节点搭建系列(4):目前最好的翻墙协议?史上最详细trojan协议原理解析与实战搭建,流量伪装成https实现绕过防火墙探测进行科学上网。彻底弄明白什么是网站证书、什么是TLS/SSL
Ғылым және технология
请打开字幕观看,你的点赞转发是我的最大动力!感谢大家的支持!
目前最稳定的科学上网方式仍然是将流量伪装成https,本节给大家科普了什么是http(s)/tls(ssl)/网站证书/公钥/私钥/非对称加密,以及他们在搭建trojan节点时起到的作用,任何只要带有tls的节点类型都离不开上述的知识(比如vmess+tls+ws)
专线机场推荐:b.880805.xyz
高速线路VPS推荐:d.880805.xyz
7x24小时直播分享节点:api.buliang0.cf/live
=====节点搭建=====
最安全、最稳定的节点搭建方式,零基础保姆级手把手教学,保证新手小白也能学会
视频教程: • 【零基础】2024最新保姆级纯小白节点搭建教...
====跨境电商====
住宅IP代理推荐:ip.880805.xyz
电脑住宅代理技巧: • 原生IP、住宅IP新手科普,为什么需要住宅I...
手机住宅代理技巧: • 网赚必备的住宅IP使用技巧,让你的脏IP节点...
专线中转推荐:g.880805.xyz
跨境加速中转技巧: • 【专线中转】任何节点秒变专线,复活被墙节点且...
指纹浏览器推荐:zw.880805.xyz
浏览器指纹科普: • 账号注册经常被风控?浏览器多开防串号,让账号...
====合租推荐====
奈飞合租推荐:nt.880805.xyz
免翻墙ChatGPT plus:gpt.880805.xyz
9.3折优惠码:BLL93
(一)奈飞科普: • 【新手科普】中国大陆用户观看奈飞的必要条件,...
(二)奈飞解锁: • 奈飞解锁方式大全,原生IP解锁、二级代理解锁...
(三)奈飞劫持: • 【全网首发】连接节点就能免费观看奈飞?!速蛙...
====节点搭建系列====
0.文档汇总:api.buliang0.cf/guide
1.网络通信的基本过程: • 节点搭建系列(1):网络通信的基本过程,访问...
2.墙拦截的原理与绕过: • 节点搭建系列(2):GFW防火墙是怎么阻断我...
3.SS节点搭建初体验: • 节点搭建系列(3):SS被精准探测端口秒封?...
4.trojan原理与搭建: • 节点搭建系列(4):目前最好的翻墙协议?史上...
5.vmess原理与搭建: • 节点搭建系列(5):最稳定的翻墙方式?深入浅...
6.vless原理与搭建: • 节点搭建系列(6):XTLS性能之王被精准识...
7.你的节点怎么这么慢: • 节点搭建系列(7):你的节点速度为什么这么慢...
8.节点免费提速方案: • 节点搭建系列(8):如何不花钱提升你的节点速...
====代理系列教程====
【进阶•代理模式篇】 • 【进阶•代理模式篇】看懂就能解决99%的代理...
【进阶•DNS泄露篇】 • 【进阶•DNS泄漏篇】竟能提速降延迟!再也不...
【进阶•DNS分流篇】 • 【进阶•DNS分流篇】提速降延迟!保护个人隐...
【进阶•DNS代理篇】 • 【进阶•DNS代理篇】最完美的DNS解决方案...
【进阶•UDP穿透篇】 • 【进阶•UDP穿透篇】WebRTC泄漏真实I...
