Project X

简体中文

English
Русский

简体中文

English
Русский

深色模式

流量探测(Sniffing / Sniffer)

本页只讲 3 件事:

  • 什么时候会嗅探
  • 嗅探怎么分支执行
  • 嗅探结果如何影响路由与目标地址

配置入口:见 入站代理 / SniffingObject

1. 执行链路

嗅探发生在路由前,主路径如下:

  • 入口:app/dispatcher/default_dispatch.go
  • 读取缓存:app/dispatcher/default_cached_reader.go
  • sniffer 组装:app/dispatcher/sniffer.go
  • 嗅探循环:app/dispatcher/default_sniffing.go

判定流程图(从任意流量进入)

说明:opt 表示该 sniffer 由上下文条件启用(例如 DNS/ECH/MTProto)。后处理分支是并列条件判断,不是串行依赖链。ALPN 仅在 http/tls/dot/ech/quic 进入。T-xx/U-xx 仅为映射编号,不代表执行顺序(实际为并发探测)。

2. 启用条件(结构化)

场景是否依赖 sniffing.enabled说明
入站主动嗅探sniffing.enabled=true 时执行完整内容嗅探
路由驱动协议嗅探为匹配 routing.rules.protocol 可被动启用
DNS 嗅探需同时满足:sniffing.enabled=true 且路由需要 protocol:"dns"
ECH 嗅探路由需要 protocol:"ech" 时启用
JA4 计算路由规则存在 attrs.ja4 时启用(含空值)
metadataOnly仅执行 metadata sniffer,不读 payload

当前路由驱动支持协议:

  • wireguard / mtproto / zerotier / ech / dot / rdp / mqtt / ntp / postgres / ikev2 / dtls / trojan

3. 分支与 Sniffer 清单

分支已注册协议
TCP 常规http socks4 socks5 ssh rdp mqtt postgres bittorrent stun
TCP TLS-onlytls(始终) dot(始终,命中看 ALPN/853) trojan(始终) ech(路由需要时)
UDPzerotier wireguard ntp ikev2 dtls quic stun utp
Metadatafakedns(可用时)

可选动态加入:

  • dns(TCP/UDP)
  • mtproto(TCP)

4. 超时与重试策略

项目当前行为
基础预算200ms
TLS-like 扩展预算最长 2s
QUIC-like/UDP 扩展预算最长 500ms
ErrNoClue最多 2 次尝试
ErrProtoNeedMoreData不消耗尝试次数,继续读取
NeedMoreDataLen触发一次定向补读(补到至少 N 字节)

5. 输出与路由影响

SniffResult

  • Protocol():用于 routing.rules.protocol
  • Domain():用于 destOverride / routeOnly

attrs(路由可读)

attr来源用途
alpnhttp/tls/quic/echrouting.rules.protocolalpn:* 匹配
tls_sniTLS 嗅探是否含 SNI(1/0
tls_versionTLS 嗅探TLS 版本匹配
ja4TLS 嗅探 + attrs.ja4 触发JA4 指纹匹配
:method :path + headersHTTP 嗅探routing.rules.attrs 匹配

attrs 字段定义见 routing.rules.attrs

关键协议产出字段(TLS / HTTP / QUIC)

协议SniffResult 产出attrs 产出备注
tlsprotocol=tls
domain=SNI(可空)
ALPN(可空)
TLSVersion(可空)
JA4(可空)		alpntls_snitls_versionja4ja4_tag(label, 条件)ja4 仅在路由存在 attrs.ja4 意图时计算;ja4_tagLookupJA4Tag 命中
http1protocol=http1
domain=Host
ALPN=http/1.1		alpn:method:path、HTTP headers:method/:path/headers 仅在 content.Attributes 初始为空时写入
http2protocol=http2
domain=空
ALPN=h2		alpn仅识别 HTTP/2 preface
quicprotocol=quic
domain=SNI(可空)
ALPN(可空)
JA4(可空)		alpnja4ja4_tag(label, 条件)ja4/ja4_tag 条件与 TLS 相同
echprotocol=ech
domain=空
ALPN(可空)		alpnECH 设计上不产出域名

ja4_tag(label) 触发条件(代码路径):app/dispatcher/default_dispatch_sniff.gomaybeSetJA4TagFromDB

