免费SS | 加入收藏 | 设为首页 | 我要投稿 | 赞助本站 | RSS
 

freefq.comfree——免费、自由fq——翻墙

困在墙内,请发邮件到freefqcom#gmail.com获得最新免费翻墙方法!
点击→开始SSL加密访问本站→https://www.freefq.com免费翻墙网
您当前的位置:首页 > 网络安全

Shadowsocks各分支的安全性

←分享
时间:2016-09-28  来源:  作者:breakwa11 ★推荐请点击G+1→

这里要说的安全性并不是指密码学上的那种,而是在防探测,防流量识别并阻断上的安全性(也许算隐匿性?),所以主要针对的就是服务端。现在服务端的版本主 要有以下这几个分支:shadowsocks-libev,shadowsocksR-python,shadowsocks- python,shadowsocks-go,libQtShadowsocks。而其它的分支用的人太少,所以我也没有去研究代码。NAF免费翻墙网
NAF免费翻墙网
在说这个问题之前,首先要提及一点:TCP是流协议,你需要假设它可能在任何地方被拆分开,后面内容过一会儿才收到。服务端在设计的时候应该遵守以上这点来设计协议或设计其行为。NAF免费翻墙网
NAF免费翻墙网
目前主要在使用的协议,一个是原始协议,另一个是OTA协议,现在分别说说这两协议在各分支上的实现。以下内容为截止到20160921时的各分支的实现情况,若将来各分支修正了,那么以修正后的情况为准,下文仅以此作为示例说明。NAF免费翻墙网
NAF免费翻墙网
针对原始协议,截止到本文发表前,在IV的部分实现有问题的分支为shadowsocks-python,libQtShadowsocks。首先它们的 实现总是假设第一个TCP包一定能收到完整的IV,事实上如果第一个TCP包被拆开,那么会导致shadowsocks-python解密错误(使用了错 误的IV)而断开连接,而libQtShadowsocks则直接整个服务端程序crash退出(数组越界断言)。在IV之后的协议头部分实现有问题的, 除了shadowsocks-go是实现正确以外,其它分支(包括SSR)全都实现错误了,也就是说如果协议头部分的包如果被拆开,除了 shadowsocks-go还能正常连接外,其它的全部都会断开连接。估计是最早的时候服务端某个分支是这么写的,然后其它分支都用相同的逻辑来写,导 致全错了。NAF免费翻墙网
NAF免费翻墙网
对于原始协议的安全性,它无法防止CCA攻击,也就是说总是可以有办法通过足够次数的主动探测从而确认这是SS服务器。尽管如此,各分支实现的细节还是有点差别。首先,在OTA协议出现之前,我写了一篇文章来 说明这种攻击的可行性,并在之后给出了具体的攻击代码,在这个时候起码还是需要穷举至少256次来确认的,不过对于shadowsocks-libev需 要更多的次数以绕过它的IV buffer以便使其重复IV检测失效,不管怎么说检测的代价还是比较大的,很多人怀疑这个检测代价太大,某防火墙应该是不会这么做的。但是后来,在 OTA协议出现之后,各分支都在跟进,因为它能防止CCA攻击,理论上的安全性的确提升了,但现实是,除了shadowsocksR-python分支的安全性没有下降,所有其它分支的安全性全部严重下降! 我确实想不明白为什么大家都要这么实现,难道是因为shadowsocks-libev是这么写,所以大家都那样写么?现在各分支的实现,只要不是强制使 用OTA协议(即同时支持原协议和OTA协议的情况下),要主动检测它是不是SS服务器,下降到基本上只需要16次连接来确认了,这导致这个主动探测攻击 进入了非常实用的阶段,我觉得这太可怕了,于是之前写了一段仅针对shadowsocks-go的检测代码, 演示了最多只要32次连接就成功检测这是不是shadowsocks-go,而且能连同IV长度一并检测出来(如果IV已知那只要16次连接来确认),而 且理论上还能检测出它是不是仅支持OTA或两协议都支持。现在的各SS分支的实现确实安全性非常差,除非强制开启OTA,否则只要是兼容原协议,16次试 探就能定位封锁,问你怕不怕。NAF免费翻墙网
NAF免费翻墙网
针对OTA协议,实质就是在原始协议的头部,添加一个标志位,以及末尾添加SHA1-MAC,而其它从客户端发向服务端的数据包,均添加包的长度及 SHA1-MAC。对于这个协议的实现,shadowsocks-libev及其它大部分分支均假定第一个数据包必须包含整个带了SHA1-MAC的头 部,否则断开连接。这样做没有安全性上的问题,但违反了TCP协议的行为规则。这方面同样也只有shadowsocks-go遵守了TCP协议的行为规 则,但是却留下了安全性上的问题,导致OTA并没有对其产生安全性上的提升,相反的导致了更容易被检测的问题,成为了目前各分支里安全性最弱的分支。NAF免费翻墙网
NAF免费翻墙网
总结,如果你用的是还不支持OTA的服务端,那么你应该庆幸,还不至于太糟糕, 否则如果你用的是支持了OTA但不是SSR的服务端,那么你必须开启OTA,或等待服务端修正这个问题再用,否则你的服务器和等着被封没有区别,看你运气 了。当然如果你如果用SSR的服务端,那么你应该使用auth_sha1_v4协议保证其安全性(或至少也要 auth_sha1/auth_sha1_v2,具体细节差别不在本文展开了)。混淆就无所谓安全性了,按需要来就好,设置plain亦可。NAF免费翻墙网
NAF免费翻墙网
感谢阅读,欢迎评价,有误请指出。NAF免费翻墙网