=====教程文档=====
(VPS)vultr新用户赠送100美金:vps.bulianglin.com/
(FinalShell)管理VPS工具:www.hostbuf.com/t/988.html
(trojan-go)github.com/p4gefau1t/trojan-go
trojan-go官方文档:p4gefau1t.github.io/trojan-go/
trojan配置文件:
{
"run_type": "server",
"local_addr": "0.0.0.0",
"local_port": 443,
"remote_addr": "192.83.167.78",
"remote_port": 80,
"password": [
"your_awesome_password"
],
"ssl": {
"cert": "server.crt",
"key": "server.key"
}
}
申请证书:
安装acme:curl get.acme.sh | sh
安装socat:apt install socat
添加软链接:ln -s /root/.acme.sh/acme.sh /usr/local/bin/acme.sh
注册账号: acme.sh --register-account -m my@example.com
开放80端口:ufw allow 80
申请证书: acme.sh --issue -d 你的域名 --standalone -k ec-256
安装证书: acme.sh --installcert -d 你的域名 --ecc --key-file /root/trojan/server.key --fullchain-file /root/trojan/server.crt
如果默认CA无法颁发,则可以切换下列CA:
切换 Let’s Encrypt:acme.sh --set-default-ca --server letsencrypt
切换 Buypass:acme.sh --set-default-ca --server buypass
切换 ZeroSSL:acme.sh --set-default-ca --server zerossl
自签证书:
生成私钥:openssl ecparam -genkey -name prime256v1 -out ca.key
生成证书:openssl req -new -x509 -days 36500 -key ca.key -out ca.crt -subj "/CN=bing.com"
后台运行:youtube不能输入尖括号,请看视频内的指令
00:00 前言
01:20 http存在的问题
03:20 https的通信过程
12:20 trojan的通信过程
17:45 创建VPS
19:15 搭建trojan
23:00 申请网站证书
30:00 连接trojan节点
31:55 使用自签证书
36:50 后台运行trojan
37:50 总结
Пікірлер: 513
为防止再发生歧义,额外再补充说明:视频中对于https原理的加解密过程是不正确的,9:29秒时说明了原因,对于只是想了解基本流程的朋友来讲我认为这样并没有什么不妥,如果你想正确的认识https,请自行搜索相关资料学习
@haowu0633
2 жыл бұрын
@不良林 这个是否是因为ip被墙问题
@uitsrt8619
Жыл бұрын
不良林的头像事iceloki (察觉
@SimonLuiMusic
Жыл бұрын
非对称加密能加密内容的长度也是有限的
@user-un3sh7mt8t
Жыл бұрын
请教下老师,在开放80端口时候,显示 ufw: command not found是咋回事
@chankent1887
Жыл бұрын
请问下,大佬你用的翻译软件是什么?看着挺好用的感觉
油管上该类目里面最清晰的教程视频, 学到很多知识点, 通透😄
超级详细,而且废话不多,很棒的内容。回头找个vps来练练手~
近期看到最好的教程,不当老师可惜了!希望大佬能保持出类似的教程。
支持一下,原来只是会用,简单理解一下大概传输过程感觉更通透些,如果认真了解又太花时间,真的很不错
大哥 你真是人才啊,太受用了,清晰易懂,以前看的教程都是一头雾水的照葫芦画瓢,错了就换一个教程。你生来就是长城防火墙的敌人吧
这期讲得太好了 TLS协议是目前代理协议的核心 几乎是每个自建节点的人必要经过的坎 讲完原理就马上表演实操演示 这种风格喜欢
这里补充一下,并不是说非对称加密算法的效率低,而是非对称加密算法在通讯的时候具有“局限性”,这个局限性使得它不能用于双向通讯,但比较适合单方向通讯。因为公钥是人尽皆知的,包括试图在中间拦截信息的人,它也知道公钥。但是秘钥(证书的秘钥)是只有网站 server 才知道的。使用公钥加密的信息,必须用私钥来解密。这就导致了,使用这个公钥加密的信息,只有网站 server 才能解密和读取,这么一个机制。其他任何人就算可以看到加密后的内容,也都无法解密和读取。而你访问网站的时候,和网站是要双向通讯的。如果服务器用公钥加密了内容返回给你,是没用的,你没有它的私密钥匙就解密不了。因此,建立起双向通讯之前是协商对称算法主秘钥的过程,客户端(也就是你的浏览器)自己指定一个对称算法,以及对称算法的随机指定的主密钥,用网站提供的共钥加密后,发给网站,网站用自己的私密钥解密后,开始用客户端提议的这个对称加密算法和它的主密钥对自己回复的内容进行加密来通讯,于是,这个双向通讯的连接就算建立起来了。这个协商过程中最关键和最敏感的信息就是主密钥,其他信息(比如说你支持那些加密算法啦,我们用什么算法加密啦)被其他人获取都是无所谓的。而这个主密钥在协商过程中,在中间看到了通讯数据的任何其他人无法解密而无法获知。之后中间人看到的就是用对称加密算法和该主密钥加密后的数据,中间人无法解密。所以 tls 协议概括一下就是,客户端和服务端使用非对称加密算法协商出对称加密算法的主密钥(使用非对称加密算法保护主密钥不被中间人窃取),然后切换到使用对称加密算法(使用对应的主密钥)进行双向通讯。
@liubao
Жыл бұрын
这个说的还是挺对的
@yhmo
Жыл бұрын
多谢解惑 我之前还一直疑惑服务器用私钥加密后回复客户端的数据如果被中间的设备那公钥解密,不就暴露了吗。现在不担心了。谢谢
@sumbblz482
Жыл бұрын
“如果服务器用公钥加密了内容返回给你,是没用的,你没有它的私密钥匙就解密不了”,服务器不是用私钥进行加密吗?怎么会用公钥呢?
