ssl cq sockets layer 安全套阶层是由 netscape 公司于一九九零年开发,主要目的是在服务器和客户端这两个端点之间提供安全的传输层连接。建立了 ssl 一点零 二点零三点零版本后发展成了标准安全协议 t l s transport layer security 传输层安全性协议 s s l 协议提供的服务主要有, 一、认证用户和服务器,确保数据发送到正确的客户机和服务器。二、加密数据,以防止数据中途被窃取。三、维护数据的完整性, 确保数据在传输过程中不被改变。 t l s 协议是由互联网工程任务组 it 一九九九年颁布,用来代替 t s s l 的,主要用于 h t t p s 通信,也用于 e mail 及时通信等。 t l s 和 s s l 的目的都是为了在传输过程中保护敏感信息。但在本质上,从最初的 s s l 到最新的 t l s v 一点三, 其中使用的密码学发生了很大变化。自二零一五年起, t l s 已经全面取代了 s s l。 要想完全弄清楚其中的原理,对于普通人来说还是比较困难的。但所有这些加密解密过程,均有浏览器与网站服务器在交换信息的过程中发生,对于最终用户来说是不透明的,即无需知道具体运作原理。 对于个人 pc 用户来说,需要了解的是如何在浏览器里进行设置。在控制面板找到 internet 选项,双击打开,选择高级。如图,选取圈住的两项。
粉丝60获赞510
本视频我们将探讨 t l s 与 s s l 证书,以便您了解和分辨他们。 s s l 代表安全套接字层, t l s 代表传输层安全性,他们都是您以证书形式安装在网站上的互联网安全协议。这两个证书就像 wordpress 网站的安全锁。 当用户访问您的网站时,安全证书将在将数据发送到用户的浏览器之前对其进行加密。同样,他们还允许用户的浏览器在将数据发送回您的 wordpress 网站之前对其进行加密。互联网上的所有网站都必须使用安全证书, 他允许您安全的在线接受付款,保护密码,并安全的在线传输个人数据。安全证书与安全密要一起使用。当数据从您的网站传输到用户的浏览器时,他会被锁定在加密后面。为了读取数据,用户的浏览器将需要 安全密要来解锁它。同样,当用户发回数据时,他们使用相同的安全密要来加密数据。然后,您的 wordpress 网站将使用其私要来解密数据。在网站上安装安全证书后,站点地址的开头将从 h t t p 变为 h t t p s。 这表明您现在正在使用 https 协议通过 internet 安全的传输信息。您需要在 were press 设置中更新 url, 并设置重定向,以便在使用旧链接时将访问者带到正确的 url。 那么,这两个证书有什么区别呢? 简而言之, t l s 是 s s l 证书的演变形式。刚开始只有 s s l 证书,后来原始 s s l 协议发现了安全漏洞,使其容易受到黑客攻击。随着时间的推移, s s l 协议证书逐渐退出大家的视野,取而代 制的是 t l s 协议证书。现在互联网上的大多数网站使用的都是 t l s 协议证书,但是他们通常仍被称为 s s l 证书。如果你想查看某个网站使用的是 s s l 还是 t l s 协议, 可以通过访问以上网站来查看。
首先创建一个输出目录, 然后设置环境变量 s s l k lock file, 它能将 t l s 协商的对称加秘密要导出到 s s l k lock file 对应的妙文件。 另开一个终端,通过 tcp 当不抓取四四三和一零四四三端口的请求流量, 并将抓取到的日志保存到刚才创建的输出目录。都完成后,我们先使用 co 命令请求第一个国际协议的网站,百度网站,然后我们再请求第二个国民协议的网站, 中国银行国密协议网站。 最后我们再请求第三个国民协议的网站迎达新国民协议网站。 发完三个请求后,关闭 tcp dump draw 包,再简单浏览一下科二的输出结果。 这是银达信国密协议请求, 这是国密算法套件, 这是自签名证书教研 请求之后,我们导出生成的 t c p dump 日志和密奥日志两个文件 通过 rc 命令保存到桌面。 导出后通过 wireshock 打开 tcp dump 的日志。当 打开的日志 yslk 并不能解析里面的内容,所以只能显示为 tcp 包和 t l s 包。然后我们打开菜单 preferences protocols, t l s pre master secret lock file name, 并将它设置为密奥日志文件的路径。 保存后回到主窗口,发现原来的 t l s 协议已经能正常紧密为 h t t p 协议了。 展开 http body, 可以看到铭文内容, 还可以追踪整个 http 流,看到完整的请求过程。 到此就演示完了,谢谢观看。
想象一下,你是一位古代姓氏,负责在两个王国之间传递秘密消息。这两个王国之间充满了危险,有很多窃听者和强盗。 为了确保消息的安全传递,你和接收方必须建立一个安全的通信方式。这就是 tls 握手的过程。故事开始一天,你得到一个任务, 需要将一份重要文件安全地传递给远方王国的王。在出发前,你客户端和远方的王服务器要确保两件事,一,你们要确定对方是真实的, 没有冒牌者身份验证。二,你们之间的通信要保密,不能被窃听者听到。加密通信。握手的第一步,问候与证明身份。就像在市集上寻找正确的联系人一样,你 首先向王发出一个信号,告诉他你打算传递一个秘密消息。这就像是 tls 握手的客户端。哈喽,你告诉服务器你的意图和你能理解的通信方式。远方的王回应了你,他展示了他的徽章和签名, 服务器和 low 和证书以证明他的身份,以检查徽章和签名,确保他们是真实有效的,就像验证服务器的 tls 证书一样。 握手的第二步,制定秘密通信计划。然后,你和王一起制定了一个只有你们两个知道的秘密通信计划。密要交换,这就像是 tls 握手中的密要协商过程。 你们决定使用一个只有你们俩知道的秘密密码来加密接下来的通信。握手的第三步,确认并开始秘密对话。在计划制定后, 考后,你们两人用约定的密码交换了一些试探性的话语,以确保万无一失。这就像是 tiys 握手的最后阶段, finish 消息确认建立了加密通道。故事的结局,经过这样的握手,你们成功的建立了一个安全的通信渠道。 现在你可以安全地传递那份重要文件,即使在路上有窃听者也不怕,因为他们无法理解加密后的信息。 现实中的 tls 握手在现实世界的网络中, tls 握手过程确保了我们在互联网上的信息传递是安全的。就像姓史和王之间的秘密握手一样, 当你访问一个网站并看到 https 和一个小锁头图标时,就意味着你的通信是安全的,因为你和网站之间已经通过 tls 握手建立了一个秘密的加密的通信渠道。
今天会跟大家演示一下怎么去解密 htbs 的流量啊。我们知道 htbs 是加密的,嗯,所以你在本地抓取他的流量,或在服务器端抓取他的流量,其实你都是看不到他里面的内容。 那有很多的同学呢,他是需要有这样一种能力,说我能看到里面的内容,从而我可以第八个啊,可以排错问题啊,了解我应用程序的行为等等。 ok, 那么接下去我就跟大家演示一下怎么去解密 htps 的流量 啊。这个操作步骤其实非常简单的,指定这样一个环境变量名叫 s s l q log file。 啊,这个名字比较搞错,那至于后面的路径和文件名就可以随 随意了。好,设完 sokey logo 环境变量之后,我们来演示一下啊,怎么去把流量给解析出来。我们可以通过玩玩,下课 抓取加密流量,我要下课是有这样能力去读取蜜药,然后做解密的啊。我们来看一下怎么做啊。我们可以用 chrome, 这边先开启数据抓取, 这边我们可以访问一些网站,比如说并点 com 啊,这里有个小锁,那说明这个是一个 htp 保护的一个网站,流量是加密的,这边我们把它停掉, 然后找出访问病的那些流量, frame contains, 并点 com。 好,我们只需要找第一个就行了,把它给筛选出来, follow 这个 stream, 然后我们只看 t o s 想关的流量,因为 h t p s 本质上是 h t p over t o s, 对吧?所以我们需要看 t o s 的流量就行了 啊。从这里其实我们已经看到了这个流量已经被解出来了,对吧?我们看到了这些 http 相关的东西,那他是怎么做到的呢?