嘟嘟社区

【转】自建hysteria服务器请做好以下安全措施


以下内容转载自telegram某群组:

自建的hysteria代理服务器请务必做好以下安全措施,以降低被封的的几率:

1.需要确保服务器上设置的客户端认证密码足够长(大小写字母和数字,长于10位)且难猜
因为审查者可以通过将怀疑IP地址拉清单,然后伪装成客户端去尝试连接的方式来主动探测目标是否为指定的服务器,如果密码被猜中了,那服务器IP就”完犊子了”。如果不明白为什么能做到的话可以先去了解一下其他协议当年是怎么被封锁的。

2.开启服务端的伪装功能并进行得当设定
就算是放个空白的index.html在上面也比看见程序自身的404 not found好。

3.除非混淆模式在本地工作的更好又或者本地不允许QUIC协议经过,否则都尽量不要使用混淆
hysteria所使用的salamander混淆算法是开源的。并且在开启混淆功能后,数据包会变为无明显协议特征的随机数据包。基于这两个原因,混淆后的浏览反而会成为人海之中“黑夜里的一盏明灯”。反而还起不到隐藏自己的作用。

4.处于稳定性考虑,服务器端上下行带宽不要设置过高
对于4G以下内存的VPS来说,通常情况下hysteria的带宽设置为最高200mbps即可。
hysteria不同于其他代理协议,其单连接对内存的使用量要求较高,如果带宽设置的过高且本地的RAM不足以支持这么高的带宽或者这么高的连接总数的话,会经常出现hysteria服务端因为主机OOM(内存耗尽)被结束,甚至是Linux主机系统崩溃的情况。在客户端的表现就是测个网速没测完就连不上了,又或者只要一旦网速上升到某个水平就断开的现象。
此外运营商限速的算法也并不是一味地以高带宽发包就可以缓解的,如果速度过高,反而还可能会被运营商直接掐掉连接一段时间。