ssr加密協議的選擇及客戶端的使用

04-29

自建節點hyjsos.top

給自建酸酸/酸酸乳的同學們的一些建議與忠告

最近大家也都知道的，各種形式都很嚴峻，大批VPS被Q，vu、瓦工、良心cc的 IP 都被Q的差不多了，而且也有很多人在評論詢問我為什麼自己的 VPS 總是被Q

覺得很有必要在這裡說一些自建酸酸/酸酸乳所需要注意的事情、能提升VPS存活率的建議，為此，即使我電腦去世了正在廠子里搶救，我還是借了舍友的電腦寫下了這段文章

1. 不要認為加密/協議/混淆什麼的隨便都行

酸酸

加密請使用 AEAD 加密，包括以下幾個：

aes-128-gcm
aes-192-gcm
aes-256-gcm
chacha20-ietf-poly1305
xchacha20-ietf-poly1305

如果你有選擇困難症，那麼就選aes-256-gcm吧

混淆請使用plain，即不使用混淆插件

酸酸乳

加密請使用none
協議請使用chain_a
混淆請使用plain

2. （科普）這些參數的意義是什麼

有很多萌新同學直接拿一鍵腳本搭建的，腳本要求設置參數的時候也許萌新們就直接一路回車默認過去或者隨便選了，殊不知這可能就正是VPS被Q的原因

混淆為什麼選`plain`

這是有可能導致被Q的一個首要原因，因此我也放到第一位來講，也許細心的同學們也發現了上述推薦配置中的混淆這一行都加粗了，是的，這非常重要

前段時間我與其他人討論的時候，就發現了一個共同點，那就是被Q的人大多數都使用了tls1.2_ticket_auth混淆；而一些混淆plain的人，即使還在使用老舊甚至過時的協議，卻安然無恙

很有理由猜測 GFW 已經掌握了 tls 混淆的特徵

讓我更確信了我的猜測的是，後來詢問我被Q相關問題的人，大多數都用的是搬瓦工後台自帶酸酸乳，因為我從沒有用過搬瓦工，我詢問了他們後才知道，搬瓦工的酸酸乳是強制tls1.2_ticket_auth混淆，嗯，真不愧是 GFW 最佳合作夥伴（而且搬瓦工自帶酸酸居然沒有 AEAD 加密）

後來，推特上也有人指出

酸酸乳的tls憑據復用已經成為安全問題不要用了

而且，就 tls 混淆原本的用途來說，tls 混淆只是為了突破部分地區的網路環境才有的 QoS 限制，一般情況下根本不需要使用

破娃醬也在文檔里說的很明白，一切因使用混淆而產生的看似是網路加速了的效果都是因為繞過了限制，混淆實際上會減慢你的網路速度

並且，如果你並不明白http(s)協議的具體細節，沒有這方面的計算機網路知識，那麼也不要輕易使用http_simple之類的混淆；如果沒有必要，也不要使用80和443埠；這些在 GFW 眼裡很可能會成為一種明顯的特徵，會成為「為什麼我的VPS好好的就被Q了」的直接原因

加密這塊到底是怎麼回事

簡單的來說，我們若干年前使用的非 AEAD 加密，都存在被主動探測到的風險（這一塊如果感興趣想了解，可以自行谷歌 AEAD 加密的相關科普博文）

因此，如果是酸酸，強烈推薦使用之前提到的那5種 AEAD 加密，為了防止今後（可能的）來自 GFW 的主動探測

而酸酸乳，雖然目前並沒有使用到 AEAD 加密，但是破娃醬在設計協議的時候已經考慮到了主動探測問題並且針對這塊進行了設計，因此目前來說還是相對安全的，前提是你使用的是chain_a或auth_aes128_md5或auth_aes128_sha1協議

對於酸酸乳，chain_a是目前最佳的協議；chain_b雖然說更難以被識別，但是仍是一個測試版協議，並且實際使用發現丟包現象莫名十分嚴重，並不能用；至於酸酸乳乳那些chain_c/d/e/f，可以看看這裡

