申请在TCP object加上path

[Lostsite]

只是一个general的idea，不知道能否实现：

1. 为何提出这一个想法？因为标准的 TCP + TLS + Web需要前置的HaProxy，增加了系统复杂性。而WebSocket + TLS + Web在传输过程中的流量会表现为：正常网页使用http，而一个单独的页面使用超大流量的WS，基本上没有网站会这么干。HTTP/2+TLS+WEB是非常好的，但是这样可以多一种实现方式。

2. 想要如何实现？
   客户端：

"outbounds": [
    {
      "protocol": "vmess",
      "settings": {
        "vnext": [
          {
            "address": "example.com",
            "port": 443,
            "users": [
              {
                "id": "*******************",
                "alterId": 0
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "tls",
        "tcpSettings": {
          "path": "/ray"
        }
      }
    }
  ]
}

然后服务器端在<VirtualHost *:443>下面加上反代模块重写（以下是apache的示例，但是大多数服务器端都有反代/proxy模块）：

<Location "/ray">
    ProxyPass "http://localhost:10000/"
</Location>

这样子，如果未授权用户访问/ray目录，v2ray会断开。

然后服务器端的v2ray侦听10000端口就行了。

你甚至可以配置防火墙，只允许localhost访问10000端口，这样可以使得端口扫描不暴露。

3. 伪装性：比WebSocket + TLS + Web要高，比HTTP/2+TLS+WEB要低（因为返回不是502页面，而是直接关闭）。

4. 话说回来能否再加一个功能让v2服务器端对验证错误的用户redirect到一个特定的url或显示502页面.

这只是一个初步设想，不确定能否实现，以及伪装性如何。但是希望可以实现，个人抛砖引玉一下，请各位写点feedback在下面，

[rogerBridge]

path是探测不到的, 即你所说的特征并不存在

[Lostsite]

1.我一开始说的问题是"ws"与"http"传输协议的流量特征区别。（一个网站同时使用这两种协议就够诡异的了）

2.第二个问题是要是有人通过暴力碰撞path的话，其他path会返回404页面，但是要是正好碰撞到了V2所在的path，会被直接关闭连接，而不是显示错误页面。这也挺诡异的。

[rogerBridge]

1. 一个网站同时使用这两种协议并不是什么诡异的事情, websocket一般用于网站向用户推送消息, 不少应用是这样做的, 比如: zhihu, 微信小程序etc, 至于个人搭建的应用使用ws也并不是稀缺的事情;
   2.反代可以设置客户端访问到不存在的path, 或者应用返回出错信息时返回空, 如果恰好碰撞到v2的path, 也并不会被直接关闭连接, 因为在由http升级到ws的那一步就会出错, 之后就会返回为空;
   我的理解, 可能不正确, 欢迎指正;

[Lostsite]

1. websocket一般就在几种情况下会用到，（1）即使聊天文字讯息（2）视频流。而翻墙这个级别的流量不可能是聊天文字讯息所能产生的。而个人搭建self-host直播流的可能性（以及基于技术复杂性）基本为0。
2. 目前大部分人的伪装网站、网页基本上没有一个要用到websocket技术的，在绝大多数非即时内容，http的服务器开销远比ws低。（编程复杂性同样）
3. 可以给一个教程教一下下面这步如何设置 吗？

反代可以设置客户端访问到不存在的path, 或者应用返回出错信息时返回空

4. （我不是专业的Go编程人员，所以要是我搞错了请指正）。TCP object中，加上访问path应该不复杂，这样可以多一种伪装手段，而且设置起来也会很容易，所以何乐而不为呢？

[rogerBridge]

我说的不对, 并不能设置返回为空; 还有, 如果你使用浏览器直接访问v2ray的path, 返回的页面也是404, 并不会被直接关闭页面;

[Lostsite]

多谢。

[Fangliding]

在开启TLS时path是加密的，代表GFW只知道你在访问哪个网站，不知道界面。

[Lostsite]