来自https://breakwa11.blogspot.com/2016/09/shadowsocks.htmlNAF免费翻墙网

顶一顶请点击右边G+1

分享到:

来顶一下
返回首页
返回首页
欢迎评论:免登录,输入验证码即可匿名评论 共有条评论
用户名: 密码:
验证码: 匿名发表

推荐资讯

Secure VPN – A high speed, ultra secure VPN
Secure VPN – A high
Inf VPN - FREE VPN直接下载链接
Inf VPN - FREE VPN直
Xndroid:基于XX-Net与fqrouter的代理软件
Xndroid:基于XX-Net与
VPN Turbo免费无限流量VPN代理网络加速器
VPN Turbo免费无限流量
相关文章
栏目更新
栏目热门

翻越防火长城,你可以到达世界上的每一个角落!

Across the Great Firewall, you can reach every corner in the world!

管理员精中特别提醒:本网站域名、主机和管理员都在美国,且本网站内容仅为非中国大陆网友服务。禁止中国大陆网友浏览本站!若中国大陆网友因错误操作打开本站网页,请立即关闭!中国大陆网友浏览本网站存在法律风险,恳请立即关闭本站所有页面!对于您因浏览本站所遭遇的法律问题、安全问题和其他所有问题,本站均无法负责也概不负责。

本站严正声明:各位翻墙的网友切勿将本站介绍的翻墙方法运用于违反当地法律法规的活动,本站对网友的遵纪守法行为表示支持,对网友的违法犯罪行为表示反对!

网站管理员定居美国,因此本站所发的翻墙软件及翻墙方法都未经测试,发布仅供网友测试和参考,但你懂的——翻墙软件或方法随时有可能失效,因此本站信息具有极强时效性,想要更多有效免费翻墙方法敬请阅读本站最新信息,建议收藏本站!本站为纯粹技术网站,支持科学与民主,支持宗教信仰自由,反对恐怖主义、邪教、伪科学与专制,不支持或反对任何极端主义的政治观点或宗教信仰。有注明出处的信息均为转载文章,转载信息仅供参考,并不表明本站支持其观点或行为。未注明出处的信息为本站原创,转载时也请注明来自本站。

鉴于各种免费翻墙软件甚至是收费翻墙软件可能存在的安全风险及个人隐私泄漏可能,本站提醒各位网友做好各方面的安全防护措施!本站无法对提供的翻墙软件、应用或服务等进行全面而严格的安全测试,因此无法对其安全性做保证,无法对您因为安全问题或隐私泄漏等问题造成的任何损失承担任何责任!

650 Castro Street, Suite 120-219 Mountain View, CA, USA, 94041

知识共享许可协议
本作品采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。