现在TLS in TLS还有明显的流量特征吗。

[wangdaye078]

之前有文章说到老的TLS in TLS的前5个包的长度有明显的特征，在新的流控里通过padding隐藏了这个特征，但是新流控只能使用TCP协议，导致无法使用caddy等进行反代，也不能走CDN，如果为了更好得隐藏服务器，使用反代或走CDN只能用老的TLS in TLS + WS（或grpc等），那请问TLS in TLS的前5个包的长度特征还存在吗？还是在做新流控的时候顺手也已经改掉了？

[chika0801]

vision流控 你访问的外国网站是TLS1.3时已经做处理了。外国大的网站没多少是1.2了。你不会担心。

推荐你看这个收集，有帮助。

https://github.com/chika0801/Xray-examples/blob/main/warning.md

[wangdaye078]

我知道如果用新流控是没这个问题的，但是新流控应该不兼容反代和CDN，为了使用这些功能，只能使用之前的TLS in TLS，我查了很多地方，都没有明确的说明如果使用之前的协议而不用新流控的话，握手的几个包的长度特征是否还存在。

[chika0801]

你用老的如vmess ws tls过cdn 有这些问题。建议不要爱惜vps的ip和端口，就没这些烦恼

[wangdaye078]

正因为爱惜vps的ip，才要过CDN，否则VPS的IP直接暴露在墙下，一旦被封，直接连SSH都连不上。
不用CDN，加上反代，也是隐藏了服务器的JARM特征，用回落的话，肉眼看上去象是普通网站，但是JARM这些特征还是XRAY的。
这些都是新流控和新协议不能解决的。而之前的TLS in TLS的一些被证实的特征是可以通过修改代码来做一定程度补救的（不能全部解决，但至少可以解决一部分），所以我才有这个问题。

[chika0801]

你要爱惜VPS的端口和IP，不用这VPS翻墙即可。。。你要用能过CDN的组合，都有问题。

[wtfr-dot]

一句话就是凡是使用vision或者reality包括之前的xtls位于前端的都是不支持cdn的，没法解决TLS in TLS的问题，我觉得不同的地方封堵TLS in TLS的策略或者是程度不同，我之前一直使用的是vless+ws+cdn+caddy反代网站，为了解决卡顿问题，还专门将mux设为1，应该是几个特征都很明显，但一直都没有被封过，包括最敏感时期，也没明显感觉到干扰，我感觉可能是sni白名单，后来对应用的逐步熟悉后也在ws里加入了ed参数和finger，现在又转向了grpc，但是都不能使用新的协议和特性

[wtfr-dot]

我也有这方面的疑问，我感觉通过cdn隐藏vps还是最可靠的方法，而且还能加速我这种5刀廉价vps，目前看奈飞最高画质也没什么问题，包括晚高峰也基本上没问题，这对于我来说已经够了，但翻看各种issue，TLS in TLS问题等闹得沸沸扬扬，而且随着gfw封禁手段的升级，难免以后会同样遇到问题，基于此再加上跟随新技术的步伐，都想尽量弥补漏洞，但目前的新技术都无法兼容cdn，从发展方向看感觉是已经放弃了老方案，ws的mux问题也没有得到解决，而且说这个方案属于丢弃的行列了

[chika0801]

开发者已经明确说了有填充，而没有说老的协议里他是否加入了这个填充功能。你发的内容我看过，最近几个月的帖子我几乎都翻看过。但是并没有说到老方案是否还维护，是否还会改进的问题。

Vision流控只支持VLESS，不支持trojan，所以老协议（这指trojan）Xray这边也没义务去管它了。你知道继续用trojan有风险，你就有做好端口被封准备就是了嘛。

[chika0801]

但目前的新技术都无法兼容cdn，从发展方向看感觉是已经放弃了老方案，ws的mux问题也没有得到解决，而且说这个方案属于丢弃的行列了

作者说了Vision和REALITY都不支持过CDN，你呼吁了也是没有用的呀。我觉得真差作者直接说，大家不要爱惜VPS的IP和端口了，该用什么协议就按自己喜好的用，如果哪天节点连不上，会排查是IP被封还是端口被封，端口被封该换端口就换，IP被封要不套CDN，要不找商家加钱换，要不再买VPS得了。

[chika0801]

至于买VPS每个人预算不一样，一年想花多少，穷玩法，富玩法，都是自己的事，作者哪管得了这么多摊子的事了。

[wtfr-dot]

但目前的新技术都无法兼容cdn，从发展方向看感觉是已经放弃了老方案，ws的mux问题也没有得到解决，而且说这个方案属于丢弃的行列了

作者说了Vision和REALITY都不支持过CDN，你呼吁了也是没有用的呀。我觉得真差作者直接说，大家不要爱惜VPS的IP和端口了，该用什么协议就按自己喜好的用，如果哪天节点连不上，会排查是IP被封还是端口被封，端口被封该换端口就换，IP被封要不套CDN，要不找商家加钱换，要不再买VPS得了。

套cdn已经不存在封vps的端口和ip问题，而是客户端的ip和端口，而按照cdn能兼容的协议，ws和grpc都有TLS in TLS的特征问题，而目前的办法是无解，这正是wangdaye078和我关心的问题，就是目前对这种老的方案有没有改进，我感觉应该是没有，如果说有的话应该是加入了finger，ws加ed是在很久以前就支持了，但mux问没解决，我一直用的vless，从来没用过其它方案，所以我一直在关注xray的发展方向，藏木于林是目前技术发展的核心思想，但兼容通用协议是不是能更好的隐藏，包括最近提的reality over socks等就是基于此观念吧。