Loading...  ## 关键延迟指标 | 阶段 | 延迟范围 | 说明 | |------|---------|------| | 阶段1: 平壤→上海TCP握手 | 10-30ms | 客户端到SOCKS5代理TCP连接建立 | | 阶段2: SOCKS5协议协商 | 5-20ms | 客户端通过TCP连接发送CONNECT请求 | | 阶段3: 上海→美国TCP握手 | 50-60ms | SOCKS5代理建立到农场笔记本的TCP连接 | | 阶段4: 美国→服务器TCP握手 | 5-25ms | 农场笔记本到EDR服务器TCP连接 | | **总连接建立延迟** | **≈100ms** | 阶段1(10-30ms) + 阶段2(5-20ms) + 阶段3(50-60ms) + 阶段4(5-25ms) | | **应用层RTT** | **100+ms** | RDP字符传输延迟(平壤→上海→美国→服务器完整路径) | | **RDP脉冲间隔** | **100ms** | 批量输入特征,形成脉冲模式 | | **双重RTT累加** | **60-90ms** | 平壤→上海(10-30ms) + 上海→美国(50-60ms) | ## 检测特征 1. **RTT不匹配**: TCP握手RTT低(10-30ms平壤→上海) vs 应用层RTT高(100+ms完整路径) 2. **脉冲模式**: 字符输入以100ms间隔批量抵达,形成"波峰"特征 3. **双重RTT累加**: 平壤→上海(10-30ms) + 上海→美国(50-60ms) = 60-90ms,这是SOCKS5代理的典型特征 4. **非连续流**: 输入像脉冲批量抵达,而非连续流 5. **地理位置特征**: 平壤→上海区域路由延迟低(10-30ms),但通过上海代理跨太平洋后总延迟显著增加(100+ms) 6. **SOCKS5协议特征**: 客户端先建立到代理的TCP连接,然后通过该连接发送CONNECT请求,代理再建立到目标的TCP连接 最后修改:2025 年 12 月 25 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