原理解析
如图所示,Trojan工作在443端口,处理来自外界的HTTPS请求,如果是合法的Trojan请求,那么为该请求提供服务,否则就将该流量转发给web。服务器Nginx,由Nginx为其提供服务。基于这个工作工程可以知道,Trojan的一切表现均与Nginx一致,不会引入额外特征,从而达到无法识别的效果。当然,为了防止恶意探测,我们需要将80端口的流量全部重定向到443端口,并且服务器只暴露80和443端口,这样可以使得服务器与常见的Web服务器表现一致。
当Trojan客户端连接到服务器时,它首先执行真正的TLS握手。如果握手成功,则所有后续流量都将受到TLS的保护;
实例:
本机IP: 192.168.31.176
服务器IP: 91.220.202.97
TCP握手包序号:73,74,75
TLS握手:76,77,78,79,80,81,82,83
然后,客户端发送以下结构(TLS加密之后的):
| hex(SHA224(password)) | CRLF | Trojan Request | CRLF | Payload |
|---|---|---|---|---|
| 56 | X’0D0A’ | Variable | X’0D0A’ | Variable |
当Trojan 请求是类似于如下SOCKS5的请求:
1 | +-----+------+----------+----------+ |
UDP模式
1 | +------+----------+----------+--------+---------+----------+ |
服务器收到第一个数据包时,将检查哈希密码是否正确以及Trojan请求是否有效。如果不是,则将该协议视为非Trojan请求。
请注意,第一个数据包将附加有效负载。这避免了长度模式检测,并可能减少要发送的数据包数量。
如果请求有效,则Trojan服务器将连接到DST.ADDR和DST.PORT字段指示的目标服务器,并在服务器和Trojan客户端之间打开通道。
因为通常将Trojan服务器假定为HTTPS服务器,所以侦听套接字始终是TLS套接字。在执行TLS握手之后,如果Trojan服务器确定流量为非Trojan协议,则会在服务器端点(默认为本地HTTP服务器127.0.0.1:80)到客户端之间打开一条连接,因此服务器端点控制解密的TLS流量。
所有没有正确结构和密码的连接都将重定向到预设的网址,因此,如果连接了链接,则Trojan服务器的行为与该网址完全相同(默认为HTTP)。
反检测
由于流量受TLS保护(使用有效证书是用户的责任),因此,如果您访问的是HTTP站点,则流量与HTTPS相同(TLS握手后只有一个RTT);如果您不访问HTTP站点,则流量看起来与保持活动的HTTPS或WebSocket相同。因此,Trojan还可以绕过ISP QoS限制。
Trojan标本
长度
IP
搭建方式: