安全点,配置的方式安全点
2018-06-22 本文已影响0人
nuannuan_nuan
前言
之前以为实现红杏出墙FQ就一劳永逸了,然而出现了可能被嗅探的风险。那么如何降低这个风险呢。可以简单的配置下ss的配置文件。
实现
通过
{
"server": "0.0.0.0",
"server_port": 8388,
"password": "uzon57jd0v869t7w",
"method": "aes-256-cfb"
}
将上面的server_port更改为
常用端口,eg:25,443,21等,因为GTW,为了减少压力,对常用端口检查相对较少
对于加密方法,我们选择AEAD的加密方式,这里我们选择aes-256-gcm方式,AEAD是为了防止对于SS服务器的主动探测。
扩展
以下加密方式优先选择AEDA加密
AEAD加密:
Name Alias Key Size Salt Size Nonce Size Tag Size
AEAD_CHACHA20_POLY1305 chacha20-ietf-poly1305 32 32 12 16
AEAD_AES_256_GCM aes-256-gcm 32 32 12 16
AEAD_AES_192_GCM aes-192-gcm 24 24 12 16
AEAD_AES_128_GCM aes-128-gcm 16 16 12 16
以下的加密方式不推荐,有可能会被嗅探到:
Name Key Size IV Length
aes-128-ctr 16 16
aes-192-ctr 24 16
aes-256-ctr 32 16
aes-128-cfb 16 16
aes-192-cfb 24 16
aes-256-cfb 32 16
camellia-128-cfb 16 16
camellia-192-cfb 24 16
camellia-256-cfb 32 16
chacha20-ietf 32 12
以下的加密方式,不推荐
Name Key Size IV Length
bf-cfb 16 8
chacha20 32 8
salsa20 32 8
rc4-md5 16 16
补充
当然选择优秀的加密方式,可能会消耗一些资源,毕竟要实现复杂的加密算法。所以安全性和性能上自己取舍。
如何查看是否支持AEAD加密呢?OpenSSL1.0.1及以上版本(openssl -version命令查看版本)参考链接
客户端需要更新最新的ss,现在最新的客户端都支持AEAD加密方式。这里是MAC的下载
