VMessAEAD is enforced

今天在一个新的服务器部署科学上网服务, 测试发现服务端有异常日志:

rejected  common/drain: common/drain: drained connection > proxy/vmess/encoding: invalid user: VMessAEAD is enforced and a non VMessAEAD connection is received. You can still disable this security feature with environment variable v2ray.vmess.aead.forced = false . You will not be able to enable legacy header workaround in the future.

从日志中可知, 通过 v2ray.vmess.aead.forced = false 可以禁用掉 VMessAEAD,
但这个 workaround 未来不一定可用, 所以还是选择不禁用, 因为治标不治本.

而另外一台旧的服务器上没有这个问题, 那应该是版本问题了, 新的服务器上安装的是新版本的.

查阅 VMess 协议的官方文档得知 :

为了进一步对抗可能的探测和封锁，自 v4.24 版本起，每个 VMess 认证数据的服务器端结构都会包含一个一次写入的玷污状态标记，初始状态为无瑕状态，当服务器检测到重放探测时或者因为其他原因入站连接出错以致校验数据不正确时，该连接所对应的请求认证数据会被玷污。
被玷污的认证数据无法被用于建立连接，当攻击者或客户端使用被玷污的认证数据建立连接时，服务器会输出包含 "invalid user" "ErrTainted" 的错误信息，并阻止该连接。
当服务器没有受到重放攻击时，该机制对正常连接的客户端没有影响。如果服务器正在被重放攻击，可能会出现连接不稳定的情况。

拥有服务器 UUID 以及其他连接数据的恶意程序可能根据此机制对服务器发起拒绝服务攻击，受到此类攻击的服务可以通过修改 proxy/vmess/validator.go 文件中 func (v *TimedUserValidator) BurnTaintFuse(userHash []byte) error 函数的 atomic.CompareAndSwapUint32(pair.taintedFuse, 0, 1) 语句为 atomic.CompareAndSwapUint32(pair.taintedFuse, 0, 0) 来解除服务器对此类攻击的安全保护机制。使用 VMessAEAD 认证机制的客户端不受到 VMess MD5 认证信息玷污机制的影响。

VMessAEAD 协议已经经过同行评议并已经整合了相应的修改。 VMess MD5 认证信息的淘汰机制已经启动。
自 2022 年 1 月 1 日起，服务器端将默认禁用对于 MD5 认证信息的兼容。任何使用 MD5 认证信息的客户端将无法连接到禁用 VMess MD5 认证信息的服务器端。
在服务器端可以通过设置环境变量 v2ray.vmess.aead.forced = true 以关闭对于 MD5 认证信息的兼容。或者 v2ray.vmess.aead.forced = false 以强制开启对于 MD5 认证信息认证机制的兼容（不受到 2022 年自动禁用机制的影响）。 (v4.35.0+)

使用 v2ray version 得知: 旧服务器上的版本是 v4.19.1, 而新服务器上的是 v5.4.1, 和文档里对应上了.

启用 VMessAEAD

启用 VMessAEAD 的话, 在 v4.28.1 版本后, 只需要把 alterId 设置为 0 即可.

修改配置后, systemctl daemon-reload 或 restart 后, 测试通过.

参考

https://www.v2fly.org/config/protocols/vmess.html#userobject