Slime 大佬有话说 :
vmess+TCP协议发现安全漏洞
相比于一天前的 TLS 实现故障,这次的问题出在服务端。且事态比我们一开始想象的更严重。
简而言之,如果 高墙 怀疑你在用 vmess+tcp,只需捕获 vmess 数据流中的第一个包,基于此包恶意构造出 16 个衍生数据包,并在 30 秒内发送,即可通过观测服务器的行为,以近乎 100% 的成功率探测出你的服务是否是 vmess + tcp。
无加密的vmess+ws+tcp同样会遭到探测。其他传输层协议的组合,如,vmess+tls、vmess+ws+tls、vmess+cdn+tls亦有可能受到波及。
此问题目前没有可行的缓解措施。解决该问题很可能需要重新设计 vmess 协议。
我应该怎么办?
如果你是:
机场用户:立即停止使用 vmess+tcp 的 V2Ray 服务器并使用其他配置组合的服务器。此问题不仅会暴露服务器 IP,也会暴露客户端 IP(既不利于您的机场,也无益于您的隐私安全)
机场主/自建用户:立即更换 vmess+tcp 为其他协议,由于此次没有缓解措施,建议这部分群体考虑暂时迁移到其他方案。(服务器多、用户不怕的情形请无视)
一句话:更新至最新v2ray-core,启用TLS,允许不安全的连接设置为false。可暂时缓解该漏洞。
https://github.com/v2ray/v2ray-core/issues/2523
https://telegra.ph/有关立即停止使用大多数-VMess-配置组合的通告-06-01
aria2net 大佬有话说 :
致远星还好吗?
MoeWang 大佬有话说 :
好的,把不安全关了:lol
ymcoming 大佬有话说 :
昨天算是发现一个实在的bug
今天这个就是水贴了,理由:
1、vmess本来就不可靠了,这是众所周知的事,谁用vmess谁就会被现实制裁
2、升级到最新,启用TLS,这跟他说的东西完全无关。昨天的升级就是专门解决昨天的tls握手bug
3、允许不安全的连接为false,这是默认的设置好不好!
Xiaomage2333 大佬有话说 :
aria2net 大佬有话说 : 2020-6-1 16:58
致远星还好吗?
这次有更新了,上次问题在客户端,这次在服务端 今天断流是有点严重,不愧是儿童节到了https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif