现了下，用的mitmproxy + flask + requests，因为我只懂一点python皮毛，所以只能在一堆报错的情况下，勉强用用。期待大佬完善一下。

试了下测速，因为在尝试可行性，只试了下get，所以测速，只能成功运行单向。


如图的中间人截持百度：



最后，看有没有大佬完善下脚本。

1121744186

用不着那么麻烦， tls + 大流量 + AI 上网习惯   一下就实锤了，再给你弄个 用户画像 "上网代理惯犯" 重点给你添加点判断权重

Meocat

中间人劫持的方案是对的，只不过比较麻烦，没办法推广到机场

这样你访问网页的时候显示的应该都是你本地自签的证书，即使有一天真被中间人劫持了也看不出来

hitachi

以及，TLS 从来都不是最完美的解决方案，只能说是一种别无选择的方案。
TLS 设计之初就不是为了对抗审查。TLS 建立会话需要交换大量信息，而信息交换得越多，特征越明显。
所有代理全都套层 TLS 更是加剧了同质化。

理想的解决方案应该是，每个人都自定义一套自己的协议，避免同质化。
成千上万种千奇百怪的协议，我看你怎么封。

Akewa

楼下大神马上出现。

HOH

根本就不是那一回事瞎折腾

Tankie

HOH 发表于 2022-11-12 15:43
根本就不是那一回事瞎折腾

这个只是https流量的双重TLS问题，其它的自然转发就好。

有什么问题吗，大佬？

炒土豆丝

端口怎么选，五位数和443都会阵亡。

奧巴马

炒土豆丝 发表于 2022-11-12 15:46
端口怎么选，五位数和443都会阵亡。

那我六位数端口,无敌了吧.

主菜单

不是sing-box的很像

adminisd

根证书没必要，有根证书只是不报HTTPS不安全而已，v2ray忽略tls验证就行

Erik

先留帖

在慢慢看看