type
status
date
slug
summary
tags
category
icon
password
Property
Jul 14, 2025 03:55 PM
前言
在2022年10月4日时,大批量的科学上网的机器被封禁了443端口,并且基本上没有影响到任何正常用户的建站等,也就是说,我们用于科学上网的协议出现了问题,经过查证,最终推测出,是科学上网的TLS in TLS特征出卖了我们。
2025年,Reality协议是一个三年近乎0封禁报告的协议,强大无需多言。本次更新一下教程,便于零基础小白用户使用该协议。
什么是TLS in TLS特征
最开始,我们只有http协议,这种协议是不安全的,为了安全性,我们引入了http+tls构成了https协议,在我们访问一个正常的https网站的的时候,我们的数据在互联网传输的时候,是由网站的证书公钥进行加密的(涉及公钥私钥,不做详细解释,原理可以自行bing)。这时的数据已经经过了tls加密。
然而我们需要经过我们的vps中转流量,那么情况就会变成下面这样:
从图中,我们可以看出,在我们通过魔法访问网站时,经过GFW的流量是经过两次tls加密的,这就是我们所说的TLS in TLS。
TLS in TLS十分危险
在github有一个项目,可以用很简单的办法识别TLS in TLS特征!
项目名称是 Trojan-Killer
下面是Trojan-Killer的描述:
这个 POC 是为了 狠 狠 打 脸 某些认为 TLS in TLS 检测不存在或成本很高的人。
该程序在
127.0.0.1:12345 接收 TLS 流量,并用 非 常 廉 价 的方式检测出其中的 Trojan 代理。- 设置浏览器的 HTTP 代理至
127.0.0.1:12345,观察该程序的输出。
- 设置 Trojan 链式 HTTP 代理至
127.0.0.1:12345,观察该程序的输出。
我们的测试结果如下:
- 对于浏览器的 HTTPS 流量,几乎没有阳性结果。
- 对于 Trojan 的 TLS in TLS 流量,Trojan 字样直接刷屏。
这与我们多次收到的 Trojan 被封、XTLS Vision 存活的反馈相符(它们均可选 Golang 指纹)。
值得一提的是,根据我们的观察,目前 REALITY 的“白名单域名”会被豁免于这样的检测。
借用一下issue里面的测试结果给大家看看:
所以说,之前的基于tls加密的方式,已经不再安全,还请大家尽快更换其他协议!
reality协议的优点
用 REALITY 取代 TLS,可消除服务端 TLS 指纹特征,仍有前向保密性等,且证书链攻击无效,安全性超越常规 TLS
可以指向别人的网站,无需自己买域名、配置 TLS 服务端,更方便,实现向中间人呈现指定 SNI 的全程真实 TLS
通常代理用途,目标网站最低标准:国外网站,支持 TLSv1.3 与 H2,域名非跳转用(主域名可能被用于跳转到 www)
加分项:IP 相近(更像,且延迟低),Server Hello 后的握手消息一起加密(如 dl.google.com),有 OCSP Stapling
配置加分项:禁回国流量,TCP/80、UDP/443 也转发(REALITY 对外表现即为端口转发,目标 IP 冷门或许更好)
REALITY 也可以搭配 XTLS 以外的代理协议使用,但不建议这样做,因为它们存在明显且已被针对的 TLS in TLS 特征
REALITY 的下一个主要目标是“预先构建模式”,即提前采集目标网站特征,XTLS 的下一个主要目标是 0-RTT
reality协议节点搭建
1.准备服务器
①选购服务器
你需要一台位于海外的服务器,并且需要IP能够正常访问,至于如何购买服务器,如何购买优质线路的服务器,本文不做展开,但是为了防止新手小白被骗,在此给出一个仅用于科学上网低配置服务器的参考价格。
线路\地区 | 美国 | 日本 |
普通线路 | 15$左右/年 | - |
优质线路 | 40$左右/年 | 80$左右/年 |
地区离大陆越近,一般延时越低,使用体验越好,同时,离大陆越近,服务器一般也越贵。
注意!服务器线路直接决定你的使用体验!
优质服务器只推荐搬瓦工家的机器,搬瓦工不定时补货,请自己蹲服务器,直达链接。
普通服务器推荐Racknerd,详情可以参见我之前的文章 : 超低价VPS推荐低至5r/月!