非常感谢提醒，已经更改。

但是主要想实现的功能是在TCP object中加上path。可以多一种高级伪装手段。

[lanchengjiu]

非常感谢提醒，已经更改。

但是主要想实现的功能是在TCP object中加上path。可以多一种高级伪装手段。

目前我看最优解是TCP+TLS+VLESS（无加密内容）连接服务器，服务器V2Ray监听443接收数据，如果发现不是VLESS数据，就Fallback（回落）扔给Nginx处理。这样相比WSS和HTTPS可以省一层协议，既省掉WS和HTTP，性能更高一点。TCP+TLS在升级一步就是XTLS了，这样可以避免正常访问网页的HTTPS和代理的TLS重复加密，因而增加性能。当然XTLS现在已经独立出去了，单独立项Project X

[lanchengjiu]

非常感谢提醒，已经更改。

但是主要想实现的功能是在TCP object中加上path。可以多一种高级伪装手段。

不过鉴于一般大家境外的VPS线路，速度都很有限，其实性能高点低点意义也没多大，我觉得WSS+Nginx就很好了，还想更安全点就HTTPS，不过HTTPS比WS性能低一点。XTLS我也不太确定一个IP地址不停切TLS证书是不是一种可被发现的特征。

[Fangliding]

path这个东西本身就是在http头里的，TCP里没有path.

[Lostsite]

我是指希望 TcpObject 中能和 WebSocketObject 中一样加上path选项？

[Fangliding]

我是指希望 TcpObject 中能和 WebSocketObject 中一样加上path选项？

纯TCP里本来就没有这个东西怎么还能加配置呢，比如每台电脑都能连一个键盘，你可以自定义键盘样式用你喜欢的款式，可是这是个平板还怎么定义。

[lanchengjiu]

我是指希望 TcpObject 中能和 WebSocketObject 中一样加上path选项？

改TCP是不可能的，TCP和UDP是传输层，改了所有网络设备都不认了，TLS、WS、HTTP，这些是应用层，是可以改的。

[Lostsite]

所以说对于具体页面的访问并不是由TCP负责的吗？假如说想要访问 example.com/example tcp只负责和 example.com 传递数据，而 /example 是在建立连接后再进行请求的吗？

[lanchengjiu]

借着这个问题想请教下各位大佬，TCP+TLS、HTTPS、WSS，三种连接方式在流量特征上有区别吗？
我是这样理解的，HTTPS和WSS都是基于TCP的，层级关系是最外层TCP、中层TLS、内层HTTP/WS
TLS加密是绝对安全的，那么从第三方看，这三种连接都是TCP+TLS，内层具体是什么并不重要，看不出区别，不知道我理解的对不？

从主动探测的角度考虑，可以试探下服务器是不是一个WEB，不过也就仅此而已了，因为TCP只暴露IP和端口，路径等都在TLS里面
那么进一步在思考，XTLS因为一会是正规网站的HTTPS，一会是V2Ray的TLS，证书并不一致，这里会不会暴露什么特征呢？

@Fangliding @rogerBridge

[Fangliding]

加密的玩意在墙看来都是一堆乱码，理论上没有区别。但是xray群有人说过如果用XTLS回国的话墙可能会匹配到同样的数据包出去了又进来，有可能识别XTLS(虽然不知道墙动作有没有这么快或者到底会不会这么做).

[Lostsite]

突然发现 TCP object 下面有一个HTTPRequestObject 可以设置head，不知道是不是我想实现的目标，我晚上就去试试。

[lanchengjiu]

TcpObject里面那些乱七八糟的都是伪装，假装自己是HTTP等等。TCP是明文传输，你折腾什么都没用。想把用户数据部分加密，又得用TLS或者VMESS协议，绕一圈又回来了。我觉得你应该了解下TCP包结构。

[Lostsite]

多谢

[xiaokangwang]

其实V2Ray已经内置了h2协议，这个是不是你要的呢？