简单来说,ss 的加密依赖密钥,而商家出于“某些原因”,让所有用户共用密码,仅通过 http-obfs 的头部来区分用户,例如花* 的 Sj10b****w6V29E ,奶 x 也一样, source
1. 影响是什么?
ss 的加密是一种无前向安全的加密,也就是说,只要取得这个密码,那么用户过去和未来的所有流量都可以被解密,
所有用户多年使用同一个密码的结果是,这些密码事实上已经公开,任何中间人只要想解密就可以轻松做到,
而一些事件可以证明,这件事大概率已经在做了。因为在知道密码的情况下解密 ss 流量所需要的算力,比起尝试中间人等行为需要的算力小太多了,没有理由不做。
一句话总结:你的上网行为正在裸奔。
2. 如何确定我正在用的服务是否使用公共密码
查看你的配置,大概是这样
password=Sj10bnYDe7w6V29E, obfs=http, obfs-host=1769524fc2.douyincdn.com
其中,password 是密码,而 obfs-host 前面这一串字符 1769524fc2 就是用户标识,
正常来说,应当通过 password 来区分用户,而某些服务商因为未知原因,选择让所有用户使用同样的密码,只通过 obfs-host 来区分。
如果你的配置里有 obfs-host=[一串随机字符].example.com 的配置,则可以怀疑使用了此方案,
当然更加确定的方式是找一个其它用户,对比你们的密码是否相同。
3. 如何解决此问题
我曾经写过一篇帖子讨论这个问题,最好的方法是将机场和自建搭配使用 https:///t/948499 。
通过链式代理,既可以享受机场的速度,又可以享受自建的隐私性。
不过这篇老帖子也需要更新,本来想单开一个帖子,实在懒得写了,顺便写在这里吧:
使用链式代理构建兼具速度和隐私的链路,所有人的最终解决方案
https://dxge.netlib.re/posts/chain-proxy/
自建节点:速度慢、对线路要求高、好线路价格极其昂贵、容易被封。
机场:速度快、隐私差、某些机场有内置屏蔽和监控。
使用链式代理:速度快且有隐私性,享受速度的同时,内层流量由自己加密,机场无法得知,对外具有独 ip 享受低风控,无需花大价钱购买昂贵的流量转发或者优质线路
使用这套方案之后,你将发现一个极致的用法:你可以在不同线路、甚至不同机场间随意切换,你的流量可以通过无数条不同的路线经过,而你的连接将始终保持稳定和快速,由于落地是你自己的服务器,对外的 ip 会一直保持稳定,不会出现乱跳的情况。
如何实现:
原理文档: https://wiki.metacubex.one/config/proxies/dialer-proxy/
首先自建一个节点,这个 v 站都懂就不多说了,个人比较推荐的是 任意 tls 协议 + ssl pining 保证前向安全并防止中间人攻击 ( https://wiki.metacubex.one/config/proxies/tls/#fingerprint)
在 mihomo 中导入自建节点,然后将 dialer proxy 指向机场节点即可。
配置示例:
proxies:
- name: "你的自建节点"
dialer-proxy: "你的机场配置节点"
type: vless
server: server
port: 443
udp: true
uuid: uuid
flow: xtls-rprx-vision
packet-encoding: xudp
tls: true
servername: example.com
...
如何导入机场节点:
# url 里填写自己的订阅,名称不能重复
proxy-providers:
provider1:
url: "你的订阅 url 填在这里"
type: http
interval: 86400
health-check: {enable: false,url: "https://www.gstatic.com/generate_204", interval: 300}
proxy-groups:
- name: 机场
type: select
use: provider1
以防万一,留个 blog 文章链接,
https://dxge.netlib.re/posts/chain-proxy/
关于未来可能更新更详细的链式代理教程,或者其它新的问题,会更新到博客中,如果你看到这篇文章时时间已经过去比较久远请尝试看看博客有无更新。
