分类 机场消息 下的文章

Xray-core 支持 Hysteria 了

  1. Hysteria 协议本身的特性与争议

    • Hysteria(尤其是 Hysteria 2)是一个基于 QUIC(UDP)的代理协议,由 apernet 项目开发,专为弱网环境(高丢包、高延迟、波动大)设计。它采用“brutal”拥塞控制算法,通过激进发包来抢占带宽,从而在不良网络下实现更高速度和稳定性。
    • 优点明显:在审查严格或网络差的地区(如部分亚洲国家),它能伪装成正常 QUIC 流量(类似视频会议、HTTP/3),难以被深度包检测(DPI)识别和阻断。
    • 缺点也曾被 Xray 开发者指出(2023 年 issue #2635):激进发包可能“抢资源”,影响同一链路其他用户的体验;此外,当时 Hysteria 还在快速发展,稳定性需观望。
  • 基于 Hysteria 项目官方代码(commit 44a5643)移植,支持 Hysteria 2 完整特性。
  • 在 Xray 的 StreamSettings 中新增 network: "hysteria",并复用现有 TLS 设置(ALPN 为 h3)。
  • 新增 udpmasks 数组,支持 Salamander 等伪装层(密码如 "cry_me_a_river")。
  • udphop:允许在指定端口范围(如 20000-50000)内定期跳变,间隔可配(如 30 秒),进一步规避端口级阻断。
  • 二进制体积略增(约 400KB),但功能完整,已测试与 Hysteria 2 服务器互通。

支持 Hysteria 的好处

  1. 性能提升

    • 在弱网(移动网络、跨国链路)下,Hysteria 往往比传统 TCP/TLS 协议(如 VMess + TLS)更快、更稳定。实测可提升数倍吞吐量,尤其适合 UDP 重应用(游戏、视频、通话)。

  2. 抗审查能力显著增强

    • QUIC 本质上更难阻断(UDP + 加密 + 多路复用)。
    • 端口跳跃(udphop)让被动封端口策略失效。
    • Salamander 等“最终伪装层”(endmask,最底层 UDP 包伪装)比 TLS/QUIC 更底层,进一步降低特征暴露风险。官方 Telegram 频道提到这是“下一步计划”的重要一步,未来可能扩展更多伪装(如 fragment、noise、ICMP 伪装)。

  3. 生态与用户体验改善

    • Xray 用户无需额外工具或多核心切换,就能直接连接 Hysteria 服务器。
    • 与现有功能无缝整合(如 sniffing、routing、TUN),配置灵活。
    • 对抗越来越智能的审查系统(如 GFW 的主动探测)更有优势,避免单一协议被针对。

项目介绍

https://github.com/x011/smtp-tunnel-proxy

smtp-tunnel-proxy 是一个开源的 Python 项目(GitHub: x011/smtp-tunnel-proxy),其核心目的是创建一个隐蔽的 TCP 隧道,通过将任意 TCP 流量伪装成标准的 SMTP(电子邮件)通信来绕过深度包检测(DPI)防火墙。

它的工作原理是:

  • 利用 SMTP 协议的合法特性(EHLO、AUTH、STARTTLS 等命令),让初始连接看起来像普通的邮件服务器交互(模仿 Postfix 等真实 MTA)。
  • 在 STARTTLS 建立 TLS 加密后,切换到自定义的二进制流协议,进行高效的 TCP 数据多路复用传输。
  • 客户端提供标准的 SOCKS5 代理接口,应用程序(如浏览器、curl 等)可以将流量路由到本地 SOCKS5 端口,从而通过隧道转发到服务器端出口。

关键特点

  • DPI 规避:初始 SMTP 握手高度仿真真实邮件流量。
  • 高性能:TLS 加密后使用二进制协议, overhead 低,支持多路复用。
  • 多用户支持:服务器可管理多个用户,每个用户有独立密钥、IP 白名单、日志控制。
  • 安全机制:强制 TLS 1.2+、HMAC-SHA256 认证、CA 证书验证、IP 白名单。
  • 接口:仅提供 SOCKS5(不支持 HTTP 代理)。
  • 最新版本:v1.3.0(2026 年 1 月发布),GPL-3.0 许可。

项目明确设计用于在受 DPI 限制的网络环境中建立 covert channel,技术上可用于将受限网络的流量转发到无限制的服务器出口(即常见的“代理/隧道”场景)。

