【安全警报】V2Ray先后爆出两个巨大BUG,可导致精准识别

1、基于TLS的精准识别
https://github.com/v2ray/v2ray-core/issues/2509

仅凭tls client hello的cipher suite字段,就可以非常准确地将v2ray流量和正常浏览器流量区分开来。
v2ray-core已经在最新发布的4.23.2版本中修复此问题,电脑和手机端常用的v2rayn、v2rayng也发布新版。

2、VMess协议本身缺陷导致精准识别
https://github.com/v2ray/v2ray-core/issues/2523

此bug为协议设计问题。VMess协议可被GFW主动探测,请务必不要再使用裸VMess连接。


综上所述,如要继续使用v2ray,请使用最新版本并开启TLS加密
春夏之交的日子快到了,你懂的,,,
22
分享 2020-06-02

24 个评论

所以现在trojan是最保险的吗
感谢提醒,已更新
多谢提醒
在品葱就没必要再用暗示了吧.直接说两会64不就行了.
https://github.com/v2ray/v2ray-core 
是在这个地址下的嘛 但是新的里面没客户端啊
推荐一下naiveproxy https://github.com/klzgrad/naiveproxy

作者很早就意识到了这些问题,所以用的是TLS+chrome的协议栈
是在这个地址下的嘛 但是新的里面没客户端啊

https://github.com/v2ray/v2ray-core/releases
https://github.com/v2ray/v2ray-core/releases

为什么里面好多.go结尾的,然后没有exe程序可以启动的。。
软件更新版出来了,,,,,,,,,,,,,,
如何开启TLS加密??
为什么里面好多.go结尾的,然后没有exe程序可以启动的。。

下错版本了吧,v2ray-windows开头的才是win版本
更新core就行了,v2rayN自带更新选项
更新core就行了,v2rayN自带更新选项

V2rayN自带的是更新到4.22.1好像…
感谢提醒,已更新
V2rayN自带的是更新到4.22.1好像…

现在已经更新到最新的core了 4.23.3
@霏艺Faye 连 V2Ray 的底层协议都爆出这么严重的漏洞,不要轻易教那些没有计算机网络和密码学专业知识的新手开发翻墙工具了,这不是一般人能做的工作。
建议看看编程随想的博客,里面有详细介绍的翻墙的正确姿势。只依赖一种工具翻墙风险较大,不管这个工具是谁开发,就算是美国国家安全局开发的都不要以为高枕无忧。一定要多层防护!
美国情报部门也不志愿接手一下这几个Repo,有专业的维护肯定更有针对性。
霏艺Faye 图书管理员 回复 Resistance
@霏艺Faye 连 V2Ray 的底层协议都爆出这么严重的漏洞,不要轻易教那些没有计算机网络和密码学...


這個對我沒有影響。。。
因爲一開始,我就修改了那部分代碼。【出於安全考慮,刪了v2ray的大量代碼】

老代碼【我從一開始,就把CBC字樣的都刪了。所以對我沒有影響】
https://github.com/v2ray/v2ray-core/commit/e62e6608e1d8ad480de74e0d533601bc7bc4e075#diff-3428ac9cb9bec5ffd3d86205eeb9c1f8

新代碼【需要抓包對比一下和chrome的區別】
https://github.com/v2ray/v2ray-core/commit/524b2aca560d6c54ce9c2a9255b32a8566200f4d#diff-3428ac9cb9bec5ffd3d86205eeb9c1f8

我建議,修改成Chrome一致
參考代碼
https://github.com/google/boringssl/blob/e32549edf945287cb799c8deb5c2524eee527779/ssl/handshake_client.cc
函數 ssl_write_client_cipher_list

---------------------------------------------------
就是爲了預防這種情況,我才讓大家都自己寫代碼翻墻啊。。。
只有代碼沒有共性,才能防止被DPI啊




===========update1=============
這些bug對我都沒有影響
1. 我剛來品蔥就説了要用AEAD ,所以 CBC 相關算法我早刪了。第一個bug沒有影響到我
2. 我在“沉默的廣場”的水樓裏,就已經推薦使用socks5 over WSS了,所以第二個bug沒有影響到我
vmess的協議,我在“懦夫斯基”的水樓裏講解過了【我當時的結論:GFW可以把自己不認識的協議無條件封殺,所以我更推薦TLS】
我覺得如果老老實實把我發的文章都讀一遍,其實對現在的情況有幫助的!

我不想繼續參與翻墻相關的討論了。。。不要 at 我了。。。
到release页面可以看到最新的build.

嗯,找到了。在github页面有个releases才可以下到客户端 那么我下的core-master(包括里面各种.)是源代码是吧,我下了安装包是需要配置以后才会变成小图标那种客户端可是界面对吧。

要发言请先登录注册

要发言请先登录注册

发起人

迫真女装大佬。parody account

状态

  • 最新活动: 2020-06-03
  • 浏览: 8261