ALPN 匹配

destOverride / routeOnly

  1. 仅在 sniffing.enabled=true 时允许目标重置。
  2. routeOnly=true 时只写 RouteTarget,真实连接目标 Target 不变。
  3. DNS 嗅探只影响 RouteTarget,不直接改实际拨号目标。

6. 支持协议(结构化清单)

按代码索引编号列出,与上方流程图节点一一对应。编号仅用于定位,不代表执行先后(实际为并发探测)。

匹配顺序协议网络是否产出域名是否产出 ALPN关键产出字段额外启用条件
M-01fakednsmetadatadomainFakeDNS 引擎可用
T-01tlsTCP (tlsOnly)✅(有 SNI 时)domain alpn tls_sni tls_version ja4 ja4_tag
T-01adotTCP (tlsOnly)alpn tls_version ja4 ja4_tagALPN=dot/dns 或 853 端口
T-02http1 / http2TCPhttp1 ✅ / http2alpnhttp1 另含 domain :method :path headers
T-03socks4TCP-
T-04socks5TCP-
T-05sshTCP-
T-06dns(TCP)TCPdomainsniffing.enabled=true 且路由需要 protocol:"dns"
T-07echTCP (tlsOnly)alpn路由需要 protocol:"ech"
T-08mtprotoTCP-路由需要 protocol:"mtproto"
T-09rdpTCP-
T-10mqttTCP-
T-11postgres*TCP-
T-12trojanTCP (tlsOnly)-
T-13bittorrentTCP-
T-14stun / turn(TCP)TCP-
U-01dns(UDP)UDPdomainsniffing.enabled=true 且路由需要 protocol:"dns"
U-02zerotierUDP-路由需要 protocol:"zerotier"
U-03wireguardUDP-
U-04ntpUDP-
U-05ikev2UDP-
U-06dtlsUDP-
U-07quicUDP✅(有 SNI 时)domain alpn ja4 ja4_tag
U-08stun / turn(UDP)UDP-
U-09utp(BitTorrent)UDP-
R-EXfakedns+others结果合成取决于合成协议取决于合成协议FakeDNS in-pool 且“其它协议”命中时返回

7. 配置模板(逐协议)

7.1 前置(入站)

json
{
  "inbounds": [
    {
      "port": 10808,
      "protocol": "socks",
      "settings": {},
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls", "quic", "dns"],
        "routeOnly": true
      }
    }
  ]
}

7.2 协议模板(每个协议一个规则)

以下片段都是 routing.rules 内的单条规则模板。

http1

  • 用途:匹配 HTTP/1 流量
  • 规则:
json
{
  "type": "field",
  "protocol": ["http1"],
  "outboundTag": "http1-out"
}

http2

  • 用途:匹配 HTTP/2 流量
  • 规则:
json
{
  "type": "field",
  "protocol": ["http2"],
  "outboundTag": "http2-out"
}

tls

  • 用途:匹配 TLS 流量(可配合 attrs.tls_sni/tls_version/ja4
  • 规则:
json
{
  "type": "field",
  "protocol": ["tls"],
  "outboundTag": "tls-out"
}

dot

  • 用途:匹配 DNS over TLS(DoT)
  • 说明:dot 只用于协议选路,不产出 domain,不用于 destOverride
  • 规则:
json
{
  "type": "field",
  "protocol": ["dot"],
  "outboundTag": "dot-out"
}

trojan

  • 用途:匹配 Trojan-like TLS 握手特征
  • 规则:
json
{
  "type": "field",
  "protocol": ["trojan"],
  "outboundTag": "trojan-out"
}

ech

  • 用途:匹配 ECH(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["ech"],
  "outboundTag": "ech-out"
}

quic

  • 用途:匹配 QUIC 流量
  • 规则:
json
{
  "type": "field",
  "protocol": ["quic"],
  "outboundTag": "quic-out"
}

dns

  • 用途:匹配 DNS 嗅探结果(需 sniffing.enabled=true 且存在 DNS 规则)
  • 规则:
json
{
  "type": "field",
  "protocol": ["dns"],
  "outboundTag": "dns-out"
}