之前提到的推薦配置中，酸酸乳的加密為none的原因是，auth_chain系列協議已經自帶了RC4加密，針對 UDP 部分也有加密及長度混淆，因此不需要再進行額外的加密；並且這些加密方法加密後的密文在沒有密匙的情況下是不可能被還原成明文的，因此雙重加密沒有任何有益的意義，反而會因為多餘的加密解密操作而降低網速、增加設備硬體的負擔、（手機）消耗更多的電量等

Windows

把C#版 SSR 下下來，把壓縮包裡面的所有文件解壓到一個文件夾中。

請不要只解壓 exe 文件，不然可能會發生一些科學無法解釋的現象，比如說硬碟中一個叫「馬克思主義」或者「學習資料」的文件夾消失了。——破娃醬

然後你會發現有兩個exe文件，後綴為「dotnet2.0」和「dotnet4.0」的（sig文件是MD5驗證文件，不用理會）。如果你的電腦上已經安裝了donet4.0（全名NET Framework 4.0），那麼就可以使用「donet4.0」後綴的版本，否則請去百度「donet4.0」並安裝，再使用。如果是XP用戶，請直接使用「dotnet2.0」版本。

打開程序之後先別著急，第一步先找到 SSR 的任務欄圖標（紙飛機樣子的圖標，下文均簡稱為「小飛機」），右擊小飛機-伺服器訂閱-SSR伺服器訂閱設置，點擊「delete」將自帶訂閱刪除（自帶訂閱早已失效，已經不需要了）。

接著，你就可以按照你的 SSR 服務商的提示添加伺服器了。雙擊小飛機圖標可以直接打開「編輯伺服器」界面以手動編輯伺服器。在你添加完自己的伺服器之後，要記得將 SSR 自帶的示例配置刪掉，並切換至你要使用的配置文件，因為那個也是沒有用的。部分萌新可能還會在添加完伺服器之後忘記切換到自己添加的那個配置就開始使用，導致無法使用。

功能、設置說明

右擊小飛機，你能看到 SSR 所有的功能選項，以下是各項功能及設置的介紹。

系統代理模式

系統代理模式有四種模式可以選擇：

直連模式
會關閉系統HTTP代理，你的所有HTTP上網流量都不會通過 SSR 代理，在此模式下你只能使用Socks5代理方式連接 SSR 代理（詳見後續的進階使用）。
PAC模式

會修改系統IE代理，使用PAC文件控制代理。PAC文件包含了規則列表，可以控制哪些流量走 SSR，哪些不走（例如國內流量直連，國外走代理），做到智能代理。但是實際上此功能已經可以被「代理規則」設置完全代替（除非你一定要用gfwlist），因此一般不用這一模式。
PAC文件為 SSR 根目錄下的pac.txt。
全局模式
會開啟系統HTTP代理，你的所有HTTP上網流量將會通過 SSR 代理。
注意：僅能代理HTTP流量，即瀏覽網頁的流量——例如瀏覽器瀏覽網頁，或者某些應用程序的應用內網頁（比如QQ的群文件、群公告這些就是），或者某些比較奇葩的使用HTTP方式進行通信的程序（比如Steam版的影之詩）。
如果要代理應用程序，請詳見Windows -SSTap教程。
保持當前狀態不修改
顧名思義，不會對你目前的系統HTTP代理狀態進行任何的修改。

當你退出 SSR 後，系統HTTP代理會自動被恢復至原有狀態；開啟 SSR 後，同樣的，系統HTTP代理會被設置成你所設定的系統代理模式狀態。

PAC

此菜單中的選項均為對 SSR 的PAC文件進行操作的選項，如果你不使用「PAC模式」代理，那麼這一節你可以直接跳過。

不過實際上也沒什麼好講的，每個選項會執行什麼操作、有什麼效果，都在菜單中寫的清清楚楚。

代理規則

代理規則指的是，對於所有通過系統HTTP代理或者SOCKS5代理被發送至 SSR 的流量，按照你設置的規則進行代理，即智能代理。

實際上這個設置項也沒有什麼可以說明的內容，每個選項也寫的很清楚。這裡稍微解釋下某些名詞及選項：

繞過xxx
顧名思義，繞過就是不走代理，例如選擇項中的「繞過區域網「就是當你瀏覽區域網網頁的時候不會走 SSR 代理（最常見的例如學校、公司的內部網網頁），」繞過大陸「就是所有國內大陸的流量都不會通過 SSR 代理。
繞過非大陸
帶有這個的一項實際上是給從國外翻回來的人用的，我們這些翻出去的並用不到。
用戶自定義
萌新可以直接無視這一項。自定義文件為 SSR 根目錄下的user-rule.txt，你可以在這一文件中自己定義代理規則，格式詳見：https://adblockplus.org/en/filter-cheatsheet
全局
顧名思義，所有被發送至 SSR 的流量都會走代理。

