Shadowsocks

Shadowsocksopen in new tag 协议,兼容大部分其它版本的实现。

目前兼容性如下:

  • 支持 TCP 和 UDP 数据包转发,其中 UDP 可选择性关闭;
  • 推荐的加密方式:
    • 2022-blake3-aes-128-gcm
    • 2022-blake3-aes-256-gcm
    • 2022-blake3-chacha20-poly1305
  • 其他加密方式
    • aes-256-gcm
    • aes-128-gcm
    • chacha20-poly1305 或称 chacha20-ietf-poly1305
    • xchacha20-poly1305 或称 xchacha20-ietf-poly1305
    • none 或 plain

Shadowsocks 2022 新协议格式提升了性能并带有完整的重放保护,解决了旧协议的以下安全问题:

警告

"none" 不加密方式下流量将明文传输。为确保安全性, 不要在公共网络上使用。

InboundConfigurationObject

{
  "settings": {
    "network": "tcp,udp",
    "method": "aes-256-gcm",
    "password": "114514",
    "level": 0,
    "email": "love@xray.com",
    "clients": [
      {
        "password": "1919810",
        "method": "aes-128-gcm"
      }
    ]
  }
}

network: "tcp" | "udp" | "tcp,udp"

可接收的网络协议类型。比如当指定为 "tcp" 时,仅会接收 TCP 流量。默认值为 "tcp"

method: string

加密方式,可选项见上。

password: string

必填。

  • Shadowsocks 2022

使用与 WireGuard 类似的预共享密钥作为密码。

使用 openssl rand -base64 <长度> 以生成与 shadowsocks-rust 兼容的密钥,长度取决于所使用的加密方法。

加密方法密钥长度
2022-blake3-aes-128-gcm16
2022-blake3-aes-256-gcm32
2022-blake3-chacha20-poly130532

在 Go 实现中,32 位密钥始终工作。

  • 其他加密方法

任意字符串。 不限制密码长度,但短密码会更可能被破解,建议使用 16 字符或更长的密码。

level: number

用户等级,连接会使用这个用户等级对应的 本地策略level 的值, 对应 policylevel 的值。 如不指定, 默认为 0。

email: string

用户邮箱,用于区分不同用户的流量(日志、统计)。

ClientObject

{
  "password": "1919810",
  "method": "aes-256-gcm",
  "level": 0,
  "email": "love@xray.com"
}

当存在此选项时,代表启用多用户模式.

当 InboundConfigurationObject 中的 method 不为SS2022选项时,可以在此为每个用户指定 "method"。("method"中也仅支持非SS2022选项)与"password"(与此同时 InboundConfigurationObject 中的设置的 "password" 将会被忽略)。

当 InboundConfigurationObject 中的 method 为SS2022选项时,出于安全考量,不再支持为单个用户设置 "method",统一为 InboundConfigurationObject 所指定的"method"

注意SS2022并不会像旧SS一样忽略上层 "password", 客户端的正确密码写法应为, ServerPassword:UserPassword。如:"password": "114514:1919810"

其余选项与 InboundConfigurationObject 中的含义一致。