@exlife9446
Жыл бұрын
@@sumbblz482 如果你是用公钥解密,那不就所有能看到这个数据的人都能解密了吗?注意你们传输的数据内容是可能被中间的人看得到的。
@bitcoinbaige
Жыл бұрын
看不懂 字多 很牛 点赞
😁太棒了!老师的讲解很清晰,不仅讲方法,还能很清晰的讲明白原理。跟着视频来一次成功,赞!
我看过最好翻墙教程,把原理讲的很清楚,多谢up主的贡献。
讲的很好啊,虽然不是很复杂的东西,但是真的很细心
谢谢大神,貌似是看懂了,有时间再看两边
好 从原理到实际演示。很好的搭建节点的教程
不良林大佬,vps更换域名以后,除了要改解析以外,重新申请tls证书,其他还有没有需要操作的了?
原理讲的真透彻,比只讲怎么装软件的视频强太多了~
相比于一键脚本,老哥讲的很是基础,虽然乍一看不明所以,但是多刷几遍也能理解背后运作的原理,特别喜欢这类教程,每期都看,支持
@bulianglin
2 жыл бұрын
谢谢支持!
“如果你想隐藏一棵树,森林才是最好的地方”,赞爆
第一时间全程看完。感谢分享!
手把手教 绝对是保姆级良心视频了
您好,我有一个疑问,视频里面说的https+trojan,当trojan认证完成后,https进行最后封装时的头部是sni,我不理解,不应该是ca证书里面的域名吗?
看了前三集,讲的非常好,先留言再看
大佬 你那个独立翻译窗口-划词翻译是通过键盘快捷键调出的吗?怎么实现的啊?
思路清晰,厉害了 果断关注了,听君一席话,胜查百度词啊
感谢 GFW, 让我认识不良林, 并且学习了这么牛皮详细简单易懂的网络通信知识.
看了很多期,请问大佬Trojan 443被封了咋办?包括vmess等443可以改其他的吗?
牛逼,,教的很好,,希望你以后多一点这种搭建教学
@xyzxyzABC.A
2 жыл бұрын
任易行你的手机教学也不错啊
讲得很好!能不能下次讲一下stunnel翻墙方法的优缺点?我用stunnel比较多,把普通http代理放进stunnel里使用。谢谢!
有个疑问,14:24 地方客户端浏览器访问google,前面为了获取服务器tls证书,询问的这个流量因为直接去访问防火墙黑民单地址不会被gfw拦截吗?
有个问题想请教下,vultr申请获得的vps服务器ip地址是静态的吗?如果不是静态的,自签证书不就不能用了嘛?
谢谢!学习到很多原理,我把我服务器很多东西都优化了一遍,真的是讲的让人通俗易懂,授人以渔。--以上评论仅代表个人观点
@bulianglin
Жыл бұрын
感谢你的支持与认可!
想问一下trojan那节防火墙主动探测的时候不会带上trojan的协议头吗
有一个疑惑希望有大佬解惑,我用clash添加节点科学上网后,为什么更换好多节点测试 查看ip的结果还是我自己的ip呢。而别人的却可以随着更换节点来变更ip呢?求解惑 🤔
真的有很用心做的视频,完完整整看完了,希望以后还能出这类科普知识!支持左右
@xuezhangcloud
2 жыл бұрын
支持作者
@bulianglin
2 жыл бұрын
谢谢你的支持!
真的喜欢这种技术类的东西,讲的浅显易懂,干货很多,对普通人够了。
@bulianglin
2 жыл бұрын
谢谢你的支持!
请问一下这样设置的trojan是不是不支持使用dns呢?有没有什么方法能再套一个dns呀
厉害,很详细了,之前光使用了从来都不知道原理,哈哈哈😂
支持不良林,真的讲得很好
讲的很好, 需要补充的是数据加密使用的不是公私钥,而是在TCP握手时由浏览器创建而共享给服务端的共享密钥来对往后的传输数据进行加密。
讲得真好 一口气从第一集看到现在
这种原理加实践的教学内容实在是太棒了!
