小白福利-全网最详细的SSR免流教程

本教程纯粹为小白而写，老司机不必看，也请口下留情

第一部分：性价比最高的服务器-Vultr的购买与创建

第二部分：SSR搭建、配置、提速，适用于所有服务器

第三部分：抓包（端口和混淆参数）

第一部分：性价比最高的服务器-Vultr的购买与创建

提前介绍下SSR免流，SSR免流和OPENvps免流一样，都属于云免，不同的是SSR免流暂时没有成熟的流控，所以不适用于商业化，适合自用，相对于OPENvps免流来说更简单、更省电；

要用SSR免流，首先要有服务器，既然是自用，那国内服务器显然太贵，一般都用国外服务器搭建，免流的同时还能翻 Q，翻Q就是可以浏览国外网站，外面的世界很精彩，有什么好处，老司机都懂的；

国外服务器，这里推荐Vultr，看下去你就明白为什么推荐它。

Vultr简介：机器采用E3的CPU，清一色SSD硬盘，全球15个数据中心，全天24小时都可创建，60秒内部署好，所有的VPS都配备了真正的root权限和一个独立的IP地址，按小时计费，最便宜的套餐2.5美元/月(日本只有5的了,纽约有2.5$\mathrm{}$的)(最新支持支付宝支付10$==66人民币的样子)（共享带宽100M，流量1TB/月），换算成小时是0.007美元/小时，也就是不足人民币5分钱，用多少算多少，不想用可以随时删除，删除后不再计费,有人说5美元/月的价格相对于大把十几二十美元包年的国外服务器来说太贵，但vultr家最厉害的是新用户优惠，新注册用户使用PayPal支付5美元可获得25美元、使用信用卡不用花钱即可获得20美元，都是一年有效期，也就是说，如果你有信用卡，你可以免费用5美元的套餐4个月，如果你只有银行卡，你也只需要支付5美元就可以用5美元的套餐5个月，而且最重要的是，Vultr家的VPS都是kvm架构，可以安装锐速或BBR（作者亲测vultr日本机房装完锐速后延迟140ms，下载7m/s），相对于OVZ架构的VPS拥有巨大优势，而十几二十美元包年或二三美元包月的国外服务器一般都是OVZ架构，延迟感人，速度堪忧

下面介绍怎么购买vultr

1、首先，购买前要确认你的信用卡或银行卡是否支持多币种，请自行百度，不支持的话请直接看本教程第二部分，支持的话继续往下看

2、如果你有多币种信用卡，那没什么说的，按后续教程输入信用卡信息购买即可；如果你只有多币种银行卡的话，由于国内银行卡不能直接用于国外网付，所以要先注册PayPal绑定银行卡，注册步骤如下：

一、打开PayPal官网，免费注册

二、输入邮箱，要设置的密码

三、输入姓、名、出生日期、地址（可随意）、邮编（与地址对应）、手机号码，除地址和邮编外

五、输入银行卡号、与银行卡对应的手机号码，点下一步（用PayPal付款必须绑定信用卡或者支持双币支付的银行卡，如62开头的光大银行）

六、输入手机验证码，点验证，按提示操作，如提示扣款不用担心，这是预付款验证，不会真扣，即使扣了也会返还你的账户余额里

十、登陆邮箱，打开PayPal发来的邮件，选择点击此处激活账户

十一、输入你设置的密码，点验证邮箱地址

十二、大功告成，可以在支持PayPal的国外网站购物了

一、注册地址： （使用本地址注册才能得到20美元的赠送），进入后按图输入邮箱和要设置的密码（最少10位，要同时有数字和大小写字母），最后点击create account创建

二、注册成功后，首先确认右侧有$20字样，然后再继续用信用卡或者PayPal充值激活账户，在右侧选中Credit
Card或PayPal(最新支持支付宝)，分别按对应截图填入信息购买

一、信用卡可能会扣取1美元用作验证，成功后过段时间会自动返回账户

二、一个信用卡或PayPal只能给一个账号付款，如果用不同的邮箱去注册多个账号，然后用同一个信用卡或PayPal付款，最后的结果是这个PayPal付过款的所有的vultr关联账号会被官方封杀，且不会退款，一定要注意，不要贪心