我们可以右击 任何一个 tos 的包,选择协议编号。 tos 的编号打开 在这里啊,会有一个叫 premaster secret log file name 啊,然后我们 browsen 到那个那个位置,把我们的文件选中就可以了。 做这样一步操作呢,其实就是让我二十二个去读取这个文件里面的 master secret, 这样呢,就可以用来做解密了。如果我们把这个东西给去掉啊,不用,你再点 ok, 你会发现,哎,就变成了 application data 了。跑到这里来看,就变成了 application data, 全部都是加密的,对吧?但这里需要注意点的是,并不是所有的客户端应用程序都有这样的能力去把啊安全的绘画密要写入那个文件的。 crom 是其中之一。 fox 最初是可以的,嗯,后来后来听说是在某一个版本里面,他在变异的时候就把这个能力给拿掉了,但后后面他可能又加进来了,大家可以自己去试一试。但 总而言之呢,我们的应用程序,你在写的时候啊,需要给他这个能力, 比如说你可以用啊, open ss or the library, a boring ss or the library 跟 new t o s n s s library, 对吧?其实是有很多 这种 tos 的 library 可以用的。那有人可能会问我能不能找到那个呃,安全秘药呢?这个是可以的,只要你打开那个文件, 在这里我们就可以看到有非常多的密药。其实每一个安全的绘画,他都会把密药写到这里来。那我们如何找到这个 ts 绘画所对应的 section key 呢? 其实我们只需要找到 client hello 这个数据包里面的 random value, 因为 random value 呢,它对于每一个 session 啊,他都是唯一的,随机生成的一个随机树,这个随机树呢,会被用来去计算 prima secrets, 所以我们可以用它来啊, 唯一的去定位啊,我们这个 session 所对应的 session key, 所以我们只需要把它拷贝出来,拷贝,然后拿到这个文件里面去搜一下 啊,我们看到有一个 match, 这串数字就是 master secret 啊,但它并不能直接用来做加密做解密,因为我们还需要进一步加工。这串数字会被输入到一个叫 kdf 的函数, ktf, 叫 key deriation function, 也就是会用这一串数字呢,他会再去生成一些单独的 key, 那些 key 才是最终用来做事情的。比如说他会把它切割啊,其中一部分用作 equips and key。 另外呢,还有一部分方案,他会用于 mac key 啊, mac key 就是 message authentication code, 用来做 data integrity 的保护。就数据的完整性, 除了 book data encryption key 和麦 key 之外呢,啊,可能还会有一部分用于生成 aead 算法的。呃,初始化项链,那这部分就不展开了。 回到我们刚才所说的啊,对于这种写入 section k 需要应用程序本身支持的这样一个话题来讲,我们可以举个例子,我们常用的 一个叫克这样的一个命令,那么如果你去克一个网站,说我们用克 病啊,他会返回东西啊,这个时候你去抓包,其实也是没有办法解密的,因为科尔他默认就没有这个能力,他不会把 section key 写到那个文件,他和普 crom 不一样。但是呢,你是有有能力去赋能他的 啊,这边有一篇文章是关于克尔的,克尔你可以看到他其实是可以支持 slq log 文件的, 这是因为他的 library 本身是有这样的扣的,去支持他的就是这个 library, 这样一个 library 他是可以支持的。但前期是说,你啊,你在编意克这个二进制文件的时候,你需要把那个参数给, 把那个参数给启用起来,启用起来之后,你编映出来的克儿才有这样的能力 啊。具体参数大家去可以去 google 一下啊,但总之就是这么玩的。另外,对于使用麦克的同学呢,这里有一篇文章,其实道理是一样的,他也是为麦克设一个环境变量 啊,他本质呢,也就是创建一个篮球 ajins 啊,让系统在启动的时候呢,去跑这个篮球 ajins 啊,这个篮球 ajins 做什么事情呢?他就是设置一个 s o k l 环境变量。好,今天的小技巧就介绍到这里。
activate studio mode 从 shadow socks 到 vetura, 到最新出来的 trojan 啊,协议有那么多,有人说用 shadow socks 会立刻被封,有人说 vetura 的 vmas 最安全, 后来又说 web socket 加 t l s 更安全。再后来又有人说车震大法好,速度最快。如此大的信息量,你们怎么取舍?这一期我会简述有关协议的特点分析以及选择。 做这一期的视频的目的在于给你分析各种协议和算法的特点,至于怎么选择,我希望你能够客观的了解到各种协议的优缺点,然后再理性的选择,而不是一味的听从很多所谓的技术大牛,甚至很多利益驱动的 机构和 youtuber 给你的推荐,避免掉不必要的坑。先说清楚啊,你别看我这张脸很严肃,以及标题里面又有硬核两个字,你就觉得说的很专业,你听不懂然后就跑了。我不会深挖很多概念的 啊,别害怕,我讲的东西很浅显。我是电源科技的 ak, 这里是硬核翻墙系列视频的第六期。先说一点哈,呃,纠结协议安全的不如去纠结特征,纠结特征的不如去纠结你的使用方法和夫妻供应商 j f w 的封锁机制非常非常复杂, 涉及到判断流量头,判断特征,判断 ip, 判断端口,判断数据量大小和长短,判断 t c p 长连接的时长,甚至还通过被动监听和主动噢探,还有政治敏感期的主动人工干预,还有短则几分钟,长则几天几个月的时间维度的因素,这些因 互相结合,互相作用,所以导致封锁的机制没有人能说的清楚。对于协议的差别来说啊,如果你的代理夫妻本身都不安全,不管用什么协议, shadow, socks, victory 还是戳震都一样不安全。 涉及翻墙安全的话题啊,我会在最后一期视频讲清楚啊,所有的协议都不绝对安全,只有相对安全。这里就不先不多说了啊,下面开始正式说协议的话题。先说 shadowsock 协议, 山东 socks 是记忆微拼这种曾经的主流的翻墙的手段,被确认能够被 g f w 精确识别和封锁之后,后面的一切代理服务器中转的这种翻墙方式包括山东 socks r 啊,为挫折和戳阵这些的十组,具体的原理可以看我第二期的内容我这里就不赘述了。从我作为开发者的角度来看, shadowsocks 简单粗暴,直导黄龙,从写程序的角度来看, 就是直接奔着解决问题去的,这是优点同时也是缺点。因为太过简单粗暴,很多人说 shadow sox 的协议的流量已经可以被 g f w 精确识别啊,因为作者已经被去被请去喝茶了,如何如何,所以建议你用 shadow sox r 或者是 vitori。 这个情况我的理解 并不完全是这样啊。首先,没有人能够明确的告诉你,那某个协议是不是已经被精确探测并封锁了,如果有人 信誓旦旦的告诉你这个是事实,那么第一他要么是维护和开发 g f w 的基础人员,第二 就是因为自己的服务器被封了,上网查不到一个特别有信服力的原因,得不出一个肯定的结论之后只能把锅扣在 shados xa 头上。你自己判断说 shados x 不安全的这些人属于哪种。其次,流量的探测和封锁啊,涉及到多个维度 的可能性,比如说某些 ip 段重点被探测和监控的情况下,可能某个协议流量暴露出特征,呃, jfw 会立刻采取封锁。对那些没有被重点关注的 ip 地址来说,即使暴露暴露出了一定的特征, 出于防止误杀和误判的这种可能性,可能也不会采取措施。刚才提到的某些 ip 段,指的是一些大型的 vps 供应商,他们的 ip 都是批量的啊,面对 gfw 的时候很无力,重点被关注不说一封就是一批。 这也造成了很多人被 vps 被封之后都会责怪到 shadow sock 协议的头上的原因。又或者说呢,即使理论上一切的 shadow socks 流量 d f w 的确可以精确探测,但是可能并不会封锁, 因为你翻墙只是看看,不涉及到正直的网站或新闻, g f w 知道你的行为可能也不会管你。这种情况可能也是有存在 带的可能性的。