@bulianglin
2 жыл бұрын
谢谢支持!
一看 明白了好多,非常感谢 ,要是有时间的话讲讲GOSt
大神翻墙技术硬,另外把画图工具也用得出神入化,哈哈。再来学习了
能告知一下用的是什么翻译软件吗?看你用的挺舒服,双击一下就可以显示翻译的内容,是沙拉吗?
这视频的质量真高!感谢,感谢。有水平!
@bulianglin
2 жыл бұрын
谢谢支持!
老师 你好为什么我按照步骤搭建成功了,然后直接访问域名也跳转到国立高中,也可以ping通 用ios的小火箭就是无法上网呐,请问是什么问题呀
大佬,我按你的教程完整配置了Trojan-go,但是有个悲催的问题,我只能在我的pc(有线网络)上使用,笔记本和手机都不行。 vps上的网页,pc可以正常访问,笔记本和手机都不行,这是咋回事,正式的问题吗?
等了好久教程终于来了
不良老师好,remote_addr 填其他网址无法访问,会报“redirected you too many times”,这个应该怎解决啊。
请教一下老师,那个地址回落功能,比如我想回落到必应,但是类似必应这些网站都已经无法支持通过IP直接访问了,地址那里我又不能填必应的域名,我该怎么回落到我想要的其他网站呢?
仔细专业没有之一的直播主
深入浅出的讲解,让我豁然开朗
看了几遍终于搭建成功,大佬辛苦了
真的是精品教学啊 良心 mark了 持续关注
@bulianglin
2 жыл бұрын
谢谢你的支持!
老师,trojan go需要安装bbr加速吗?
能看到这么优质的内容,感谢up主
非常形象细致的讲解,Trojan的原理讲得非常清楚了!现在好多vps搭建之后速度不是很理想,一般都需要国内中转,普遍安全一些的就是隧道中转了,其中隧道又包括很多种类型,tls、ws、wss等等,这些隧道协议又是如何与Trojan的tls协议配合的?我一直很懵逼。原理更是搞不懂。能否简单说明一下哪种隧道协议配合Trojan的tls协议更稳妥。或者给我们出个视频讲解一下隧道原理。期待!!!
@bulianglin
Жыл бұрын
感谢支持,关于提升节点速度我最近出了很多教程你可以看看,隧道后面有时间再讲
@FuckCCP1949
Жыл бұрын
trojan的https翻墙原理是不是这样:浏览器发出访问google的请求,这请求通过socks来到trojan客户端,trojan客户端给数据加上trojan协议,然后trojan客户端与trojan服务器进行tls握手,握手后对trojan数据进行tls加密,然后达到trojan服务器,trojan服务器收到数据后,利用密码核对身份,发现是给trojan的,然后去掉trojan协议头,然后发现要自己访问google。是不是这样
搞定了,多谢大神指点,弄了个windows版本的,好像更简单一点,域名和证书都是在阿里云直接申请的
@user-ry2mx4jn2q
2 жыл бұрын
windows版的怎么做,请教
讲得太好了,没想到搭建这么简单。
老师,为什么我电脑用V2RAYN连接trojan都连接不上呢,用手机SSR就能连接该trojan节点
讲的太好了,非常感谢
现在Trojan还是可以正常运行的吗,怎么突然间断了,IP也没有被强
老师,请问这种搭建方式怎么添加多用户呢?
非常感谢,讲得太详细了
来了,不良林老哥的视频浅显易懂😘
@luomumu
2 жыл бұрын
学了不少东西了
林哥我想請問我有一個局域網路很多電腦,可不可以在這個局域網路架設一個 trojan client端,把局域網路內的電腦都設置這台 trojan client端當代理呢?
@bulianglin
2 жыл бұрын
可以共享局域网,其它电脑设置系统代理,或者简单点买个软路由,网上很多相关教程自己找下
大神。你视频里使用的 独立翻译窗口 划词翻译。上什么软件。可否告知一下。有没有链接
你好博主,请问一下,如果我想做一个动态伪装,让其不定时随机更换伪装网站,是不是只能通过自己写脚本+运行不同配置文件的方式实现,有没有什么工具或插件可以实现。
@bulianglin
2 жыл бұрын
貌似没有现成的工具,只能通过你说的这样
刚刚搭建好,还可以连接上网,不久后又延迟严重,甚至打不开网站,什么原因呢?老师
每集过来点个赞
确实不错。浅显易懂。
为什么要申请域名啊,代理软件也是直接访问的代理服务器IP地址啊,并没有用到域名解析呀
老师好,请问trojan有像xui那样带面板的搭建方式吗?这种搭建方式感觉不是那么直观也不像xui一样可以直接扫码和复制链接添加订阅那样便捷。
@bulianglin
Жыл бұрын
xui可以直接搭建trojan节点
vps安装x-ui是不是就自带trojan等服务了呀
最好的教程,没有之一!谢谢。
有个问题请教 这里config文件里证书是相对路径 而不是绝对路径 就是证书申请后 安装到这里 所以trojan可以正常 不过证书只有三个月有效期 acme是会定时更新证书 但是更新后 每次都需要手动把证书重新安装 请问有什么解决方法吗 还是我哪里操作不对 谢谢各位大佬解答
支持一下关注了!