fakedns / fakedns+others

  • 用途:匹配 FakeDNS 反查结果
  • 规则:
json
{
  "type": "field",
  "protocol": ["fakedns", "fakedns+others"],
  "outboundTag": "fakedns-out"
}

socks4 / socks5

  • 用途:匹配 SOCKS 握手流量
  • 规则:
json
{
  "type": "field",
  "protocol": ["socks4", "socks5"],
  "outboundTag": "socks-out"
}

ssh

  • 用途:匹配 SSH 流量
  • 规则:
json
{
  "type": "field",
  "protocol": ["ssh"],
  "outboundTag": "ssh-out"
}

mtproto

  • 用途:匹配 MTProto(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["mtproto"],
  "outboundTag": "mtproto-out"
}

rdp

  • 用途:匹配 RDP(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["rdp"],
  "outboundTag": "rdp-out"
}

mqtt

  • 用途:匹配 MQTT(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["mqtt"],
  "outboundTag": "mqtt-out"
}

postgres / postgres+ssl / postgres+gssenc / postgres+cancel

  • 用途:匹配 Postgres 系列(路由驱动)
  • 规则(全匹配):
json
{
  "type": "field",
  "protocol": ["postgres"],
  "outboundTag": "pg-out"
}
  • 规则(只匹配 SSL):
json
{
  "type": "field",
  "protocol": ["postgres+ssl"],
  "outboundTag": "pg-ssl-out"
}

bittorrent

  • 用途:匹配 BitTorrent(含 uTP)
  • 规则:
json
{
  "type": "field",
  "protocol": ["bittorrent"],
  "outboundTag": "bt-out"
}

stun / turn

  • 用途:匹配 STUN/TURN
  • 规则:
json
{
  "type": "field",
  "protocol": ["stun", "turn"],
  "outboundTag": "stun-turn-out"
}

zerotier

  • 用途:匹配 ZeroTier(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["zerotier"],
  "outboundTag": "zerotier-out"
}

wireguard

  • 用途:匹配 WireGuard(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["wireguard"],
  "outboundTag": "wireguard-out"
}

ntp

  • 用途:匹配 NTP(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["ntp"],
  "outboundTag": "ntp-out"
}

ikev2

  • 用途:匹配 IKEv2(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["ikev2"],
  "outboundTag": "ikev2-out"
}

dtls

  • 用途:匹配 DTLS(路由驱动)
  • 规则:
json
{
  "type": "field",
  "protocol": ["dtls"],
  "outboundTag": "dtls-out"
}

7.3 attrs 模板(TLS 相关常用)

JA4 标签匹配

routing.rules.attrs.ja4 的匹配规则:

  1. 值是标准 JA4 指纹:按指纹精确匹配。
  2. 值不是指纹:按 ja4.db 标签匹配(命中该标签下任一指纹即匹配)。
  3. 标签匹配大小写不敏感(内部会归一化为小写)。

推荐直接写标签本身,不再推荐旧写法 ja4:xxx / ext-ja4:xxx

json
{
  "type": "field",
  "attrs": {
    "ja4": "threat:malware"
  },
  "outboundTag": "block"
}

或匹配更细标签:

json
{
  "type": "field",
  "attrs": {
    "ja4": "ua:family:chromium-597"
  },
  "outboundTag": "proxy"
}

TLS 版本 + 是否有 SNI

json
{
  "type": "field",
  "attrs": {
    "tls_version": "^1\\.3$",
    "tls_sni": "^1$"
  },
  "outboundTag": "direct"
}

8. 排错(最常见)

  1. 看不到图:确认不是四反引号包裹的纯代码块。
  2. DNS 不生效:确认 sniffing.enabled=true 且 routing 中存在 protocol:["dns"] 规则。
  3. JA4 不生效:确认 routing 里存在 attrs.ja4 规则。
    同时确认未使用旧写法 ja4:xxx / ext-ja4:xxx(当前推荐直接写标签,如 threat:malware)。
  4. 命中率低:先检查是否走错网络分支(TCP/UDP),再看首包是否过短导致超时。
贡献者 (1)

根据 CC-BY-SA 4.0 许可协议授权

版权所有 © 2020-至今 Project X 社区