加密流量如何识别它的特征？

实时解密应该行不通？

流量特征。
还有就是加密前协商的时候会暴露一些信息。比如 https 可以通过 SNI 去判断你访问的是什么网站。
再就是探测，发现疑似特征后，模拟客户端行为去探测。根据返回来判断。

检测协议、端口、IP 特征、DNS 解析、模拟测试

要有良知
可以去看看 用来加密流量的程序 的逻辑和代码

这要向最先进的流量识别产品学习，
据说墙都用上 AI 识别了。

墙吗，知道也不说

枪口抬高一寸
战犯名单有你
横批：

我的 hostdare 两台昨天开始都凉了。

软件,系统, 芯片全面落后, 但是流量识别这方面我敢说, 我国绝对是业界顶级, 你应该去咨询相关人士

之前 GitHub 不是有篇论文讲用随机森林识别特殊流量么，找找看

随机森林，支持向量机

@wzzzx 菜鸡本科生弱弱地说一句，数学基础不好，决策树随机森林是啥都搞不懂啊。。

@godblessumilk #12 这个不难啊。而且只是给你个思路，你可以去了解一下

之所以提出这个疑问，是因为最近工作内容涉及到恶意流量过滤，很疑惑之前自己用 shadowsock 的时候为什么小飞机的 ip 那么快就被关小黑屋。。（是因为小飞机的目的地特征被识别到了，还是说这台 ssr 服务器就是网警放下的蜜罐）

@wzzzx 好哒好哒，感谢大佬指路，实乃人肉防火墙的精神导师

@smileawei 北京理工大学教授罗森林和两名学生王帅鹏、潘丽敏，于 2019 年 3 月 25 日申请名为“基于长短期记忆网络的 V2ray 流量识别方法”的专利。2019 年 10 月 25 日，该专利的法律状态修改为“发明专利申请公布后的撤回”。

V2Ray 项目组表示，专利并不会保证方法的有效性，专利仅仅是保护方法本身。其次，该专利的描述存在一些问题。

专利中提到：“V2ray 服务端与客户端进行每次通信时需要预先交换密钥，因而每次通信较为靠前的数据包具有显著特征”。实际上，VMess 协议并不存在“预先交换密钥”这个步骤。即使将 V2Ray 与需要进行“预先交换密钥”的协议配合使用，那么进行“预先交换密钥”时的数据包也不会有 V2Ray 的数据特征，因为此时还没有开始发送有效数据，即使有特征也是配合使用的协议的特征

Great Firewall Report 网站中的 How China Detects and Blocks Shadowsocks 有比较详细的解释。

@zk8802 记下了，老哥这是来自十年编程老汉的正道之光

祝各位 GFW 相关单位 人员，全家死清光，五马分尸



唯一最想骂的人。就是这群逼，骂完舒服多了

居然还有人献计献策，傻傻分不清？自掘坟墓？
搭的梯子上 V2EX 再贡献如何识别加密流量的计策？

@yousabuk 加密流量可不止用来绕过防火墙这个功能还能发动恶意攻击

@godblessumilk 但是之后有人在项目做过 CNN 训练，证实纯 vmess 在家用环境是可以识别的，（而且之前也有人提出服务接口有主动探测可能），项目守夜直接开始调整认证头部分，而且基本上不建议再用纯 vmess 了。

给 ss 套一层 SSL

现在不是单纯加密流量了，不匹配已知协议就是特征。

@qwvy2g 茅塞顿开！！！这个思路棒！！！（大佬看着像经常逛 hostloc 这个论坛的运维老哥？

@qwvy2g 但是 V2Ray 有个功能，把自己的加密伪装成正常的 https

@fhbyljj 我有时也有该想法。

然而如果有时间 GFW 用你无法拒绝的报酬邀请你加入，你会否动摇哈？

@xaviertoo 没有如果，因为我还没有这个技术

@godblessumilk 假装的多观察几次还是能发现漏洞的

@godblessumilk 其实越伪装，特征越明显。一个是无特征流量，一个是伪装流量，从一个极端到另一个极端。

最好的方法就是给 ss 套一层 tls1.3 。tls1.3 大家都在用，支持前向加密，q 怎不能全给禁掉吧。按照这个思路去搞。

@guanyin8cnq12 tls 1.3 + ECH 才行

@Laitinlok 对，ecc cert + x22519 curve

@xaviertoo 要坚持不作恶。

@xaviertoo 赚了钱以后再逃出去吗？不然你的子子孙孙，还是活在这种环境里。也或者你真的逃出去了，下半辈子能心安理得的花着钱开心过日子，那也行吧。

你们还真就在给人家出谋划策