切换三次CA申请证书都超时了😂,还有别的途径获得证书吗
博主视频做的很好,不拖拉
就算沒有要翻牆,也是重新複習我所學到的網路知識。感謝!
追更追更!
申请证书时出现 Domains not changed是什么原因啊?
跟着视频做可以用了,但是怎么设置成开机启动呢,关闭ssh客户端就不能用了
unzip 解压trojan go用什么命令啊,哥哥
安装acme出现curl: (60) The certificate issuer's certificate has expired. Check your system date and time.请问怎么解决呢
trojan的https翻墙原理是不是这样:浏览器发出访问google的请求,这请求通过socks来到trojan客户端,trojan客户端给数据加上trojan协议,然后trojan客户端与trojan服务器进行tls握手,握手后对trojan数据进行tls加密,然后达到trojan服务器,trojan服务器收到数据后,利用密码核对身份,发现是给trojan的,然后去掉trojan协议头,然后发现要自己访问google。请问是这个流程吗
教程做得非常好,無論語速,舉例,各方面的難點,都講得恰到好處,真心好評,聽完就像重新補習了一遍網路知識,豁然開朗的感覺。
@archmageacheng985
Жыл бұрын
me to
@shenglongnie5894
Жыл бұрын
确实讲得太好了
@worldofwheat
Жыл бұрын
+1😀
讲得很好,完全理解👍👍👍
没有一句废话,丝滑流畅!!
视频质量太高了,UP主幽默风趣
看懂啦,生动简单,感谢!
如果你想隐藏一棵树,森林才是最好的地方。👍🏻👍🏻👍🏻
下载的时候出现 command not found怎么办
透彻👍
林大,仔细学习了您好多视频,讲的很棒全网第一透彻!!感谢!!反复看完这个视频后我研究了一下trojan go的官方说明,关于指纹伪造也尝试在trojan的config文件增加了"fingerprint": "firefox"这个语句,同时还增加了shadowsocks模块和mux多路复用,目前节点是可以正常使用的。但是有个疑问,不知道这样算不算多此一举,还是说trojan go协议本身就不需要添加fingerprint和shadowsocks?再就是mux多路复用的值怎么设置才是合理的?望不吝赐教,感谢,感谢~~~持续关注,频道越来越好~~~~😀
@bulianglin
Жыл бұрын
感谢支持!fingerprint可以加,伪造客户端tls指纹,shadowsocks没必要,你应该已经套了tls,mux多路复用是在大带宽和低延迟之间的选择,按需设置没有标准。
@GACARTCAMP
Жыл бұрын
@@bulianglin谢谢林大,还有几个疑问,关于acme证书这个脚本是到期自动续签的吗?再就是remote_addr这个填写的某私人网盘的IP总是不能顺利跳转。还有同时增加了ws模块,官方说增加ws模块并不能提升访问速度和连接安全,如果不开启cdn,增加ws也就没有意义了是这意思吗?ws本身不能让你的流量伪装变得更安全呗可以这么理解哈?
谢谢你的视频,主要是想了解一下原理,比一些直接说实操的,太有逻辑性了。希望谷歌的算法能推荐给更多想了解和学习技术的朋友。
@bulianglin
2 жыл бұрын
谢谢你的支持!
小白IT人员怎么用呢?我想在墙内下载外国的镜像之类 ,老pull不下来或者是慢。搭建了服务端,客户端如何搞?
测试真连接的时候,显示trojan failed to accept conn 咋办😭
https访问进行TLS加密时,“握手链接”网站被墙了,请问是怎么获取对象网站证书的?
太强大了,谢谢
我之前在甲骨文一键搭建的Trojan,没有申请证书么。最近发现443被占用了,然后改了端口上