【政治无关】我很喜欢一个台湾程序员

永安二胡，一个台湾程序员，会拉二胡，从小和父亲学的吧【听过他们父子合奏】。
我自己是不会二胡的，但是很喜欢听，我想因为我觉得是民族乐器，所以很喜欢吧。我也喜欢古筝和琵琶
相比较钢琴一个键一个音。我觉得二胡这类无品乐器有更好的音域。可以演奏的音乐富有感情很多。
当然了，小提琴也同样的道理。

我推荐些他的作品给大家
千本樱，超越时空的思念，骑士王的荣耀
风居住的街道，美丽的神话
权御天下，天空之城
牵丝戏，大鱼，画心
雨碎江南，let it go
极乐净土，红颜旧
妖精的尾巴 主题曲
琵琶语，匆匆那年

太多了。。。
我印象中，台湾的同胞，保留着华夏的文明和文化，是传统的继承人
二胡，作为传统华夏乐器，在台湾一代代传承，父传子，薪火相传

除了他会二胡，还是一个程序员！！！

===================================
正文开始

第一阶段，翻墙使用的是hosts修改，很简单的技术【通过境外DNS得到真实IP写到hosts文件】
但是记录太多了，我开始找解决办法
第二阶段，我开始使用别人的PAC文件，把PAC里的域名提取，自动生成hosts文件
第三阶段，开始使用火狐的DoH，TRR开到3，直接翻墙【品葱可以】
第四阶段，VOA，Wikipedia这是写SNI拦截的，所以使用了ESNI翻墙
第五阶段，开始研究蓝灯源码，但是发现github的源码是老的太旧了
但是作者貌似很良心，把核心代码lampshade开源了，貌似有维护！
所以，我是根据蓝灯来翻墙的。很多人觉得蓝灯的VPS在阿里云上不放心
那么，我建议你要么在自己的vps上部署lampshade吧，然后密钥用自己的配置文件也可以自己生成！
划重点，lantern的核心在config.yaml文件里，通过rot13加密
再划重点，蓝灯的流量控制，使用mac来识别的，你可以和我一样，没事就改自己的电脑mac地址来无限免费用
第六阶段，看完了lampshade以后，我对数据加密和数据混淆有了概念，开始进一步阅读SS源码
为什么不推荐SSR源码，因为他们告诉我SSR没有AEAD功能
我看了SS的源码，重点部分就是加密那部分，主要看的AES128-GCM和chacha20-poly1305两个算法
如果大家是iPhone，我建议不要手机翻墙
如果大家是安卓，建议三星吧。。。其实也不建议手机翻墙
关于协议，我建议AES128-GCM，然后开AEAD！！！chacha20这个其实是给ARM这样的CPU准备的
但是现在的新款手机CPU，已经有AES硬件加速了，所以还是无脑用AES128-GCM
GCM这个后缀，你们必须记住，别问为什么，我解释起来要很久
必须AEAD，必须AEAD，必须AEAD。解释起来，很复杂，虽然我很想解释AEAD

第七阶段，我想再看个v2ray，看看有什么改进。我的性格就是这样，喜欢找些竞品，去分析各个产品的优势和劣势！找到最合适的。我感觉v2ray和ss比，基本差不多其实，大家的思路是一样的，但是v2ray代码框架设计好很多，更适合扩展。

那么思路是什么呢？思路都是把自己伪装成正常的HTTPS流量，然后用到了websocket代替VPN传数据
websocket的数据，用AEAD加密，加密算法是AES128-GCM，同时会签名，防止篡改
重点在于流量混淆，增加了自己的RTTI，ACK，空包，设计基本和Google的QUIC协议差不多
打算重点讲这个的，但是大家估计听着很枯燥，QUIC这个其实UDP模拟TCP的很多设计，同时在协议里增加了DTLS 1.3

第八阶段，熟悉了协议混淆的相关代码以后。我开始思考学习加密算法。
我第一反应就是把OpenSSL的代码下下来，但是发现这个代码好大，没有看的头绪。
我就去看chrome的SSL实现。我找到了LibreSSL源码，根据这套代码，我学完了Chacha20-poly1305的aead算法
我讲解下，有两个过程，一个是加密seal，一个是解密open。两个过程看一遍就OK了！
同时，libressl有一套自己的X509.3实现！！！
但是，chrome自己在调用libressl的时候，传了自己的X509.3处理函数指针到LibreSSL里
我分析，chrome对TLS连接使用了线程池，这些线程池会处理X509.3
所以性能更好，是多线程处理，而用默认的LibreSSL是单线程，阻塞的！！！

第九阶段，我开始学习TOR，流量匿名【前面分别是流量混淆和流量加密】。最开始下了TOR Browser代码，打开以后就是火狐源码。。。我已经有了
后来，我就看了TOR的源码，单独的！！！另外是看了meek bridge源码
TOR是可以单独工作的，所以不是说TOR必须是浏览器，其实TOR可以做HTTP代理服务器用
这里额外提一下，lantern除了支持HTTP代理，也支持socks5代理，socks5除了支持http
也支持tcp和udp

很想解释下TOR的安全性，以后解释吧///

我谈下meek网桥，obfs4没读，问我，我也没法给你们解答相关问题
meek网桥，我感觉是不安全的，建议大家别用
其实我觉得meek网桥，SNI阻断，真的是轻而易举。。。

第十阶段，很多web上不去，其实开了ESNI就可以解决，但是很多web是TLS1.2，所以上不去。
但是我可以修改浏览器的TLS解析部分，绕过SNI校验，但是不安全。。。
说到这里，X509.3证书一直没有和人说
我想说，我把火狐的CFCA证书禁用了，建议大家也禁掉，否则你们被中间人攻击了，你们都不知道！！！
火狐，chrome，windows，android，ios这些证书管理都是独立的



先说这么多吧。obfs4的代码是python写的，pyptlib里实现
meek是go写的，goptlib里实现
ptlib表示pluginable trangsport的lib
pluaginble trangsport 我理解是可插拔传输层，这个在lantern里也有的概念
用来流量混淆用的，可以不用。反贼建议使用

TOR目录下的代码是流量匿名用的

关于神经网络来识别流量特征这个事情，我觉得就是扯淡！！！
建议大家看看罗森林的文章，识别混淆流量，误杀率太高了。还不如用量子计算破解密钥现实些！！！
说实在的，我感觉用量子算法Shor去找密钥的私钥是很高效的，但是我方向是gover算法，shor算法不是我涉及的领域。。。