V2Fly - Notification and Updates, V2Ray the second new

关于 v2ray/v2ray-core#2509 的 TLS 指纹漏洞

”漏洞“到底“漏”了什么？

客户端代码中使用了一个固定的 TLS 密码套件列表进行握手，这个固定列表可能在 V2Ray 客户端发送 TLS 握手包时被防火墙用作识别 V2Ray 客户端的特征。

“漏洞”存在多长时间？

v2ray-core 项目在 2018 年中的版本（v3.23.1）中引入了 TLS 底层配置的功能，此后这个列表便一直存在于代码中。2019 年的版本（v4.18.1）中因为加入 TLS 1.3 的支持，列表增加了一些项目。

目前处理方法？

Golang 标准库的 crypto/tls 也在活跃的维护当中，已经有完善了密码套件的选择机制，标准库会根据运行的硬件平台性能选择适当的密码套件顺序。

新版本（v4.23.2+）去掉列表，设为空值（nil），由 Golang 底层处理。

后续改进？

进一步避免指纹被侦测的另外一个思路是把 TLS 配置成跟常见浏览器一致（注：浏览器不同版本的 TLS 指纹都有所区别）。目前有 项目 (tlsfingerprint.io) 在关注这个问题。

对 V2Ray 项目而言，这属于功能性加强，会在后续版本中引入由 uTLS 库提供的伪装指纹功能。

GitHub

v2ray的TLS流量可被简单特征码匹配精准识别（附PoC) · Issue #704 · v2ray/discussion

这个issue应该不能算bug report，但是也没有找到合适的模板，所以没有使用模板，抱歉。 先说结论：仅凭tls client hello的cipher suite字段，就可以非常准确地将v2ray流量和正常浏览器流量区分开来。 PoC（来自@DuckSoft），此iptables规则可封禁所有v2ray的allowInsecureCiphers设置为false(默认设置)的出站TLS...

www.tg-me.com/us/V2Fly Notification and Updates V2Ray the second new/com.v2fly/34

23.4K viewsedited  May 31, 2020 at 08:40

关于 v2ray/v2ray-core#2509 的 TLS 指纹漏洞

”漏洞“到底“漏”了什么？

客户端代码中使用了一个固定的 TLS 密码套件列表进行握手，这个固定列表可能在 V2Ray 客户端发送 TLS 握手包时被防火墙用作识别 V2Ray 客户端的特征。

“漏洞”存在多长时间？

v2ray-core 项目在 2018 年中的版本（v3.23.1）中引入了 TLS 底层配置的功能，此后这个列表便一直存在于代码中。2019 年的版本（v4.18.1）中因为加入 TLS 1.3 的支持，列表增加了一些项目。

目前处理方法？

Golang 标准库的 crypto/tls 也在活跃的维护当中，已经有完善了密码套件的选择机制，标准库会根据运行的硬件平台性能选择适当的密码套件顺序。

新版本（v4.23.2+）去掉列表，设为空值（nil），由 Golang 底层处理。

后续改进？

进一步避免指纹被侦测的另外一个思路是把 TLS 配置成跟常见浏览器一致（注：浏览器不同版本的 TLS 指纹都有所区别）。目前有 项目 (tlsfingerprint.io) 在关注这个问题。

对 V2Ray 项目而言，这属于功能性加强，会在后续版本中引入由 uTLS 库提供的伪装指纹功能。

BY V2Fly - Notification and Updates, V2Ray the second new