Skip to content
ssrlive edited this page Oct 28, 2022 · 100 revisions

SSRoT 概要

English tutorial

序言

好吧! 关心这个项目的人, 绝大部分懂中文, 咱也就不装了, 不飙英文了, 累.

据说 SSSSRGFW 精准识别了, 有2019年6月初的梯子大屠杀为证, 咱也没有必要去辨别真伪了, 此后 根本不重要 .

因为俺憋了个大招.

GFW 不是老在搞 深度包检测(Deep packet inspection, DPI) 吗? SS/SSRGFW 在这一点上斗了好多年, 我加点伪装, 你加大侦测力度, 我再加点混淆, 你再加点AI识别算法, 此消彼长, 犬牙交错, 无穷无尽. 看得人厌倦透顶.

咱不装了, 咱来真的, 我们给 GFW 带来全新礼物, 给 SSR 添加了 over TLS 特性, 用真的 HTTPS 数据包翻墙! 简称 SSRoT. 您 GFW 慢慢算去!

补记: 时维2019年10月2日, 经过空前严酷的 国殇 日前后的 GFW 封锁, 我本人没发现 SSRoT 运行状态有任何异常, 此前也只有一例电邮报告被墙, 具体原因估计是 GFW 针对某一网段的无差别封杀. 此外再无任何报告. 这证明 SSRoT 的越墙能力是毋庸置疑的.

补记2: 2020年2月1日, 新冠瘟疫 横行, 墙再次加高, SSRoT 依然从容穿越 GFW 向兲朝猪圈传递未经审查的自由资讯.

补记3:2020年5月10日,手贱测试了一把 python 版 SSR,发现 GFW 已经重点关注 python 版本,采用 http_simple 混淆,1小时后端口被封;采用 tls1.2_ticket_auth 混淆,挺不过 12 小时,整个主机 IP 被封,大伙赶紧转移到 SSRoT 上吧,迁移的时间窗口正在消失。

补记4: 2022年10月15日,在 GFW 大力屠杀 v2ray, xtls, trojan, xray...之际,各路翻墙软件鬼哭狼嚎哀鸿遍野,依然没有人报告 SSRoT 翻不了墙的案例,我自己的节点也稳稳地运行着。挺好。据说 SSRoT 帮助了伊朗人民的抗议活动,能为他们提供切实的帮助,作者非常开心。

在正式开始前, 介绍一个概念: 反向代理.

反向代理

反向代理Reverse Proxy)是指, 服务器 根据 客户端 的请求,从其关联的一组或多组后端服务器(如 Web 服务器)上获取资源,然后再将这些资源返回给 客户端客户端 只会得知 反向代理 服务器的 IP 地址,而不知道在 代理服务器 后面的 服务器 集群的存在。

前向代理不同,前向代理作为 客户端 的代理,将从互联网上获取的资源返回给一个或多个的 客户端服务端(如Web服务器)只知道代理的 IP 地址而不知道 客户端IP 地址;而 反向代理 是作为 服务端(如Web服务器)的代理使用,而不是客户端客户端 借由 前向代理 可以间接访问很多不同 互联网服务器(集群)的资源,而 反向代理 是供很多 客户端 都通过它间接访问不同 后端服务器 上的资源,而不需要知道这些 后端服务器 的存在,而以为所有资源都来自于这个 反向代理 服务器

bbbbb

举个例子,某用户访问 http://www.example.com/readme ,但是 www.example.com 上并不存在 readme 页面,它是偷偷从另外一台服务器上取回来,然后作为自己的内容返回给用户。但是用户并不知情这个过程。对用户来说,就像是直接从 www.example.com 获取 readme 页面一样。这里所提到的 www.example.com 这个域名对应的 web 服务器 就设置了 反向代理 功能。

hhh

反向代理 在现时的互联网中应用非常广泛。

SSR over TLS 原理

SSR over TLS (简称 SSRoT) 就是直接利用了 反向代理, 在现代 web 服务器( 比如 nginx, caddy, apache 等)上, 添加一条设置, 当 SSR 客户端向 web 服务器 以特定 URL 请求资源时, web 服务器 将这个请求直接转发到 SSR 服务器, SSR 服务器再将这条请求以约定算法解包后发送到 目标网站. 见下图.

