几乎永不被墙的meek协议,配合域前置CDN实现隐藏所有信息,在你关键时刻续命防失联的锦囊妙计,代价居然是重回3G时代!?

网络资源 admin 来源:不良林 6个月前 (11-05) 316次浏览 0个评论

视频教程

youtube播放地址:https://youtu.be/Ob23SAAR1-g

专线机场推荐:https://b.880805.xyz
GIA线路VPS推荐:https://bwg.880805.xyz

相关链接

v2ray:https://github.com/v2fly/v2ray-core
一键安装脚本:bash <(curl -L https://raw.githubusercontent.com/bulianglin/fhs-install-v2ray/master/install-release.sh)

支持域前置CDN:https://www.fastly.com
寻找前置域:https://fofa.info/result?qbase64=Y2xvdWRfbmFtZT0iZmFzdGx5Ig%3D%3D

服务器相关指令

服务端配置

{
  "outbounds": [
    {
      "protocol": "freedom"
    }
  ],
  "inbounds": [
    {
      "listen": "0.0.0.0",
      "port": 18880,  //自行修改
      "protocol": "vless",
      "settings": {
        "users": [
          "4382c3e8-5e6a-4e37-8613-2d7fe09fbfee" //自行修改
        ]
      },
      "streamSettings": {
        "transport": "meek",
        "transportSettings": {
          "url": "http://127.0.0.1"
        }
      }
    }
  ]
}
Bash

客户端配置(无分流)

{
  "outbounds": [
    {
      "protocol": "vless",
      "settings": {
        "port": 443,
        "uuid": "4382c3e8-5e6a-4e37-8613-2d7fe09fbfee", //自行修改
        "address": "gov.uk" //前置域 or 优选IP
      },
      "streamSettings": {
        "transport": "meek",
        "transportSettings": {
          "url": "https://random_domain" //自行修改
        },
        "security": "tls",
        "securitySettings": {
          "serverName": "gov.uk" //前置域
        }
      }
    }
  ],
  "inbounds": [
    {
      "protocol": "socks",
      "settings": {
        "udpEnabled": true,
        "address": "127.0.0.1",
        "packetEncoding": "Packet"
      },
      "port": 1080,
      "listen": "127.0.0.1"
    },
    {
      "protocol": "http",
      "port": 1081,
      "listen": "127.0.0.1"
    }
  ]
}
Bash

视频文稿(忽略)

meek是一个速度极慢的底层传输协议,不过他有个无法替代的优势,那就是合理的配置可以实现几乎无法被封禁,属于是保命防失联的锦囊,关键时刻打开才能发挥最大作用,本期就来讲讲meek协议以及如何搭建meek节点

meek协议早在2014年就存在了,当时主要作为洋葱浏览器的可插拔传输层,负责加密伪装并发送给tor中继节点,可以绕过一些地区对tor节点的审查,目前洋葱浏览器依然提供了meek网桥
5月31号,v2ray 更新的5.7版本中加入了对meek的支持,不过并没有引起太多的讨论,因为meek的传输效率很低,对比目前已存在的传输协议速度慢很多,甚至不如3g时代,无法作为日常科学上网使用,但meek可以套用任何CDN,配合一些支持域前置的cdn商家,实现隐藏源服务器的ip和域名信息,使防火墙找不到要墙的目标,达到永不被墙的目的,所以meek可以作为一个备用节点搭建在你的vps上,平时不用它,当你的所有翻墙手段全部失效的时候,就可以使用meek应急翻墙上谷歌,寻找新的续命手段,比如趁机买个比较靠谱的机场,所以还是有作用的,尤其是对一些白名单地区,担心失联的朋友建议搭建一个作为备用