又或者你的流量特征到底达到一个什么样的水准才会被 g f w 封锁?到现在也没有一个人能够权威地告诉你一个准确的定论。这里差一句哈,早期的山东 stock 协议确实存在技术漏洞,涉及到,呃,采用非 a e a d 的加密的流量呢,会被主动探测,并且在 jfw 那里会得到一个百分之百六特征的一个服务服务器反馈啊,这个是个漏洞,属于特殊情况,已经被修正了。这个话题我会在后面两期讲啊。我这里说的 shadosox, 指的是采用了这种 aead 的加密方式的,更新过之后的协议, 回到刚才的话题哈。总而言之,探测判断和封锁流量的话题是非常的复杂的一个话题,并非很多人理解的。呃, gfw 只要看到我可疑就立刻就会封锁,这么绝对?同样,我会在后面翻墙安全性的这期视频会详细的 展开解释这个话题。说到这里,可能很多朋友会质疑哈,呃,对于呃 shadosoxa 目前安全性有不同,跟我有不同建议的朋友啊。呃,理性的讨论,非常欣赏啊。那么我问你个问题哈, 为什么绝大多数的机场这些靠着提供翻墙服务赚钱的平台依然采用 shadow sox 协议作为主流呢?又比如推荐你 v tory 的那些人, 除去被吹爆协议越新越好,已经失去理性思考能力的人之外呢?是否他们是利益相关者?比如卖 vps 或者是卖线路的对吧? ok, 你自己去思考一下哈。 另外,谁的 sock 协议目前拥有着最快的 rtt, 也就是通讯延迟,因为数据包在握手的时候用时最短。后面会讲到的 vitori 和车震,在机制的限制下, rtt 次数是一定的, 比 shadowsocks 要多的,这一点是无解的。详细不展开讲了,有兴趣可以进我的电报群交流。总结一下 shadowsock 协议的部分啊。我认为哈, shadowsock 协议因为机制问题,目前还是体验最好,最简单最快速, 极度体现暴力美学的中转代理方式。同时,没有任何人能够准确地告诉你, shadow socks 已经被精确识别判断并且封锁了这种风险存在,但是原因是多维度的, 请你们理性的,辩证的看待。 shadow socks 的安全性存在一定风险,但是目前依然是翻墙的主流方式。 shadow sox r 这个协议呢,是 shadow sox 的优化版,但是并非是同一个作者开发的,目前安全性也是众说纷纭,而且比较容易引战。 shadow sox r 的作者呢,也颇具争议性啊,有兴趣的自行搜索,我不追书, 但是我个人的建议哈,如果同时有 shadow socks 和 shadow socks r, 我选择 shadow socks, 配合安全的加密方式和混淆,足够安全了,主流的需求绝对够用了,尤其是机场用户,毕竟就算真出问题吗, 对吧,也不用你换 ip, 他们分分钟就搞定了。这里如果不同意见的朋友啊,觉得 shadow sox 就是不安全,没关系,你换用其他方式就好了,没必要争辩,我保留意见,你也可以保留你的,但是我建议你啊,好好去研究一下 shadow sox 的工作原理。 下面说到威特瑞,从开发者的角度看啊,威特瑞是个极具弹性的平台,支持的协议和算法多,机制和花样也多。从写代码的角度看啊,相比 shadowsox 的简单粗暴啊,威特瑞是通过 呃一种不断的在这里加一笔,在那里添一花的这种方式啊,来解决各种各样的谴责, 在的可能出现安全性的问题,这个特点同样也是优点也是缺点啊, victory 的安全性综合来看的确更高, 但是从部署和推广的角度来说,因为更加复杂嘛,也的确劝退了很多自建 vps 的用户。从通讯延迟的角度来说,因为机制的问题啊,导致握手次数相比 shadosox 更多。加解密的性能方面呢?由于 vtory 原创的 vmas 协议加 tls 两次加密, 呃, cpu 占用对比 shadow socks 也的确更高,不太适合部署在路由器和一些老旧的呃 cpu 型号的手机上哈,我说的不是软路由哈,就因为 retur 的花样比较多, 我这里着重的说的是 vmice 加 websake 加 t l s 的这种情况目前来说确实是最稳定的方式之一,即便是在一年一 一年一度的六月大扫除哈。呃,其他协议陆陆续续出现问题的时候也是屹立不倒。由于机制问题啊, websokid 加 t l s 的 h t t p s 流量在 j f w 看来哈,和不计其数的其他的正常的 h t t p s 流量基本上没有任何区别。 所以很多人在早期这个阶段啊,就会吹爆呃, websok 加 t l s 这种方式。尽管流量没有明显的特征,但是如果 g f w 主动探测就会发现啊,流量的目的是没有任何一个网站的,这不就是个明显的特征吗? 不过这里就是体现啊 vitori 平台弹性的地方了呃,很多人在 vitori 服务外面加一层真的网站作为掩护哎,伪装流量,这就是 vitori 加 vip socket 加 t 加 t l s 再加 wive 的原理。在配置了真实网站之后呢,只有你知道自己是个代理,对 g f w 来说,你就是在流 互联网站对吧?目前这种协议的呃翻墙的方式已又在网上被吹爆了,你可以看到无数的优球本和机场和 vps 供应商在给你吹这种方式的优越性。吹爆这事已经成日常了,这个规律我不知道你有没有发现啊,所以我一直跟你们说,要理性辩证的看待问题, 看待这种新出来的这种协议,就是这个意思,以往 shadosax 协议和 shadosax r 协议刚出来的时候也是一样的节奏,很多人说,哇,从技术上来说简直完美,事实真的是如此吗?但是后面 g f w 一样能够探测,只是判断的准确度和时间的维度来说, 暂时安全而已。继续说 web socket 加 t l s。 借由委托瑞这个话题呢,我从宏观的角度上给你们讲一下现在的翻墙手段和 g f w 探测的这个博弈状态。 g f w 的封锁和突破 g f w 的封锁就像破解和反破解一样,双方都在不断的 进化和进步,这个博弈过程不是一成不变的哈,就好比苹果手机系统越狱啊和固件更新然后封堵漏洞啊一样,永远没有完美的协议。 就比如我刚才说到的啊, web socket 加 t o s 配合访问网页这种方式,哎,你从你这一段看,哇靠,简直完美, 滴水不漏哎,我的流量多正常啊,该加密的加密,该混淆的混淆,该铭文的铭文,而且流量是正常访问网站的流量,对吧?但是从 j f w 的角度来看,可能前几天他觉得你的行为没有特征,但是再过一段时间, j f w 发现看到的是你天天无时不刻的访问同一个网站,你说他会不会觉得可以, 然后他来主动探测,哎,发现确实是个正常网站。好吧,啊,那我让继续让你访问,但是啊,我重点盯着你了,再过一两个月。我靠,你当我傻?谁上网天天照着一个网站看这种特征还 还不算特征?我不知道什么是特征了。所以你看啊,技术角度的完美和现实角度的完美完全不是一个概念。 g f w 理论上已经具备了探测这种特征的能力哈,当然没有人能去准确的分析出 啊, g f w 的算法和探测行为具体是什么样的哈,但是我们心里要有个底,人工的方式优化 g f w 已经不是主流了, 你要知道,现在的 ai 技术和大数据分析很多都已经不是人工在搞了,人工面对大数据是很无力的,一旦有了成熟的利用 ai 和大数据分析特征的方式啊,一切所谓的协议和加密都只是暂时的。 所以从事技术方面的人大概会有两种思路啊,一种是现在技术的角度的陷阱里出不来啊,他只会从技术的角度来判断怎么做到完美,怎么做到安全。但是你跳出来宏观的看哈,特征是一定有的,只是时间样本够 不够的问题。这就是另一种能够从更高的宏观的角度来看待封锁和反封锁的人,就比如我哈,我们能够明白,这个博弈过程一定是永恒的,除非 g f w 不存在。总结一下 vitori 的协议和加密算法 啊,相比舌头 socks, 威特瑞的确在安全性和潜在的对抗 g f w 的封锁的能力上要强一些,但是依然不是绝对的安全。威特瑞的优优点在于弹性大,功能多,支持的协议和算法多,缺点在于部署起来难度比较大,多次加密解密延迟相对比较高, 对设备的算力要求也更高一些。至于你是否要选择用威途瑞,完全取决于你自己。用软路由的,用大厂的 vps 的,选择威途瑞更安全一些,同样不是绝对的哈啊,下面说到车震了,车震的出现挺有意思的啊,我从开发者的角度来看,车震 解决的是威图瑞的一些缺点,但是翻墙的核心原理还是借鉴的 websalcate 加 t l s, 两者并不完全等同哈。