介绍一种"新"的隧道技术: spiped

在之前的文章SSH隧道:访问翻墙服务器的临时性手段 的时候介绍了一种使用 SSH 隧道进行端口映射，进而进行手动的流量混淆的技术。就稳定性来说这个方案是经受了考验的。在过去几年里，无论任何时候 SSH 隧道都是能够提供稳定可靠的链接的。不过，SSH 隧道的性能是一个问题。根据 Stackoverflow 上的 这个问题下的回答 来说：“当你通过TCP隧道传输TCP时，性能问题就会出现，因为您有两个层执行自适应纠正”。在这篇文章里面我介绍一个较新的方案。

新的方案设计一个新的工具：spiped(github)。spiped是一种安全的、轻量级的加密通信工具，可用于在不安全的网络中传输敏感数据。它的设计目标是提供简单、易于配置和使用的加密通信，而不需要复杂的密钥管理或公钥基础设施。spiped使用对称密钥加密算法，可以在客户端和服务器之间建立加密通道。它可以用于保护各种类型的数据流，包括SSH、Telnet、HTTP和SMTP等协议。spiped的另一个优点是它可以在不同的平台上使用，包括Linux、FreeBSD、OpenBSD和Windows等操作系统。

2 使用方法

spiped 的使用非常简单。在 Ubuntu 上可以通过 apt 来安装。也可以自行编译。在完成安装以后，我们首先进入服务端，运行下面的命令生成一个秘钥：

dd if=/dev/urandom bs=32 count=1 of=keyfile

其中 keyfile 是生成的秘钥文件，注意将其保管到合适的位置。然后用下面的服务启动 spiped 服务端服务：

spiped -d -s '[0.0.0.0]:8025' -t '[127.0.0.1]:25' -k /path/to/keyfile

其中 -s 后的地址是服务端的监听地址，-t 的转发的目标地址，-d 表示将加密的流量从 -s 后的地址解密后发往 -t 后面的地址。这里我们可以填写 Shadowsocks 服务监听的地址。注意 Host 可以保持成 127.0.0.1 的形式。这样，我们可以在防火墙中把 Shadowssocks 的公网监听端口关闭，仅允许从加密隧道访问，这样可以提升安全性。

上面的命令在输入后会自动进入 Daemon 模式运行。

然后我们来到客户端（一般是跳板机），将服务端生成的秘钥文件下载到客户端，运行

spiped -e -s '[127.0.0.1]:25' -t $SERVERNAME:8025 -k /path/to/keyfile

其中 $SERVERNAME 是服务端的 IP 地址。注意用 [] 包裹的形式来填写。如果这里说的客户端也是 Shadowsocks 的机器，那么这里的源地址（-s 后的地址）可以写 127.0.0.1，但是如果是跳板机，那么应该写成 0.0.0.0。

客户端的程序也是会自动进入 Daemon 模式运行。

完成设置之后，访问客户端（跳板机）的 25 端口就相当于直接访问服务器的 25 端口。

请注意，spiped：

• 需要一个强密钥文件：通过-k选项指定的文件应该具有至少256位的熵。（dd if=/dev/urandom bs=32 count=1是你的好朋友。）
• 需要来自/dev/urandom的强熵。（确保您的内核的随机数生成器在引导时被种子化！）
• 不提供任何防止通过数据包计时泄露信息的保护：在spiped上运行telnet会保护密码不会被直接从网络中读取，但不会掩盖输入节奏。
• 对于交互式会话，可以显着增加带宽使用：它以1024字节的数据包发送数据，并将较小的消息填充到此长度，因此如果不能与相邻字节合并，则1字节的写操作可能会扩展到1024字节。
• 使用对称密钥——因此，任何可以连接到spiped“服务器”的人也可以冒充它。