简单来讲,meek是通过标准的http格式将数据传输到代理服务器,以这个配置为例,当我们通过浏览器访问谷歌的时候,由于配置了代理,浏览器会将请求发送到本机的v2ray客户端,v2ray拿到请求后,根据配置,将数据封装成vless的格式,并且由于底层传输方式为meek,所以会使用meek封装vless的数据,而meek会将其封装成一个标准的http请求,发送到指定的url,也就是我们的代理服务器,由于是一个标准的http格式,所以从防火墙或者cdn的角度来看他就是一个普通的http请求,只不过里面承载的数据是vless,而vless里面的数据是访问谷歌,数据包来到代理服务器,通过meek解封装,拿到了vless的数据,又通过vless解析获取到了需要访问的网址,于是就帮我们访问谷歌,要注意的是,普通的http是无法由服务器主动推送数据给客户端的,刚才服务器在收到meek数据之后已经和客户端完成了通信,而现在服务端帮我们访问谷歌获取到的数据无法主动发回给我们,只能由我们主动找服务器要数据,所以客户端会主动再发送一条http请求,找服务器要数据,如果服务器还没有收到谷歌的数据,则会给我们返回一个空的响应,过一会客户端又会找服务器要数据,如果有数据就返回给客户端,每次最多只能传输64kb的数据,而且必须按顺序接收,就这样一点一点把数据传完,这就是meek大致的工作流程,这种轮询的方式注定了meek的速度快不了

而meek的优点就是前面讲了他是标准的http请求,所以可以套用任何cdn,不像ws节点,必须要使用支持websocket的cdn,关于cdn的原理我在节点搭建系列第八节详细讲过就不浪费时间解释了
但光有这一个优势并没多大作用,毕竟速度太慢了,真正让meek发挥优势的,是套用支持域前置的cdn可以实现白名单,相信用ws套cdn的朋友遇到过域名被污染,被阻断的情况,因为套了cdn,防火墙还是可以通过dns或者sni看到你的域名,从而对域名进行污染和阻断,而域前置可以做到让防火墙看不到你的域名
以这个配置为例,假设baidu使用的cdn提供商支持域前置,还是和之前一样,浏览器访问谷歌的请求会交给v2ray,v2ray使用vless对数据进行封装,然后再由meek将其封装成标准的http请求,请求目标是我们设置的域名qiandu.com,这个域名和baidu使用的是同一家cdn提供商,并且qiandu.com绑定了我们vps的ip地址,另外由于开启了tls,这个请求还会使用tls进行加密封装,并且目标从meek的qiandu变成了我们设置的servername baidu,也就是sni,v2ray将这个数据包发给目标为baidu.com的cdn服务器,防火墙将会看到我们在访问百度,cdn服务器收到百度的数据,将会进行tls解密,获取到meek的内容,正常情况下,cdn应该去找baidu的真实服务器要数据,再返回给客户端,但这个cdn商家支持域前置,于是它会看meek的目标是qiandu,所以他会去找qiandu的真实服务器要数据,而qiandu绑定的ip地址是我们的vps,所以这条数据会发给我们的vps,vps收到数据之后的步骤刚才已经讲过了,回来的数据按相反的步骤理解即可,从防火墙的角度来看,我们只是在访问百度,这就是域前置的效果,简单来讲就是外层的sni目标和内层的host目标不是同一个

域前置并不是什么新技术,在meek刚出来那会,cf、cft、谷歌、微软等大多数cdn商家都支持域前置,但这样会造成一些合规问题,比如挂别人的域名跑恶意流量,以至于很多cdn商家认为这是一种缺陷,不再提供支持,目前支持域前置的商家只剩微软的az,以及本期演示的fastly,可能还有其他商家,有知道的朋友可以在评论区给大家分享

接下来就是实际的搭建过程了,只有操作步骤,不会解释为什么这么操作,如果刚才讲的都理解了应该就没什么疑问,目前只有v2ray支持meek,其实我是想等周边配套设施完善一点再做教程,这样各个终端都能视频演示了,结果半年过去了没啥动静,主要是这个协议速度确实太慢了,而且支持域前置的cdn商家也不多,所以目前要使用的话并不是很方便,另外v2ray官方最近比较活跃,上周刚添加了tun模式,这周又添加了新的传输协议HTTPUpgrade,不过HTTPUpgrade要套cdn的话还是需要商家支持websocket,感兴趣的朋友可以去看看