但是从第三方,比如说 j f w 的角度来看,戳震的流量和 websalcate 加 t l s 的流量基本没有太大区别。 至于车震解决了威途瑞什么缺点啊,简单来说有两点,第一,解决了复杂,部署难度大的这个问题啊,车震走的是轻量化的解决方案,定死了通信协议只有一种,就是 websake 加 t l s, 不像威途瑞支持和兼容那么多协议。 第二,车震在 vituri 的 v max 和 t l s 的两层加密的结构里面,剥离了一层 v max 的加密协议,只用到了 t l s。 t l s 的加密方式是非常非常成熟的,哪怕政府和银行用的都是 t l s。 随着 t l s 的 一点一点三版本的出现,加密的角度来看啊,安全性几乎是不会被强行解密的。由于戳阵只用了高效率的 t l s 加密啊,所以对比 v tory 执行效率还有加解密的这个耗时耗力的问题,看起来也有了进步。所以很多人会觉得戳阵其实就是个 vitory 的假话版本,这一点其实 也比较引起争议哈,但是事实差不多是这样子,看似戳阵有了这两个比较明显的进步啊,实则也带来了缺点。首先,你定死了唯一的通讯协议,就意味着对其他协议就不支持了,弹性比较差 啊。另外,由于戳震比较新,你电脑上的客户端支持戳震,不代表手机上也有成熟的客户端可以用。两个月前,戳震的手机端的翻墙软件执行效率还是比较低呃,在近期的一次更新之后,添加了 cpu 多线程的支持之后啊,速度 和执行效率这些东西上来了就是一个佐证。另外,我自己对戳针有一点不太欣赏啊,就是他们的宣传方式啊,比较怎么说呢,给你们看张图,这是他们自己官网上的描述哈。 这段英文的意思是,很多人觉得强加密和混淆是应对 g f w 过滤机制的有效手段, 但是呢,我们初中走了完全另外相反的一条路啊,那就是伪装互联网上最常见的 h t t p s 流量 哎,但是拜托哎, htps 就是 tls 加密的, tls 不算强加密,这个世界就乱套了,政府和银行最先崩溃。所以我觉得他们在宣传自己产品的时候 有点误导人啊,我不是特别支持这种采用不实的方式来宣传自己产品的这种行为啊。总结一下啊,车震其实跟威途瑞差不太多,速度快一点,但是安全 性其实是一样的。另外,因为比较新呃,多平台的支持和兼容性要差一点,这个是只能通过时间慢慢解决,没有任何别的办法。很期待这个新型的翻墙工具啊。呃,希望他越变越好。但是目前呢,你应该选择哪种方式呢? 还是要看你自己的需求。哎,这个时候你就可以去参考那些专门做测速的 youtuber 了,看看哪一种协议和工具更适合你。这一期内容呢,我讲了目前几种主流的协议的优缺点。总结一下啊, shadow sox 眼影依然适合绝大多数机场用户使用,但是 v p s 用户建议优先选择相对比较安全的 vitri, 对速度有严格要求的你就去选出任就好了。 机场用户放心,选择 shadow socks 机场的配置是没有问题的, shadow socks 协议也是没有问题的,除非机场故意要赔钱。协议的选择呢, 是根据你的需求、部署环境、使用习惯等等因素挂钩的,因此没有最好的协议。学习网络知识的基础,掌握了相关技能之后,动态的取舍才是最佳的科学上网方式,对吧?你天天说科学上网,科学上网,你都不学习这门科学,你怎么科学上网?好的, 这一期就到这里,上一期我说这一期会讲一讲非主流的一些翻墙方式,时间不太够了,我下一期再讲 啊。这里我先说明一下,我说的主流和非主流不是通过用户基数定的,而是从稳定性和可靠度这两个维度来定义的。下一期我会讲一讲蓝灯、 astrovpn、 northvpn 等等这些别忘记支持我哈。 点赞订阅,打开小铃铛,第一时间获得我更新视频的推送,想要探讨和交流的,欢迎加入我的电报群。好的,下期见。
大家好,我是八州数码王掌柜,这期的视频给大家介绍的是电脑使用技巧,提示此站点的连接不安全,使用不支持的协议,这解决方法有需要下载软件的请看前期视频软件下载方法, 我们打开网站,有些网站显示此站点的连接不安全。 打开三六零极速浏览器,点击右上角的三条横杠,选择工具最下方英特赖特选项挨高级 使用 tsl 一点零,一点 一,一点二都把这个勾都选上,这个问题就这样被解决了,大家可以试一下。 在我们这打开网站就可以打开了, 这期的视频就到这里,如果大家喜欢请点点关注,多多支持一下,谢谢大家。
第一个呢就是 pkr 知识体系, pk 知识体系呢,就是解决一个新人问题的啊,他是通过这个 ic 这个或者是用非对称加密来解决的啊。第二个呢是我们这个消息啊,是通过对称加密算法来传递的。对称加密算法呢,有一个特点,就是说只要这个密要, 大家不知道啊,只有我们双方知道这个密要啊,就是密码,大家可以理解密码啊,比如说我们现在用那个 vir, 知道吗?那个 vir 中你如果压缩的时候啊,你可以输入密码,对吧?你输入密码的时候,他其实机遇的就是一个叫 aes, 也就是我们现在主流的一个对增加密算法,叫 aes, 比较高级加密算法啊。呃,他就是使用 as 这个算法定加密的,那么他有个密要, 只要这个密药大家不知道,哪怕 a s 的所有的这个加密的流程是公开的,中间所使用到的一些,这个替换法中需要一些叫我们叫来 sbox, 那么这些参数我全部都公开给你,那么你也没有办法把密文在不知道密要的情况下反推回明文啊,这是对称加密算法的一个特点啊。 好,那么 sl 一定要基于对称加密算法去加密的,因为对称加密算法的加密速度非常快,他们要非正加密算法加密起来速度很快,设计的啊,很慢,他设计到大量的运算啊,那么我怎么样才能传递这个蜜药呢?这就是蜜药交换协议要做的事情。 密要交换协议的版本数非常多,也就是刚刚那个同学问的啊,为什么说,呃,我的客户端和我的夫妻之间没有办法建立一个 sl 协议,就是因为他需要在握手阶段协商几件事情。第一,我们使用哪一种密要交换协议来传递?我们后面对称加密十所使用的那个密码 目前主要使用的是椭圆曲线,叫 ecc 啊, eccdst 椭圆曲线呢?那个计算速度要比以前的 dh 密要交换要快很多,而且它是一个有前向 这个安全性的。什么叫强项安全性啊?就比如说你现在把我们的传统豹纹你保存下来了,你保存到那个你的硬盘上,然后过了两年以后,你终于把我的这个呃服务器的撕掉,比如说你,你终于破解了,拿到了,你也没有办法 去破解我以前的这些,这你还得重新破解啊,你还得重新破解你两年前保存下来的那些密文,那么这就叫做前下粘性,因为以前的这个呃 t s s 早期啊,他是没有前下粘性的,比如说那个叫 rsa 一个密要他就没有啊,只要你任何时间你破解了他的撕药,那么前面你保存的这些啊密文都可以直接就就就被这个破解掉。
关于这个视频的详细文字版,我已经整理进了面试宝典笔记,放在视频的最后,坚持看完,一定会对你有帮助。描述一下 ssl 或者 tls 协议的作用和工作原理啊。那他们两者呢,都是用于去保护网络通信安全的一种加密协议。 他们的作用呢,是在客户端和服务器之间建立一个安全的通信连接,确保数据的机密性、完整性和身份验证。 他的工作原理如下啊。握手阶段,客户端呢,会发送一个加密算法列表给服务器。服务器呢,从中选择一种共同支持的加密算法,并返回证书。 客户端验证证书的合法性,并生成一个随机数作为对称密药的一部分,然后使用服务器的工药加密该随机数,并将其 发送给福气。那第二呢,是密药交换阶段,福气使用自己的私药解密去解密客户端发送的随意数啊,得到对称密药。此后,客户端和福气使用对称密药呢,去进行加密和解密,以保证数据传输了机密性和完整性。 那第三步呢,是数据传输阶段。在握手阶段完成之后,客户端和服务器之间呢,他们的通信将使用对称密,要去进行加密和解密,保证数据传输的机密性。同时 使用消息认证码来去验证数据的完整性,以防止数据被篡改。