Untitled

我们的目的是为了避开 GFW 的审查,当然不能明晃晃地使用 HTTP 明文传输,必须使用 HTTPS 协议进行加密通讯, 我们此前的努力就是伪装成 HTTPS 等协议, 这次我们不装了, 正式使用 HTTPS 协议, 与真正的带域名 和 网站数字安全证书的 web 服务器网站通讯, 这样, 你 GFW 没办法了吧?

当然, 我党 也不是完全没办法, 有几个:

  • 宣布 HTTPS 协议为反党反社会主义的反动协议, 必须坚决予以取缔. —— 你认为会有这么一天吗? 我认为不会, 这完全不具备可操作性. 比较有意思的是, 我党政府网站 以及一众徒子徒孙们, 全部是 HTTP, 而不是 HTTPS. 亦可赛艇.
  • 朝鲜 🇰🇵 看齐, 偌大中国只有几十数百个国外 IP 可以访问, 其它一概封杀. 那, 我也没办法了, 还翻什么墙啊? 我们 —— 被剥夺了基本 通讯自由 以至于上个破网都是犯罪的十几亿猪民 —— 是不是有比宅家里猥琐地偷摸翻墙更重要的事要做?

    拥有这数百 IP 管理权的 猪倌 们, 别犹豫, 赶紧把 SSRoT 部署起来, 这是你们一夜暴富的最后机会.

  • 加强 GFW 的识别算法, 当然努力的方向不再是 深度包检测, 而是 域名 字串特征 和 网站 内容判别了, 我党 甚至可能引入 社会工程学 手段进行人肉搜索来确定某人是否在翻墙. —— 这问题不属于本软件所能解决的范畴了.

    比如域名里出现了 FuckCCP 字样, GFW 肯定会判定为应该封锁的网站. 又如, 如果你网站只是简单的一个示例网页, 却每天有大量数据交换, 那就可以判定为翻墙站点了.

因此, 稳妥的做法是, 为你的翻墙站点, 注册一个 爱党爱国 的域名, 然后在这个网站上放置不算太少的 颂扬 我党 的文字, 图片, 视频 等, 或者干脆充斥着 娱乐至死 的游戏评测视频以及 吃喝玩乐 各种资讯, 等等. 这就伪装得差不多了, GFW 即使启用超强 AI 引擎运算, 应该也判别不出你到底在干嘛.

警告: 不要 放置 黄赌毒 以及 时政 内容, 在 我党 这种 婊子当惯、牌坊耸立 的绝世老流氓跟前,那是在 找死.

这项技术对于 外国 在华 记者 更是重大利好, 不用费劲吧啦地到处找翻墙梯子, 直接在 于中国可访问的 境外自家网站上的 web 服务器上添加一个 反向代理 特殊 URL 条目, 单独部署一 SSRoT 服务器, 就可通过 SSRoT 客户端访问墙外内容了.

SSRoT 技术关键点

  • 客户端是标准的 SOCKS5 服务器, 客户端 与远端 web 服务器HTTPS 协议通讯, 通讯内容是协商升级成 WebSocket 协议, 协商成功后, 就以 WebSocket 协议进行基于长连接的数据交换, 直到某一方关闭连接.

    WebSocket 简明教程

  • 交换的数据可经过 SS/SSR 加密算法处理, 甚至不用加密, 因为经 HTTPS 协议传输的内容, 包括请求路径URL, 数据等, 都是经过强加密的, GFW 破解不了, 即便 GFW 牛逼到真能破解了, 那 HTTPS 协议本身也就该升级换代了.
  • 充当 反向代理 的 web 服务器必须有正式的域名, 有真正的数字证书. 这些可以通过 freenom.comletsencrypt.org 免费付费 获得, 后续的安装教程有详细讲解.
  • 远端 反向代理 条目 URL 字串必须足够复杂, 足够随机, 以增加 GFW 穷举法猜算出来的难度. 一个随机生成的 UUID 字串就足够 GFW 喝一壶的, 况且我们也可以随时更换.
  • 远端 反向代理 服务器采用市面上常见的 web 服务器软件就可以, 没特殊要求. 这彻底杜绝了 GFW 的被动检测主动嗅探,因为网站是真实存在的,经得住 GFW 的各种威逼利诱。
  • 反向代理 web 服务器进行通讯的 SSRoT 服务器也是基于 WebSocket 协议, 然后它将数据解包后转发到用户试图访问的 目标网站. 在收到 目标网站 的反馈信息以后, 它 将信息进行 加密, 封包后, 以 WebSocket 帧 发送给 反向代理 服务器, 反代 原封不动 地 转发给 SSRoT 客户端.