新增 scripts/cn-punct.py 做转换:跳过代码块/URL/链接 URL 部分,保留数学公式、数字列表、英文紧贴的标识符括号 (DNS(...))、嵌套数学记号 (GF(2⁸)) 等。
This commit is contained in:
@@ -5,13 +5,13 @@ lastmod: 2026-05-03
|
||||
slug: xray-reality
|
||||
tags: ["TLS", "Xray", "VLESS", "Reality", "X25519", "代理协议"]
|
||||
categories: ["网络协议"]
|
||||
description: "REALITY 协议通过 TLS 1.3 key_share 字段嵌入身份标记 + 主动探测时透明回放真站,从协议层消除 TLS 指纹特征。本文从协议设计到服务端 / 客户端完整搭建。"
|
||||
description: "REALITY 协议通过 TLS 1.3 key_share 字段嵌入身份标记 + 主动探测时透明回放真站,从协议层消除 TLS 指纹特征。本文从协议设计到服务端 / 客户端完整搭建。"
|
||||
draft: false
|
||||
---
|
||||
|
||||
> 整理自 [bandwh.com](https://www.bandwh.com/net/994.html)(原文 2023-04-11),本文于 2026-05 重新整理发布。
|
||||
> 适用系统:Debian 11 | Xray 版本:>= 1.8.0
|
||||
> 文中所有 UUID / X25519 密钥均为示例值,实际部署务必使用 `xray uuid` / `xray x25519` 重新生成。
|
||||
> 整理自 [bandwh.com](https://www.bandwh.com/net/994.html)(原文 2023-04-11),本文于 2026-05 重新整理发布。
|
||||
> 适用系统:Debian 11 | Xray 版本:>= 1.8.0
|
||||
> 文中所有 UUID / X25519 密钥均为示例值,实际部署务必使用 `xray uuid` / `xray x25519` 重新生成。
|
||||
|
||||
---
|
||||
|
||||
@@ -19,7 +19,7 @@ draft: false
|
||||
|
||||
### 1.1 为什么需要 Reality?
|
||||
|
||||
传统 v2ray 方案需要购买域名并生成 TLS 证书,通过各种流量伪装来规避检测。然而随着 DPI 检测能力的升级,**v2ray 的 TLS/XTLS 协议特征已可被精准识别**,导致 VPS 的 443 端口频繁被封锁或阻断。
|
||||
传统 v2ray 方案需要购买域名并生成 TLS 证书,通过各种流量伪装来规避检测。然而随着 DPI 检测能力的升级,**v2ray 的 TLS/XTLS 协议特征已可被精准识别**,导致 VPS 的 443 端口频繁被封锁或阻断。
|
||||
|
||||
Xray 1.8.0 版本推出了全新的 **REALITY 协议**,配合此前的 **Vision 流控**,组成了当前最新的协议组合:
|
||||
```
|
||||
@@ -34,7 +34,7 @@ VLESS + Vision + uTLS + REALITY
|
||||
| 前向保密 | 仍保有 TLS 前向保密性,历史流量无法被解密 |
|
||||
| 抗证书链攻击 | 证书链攻击无效,安全性超越常规 TLS |
|
||||
| 无需域名 | 指向他人网站的 SNI,无需自己购买域名或配置 TLS |
|
||||
| 中间人防御 | 即使客户端配置泄露,审查方也无法进行有效中间人攻击 |
|
||||
| 中间人防御 | 即使客户端配置泄露,审查方也无法进行有效中间人攻击 |
|
||||
| SNI 阻断消失 | 据实测,使用 Reality 后 SNI 阻断现象消失 |
|
||||
|
||||
### 1.3 使用前提
|
||||
@@ -42,7 +42,7 @@ VLESS + Vision + uTLS + REALITY
|
||||
- 一台可访问的 VPS(无需域名)
|
||||
- 服务端与客户端 **Xray 均需 >= 1.8.0 版本**
|
||||
- 443 端口不被 Nginx、Caddy 等其他程序占用
|
||||
- **不支持 CDN 代理**(如 Cloudflare 橙云,会终止 TLS 让 Reality 的端到端伪装失效)。CF **灰云(DNS only)** 只做 DNS 解析、不接管流量,等价于直连 VPS,可正常使用
|
||||
- **不支持 CDN 代理**(如 Cloudflare 橙云,会终止 TLS 让 Reality 的端到端伪装失效)。CF **灰云(DNS only)** 只做 DNS 解析、不接管流量,等价于直连 VPS,可正常使用
|
||||
|
||||
官方 GitHub:https://github.com/XTLS/REALITY
|
||||
|
||||
@@ -237,13 +237,13 @@ wget --no-check-certificate https://github.com/teddysun/across/raw/master/bbr.sh
|
||||
|
||||
### 5.1 为什么使用公私钥而非仅 UUID?
|
||||
|
||||
传统方案若使用对称密钥(UUID),攻击者一旦获取客户端配置,即可实施中间人攻击。
|
||||
传统方案若使用对称密钥(UUID),攻击者一旦获取客户端配置,即可实施中间人攻击。
|
||||
|
||||
REALITY 使用 **X25519 非对称密钥 + TLSv1.3 key_share** 机制:
|
||||
- 即使攻击者获取到客户端公钥,也**无法验证某条连接是否属于 REALITY**
|
||||
- 即使攻击者获取到客户端公钥,也**无法验证某条连接是否属于 REALITY**
|
||||
- 更无法进行有效的中间人攻击
|
||||
|
||||
> REALITY 的设计原则是:**默认假设客户端配置已泄露**,将安全边界收敛至服务端私钥。只要服务端私钥不泄露,流量就是安全的。即使私钥泄露,攻击者也无法直接解密历史流量(前向保密),只能尝试中间人攻击,但中间人需要持有 Reality 私钥才能伪装服务端,这做不到。
|
||||
> REALITY 的设计原则是:**默认假设客户端配置已泄露**,将安全边界收敛至服务端私钥。只要服务端私钥不泄露,流量就是安全的。即使私钥泄露,攻击者也无法直接解密历史流量(前向保密),只能尝试中间人攻击,但中间人需要持有 Reality 私钥才能伪装服务端,这做不到。
|
||||
|
||||
建议:**定期更换公私钥对**,公钥可在多个客户端间安全共享。
|
||||
|
||||
|
||||
File diff suppressed because it is too large
Load Diff
@@ -4,11 +4,11 @@ date: 2026-05-02
|
||||
slug: ai-engineer-map
|
||||
tags: ["AI", "LLM", "Prompt", "RAG", "MCP", "Agent", "Claude", "Cursor", "Ollama"]
|
||||
categories: ["AI"]
|
||||
description: "从大模型 / Prompt / RAG / MCP / Agent / 多模态 / 成本控制 / 编码工具一路捋下来,适合有技术背景的开发者快速建立 AI 知识框架。"
|
||||
description: "从大模型 / Prompt / RAG / MCP / Agent / 多模态 / 成本控制 / 编码工具一路捋下来,适合有技术背景的开发者快速建立 AI 知识框架。"
|
||||
draft: false
|
||||
---
|
||||
|
||||
> 适合有一定技术背景的开发者快速建立 AI 知识框架。涵盖核心概念、工程实践、工具选型,持续更新。
|
||||
> 适合有一定技术背景的开发者快速建立 AI 知识框架。涵盖核心概念、工程实践、工具选型,持续更新。
|
||||
|
||||
---
|
||||
|
||||
|
||||
Reference in New Issue
Block a user