大家好,我们本期视频主要来讲 ssl 和 tls 的工作。在上期视频呢,我们讲了一下这种 htp 访问中可能会遭到进行窃取的问题。如果我们将 ssu 或者 tls 作为对通信加密的协议,然后在此之上承载 http, 通过将两种协议进行叠加,我们就可以对 http 的通信进行加密,从而防止窃听。通过 sltls 进行通信时, uil 不再是以 http 开头,而是以 https 开头。 大家可以看到,这里边我们原本的明文请求就已经变成了加密的请求。 htp 通信协议中有三个问题是需要解决的, 第一个是机密性的问题,第二个是完整性的问题,第三则身份证的问题。为了解决这些问题,让我们在密码技术中寻找答案。 要确保机密性,我们可以使用对称密码。由于对称密码的密药不能被攻击者预测,因此我们使用尾随机数生成器来生成密药。 若要将对称密码的密要发送给通信对象,可以使用公要密码或者 dp 哈尔曼密要交换,要识别篡改。对数据进行认证,可以使用消息认证码。消息认证码是使用单项散练函数来实现的, 要对通信对象进行认证,可以使用公要加上数字签名所生成的证书。下面只要一个框架,将这些工具组合起来就可以了。 sltl 四协议其实就扮演了这样一种框架 的角色。刚才我们提到用 sltls 来承载 http 协议,这是因为 http 是一种很常用的协议。其实 sltls 上面不仅可以承载 http, 还可以承载很多协议,比如发送邮件是使用的 smtp 和接受邮件使用的 pop 3 都可以用 sotls 进行加载。在这样的情况下, sots 可以对收发邮件进行保护。 sltls 提供了一种密码通信的框架,这意味着 sltls 中使用的对车密码、供应密码、数字签名单项、散练函数等技术都可以像零件一样进行替换。 也就是说,如果发现了现在所使用的某个密码技术存在弱点,只要将其中一部分进行替换就可以了。尽管如此,也不 不是说所有的组建都可以自由选择。由于实际进行通话的客户端和服务器必须使用相同的密码技术才能进行通信,因此如果选择过于自由,就难以确保整体的兼容性。 为此, sotls 就像事先搭配好的盒饭一样,规定了一些密码技术的推荐套餐,这种推荐套餐成为密码套件。 本期视频中,我们将 so 和 tos 作为一个整体来对待的。正如开头所提到的那样, so 和 tos 大体上是相同的,但也存在微妙的差异,我们将不会特别涉及这些差异的部分。 s 六是一九九四年由网警公司设计的一种协议,并在该公司的外部浏览器中进行了实现。随后很多外部浏览器都采用了这一协议, 使其成为了事实上的行业标准。 so 已经于一九九五年发布了三点零版本。 tos 是在 so 三点零的基础上设计的协议,在一九九年作为 ic 二二四六发布的 tos 一点零实际上相当于 so 三点一。 二零零六年 tls 一点一以 ic 四三四六的形式发布,这个版本增加了对 cbc 攻击的对策。此外,在 tls 一点一中,对称密码算法加入了 aes。 关注我,每天学点密码知识。
ssl tells 是一种安全协议,旨在在网络通信中建立安全及数据完整性的一种安全协议。 ssl tells 协议位于 o c 七层模型的绘画层,在传输层协议如 tcp 之上。以下是 ssl tls 协议的基本概念和结构。 ssl tells 协议可以分为两层,分别是记录协议和握手协议。 ssl 记录协议 ssl record protocol 建立在可靠的传输协议如 tcp 之上,为高层协议提供数据封装、 压缩、加密等基本功能的支持。 ssl 握手协议 ssl handshake protocol 是在记录协议之上建立的,用于在客户端和服务器之间建立安全连接。握手协议中包含了四个子协议, 握手协议 handshake protocol、 更改加密规范协议 change cipher speak protocol、 应用数据协议 application data protocol 和警告协议 alert protocol。 ssl tells 协议的主要目的是提供数据加密和身份认证,以确保网络上传输的数据的机密性、 完整性和可用性。他广泛应用于 web 浏览器和 web 服务器之间的通信,以及其他网络应用之间的通信, 例如电子邮件和及时通讯应用程序等。 s s l tells 协议的原理可以简单理解为通过加密技术和数字证书来保证数据传输的安全性和完整性。 s s l tells 协议原理的详细解释如下,一、 s s l t l s 协议是应用层协议,位于 t c p 协议和各种应用程序协议之间,用于为数据通讯提供安全支持。二、 s s l t l s 协议由两层组成, s s l tells 记录协议和 s s l tells 握手协议 三、 ssl tls 记录协议是建立在可靠的传输协议如 tcp 之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 四、 s s l t l s 握手协议是在记录协议之上建立的,用于在客户端和服务器之间建立安全连接。 五、在 s s l t l s 握手阶段,客户端和服务器之间会交换数字证书,并使用对方的工要对连接进行加密。六、客户端向服务器发送消息 时,会使用服务器的公要加密消息,然后服务器会使用自己的私要解密获取消息。七、服务器向客户端发送消息时,也会使用客户端的公要加密消息,然后客户端会使用自己的私要解密获取消息。 八、 ssl tls 协议采用数字签名技术,确保数据在传输过程中没有被篡改或损坏。 ssl tells 协议的主要作用, 一、认证用户和服务器,确保数据被发送到正确的客户端和服务器上。二、加密数据,以防止数据中途被窃取。三、维护数据的完整性, 确保数据在传输过程中不被篡改。 s s l tells 协议通过数字签名和加密算法来维护数据的完整性。一、 在 s s l t l s 协议的握手阶段,客户端和服务器之间会交换数字证书, 并使用对方的工药对连接进行加密。二、客户端向服务器发送消息时,会使用服务器的工药加密消息,然后服务器会使用自己的私药解密获取消息。 三、服务器向客户端发送消息时,也会使用客户端的公要加密消息,然后客户端会使用自己的私要解密获取消息。
大家好,我是小周,今天呢跟大家分享一下啊, dog 就启用 t o s, 也就是我们 h t t p 端点访问的这么一个呃,文档啊,怎么去启用它啊?这里主要解决的问题啊,就是我们的 dog 不能够远程访问的问题啊,比如说我们去看到我们的虚拟架,我们可以看到啊,我们装的 dog, 那么我们整什么通过 dog 命令行啊, dog ps 去访问,比如说我们的多个 boss, 那 在这呢,我们其实可以看到两个内容,一个呢是客户端啊,另外一个呢是 soft, 而我们通常所说的 dock 就是我们通常用的 dock, 那就是客户端啊,通过客户端去访问我们的一个服端,而客户端和服务端呢,是通过一个套结字去连接的啊,套结字呢啊,在我们的这个位置 啊,这是我们的特级字。而如果说,呃,我们要去启用远程呃连接啊,为什么我们要去讲这一个 t o s 呢?因为我们一旦去启用远程连接,如果说我们仅仅是说我们去开发,去调试啊,那么我们可以自己搭一台虚拟机,我们就启用 i g gdp 就可以了。那么启用 hgdp 呢?其实非常简单啊,这道我们可以来看一下, 我们去修改 docs 呃,这一个 service 的启动命令就可以了。那如果说我们通过呃 h g p 连接,那么我们就只需要去修改什么,在我们的, 在我们的这一个啊,启动命令这一块啊,去增加一个杠 h 啊,比如说你增加一个杠 h 啊,零点零点零啊,括号二三七五啊,二三七五或者二三七六,二三七六呢,是 h t t p 的 h t b s 的一个连接啊,是这么一个地址,那么如果说我们用 h t t b 呢,就二三七五就行了,那么我们只需要在这一行啊,去增加这么一个啊,去指定一个主题就行了哦。 但是这种情况下呢,我们并不能去应用到生产环境,因为,因为如果说我们仅仅只是启用 h t p 连接,那么就跟裸奔没有什么区别啊,所以呢,我们必须去启用 h t p s。 的一个连接,因为我们要部署到生产环境的话,一定需要去启用 h h t p s。 连接啊,所以呢,我们需要去配置这个 东西,比如说第一个啊,我们要启用啊 d s 验证。第二个,我们指定我们的一个证书就跟证书以及呢指定我们的一个 service 证书和 service key 啊,而我们去访问的时候呢,我们是需要使用我们的一个跟证书以及客户端证书的, 也就我们生存的证书呢,其实有两套啊,应该说是有三三组啊,一个呢是跟证书和跟证书的 k 啊。第二个呢啊,就是我们的客户端证书客户端证书的 k。 第三个呢就是我们所有端的证书和所有端证书的 k 啊,我们一定是有这么三组证书啊, 好像这种情况下,我们通过都可去访问,我们通过命令好去访问,比如说我们去启用我们的一个 tos, 我们啊,重新指定我们的一个呃,主机啊,比如说我们的一个啊,幺二七点零点零点幺啊,我们这个二三七六 好。