回落是什么?
当xray接收https请求流量后,检测是否符合vless协议特征的请求。如果确认时vless协议,则将请求发送至xray内部进行请求代理,并返回响应相应的代理结果数据包。如果发现不是xless协议流量,则交给nginx的回落端口进行处理,返回伪装后的https网站内容,让防火墙认为这是常规的https网站访问请求。
回落的目的是什么?
最开始,Xray回落的设计目标是为了抵御【主动探测】(Active Probing)。
主动探测,简单直观地说,就是长城防火墙GFW有主动探测的机制,有时会主动通过发送特定的网络请求,然后通过分析服务器的响应内容,推断服务器是否在运行像xray, v2fly, shadowsocks等代理工具。一旦能够精确地确定,那么服务器可能会遭受阻断或中断。
服务器的响应内容可以被解读,原因在于一个完整的数据请求包含许多数据交换的环节,每一个环节都会产生一些特定的软件特征。用通俗的语言解释就是:
正常的网站响应,一定【会有】诸如Nginx, Apache, MySQL的Web服务、数据库等工具的特征;
正常的网站响应,一定【不会有】像xray, v2fly, shadowsocks等代理工具的特征。
因此,当我们为Xray加入了【回落】的功能(如上例,回落给Nginx),面对任何探测请求,产生的结果是:
探测流量无法获取你的VLESS元素,因此都会被回落至Nginx;
探测流量全部回落至Nginx,因此VPS服务器的响应一定【会有】Nginx的特征;
由于Xray本身并不对探测流量做出任何响应,所以VPS的响应一定【不会有】Xray的特征。
这样,【回落】功能就从数据交互逻辑层面解决了服务器被【主动探测】的安全问题。
回落的目的是为了当长城防火墙GFW发送主动探测请求时,通过回落到nginx,响应常规的https网站内容,从而达到伪装流量的目的。
有回落就一定安全吗?
不一定。
长城防火墙GFW除了主动探测功能外,如果检测到代理服务器和境内服务器有超大规模的流量时,也可能会进行阻断封锁。
此外,长城防火墙GFW的技术和策略是持续发展和改进的,有时候可能会针对特定的网络行为、协议或模式进行封锁。因此,即使是设计得非常难以被检测的协议,也不能保证永远不会被封锁。
