我们这位朋友说“如果靠一个简单的size匹配能过滤全部tls流量,那么密码学的基础就不存在了”。我评价一下,首先,数据长度特征本来就是检测“恶意加密流量”的基础维度,有很多文章讲过,网上一搜一大把,其次这种宏观行为模式匹配和密码学并没有什么关系,可以说是一句话就暴露了水平。还有这位朋友的朋友提到了 SSL VPN,啊这,我想说,你都 SSL VPN 了,真被 Trojan-killer 抓出来了难道很冤枉吗??
我们这位朋友说应该用捕获的全流量来测试,所以我这边开 Tun 模式进行了 25 分钟的测试,打开各种类型的应用、正常使用电脑,产生了近 2000 条 TCP 连接,其中大部分目标为 443 端口。结果是只有一条误报,并且相同目标还有十条连接并没有被误报,而此时使用 Trojan 是直接刷屏,这已经足以区分、足够实用了。群里正好有人在测试浏览器代理的方式,结论是误报率约为千分之一。这还只是原始的误报率,实际封锁看的是相同目标的整体阳性率,Trojan 直接刷屏肯定是跑不掉的。此外,Trojan-killer README 有提到“白名单域名”会被豁免,推测这是 GFW 用来减少误封的方法之一。
我们这位朋友承认了自己失礼在先,那么,如果现在你要友好交流、探讨,我们当然是欢迎的。我们欢迎任何人把测试方法、数据、结果发送至 https://github.com/XTLS/Trojan-killer/issues ,在事实的基础上进行探讨。注意,前提是,你要自己实际测试过,不要一看到最终判定部分的代码就开始高潮。
我们这位朋友说应该用捕获的全流量来测试,所以我这边开 Tun 模式进行了 25 分钟的测试,打开各种类型的应用、正常使用电脑,产生了近 2000 条 TCP 连接,其中大部分目标为 443 端口。结果是只有一条误报,并且相同目标还有十条连接并没有被误报,而此时使用 Trojan 是直接刷屏,这已经足以区分、足够实用了。群里正好有人在测试浏览器代理的方式,结论是误报率约为千分之一。这还只是原始的误报率,实际封锁看的是相同目标的整体阳性率,Trojan 直接刷屏肯定是跑不掉的。此外,Trojan-killer README 有提到“白名单域名”会被豁免,推测这是 GFW 用来减少误封的方法之一。
我们这位朋友承认了自己失礼在先,那么,如果现在你要友好交流、探讨,我们当然是欢迎的。我们欢迎任何人把测试方法、数据、结果发送至 https://github.com/XTLS/Trojan-killer/issues ,在事实的基础上进行探讨。注意,前提是,你要自己实际测试过,不要一看到最终判定部分的代码就开始高潮。
GitHub
XTLS/Trojan-killer
Detect TLS in TLS. Contribute to XTLS/Trojan-killer development by creating an account on GitHub.