日常使用我推薦使用「繞過區域網和大陸」的選項

伺服器

在這裡你可以切換你已有的伺服器配置，在你第一次使用的時候別忘了先切換至你自己添加的伺服器配置。

編輯伺服器
直接雙擊小飛機也可以打開編輯窗口。
從文件導入伺服器
可以導入 SSR 服務商提供的伺服器配置文件。
伺服器連接統計
直接滑鼠中鍵單機小飛機也可以打開這一窗口，會顯示你目前 SSR 的所有伺服器的統計信息。

在這一界面，雙擊某個條目的伺服器可以直接切換至該伺服器；

單擊某一條目的「連接」可以斷開當前條目的所有連接；

雙擊某一條目的「開關」可以指定你在設置「伺服器負載均衡」時是否使用這一伺服器，而雙擊某一個「組」(Group)可以批量開關這一組；

雙擊某一條目其他的列可以清零這一統計信息。

伺服器訂閱

此處可以設置伺服器訂閱，初次使用請先刪掉自帶的伺服器訂閱（已經失效）。

如果你沒有從 SSR 提供商處獲得 SSR 伺服器訂閱地址，那麼可以直接跳過本節。

SSR 伺服器訂閱設置
點擊「ADD」，然後在右側填入你的 SSR 伺服器訂閱地址，即可添加一條伺服器訂閱，然後直接點擊確定即可。如果你勾選了左下角的「自動更新」，在每次 SSR 啟動的時候都會自動更新訂閱，一般情況下無需選擇。
更新伺服器訂閱
將會從已經設置的訂閱地址中獲取配置信息自動添加/更新至伺服器配置中，並且此操作會通過你當前的 SSR 代理進行！如果你目前的 SSR 代理不是可用的代理，那麼將會更新失敗！因此建議選擇「更新伺服器訂閱（不通過代理）」。一般只有 SSR 伺服器訂閱地址不能在牆內訪問而你有可以使用的 SSR 代理配置的時候才需要使用 SSR 代理更新訂閱。

伺服器負載均衡

這是個基本不會用到的功能。選中以後，在每次有流量通過 SSR 代理時，會自動在沒有被「關掉」的代理中選擇一個來使用（怎麼叫「關掉」？請看伺服器-伺服器連接統計）。

如果想只在某一組伺服器中切換，或者依據一定的條件來切換伺服器，請右擊小飛機-選項設置，然後看「負載均衡」的設置。

選項設置

二級（前置）代理
使用代理來連接代理，就像盜夢空間那樣。沒有特殊需求就不用管這一項。
負載均衡
沒什麼好說的，每個設置有什麼用都寫的簡單明了。
本地代理
這是個很重要的設置項。
本地代理實際上就是在本機(127.0.0.1)開啟一個SOCKS5代理埠，埠為「本地埠」設置項中的埠號。
這一功能有什麼用？請見後續進階使用。
如果勾選了「允許來自區域網的連接」，則與你在同一區域網的其他設備一可以通過這一SOCKS5代理來連接，伺服器地址為你的區域網IP地址。
用戶名和密碼選填，如果你設置了，那麼當你使用SOCKS5代理的時候就需要這一用戶名密碼了。
右下角的設置
沒啥好說的（。

埠設置

可以設置埠轉發以及對於不同的伺服器配置開啟不同的本地代理SOCKS5埠等等。萌新直接不用管。

二維碼掃描

可以掃描屏幕上的 SSR 配置信息二維碼並導入伺服器配置中。二維碼通常由你的 SSR 供應商提供。

剪貼板批量導入ssr://鏈接

沒啥好講的，如果你的 SSR 供應商有提供批量 SSR 伺服器配置鏈接，你就可以複製之後通過這裡導入。