②服务器系统选择
在你购买服务器后,会让你选择一个服务器系统,在这里,我推荐使用Debian 12系统进行后续的部署,如果你购买时未注意选择的系统是什么,或者非Debian 12,如果您是小白用户,那么请咨询平台,将服务器重装为Debian 12系统后继续本教程。
不同购买平台,重装方式不同,此处不做展开,详细请咨询购买平台!
③SSH连接服务器
使用SSH连接服务器,从购买平台获取分发给你的IPV4和密钥,使用SSH软件连接服务器。
本文使用Finalshell这款SSH软件作为演示:
点击确认后,双击创建好的配置进行连接
首次连接,会弹出这个窗口,点击接受并保存即可。
出现这个界面,表示SSH连接成功!
2.服务器配置
①更新软件包
复制并执行下面的命令:
②配置BBR加速
变砖警告!该步骤可能导致服务器失联,请确保你能自救服务器的情况下在执行!!否则建议跳过BBR加速配置。
BBR拥塞算法能够有效的提高使用体验,几乎属于必须开启的项目。
1.安装BBR前置软件包
2.执行安装脚本
3.安装原版BBR
输入1,安装原版BBR(经过我的不严谨测试,原版BBR的效果是最好的,那些名字是唬人的,没有必要相信,如果你不怕服务器变砖,且能明白你在做什么,可以自行尝试不同的内核以及加速算法,选出最适用于你自己服务器的配置)
出现这种情况是常态,不要惊慌,重新执行当前脚本即可。
请注意,这里会出现一个版本号,请记住当前版本号
过程中出现弹窗,回车选中YES即可。
到最后,不要急于输入Y,请先确认上述列表中,是否出现了刚刚让你记住的版本号?
我这里出现了之前出现的版本号,所以没问题,如果你那没有出现,请输入N后重新尝试!
确认无误后输入Y重启。
等待一定时间后(约1-5分钟),重新连接服务器。(超过5分还不能连接上服务器,一般是变砖了,需要重装系统,跳过BBR加速安装步骤)
3.使用BBR加速
重连后,在此执行刚刚的脚本,然后输入 使用BBR + FQ_PIE加速 前的序号。
我这是12,所以输入12,脚本可能会变,请自行确认是不是12。
再次重启后,再次执行当前脚本
可以看到,系统信息版本号已经变成了刚刚安装时的版本号,拥塞控制算法变成了 bbr,队列算法是fq_pie,就说明操作无误,可以继续下一步。
③Reality节点搭建
执行以下命令:
选中 任意组合安装 我这里是2,脚本会变化,请注意选项不一定一成不变!
然后选择 Xray-core
注意上面这一句提示,按提示输入!!!我这输入7。
前面三个直接回车,在输入域名的位置,需要输入指定的域名!
域名输入
苹果财大气粗,在中国CDN节点众多,能够更快的获取到网址的SSL证书,降低获取网站证书造成的额外延时。
之后,我们就获取到了对应的节点链接
复制通用格式的链接,存放到本地的TXT中,以便后续使用。
3.节点使用
本次教程只演示win平台如何使用,其他平台请自行琢磨。
项目地址:
①下载软件
下载最新的包,选这个名称包含SelfContained的,不用安装额外的运行环境。
下载后解压,然后将v2rayn.exe设置成 以管理员身份启动
②导入节点
打开程序,点击一下人家空白位置,然后将刚刚复制的节点链接直接Ctrl + V,导入软件中。
如果没有效果,也可以先复制后,点击 配置文件 ==> 从剪贴板导入分享链接。
③参数配置
之后,进入软件的设置中,开启tls分片
然后下拉,找到tls分片,并打开。
确定后,回到主界面,在下方选中 自动配置系统代理
然后你会发现,图标变成了红色,表示开启成功
④两个节点的区别?
- Vision流控可以用于下载,下载速度可以跑满带宽,但是延时会稍微高一点。
- gRpc留空可以用于访问网页,下载速度最高一般只有50Mbps,但是延时会低不少,合理选用。
测试
经典的打开油管测试,当前是晚上11点,晚高峰期间,这个服务器很垃圾,跑个5w速度,只能说正常。
结语
三年基本0封禁报告,值得一试!