首先跟着视频演示进入这个网址下载适合你操作系统的v2ray版本,将其解压出来,接着使用这条指令在服务端一键安装v2ray,安装完成后进入这个目录编辑v2ray的配置文件,在修改配置文件之前,我们先注册一个支持域前置的cdn平台账号,以fastly为例,他家也是一个大型的CDN提供商,目标用户是企业,每个月最低消费50刀,好在提供了免费试用账户,看网上说只能试用一个月,但官网又说是每个月都能试用50刀的流量,我还没用满一个月所以暂不清楚,注册非常简单,按自己的需求填写,你甚至可以使用临时邮箱,所以即使只能试用一个月也不用担心,登陆之后跟着视频演示创建一个cdn服务,域名这里可以随便填写,这家不仅支持域前置,还不验证域名所有者,简直就是理想型,所以我们也不需要有自己的域名,随便输入一个即可,显示被人占用了,换一个, 点击这里进入第二步,填写你的服务器ip地址, 默认情况下回源使用80端口,他家支持自定义端口,建议改一个不常用的端口,比如1888,保存之后就可以点击右上角的部署了,这样我们就配置好了,操作非常简单,注意他家的操作逻辑和cf不一样,部署之后就锁定了不能再修改,如果需要修改配置 需要克隆一个新的版本,然后再进行修改,比如把端口改成18880, 点击右上角重新部署,cdn平台这边的操作就算是完成了,需要稍等一两分钟才会生效,复制端口,将配置文件的监听端口替换掉,注意vps防火墙要放行对应的端口,将整个配置复制粘贴到vps,点击保存,先来查看一下服务器v2ray状态,目前没有启动,使用这条指令启动,接着再来查看状态,显示绿色就表示启动成功,如果显示红色说明启动失败,建议检测配置文件是否有错误,也可以再执行这条指令让他开机自启,这样服务端也配置好了,应该是非常简单的,最后再来配置客户端,在这里填入刚才在cdn中设置的随机域名,配置好了,没错就是这么简单,全选复制,进入v2ray的目录,打开config文件,将里面的内容替换掉,这个配置文件的效果就是防火墙看到的是我们在访问gov.uk这个网站,而实际上我们在使用meek进行科学上网,如果你不嫌麻烦,可以自己找一个挂在fastly上的网站,简单演示一下,比如选个香港的,这个一看就是正经网站,复制网站域名,将这两个地方替换掉,点击保存,在地址栏输入cmd,输入这条指令启动v2ray,启动成功后打开系统代理设置页面,配置文件中的http代理监听端口是1081,保存之后应该就能成功科学上网了,可以看到已经有日志输出,先查个ip,确实是经过了vps代理,尝试访问谷歌,看这网页打开的速度感觉还不错,嗯,起码能听个响,甚至还能缓冲十秒,这个速度相信没人能忍受,但正如v2ray官方说的,不求跑满百K带宽,只愿送抵万金家书,理论上这个速度还有提升的空间,看看以后是否还有更新吧,最后我们可以简单抓包验证一下,目标ip是fastly的cdn,目标域名是别人挂在fastly上的网站,没有我们自己的任何信息,fastly能根据我们设置的虚假host将数据准确交给我们的vps,实现真正的永不被墙,当然meek的流量也会有时序特征,以后可能也会被探测,但我认为人生已经如此艰难,有些事情就不会拆穿,另外如果支持域前置的cdn商家同时也支持websocket,比如本期讲的fastly,那么我们搭建的ws节点也能实现域前置,如果大家有需要的话下期接着讲。


原文:

https://bulianglin.com/archives/meek.html


VPS小白 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:几乎永不被墙的meek协议,配合域前置CDN实现隐藏所有信息,在你关键时刻续命防失联的锦囊妙计,代价居然是重回3G时代!?
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址