第二个呢啊,我们的一个其他函数啊,启用我们的一个 t o s 认证啊,启用 我们的一啊,指到我们这个 t r 色啊, c 色的就我们的一个 c a 点分啊。 第三个呢,指定我们的一个这是 c a, 而指定我们的客户专证书啊, t l s third 啊,等于我们的一个 thirt 点喷啊。第四个呢,指定我们的一个 t l s k 啊,等于我们的 k 点喷。 然后呢,比如说我们去访问我们的一个卧室啊,这样我们同样能够访问啊,如果说我们不去指定,我们仅仅只是说啊,指定我们的一个 h g d p 这样是玩,这样是玩不了的啊,玩不了的啊,好,这呢啊,我们需要去配置这么一个 h t t p s 啊,好,我们之所以会,嗯,老猪之所会用到这块呢啊,主要还是我们,嗯最近在做这么一个项目 啊,我们做了这么一个叫做踏档的项目,做这个踏档的项目呢,也就是我们提供一个跳板机啊,提供跳板机呢啊,通过我们的一个跳板机呢去访问我们的一个内网服务。而在这块呢,我们是通过呃调料都可去部署我们这个服务啊,比如说呢啊,之前呢就搭了这么一个 a p i 啊, a p i 服务,我们可以通过内网地址去访问,比如说我们这个 h t d p 我们这个幺九二点幺六八啊,二六,这在附近是吧?那么我们通过啊,我们同样呢可以通过什么通过公网保温啊,那么这呢,我们部署之后呢,我们有这么几个访问地址,比如说我们的这个 a p r 啊,我们目前呢还是通过域名加端口的方式啊,热门三九零零幺。 那么呢啊,我们同样可以通过公网去访问随机生成域名啊啊,这块呢就这么一个意思啊,那么里头呢啊就涉及到我们 douk 的调用啊,我们生产环境 douk 呢,我们一定不能说什么 啊,直接裸奔啊,如果说生产环境去掉多个裸奔那么是非常危险的一件事情对吧?啊,才用到了这么一个啊, ts 端点的一个配置啊,端点配置呢啊,主要是这么几个流程呢,这呢第一个啊,我们要自前跟证数啊, 也就我们 c a 和 c a 点 k 啊, c a 杠 k。 第二个呢我们要生成我们的一个服务端证书啊。第三个呢生成我们的一个客户端的证书啊,主要是这么三啊,三个步骤啊, 这是证书的生成啊,当然这个证书生成呢,我们通常情况下呢,我们去我们自己内部服务去访问自己的 doctor 呢,我们是不需要域名的啊,所以呢我们的这个证书呢也是针对啊 ibt 指的方式去访问 doctor 服务的这么一个啊,生成方式啊,没有域名啊,没有域名。说好 第四个呢,就是我们的一个服务档,我们需要去部署我们的这么一个相关的呃证书文件啊,并且呢去重启我们的这一个 dog 服务啊,最后呢啊再去访问我们这个 dog 啊,主要是这么一个逻辑, 还有需要的同学呢啊,可以添加我们这个助理老师啊,一键三连。然后呢啊添加老师的一个联系方式呢啊,领取我们的一个啊,这一个文档资料啊。
点击网页到内容展示背后发生了什么?上个视频我们知道,只要知道对方计算机 ip, 双方就可以建立通信, 但是 ip 并不方便记忆,而域名更适合,于是我们像建立手机通讯录一样建立域名表。域名表中域名与 ip 相对应,这样人脑只需要记住域名就可以访问网站了。这个域名表就是我们计算机中的 host 文件。 但是域名表存储是有上限的,并且也不方便跨设备共享,于是增加了域名服务器,用来专门存储域名表。客户端访问网站时,从域名服务器获取 ip 即可。 是全世界的域名有无数个,单一的服务器也扛不住。于是域名服务器采用分布式数据库的形式,根据域名段进行划分,就像欠套的文件夹一样,找不到的记录就由下属服务器查询后再层层返回。这种只跟跟服务器对接,最多跑一次的查询方式叫做低规查询。注意,这里每一层的服务器都可以是服务器 集群,并不是只有一台物理服务器。为了提高域名 ip 查询的速度,通常运营商会建立代理服务器,代理服务器通过缓存机制缩短用户查询的响应时间。有了缓存机制,代理服务器可以使用迭代查询的模式, 直接找到末端服务器查询,减少了跟服务器的压力。迭代查询也是主要的域名 ip 查询方式,这些不同角色的服务器都有专属的名字,分别叫本地服务器跟服务器。顶级域名服务器、权限域名服务器,他们共同组成了一个 dns 服务, 解决了客户端根据域名查询 ip 的问题,实际上浏览器计算机缓存会把域名 ip 缓存起来。客户端并非每次都需要执行 dns 查询, 有了 ip 就可以使用 tcp 协议进行通信。网页的每次请求都会尽力建立连接,断开连接的过程,后续不再追溯。发送请求的内容,约定好格式,例如请求 方式、域名路径等,服务器接受后处理也按照一定的格式响应消息,客户端把响应的消息渲染出来,这个双方约定的格式便是 http 协议了。从上个视频我们知道,计算机发出的消息 会经过若干个路由器的转发,而此时我们发送的消息是铭文的,这也就意味着中间环节任何人都可以对内容查阅篡改,这很不安全。于是我们需要对内容进行加密处理。 假设加密是一把锁,那么钥匙就是加密的密。要。首先客户端需要把密要发给服务器,然后使用同一把密,要对内容加密,之后把密文发送给服务器, 服务器使用相同的密药就可以解密内容了。这种加密解密都是用同一把密药的加密方式,叫做对称加密。例如加减法就是一个最简单的对称加密,常用的对称加密算法由 a e, s, d, e, s 等。但是对称加密需要先把密药传递出去,这是攻击者完全可以从中间拦截,然后 自己配一把,之后的密纹都能解开了。这个加密流程形同虚设,于是我们需要一种更复杂的锁,这个锁有两个不同钥匙孔,以及对应的两把不同的钥匙,一把叫公钥,另一把叫私钥。使用私钥上锁后只能用公钥解锁,反之,使用公钥上锁后 也只能用私药解锁。这个便是非对称加密,最常用的非对称加密有 rsa 等,有了非对称加密,服务端就可以把公药传递出去,当然攻击者也偷配公药。客户端使用公药对内容加密后发送给服务端,由于攻击者并没有私药,于是没办法解密内容, 而服务端有私药可以解密内容,这样就解决了秘药泄露的问题。但加密之路才刚刚开始,攻击者虽然拿不到服务端的私药,但是可以调包服务端的工药,把自己的工药替换成服务端的工药给客户端,客户端收到后以为这就是服务端的工药,于是毫无怀疑的用来加密内容。之后攻击 记者就可以用自己的私药对内容解密,同时为了潜伏,再用服务端的工药加密,把内容转给服务端,进而达到长期鉴定的目的。而这一切不管是服务端还是客户端对此浑然不知,这就是所谓的中间人攻击, 此时好像面对中间人攻击毫无办法,只能亲自前往肉身获取秘药才保险。但如果每次网络消息都肉身跑一次的话,网络已经没有意义了, 是我们希望有个机构来帮我们跑,这个便是 ca 机构。首先服务端会把自己域名公要等信息发给 ca 机构, ca 机构审核后会将这些信息用非对称加密加密起来。加密后的内容变成了证书 后肉身送给服务端,之后又把 ca 四药运送给客户端,以方便客户端解密。证书之后,客户端如果跟服务端通信,服务端需要先把证书发给客户端。由于客户端有 ca 的功药,所以只要能够解密证书,就说明证书没有被篡改过。 而如果攻击者伪造了证书,客户端是没办法解密的,从而解决了公要身份问题。这里需要注意下, ca 机构颁发证书时并不是对全部内容加密,而是对内容进行哈西处理,对哈西结果进行加密,这样不仅可以保留可见内容,还能使加密内容更。 另外,所谓的肉身运送也不是真实的跑过去,而是通过电话、电子邮件、物理邮件等多种信道来降低中间人攻击的风险。而客户端 ca 机构的工药通常是浏览器自带或者计算机出厂自带的,理论上还是存在多种信道同时被中间人攻击的可能,但是只要概率足够小, 就可以认为它是安全的。跟 dns 服务器类似, c a 机构也不是只有一家,数量增加后也需要分成管理。 c a 机构上下级之间使用层层颁发证书的方式,加上证书里包含的证书链,使得客户端不需要保存全部 c a 机构的证书,只需要保存 少量的跟证书跟中间证书即可。你会发现,域名证书完全由 ca 机构决定的,如果某个机构作恶或者管理不善,造成恶意颁发,要怎么办呢?于是, ca 机构引入了证书透明机制,要求 ca 机构证书颁发证书时,需要往日志服务器写入相应的记录,而所有人都可以查阅日志服务器, 从而达到互相监督的目的。