技术部署指南

1. 前提条件

  • 服务器:一台位于无网络限制地区的 VPS(Linux,Python 3.8+),开放端口(默认 587)。
  • 域名:推荐使用动态域名(如 DuckDNS)指向 VPS IP(TLS 证书验证需要域名)。
  • 客户端:Windows/macOS/Linux 机器,Python 3.8+。

2. 服务器部署(一键安装推荐)

curl -sSL https://raw.githubusercontent.com/x011/smtp-tunnel-proxy/main/install.sh | sudo bash

  • 安装过程会:

    • 提示输入域名。
    • 自动生成 TLS 证书(server.crt、server.key、ca.crt)。
    • 安装到 /opt/smtp-tunnel/,配置放到 /etc/smtp-tunnel/。
    • 创建 systemd 服务(smtp-tunnel.service)。
    • 提供管理命令(如 smtp-tunnel-adduser)。

添加用户(为每个客户端生成配置):

sudo smtp-tunnel-adduser <username>
  • 这会生成随机密钥、在 users.yaml 中添加用户、并打包 <username>.zip(包含客户端所需的所有文件:config.yaml、ca.crt、启动脚本)。

服务管理

sudo systemctl restart smtp-tunnel      # 重启服务
sudo journalctl -u smtp-tunnel -f      # 查看日志

配置文件示例(/etc/smtp-tunnel/config.yaml):

host: 0.0.0.0
port: 587
hostname: mail.yourdomain.com   # 必须与证书匹配
cert_file: server.crt
key_file: server.key
users_file: users.yaml
log_users: true

3. 客户端部署(推荐使用管理员提供的 ZIP 包)

  1. 从服务器管理员处获取 <username>.zip。

  2. 解压后:

    • Windows:双击 start.bat
    • Linux/macOS:执行 ./start.sh
  • 脚本会自动安装依赖(requirements.txt),启动客户端。
  • 默认在 127.0.0.1:1080 监听 SOCKS5 代理。

手动运行(如果不使用 ZIP):

git clone https://github.com/x011/smtp-tunnel-proxy.git
cd smtp-tunnel-proxy
pip install -r requirements.txt
python client.py -c config.yaml

客户端配置示例(config.yaml):

client:
  server_host: "mail.yourdomain.com"
  server_port: 587
  socks_port: 1080
  socks_host: 127.0.0.1
  username: "your_username"
  secret: "your_secret_from_adduser"
  ca_cert: "ca.crt"   # 必须包含服务器提供的 CA 证书

4. 使用方式(技术测试)

  • 将应用程序配置为使用 SOCKS5 代理:

    • 主机:127.0.0.1
    • 端口:1080
    • 启用“远程 DNS 解析”(socks5h)。

  • 测试命令:

    curl -x socks5h://127.0.0.1:1080 https://ifconfig.me

    返回结果应为服务器(VPS)的公网 IP。

  • 系统级代理示例:

    export ALL_PROXY=socks5://127.0.0.1:1080

5. 注意事项与限制

  • 必须使用提供的 ca.crt 验证服务器证书(防止中间人攻击)。
  • 服务器时间需同步。
  • 仅支持 SOCKS5,需要应用支持该协议。
  • 性能取决于网络条件和 VPS 带宽。
  • IP 白名单可限制客户端来源 IP。

此项目纯粹是网络协议层的技术实现,适合用于研究 SMTP 协议扩展、隧道技术或 DPI 规避机制。

美国密歇根州共和党议员提出《反公共道德堕落法案》,拟禁止民众使用虚拟专用网络(VPN)、代理服务器及加密隧道访问被认定为“腐蚀道德”的网络内容,其中包括色情、ASMR及涉及跨性别者的内容。若通过,这将成为美国首个禁止VPN的州法案。

该法案引发广泛反对,维权组织Fight for the Future发起“VPN行动日”,已有逾1.5万人签署公开信,呼吁保护用户网络隐私与访问自由。专家指出,VPN不仅用于绕过审查,也在网络安全、防止数据泄露等方面发挥关键作用。

很多国外IP当作VPN.但是被谷歌标记是中国大陆IP,就是经常说的送中IP.

这样的IP,有个好处,访问youtube,因为被谷歌标记是中国大陆IP,所以访问youtube类似 premium也没有广告.

经常使用的这个机场,发现有个送中IP 这个波兰的节点,速度还不错,看youtube没有广告.

photo_2025-08-31_13-01-23.jpg

youtube premium 从9月也开始要严格政策,用送中IP也很好.

  1. 1
  2. 2
  3. 3
  4. 4
  5. ...
  6. 23