1
steveshi 2022-05-09 13:10:31 +08:00 5
WireGuard 特征很明显
|
2
villivateur 2022-05-09 13:13:15 +08:00 via Android 1
wireguard 很容易被识别,你之前应该理解错了。
wireguard 是 VPN ,只是用来提供加密隧道而已,不能实现伪装 |
3
sleeepyy 2022-05-09 13:15:46 +08:00 1
wireguard 在设计时就没有考虑混淆,不知道 OP 是从哪里听说“很难被识别”的?
而且 wireguard 直连 海外本身就几乎属于 worst practice 了,海外线路 UDP 经常被干扰到不怎么可用。你可以考虑在自己建立 tcp 信道之上使用 wireguard |
4
forgetandnew 2022-05-09 13:15:59 +08:00 via iPhone 1
用的好好的
|
5
superhack 2022-05-09 13:18:42 +08:00 1
一句 iptables 就能识别
|
6
Kinnice 2022-05-09 13:19:11 +08:00 1
"不是说很难被识别吗" 谁说的?
这协议刚出来,各大防火墙就可以精准识别了 |
7
BeautifulSoap 2022-05-09 13:19:22 +08:00 1
你听谁说的 WireGuard 很难识别的,建议把那人 @出来我们来鞭尸下
WireGuard 的协议特征非常明显,想识别阻断比 ss 还轻松简单 |
8
est 2022-05-09 13:24:02 +08:00 1
话说有啥 wireguard 混淆握手的办法吗? eBPF ?
|
9
deplivesb 2022-05-09 13:24:38 +08:00 1
WireGuard 啥时候也没说过很难被识别
|
10
hash 2022-05-09 13:29:04 +08:00 1
要永远明白除了 ss trojan 这一类特色协议外,其他协议都是默认只考虑安全不考虑突破封锁的
|
11
yanqiyu 2022-05-09 13:33:01 +08:00 1
WireGuard 不是为了反审查而提出的协议(它解决的问题是简化组网),要防识别建议套一层 udp2raw 之类的混淆
不过我个人一直使用 WireGuard 过墙跑大流量没有被干掉,估计我没有遇到类似的针对性识别? |
12
a8Fy37XzWf70G0yW 2022-05-09 13:39:21 +08:00 15
看到這,我把我在臺灣家中搭建 wireguard 伺服器的經驗分享給 PO 主吧,以下是一些安全措施。我去年七月搭建的現在還能用。每天傳數量有 500G 左右。
1.禁止入方向的 ping 。 -A INPUT -p icmp --icmp-type echo-request -j DROP 2.禁止伺服器回覆 icmp port unreachable 和 host unreachable 訊息。 -A OUTPUT -p icmp --icmp-type port-unreachable -j DROP -A OUTPUT -p icmp --icmp-type host-unreachable -j DROP 3.禁止伺服器回覆 no listen port 的 tcp reset 訊息(標誌位爲 rst,ack ) -A OUTPUT -p tcp --tcp-flags ALL RST,ACK -j DROP 4.儘量不要直接採用 ssh 直接連線管理伺服器。 5.將 port 置於 16384-16389 之間是較好的選擇。 |
13
a8Fy37XzWf70G0yW 2022-05-09 13:41:46 +08:00 1
6.萬萬不可使用默認 PORT ,否則 30 秒內連接就會被阻斷。
|
14
IDAEngine 2022-05-09 13:45:26 +08:00 1
默认端口秒封,改下端口流量小一点基本无问题
|
15
BeliefanX 2022-05-09 13:54:21 +08:00 1
wiregurad 做内网穿透很香,但是科学上网就算了。。。
|
16
photon006 2022-05-09 13:54:48 +08:00
我搭在 oracle 云上的 wg 也是被封,用 udp2raw 模拟成 tcp 就解决了。
|
17
Tink 2022-05-09 14:06:16 +08:00 1
wireguard 很容易识别,只是 vpn ,不是混淆工具,如果要用来扶墙,需要配合其他的东西
|
18
leloext 2022-05-09 14:11:25 +08:00
大流量的 udp 是个很明亮的灯塔
|
19
swulling 2022-05-09 14:14:59 +08:00
1. 没有专门做过混淆设计的协议特征都非常明显。
2. 绝大部分 VPN 协议设计目标都是安全性而不是反封锁,也就是不会做混淆设计。 3. 请使用专门做过混淆设计的协议作为信道。 |
20
docx 2022-05-09 14:15:21 +08:00 via iPhone 1
作为传统 VPN ,WireGuard 从设计之初就不是为绕墙伪装而生的
|
21
syjbmwpower 2022-05-09 15:10:46 +08:00
楼主显然对 wireguard 缺少必要的认知
|
22
leavic 2022-05-09 15:12:39 +08:00
wireguard 是个商用路由器都能识别,你看不起 gfw 呢
|
23
daveh 2022-05-09 15:21:53 +08:00 via iPhone
套一个 udp2raw 继续用。
|
24
IvanLi127 2022-05-09 15:23:35 +08:00
我记得当时网上有人说,大概意思是刚出来的比较小众没人管。楼主是不是记偏了
|
25
my3157 2022-05-09 18:50:04 +08:00
换高位端口会稍微好点, 我之前用 < 1024 的端口, 最快小十分钟就封了
|
26
disk 2022-05-09 20:02:50 +08:00
少看营销号和 CSDN 。
WireGuard® is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner, and more useful than IPsec, while avoiding the massive headache. It intends to be considerably more performant than OpenVPN. WireGuard is designed as a general purpose VPN for running on embedded interfaces and super computers alike, fit for many different circumstances. Initially released for the Linux kernel, it is now cross-platform (Windows, macOS, BSD, iOS, Android) and widely deployable. It is currently under heavy development, but already it might be regarded as the most secure, easiest to use, and simplest VPN solution in the industry. |
27
hdp5252 2022-05-09 20:38:07 +08:00 via Android
<a href="https://imgtu.com/i/OJtvKU"><img src="https://s1.ax1x.com/2022/05/09/OJtvKU.jpg" alt="OJtvKU.jpg" border="0" /></a>
我有 openvpn 黑科技。 |
28
a8Fy37XzWf70G0yW 2022-05-09 22:25:10 +08:00
@hdp5252 盲猜 tls-crypt-v2
|
29
hdp5252 2022-05-09 22:36:37 +08:00 via Android
@viberconnection 哈哈 错了 你说的这个没有用过
|
30
ChrisFreeMan 2022-05-10 10:28:30 +08:00
外行问一句,IPsec VPN 怎么样
|
31
cloverzrg2 2022-05-10 11:08:03 +08:00
VPN 特征都明显,不像 ss 、v2ray 这类专门设计为翻墙的代理
|
32
ragnaroks 2022-05-10 11:39:42 +08:00
wireguard (包括但不限于 zerotier )之类的基于 UDP 的工具,需要将流量特征伪装为 sourcs 引擎的流量,就是维尔福的那个。
|
33
sbilly 2022-05-10 14:55:49 +08:00
gossip 协议没有混淆功能
|
34
humbass 2022-10-19 17:31:54 +08:00
我用 wg 一直没问题,倒是 tls 老早就封了。新的协议 hy 也不错。
|