由于 ca 机构都是盈利组织,任何恶意行为都会导致身败名裂,加上证书透明机制, 大概率保证 ca 机构是可信的。有了 ca 机制后,中间人攻击再也没办法了。非对称加密虽好,但是非对称加密相比对称加密要更非计算资源通 是加密后的密纹要更长,所以通常不会直接使用非对称加密来通信,而是用来传递对称加密的密药。例如客户端把对称加密密药拿出来,用非对称所加密之后,服务端用私药解密,得到了对称加密的密 密药之后就不再用非对称锁,而是用对称锁来加密通信。除了非对称加密交换密药的方式外,还有另一种性能更好的方式。例如客户端取两杯数量一样的红豆以及一杯定量的黑豆。服务端取两杯数量一样的绿豆以及一杯定量的黑豆,这里客户端跟服务端的黑豆数量是一样的。 随后客户端把红豆黑豆混在一起,服务端也把绿豆黑豆混在一起。下一步,双方交换这个混合物。收到混合物后,再和剩下的豆子混合在一起 时,双方都得到了一模一样的材料,用这个材料就可以做出相同的秘药。交换的过程中,攻击者并不知道客户端的红豆或者服务端的绿豆有多少, 所以得不到相同的材料,也就做不出相同的钥匙。这事你会疑惑,从混合物中减去黑豆不就是红豆了吗?问题在于他们已经混合了,分离需要人工分拣,非常耗时。如果这个杯子装的是十吨的豆子,应该就没人愿意做这 这个事了。这种密药材料交换方式就是利用了正向计算容易、逆向计算难的特点来实现安全交换的效果。无论是基于离散对数的 d h 密药交换,还是基于椭圆曲线的 e c d h 密药交换,都是用的类似的思想。此时我们生成密药还不能直接用来加密 混合物的结果,虽然客户端跟服务端都是一致的,但是混合物的结果我们是无法预测的,所以需要加入随机因子,然 它更随机一些,通常是客户端和服务端交换一个随机数,然后客户端随机数跟服务端随机数一同并入材料中 生成密药,这个密药则是主密药。但是这时候的主密药还不能直接用来加密,因为尽管攻击者拦截到消息无法解密,但是他可以原封不动反向发送,就会造成客户端、服务端的事物紊乱,所以还需要把主密药再合成一次拍,生成两个密药。客户端加密用客户端密药,服务端加密则用服务端密药解密 也是如此,这样就能避免上述问题。实际使用中,除了客户端服务端密要,还会派生成 mac 用于验证数据,以及 iv 用于加密处使划向量,这些并非必须得由不同的加密方式决定, 就是为 http 加密的 tls 一点二的完整流程 tls 一点二虽然目前使用是最广泛的版本,但是流程还是太繁琐了,于是在 tls 一点三做了大胆的改进,把所有要转的的加密材料随机数等合并发送,使得 tls 一点三中只需要一个来回就完成了安全通信建立。那 上述提到的非对称加密交换密药的方式怎么办?答案是不要了。我们前面演示的加密过程中,除了撕药,其他消息参数都是公开的,也就意味着只要有撕药就可以解密任何内容。虽然攻击者无法直接解密消息,但是他可以把过往的消息全记录起来,耐心的等待机会。一旦服务端出现叛徒,那么 攻击者就可以解密过去几十年攒下的消息,使一个组织国家的机密暴露无疑,这也就是所谓的不具备前向保密性。解决的办法就是每次建立安全连接都使用动态的四药,然后像 rsa 之类的非对称加密。生成密药的过程非常耗费计算资源,于是动态四药的 dhc 密药交换方式, 例如 e c d h e 是更好的选择。至此, t l s 为 h t t p 完成保驾护航任务, h t t p 加 t l s 也就成为了 h t t p s。 在 h t t p。 一点零中,一次请求需要建立一个 t c p。 连接,然 后发送等待。相应,如果有多个请求,就需要建立多条 tcp 连接,可是连接的建立和断开都需要多次握手,这就造成了资源的浪费。于是 http 一点一中加入了连接保持机制,请求完成后并不马上关闭连接,这样下一个请求就可以共用一条连接。这时会发现后面的请求 球需要等待上一个请求完成后才能发出。如果一个网页同时加载的文件特别多,就会产生很长的等待时间。于是 http 一点一中使用了管线化机制,允许多个请求可以一起发出,无需等待上一个请求响应,但 但是此时仍然存在问题。例如前面的请求数据特别大或者丢失,就会堵塞后面的请求。尽管后面的请求明明可以跑的很快,也被破慢下来,就像高速路上大车并排在前面一样。 http 二时将单个请求数据做了拆分,拆成若干戈,效快对方接受后再按照顺序重组。这样的好处是把打车拆成了小车,避免了大车长时间霸占对头的情况。虽然总传输时间不变,但是拆分后可以使小请求更快完成加载体验上会更好。另外, ttpr 并不是简单的拆分,而是把数据分成头布针和数据针。由于多个网页请求字键头部往往是高度一致。 是的,于是通过建立头部所引表,大大减少了头部数据量,这便是 hpik 头部压缩。 http 一、 http 二都是基于 tcp 协议的。由于 tcp 排序机制,使得 http 始终无法摆脱对头堵塞问题,于是在 http 三中 在基于 tcp, 而是基于 udp 协议,并实现了一套连接协议 quick。 由于 udp 是无序的,使得 http 三没有了对头堵塞问题。 如果其中某个流发生丢包,只会影响该流而不会堵塞全部。在 h t d p 三之前,需要建立连接后才能建立 t l s 握手。尽管 t l s 一点三大量缩减了握手次数,但是 h d t p 三还是不满意,于是把连接建立过程和 t l s 的握手过程融合在一起,使得一个来回就同时完成了连接建立,跟 t l s 握手, 这让 http 三非常迅速。尽管 http 三非常优秀,但是目前使用最广泛的还是 http 二协议,这就是从点击网页按钮到网页内容展示的全部流程。平静的水面下是个忙碌的世界,是不是发现以后点赞更有分量感了呢?
接着上一期继续跟大家聊一下邮件客户端的 im i p 系, im i p 可以实现双向同步,服务器上的所有文件夹,包括已发送、已删除、已归档、草稿箱等等,都可以帮您同步到手机端和电脑端。如果不小心在电脑端删除一封邮件,那 网页端和手机端同样也是会被删除掉的。所以这点大家需要注意一下,在使用 ip 的时候,邮件访问和打开速度相对来说会慢些,属于正常的现象。 最后再提醒一下大家,如果用 ip 型来导入键, im i p 只收信头邮件需要大家去点一下,否则有件内容是看不到的。好,今天就讲到这里,我们下期再见。
hello, 大家好,欢迎来到波仔分享,我是波仔, history are。 这个协议相信在座的老料们并不陌生了啊,他从二零二零年到现在也差不多有两年的时间了。那据官网介绍啊,他是可以针对恶劣的网络环境进行优化加速, 是即修改版的 quick 协议。那么这里就要和新手小伙伴们说一下这个 quick 协议。这个协议最早是谷歌设计,并在二零一二年开始部署的。那简单来说, quick 出来了,才有目前的 atp 第三代协议。 那他的优势大致体现在下面几点啊,握手,连接更快啊,多入复用而不会 造成对手阻碍,可自定义拥堵控制算法等等。那说成人话就是降低了延迟,改善了网络环境,提升了传输效率。那听起来啊,优点真的是不少啊,但是,但是, 那好吧,但是后面的话我们留到这个视频的最后来讲,我们还是先来看看这个饱受争议的 history 协议。 我们首先打开博客,那今天的准备工作依然是 vps, 一台重置好主流的操作系统。我们今天用到的 vps 来自 vermark。 那这个 v p s 是我二十五美元买的两年的一个 v p s 啊,当然这边不是推荐大家购买这台 v p s。 那这台 v p s 线路质量是非常非常的差,大家知道也就好了。第二个就是域名,一个并解析域名 到我们这台 vps, 我们今天已经是提前解析了一个 vir 点播,再点 us 的域名,并把 ip 指向了我们这台 vps。 那做好域名解析以后,我们就可以来安装我们的 hitterrea 了。我们首先对我们的 vps 进行系统的更新,并安装相关的组件, 安装完成以后,我们这边可以使用 hitter rare 的一个一键脚本进行安装,那这个一键脚本的项目地址呢?我把它放在了这里,我们在这边选择一安装 hitter rare, 在证书这边我们选择使用艾特米脚本进行申请,我们选择一,然后输入我们刚才解析的域名, vr 点播载的 us, 这边是我们的一个端口,我们直接回车选择随机默认页就好了。 这边着重的为大家来说一下这个协议的一个选择,那第一个协议是可以被识别为 kin 流量,那当然直接使用的话效果肯定是最好的。 