新研究显示 XTLS VLESS REALITY 代理协议存在可被识别的结构性指纹漏洞
根据安全人员分析显示:广泛使用的 XTLS VLESS REALITY 代理协议存在可被精准识别的结构性漏洞。该漏洞源于协议开发者在实现过程中直接复制 Go crypto/tls 标准库代码,导致其 ChangeCipherSpec 记录计数器最大阈值设为 16,而主流网站使用的 OpenSSL/BoringSSL 为 32。
研究人员利用这一差异设计了主动探测方法:
该探测方法已通过概念验证代码得到验证,能够在不依赖复杂算法或大量算力的情况下,仅基于 TLS 协议栈行为差异实现精准识别。我们建议使用人员等待最新的修复版本。
编辑注:我们观察到对于此问题意见并不统一,我们会审慎观察后续回复后跟踪此问题。
研究博文
🍀在花频道 🍵茶馆聊天 📮投稿
根据安全人员分析显示:广泛使用的 XTLS VLESS REALITY 代理协议存在可被精准识别的结构性漏洞。该漏洞源于协议开发者在实现过程中直接复制 Go crypto/tls 标准库代码,导致其 ChangeCipherSpec 记录计数器最大阈值设为 16,而主流网站使用的 OpenSSL/BoringSSL 为 32。
研究人员利用这一差异设计了主动探测方法:
首先重放真实的 VLESS REALITY 握手包并插入 ChangeCipherSpec 记录,记录触发错误所需的记录数量;随后使用篡改的握手包触发协议的"回落"机制,再次测试记录数量。通过对比两次测试结果的差异,可准确识别目标服务器是否运行 XTLS VLESS REALITY 服务。
该探测方法已通过概念验证代码得到验证,能够在不依赖复杂算法或大量算力的情况下,仅基于 TLS 协议栈行为差异实现精准识别。我们建议使用人员等待最新的修复版本。
编辑注:我们观察到对于此问题意见并不统一,我们会审慎观察后续回复后跟踪此问题。
研究博文
🍀在花频道 🍵茶馆聊天 📮投稿
