一个想法：访问之前敲门避免主动探测？

[Tiamisu]

在运行ssh的服务器上部署端口敲门机制是一项非常历史悠久的保护措施。服务器平时防火墙可以配置成不接受任意源地址，除非按照一定的顺序访问几个特定端口。

按照这个思路，我们是不是可以配置一个类似的机制？比如：设置两个域名，一个域名用于平时的Xray流量，另一个用于敲门。因为敲门基本不需要考虑性能，可以套CDN以达到最大的隐藏效果。敲门的时候服务器这边可以从敲门的时候附带的参数来放行对应的ip地址。主动探测因为不知道敲门的机制，一定会被防火墙挡住。

[RPRX]

感觉适用于非 TLS，不过我们面对的攻击者有能力伪造来源 IP

[nJhEqnvK]

有群友反应有受到与自己 IP 一致的重放攻击的情况

2021/02/12 10:10:43 [Warning] [2302813728] app/proxyman/inbound: connection ends > proxy/vless/inbound: unable to set read deadline > transport/internet/kcp: Connection closed.
KCP+XTLS还是不行。。。除夕夜被方校长背刺ban了ip :-(

[RPRX]

@nJhEqnvK KCP+TLS/XTLS，外层特征仍是 KCP 的，用了 Seed 吗？

[Kylejustknows]

如果你访问一个普通的国外网页服务器时不敲门。 那么你的敲门动作，就变成了最明显的翻墙特征。

[nJhEqnvK]

@nJhEqnvK KCP+TLS/XTLS，外层特征仍是 KCP 的，用了 Seed 吗？

没有，之前配置seed后便无法连接，我想着已经有xtls加密了就没管seed

另外想问问XUDP和MUX该如何配置呀，想试试

[RPRX]

@nJhEqnvK 加密和特征是两回事，Seed 可以掩盖 KCP 的特征，是必须开的。

XUDP 无需额外配置，两边更新到 v1.3.0+ 并使用 VLESS 或 VMess 或 Mux 即可。

等下删一下无关信息。