REALITY.jpg

背景

普通的 TLS 代理的一个重要弱点就是各种加密进行套娃,虽然加密包的外观让防火墙无法进行分辨,但是加密套娃无可避免的一个点就在于,它会在每个包都增加一个数据包头,那加密的层数越多,包的头也会越多,这个增量虽然不大,但这个数据可能具有某些统计学的一些特征。

目前这些特征基于机器学习很容易被审查到,从而导致 IP 和 端口的封禁。

Xray-core 1.8.0 开始,推出了新的流控 —— Vision,至此,当使用 Vision 传输 TLS1.3 的数据时,99% 的数据包,几乎拥有完美的流量特征,因为他是原始数据,没有经过任何的加工。在基于 Vision 之上,又进一步推出了Reality协议来取代传统的 TLS 服务,这样可以消除服务端 TLS 的指纹特征,仍然具有前向保密性,而且证书链也是攻击无效,那这样安全性的确就超越了常规的 TLS,关键可以指向别人的网站,所以无须自己购置域名,布置证书等,而且,不必使用 VPS 的 443 端口。经过测试,延迟和速率也都很不错。

搭建方法(基于 X-UI 面板)

原版X-UI 地址的 latest release包定格在 2021年8月25日,原项目地址:https://github.com/vaxilu/x-ui

这里采用 FranzKafkaYu 的 X-UI 项目,地址:https://github.com/FranzKafkaYu/x-ui,为原版 X-UI 的改版,更新频率更高,推荐大家使用。

安装 X-UI

bash <(curl -Ls https://raw.githubusercontent.com/FranzKafkaYu/x-ui/master/install.sh)

设置 X-UI 面板安全路径

这里进入 X-UI 之后,点击面板设置后会自动生成 面板 url根路径,以后访问就要加上安全路径才可以访问,该参数也可以自己修改。

访问地址为:http://ip:端口/面板url根路径

b788f25b44df92fda429ed6cb84ed0fd.x-uipath

切换 Xray 版本

在系统状态中,需要安装 Xray v1.8.0 以上的版本,只有 v1.8.0 以上才支持 Reality

1699703311263.png

寻找 TLS1.3/H2 的网站

如果代理出现问题,第一时间检查自己代理指向的目标网站是否出现问题!!!

:::note{title="Tips"} 目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用

加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling

配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)

REALITY 也可以搭配 XTLS 以外的代理协议使用,但不建议这样做,因为它们存在明显且已被针对的 TLS in TLS 特征 :::

可以使用这个网站:点击访问 来寻找 TLS1.3 / X25519 / H2 的指向站点

也可以使用这个网站:点击访问 ,来查询目标网站是否支持 OCSP Stapling加分项而已,不支持也没有太大关系

验证网站是否满足要求:

https://www.nokia.com/ 为例

第一步,进入网站,使用 F12 打开浏览器的开发者工具,找到 安全/Security 选项。

如下图,出现TLS1.3、X25519代表支持TLS1.3

1699705808279.png

第二步,找到 网络/network->all ,然后找到当前访问域名的请求协议,如果是 h2,则支持h2

1699705851612.png

推荐域名
# Apple
gateway.icloud.com
itunes.apple.com
swdist.apple.com
swcdn.apple.com
updates.cdn-apple.com
mensura.cdn-apple.com
osxapps.itunes.apple.com
aod.itunes.apple.com
​
# mozilla
download-installer.cdn.mozilla.net
addons.mozilla.org
​
# aws
s0.awsstatic.com
d1.awsstatic.com
images-na.ssl-images-amazon.com
m.media-amazon.com
player.live-video.net
​
# Google:
dl.google.com
​
# 其他
one-piece.com
lol.secure.dyn.riotcdn.net
www.lovelive-anime.jp
www.nokia.com
auth.riotgames.com
xsso.riotgames.com
csgo.com

配置部署 Reality 节点

如果不懂每个部分是干什么的,就按我下图配置,记得放行相应的端口!!1699706207325.png

开启BBR加速

以下 BBR 加速,自选一种:

1、系统自带 BBR 加速
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
2、BBRplus 加速
wget -N --no-check-certificate "https://raw.githubusercontent.com/chiakge/Linux-NetSpeed/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh

image-20231111204200940.png

Reality 客户端推荐

以下客户端来自 XTLS 官方推荐