求教，kcptun加速ss 报错，一直连不上

Posted 2023-03-16

参考技术A 第一，这个设计里面说“消息摘要采用MD5，杜绝非法篡改”这是完全错误的。防止消息篡改要用Message Authentication Code，不能用Hash function，不管是怎么Hash都是不能防止篡改的。更何况MD5做Hash根本不合格，早破解成筛子了。正确的做法是AEAD Cipher，比如AES-GCM或者chacha20-poly1305。

第二，我简单的看了一下源码，似乎两个方向（客户端到服务端和服务端到客户端）用的是相同的IV（encryptor和decryptor用同样的IV的初始化）。这意味着AES-CFB有IV重用，这是绝对的错误用法，直接导致攻击者能够解密数据包。（作者扯了半天的所谓OTP只是所有加密算法的基本要求，然而如果我的理解没错，他没用对）。

第三，基于UDP的安全协议都有被replay attack的可能，这个协议好像没有写怎么防止？

第四，这个PSK是程序随机生成还是用户指定？如果是用户指定，用SHA256生成key是不够的，因为用户指定的key往往强度不够，需要用key stretching function比如scrypt或者pbkdf2-hmac来处理。

SS添加kcptun插件方法

添加服务器界面中，在插件程序栏中填入: kcptun.exe

勾上需要命令行参数，然后在插件参数栏中填入:

-l %SS_LOCAL_HOST%:%SS_LOCAL_PORT% -r %SS_REMOTE_HOST%:%SS_REMOTE_PORT% --crypt xor --key 29347982(*这里是kcptun服务配置的密码) --mtu 1350 --sndwnd 1024 --rcvwnd 1024 --mode fast2 --datashard 10 --parityshard 3 --dscp 46

其它地方和原始的配置一样