第二个协议是把我们的流量伪装成 tcp 的一个协议啊,当然这样会增加我们 cpu 的一个开销,但是 windows 端也是不支持的啊。 第三个就是把我们的 udp 流量伪装成微信视频语音通话的一个流量,据说可以减少运营商对 udp 的针对性。 具体效果怎么样,我这边是没有做过证实啊,反正大家如果是选择一用不了的话,就选择三呗。只能这样了,我们选择一直接使用 udp 的流量,现在输入我们服务器的一个平均 持,我们还是真实一点,我们拼一下我们这个域名,那平均延迟一百八十一,一百八十八,一百八十八,那我们选择一百九吧,幺九零。 这边是希望我们客户端的一个下行速度,我们默认五十吧,因为他这边会帮我们自动做一个一点二,五倍的,一个勇于,我们就写五十就够了,那上行数的话默认十,我这边增加一倍写二十吧, 输入认证口令,这边随便大家输入吧。那到这里我们这个 hitterrea 也就搭建完成了,我们在 real 的文件下下面刷新一下,那么这边就会有个配置文件,这个配置文件也就是我们客户端需要用到的一个文件,那当然我们也可以直接 复制这一段配置文件,那我们先下载配置文件放到我们的桌面吧。现在我们就来看一下我们客户端应该如何进行使用。那我现在这台机器是 mac ys 的机器, 使用过程已经是说的很清楚啊。我们首先是要下载最新版的这个黑头荣耀的内核,因为我这边是 m 一的芯片,所以说我选择 arm 的这个内核啊,我们这边没有开代理啊,下载会很慢,我们把代理还是开一下,我们重新再来一下, 因为这个一键脚本里面帮我们配置了一些分流规则,所以说我们还是需要下载分流规则以及 ip 数据库,不然这个内核是起不起来,我们点击下载,那这个规则也是来自我们这个项目啊,我这边只是 做了一个方便下载的一个链接而已。我们解压这个规则,然后我们把刚才的内核改个名字,改成 hit rio, 我们新建一个文件夹 i 吧, 然后我们把 hitterreal 和这个 asc 文件夹都丢进去,然后还有这个配置文件,确保我们这个规则配置内核在一个文件夹下面,那现在我们就可以来运行我们这个内核了,我们打开终端, 然后进入这个文件夹,在文件夹下面我们首先对这个内核授权, 然后我们来运行我们这个离合,看到这样的没有红色的文字的话,就代表我们这边是没有进 报错啊,我们来看一下我们这边的一个代理规则是什么样的啊?我们看一下里面的 socks, 我们这边 http 的代理端口是幺零八零九, socks 的代理端口是幺零八零八, 当然我们可以直接在我们的系统代理里面直接改为 socks 啊,这个代理也就可以用它默认的这个规则 啊,就这个规则为我们进行分流了啊,当然我们今天还是我习惯用克拉西啊,我们今天还是用克拉西来试一下。 我们打开 clutch for windows, 那这边有一个分流规则的一个配置文件,我为大家放在了这里,就是这一个配置文件,那么我们把它复制下来,然后在桌面新建一个我们 文档,然后我们把趣模文档重名为一点 y a m l 保存到我们的桌面, 这个一点 y a m l 就是我们 class 的配置文件。首先我们把你们的节点信息修改一下,我们来对照配置进行修改, 我们节点名字啊,大家随意填写啊,符号到这里就是我们节点名字,然后类型 socks 五 sever, 也就是我们的 ip 啊,当然是因为我们内核运营起来了以后, sever, 也就是幺二七点零点零点幺,端口幺零八零八啊,是没错的, 如果大家是要使用这个规则并改名字的话,那这边也要改,然后这里也要改,这里也要改,然后这里也要改啊,当然我们现在可以直接进行使用了,我们把这个配置文件直接拖到我们的克拉西服务运动室, 我们点击进行使用。那现在我们就是用的这个规则,我们看一下这个规则啊,自动选择 vermark。 我们现在来看一下我们的 bike 视频, 这个速度大家是不是挺失望啊,不过要说的话,二十五美元两年的 vps, 哎呀,就是差不多这个速度了,我已经习惯了啊。 好,那么这就是我们 macos 上面客户端的一个使用方法啊,当然如果是 windows 客户端的话,使用也就更为简单了。我们现在来看一下 windows 客户端的一个使用办法, 如果我们在 mac os 上面,那关掉啊,关掉这个终端啊,比如说关掉这个终端,那当然我们这个代理肯定也就是无法进行代理了,我们可以拼一下,这边已经是太忙奥特了, 我们把它换过来,那因为我这边用 window 电脑演示也不太方便,所以我们今天就用蓄力机为大家演示一下我们这个 hitter ray 在 windows 端如何进行使用。 那在 windows 这边我们是有 vital ren, 已经是支持了 hitter re, 如果大家是想用命令行格式的话,也是可以进行使用啊。但是 vital ren 的话,如果是要使用 heter re 啊,我们需要一二三四五六七个步骤 啊,博客上面也说的很详细,这边就不浪费大家时间了,我们直接使用已经打包好的这个 hesterrea 的一个 v to ren 的使用包。那这个使用包还是来自我们刚才那位大神的一个啊。 get 好地址,我们点击下载,点击保存, 保存到我们的桌面,我们把它给解压出来,解压出来了以后,我们首先还是关闭我们的小猫咪,我们把它直接退出吧,然后我们来看一下这个 v to ren, 我们双击打开, 那这个里面默认有一个作者的一个 history 的一个地址啊,我们先把它给删掉吧,我们把我们刚才客户端的一个配置文件给复制过来,也就是这个里面的 config 点结实这个,我们把它复制到随便吧,就复制到这个文件夹里面吧,是一样的。然后我们使用的话,我们导入节点是需要点击服务器,点击自定义配置服务器,然后别名这边我们就 就随便写,然后点击浏览,然后找到我们的配置文件,也就是这个 v, 然后括的类型,大家一定要选择 hitlery 的这个类型,我们点击确定。 如果大家没有刚才进行这一二三四五六七步的一个操作的话,大家啊,这个 video ren 是不能进行使用的啊,大家一定要记得我们现在把我们的设为系统代理, 然后点确定,我们来看一下这个八 k 视频啊,因为我在蓄力机上面啊,打开八 k 视频的话,估计是会很卡啊,因为这个 cpu 肯定受不了,我们来看一下这个详细统计信息 啊,这边已经开始丢抛了,我的画面已经不动了啊,大家看得到啊,二 二十九包啊,已经丢了很多针了啊,已经是丢了很多针啊,大家知道是我们把声音关一下吧,那大家知道是怎么进行使用的也就好了,我们看一下八 k 啊,估计会卡的更牛批啊, 那这边不断丢包啊,速度也就是这个样啊,那么这里我们这个 hitterwear 的一个安装,并在客户端的使用,也就说到这里。 好吧,视频的最后我们就来说说刚才的,但是前面也说了, hit real 的底层也是基于 udp 的,然后基于 udp 加速协议的应用我们并不少见, udp 会以扔快递的方式勇于发包,这在国外的网络环境下啊,的确是可以看到很明 线的加入效果。然后我们这边的运营商会针对 udp 做 qs 限速和丢包,包括一些企业的局网防火墙,有的时候也会禁用 udp 协议,那在这样的环境下,你就导致了我们这个 udp 的传输效率低而不好用, 那即便是做了伪装丢暴力依旧还是挺感人的啊。另外,我们在开启了伪装以后,其实并不能给黑头微啊带来所谓的提速,反倒是增加了服务器的 cpu 开销,从而导致黑头微的一个减速。 从本身来讲啊,黑特瑞尔是一个很好的协议,也是很感谢这个作者为我们这个区域做出的巨大贡献。但是我们现在就有很多人想着能用黑特瑞尔协议多倍的发包提速,至于让我们 本身不通畅的线路,那是雪上加霜,那就好比便秘的人啊,还要不停的吃辣椒,导致我们这个腹胀而不见死,对吧? 那不可否认,各种协议之间的确是参差不齐,那换个协议啊,也只是让我们心理上得到很少的一些谢谢安慰而已。那从根本上讲,还是需要提高自己的 vps 线路质量,从而达到你预期的一个网络速度。 那如果你是对这个黑特瑞亚协议有什么其他的看法,也欢迎在我们这个评论区留下你宝贵的意见。 好吧,视频最后我们就对上期啊留言抽奖活动进行一个开奖,那中奖的用户可以根据这个我们留言信息联系到波仔即可。 那以上就是这期视频的全部内容了啊,感谢大家长期以来对波仔分享频道的支持、理解与厚爱。我是波仔,我们下期视频再见。