④在Vultr中创建VPS，依次按照下面的截图创建即可

第二部分：SSR搭建、配置、提速，适用于所有服务器

SSR简介：一款优秀的代理软件，本意是让更多的网友畅游网络，却被天朝的大神开发成了免流

SSR免流方式：免流端口加混淆参数

混淆参数就是免流网址，由于最近和谐了很多，就不写了，请自行收集测试，也可以自己抓包，抓包教程在最后面

IOS登录商店下载wingy（免费）、LIFI（免费）、netkit（收费）、pototso（俗称土豆丝，收费）、surge（收费，很贵）、shadowsocks（俗称小火箭，最好用，也是用的人最多的，收费）、或者用电脑端爱思助手连接手机直接下载shadowsocks（免费，推荐此方法）

一、准备好你的服务器，确认账号（一般是root）和密码，系统建议Centos6 ×64

3.昵称随意，类型SSH，地址你的服务器ip，端口默认22不变（映射端口和自设端口除外）

5.昵称随意，用户名一般为root，密码填你的服务器密码

8.点你设置的配置，如无昵称就是以服务器ip命名

9.如无意外，这时就自动登陆服务器了，如果提示你输入密码，再输一遍就行 了，输入后记得点保存

10.进入服务器后，就可以运行代码了，本机键盘手打或者复制粘帖均可

三、电脑用xshell连接服务器，教程如下

3、名称随意，协议SSH，主机你的服务器IP，端口默认22不变（映射端口和自设端口除外）

5、选中设置的配置双击打开

6、提示输入账号和密码，输入后记得点保存

7、进入服务器后，就可以运行代码了，本机键盘手打或者复制粘帖均可

四、进入服务器后，就可以运行SSR代码了，这里推荐用西门吹雪的，当然 也可以用其他的，网上代码很多

五、运行后，会首先提示你输入授权码（yaohuo.me，界面最上方有），然后提示你设置端口（port）和密码（password），端口一般是移动137、138、8080，联通和电信80和8080，具体设置哪个视自己情况而定，设置错了也不要紧，后面有配置多端口方法

八、SSR修改密码、配置多端口

*#SSR修改密码、配置多端口教程*

2、按“i”进入编辑模式，编辑如下

3、按esc返回，输入:wq回车保存

5、如不能联网，则关闭防火墙（逐条输入）

⑤SSR手机端配置（安卓，IOS作者不熟悉，请自行学习）

3.远程端口你设置的端口

9.混淆参数填对应运营商免流网址，网上很多

10.点右上角飞机图标

11、让SSR软件保留在后台

12、百度输入“ip”回车

13、如果显示的是你的服务器IP即证明配置成功

14、接下来就是测试免不免流量了，方法是先关闭网络，开关几次飞行模式，5分钟后打开网络按上面的教程连接SSR后进移动app查询流量，然后下载5M左右的文件，再重复开头的方法关网开飞行等5分钟后再查流量，如果流量没少，即证明99%免流成功

15、注意，SSR软件一定要保留在后台运行，不然会扣流量

由于锐速对内核要求严格，所以要先更换内核

⑦SSR提速之BBR（仅支持KVM,Xen,vmare架构，且不可与锐速共存）

使用root用户登录，运行以下命令（逐行运行）：

安装完成后，脚本会提示需要重启 VPS，输入 y 并回车后重启。

重启完成后，进入 VPS，验证一下是否成功安装最新内核并开启 TCP BBR，输入以下命令：

查看内核版本，含有 4.9.0 就表示 OK 了

返回值有 tcp_bbr 模块即说明bbr已启动。

这个直接搬砖了，有大神已经写好了教程：

⑩SSR提速之FinalSpeed（仅支持电脑，不支持手机）

电脑端局域网内共享给安卓

ROOT或越狱了的手机才能开热点

1、安卓用openvps工具箱，请自行百度下载，开热点步骤如下

一、先打开热点，让其他设备连上你的热点

六、搞定，接着在连接你热点的设备上百度输入“IP”,如果显示的是你的服务器IP，那就没错了

七、如果不能正常上网，就需要设置静态IP，方法就是打开对方设备的WiFi高级设置，IP设为192.168.43.2-255，子网掩码255.255.255.0，网关192.168.43.1，DNS8.8.8.8，然后就可以正常连接了（PS，也可以用路由器中继热点，在路由器里同样按以上静态IP方法设置，路由器中继的好处就是设备可以随连随上、发射信号更远更强）

2、IOS添加雷锋源下载TETHERME插件，由于作者没用过，所以请自行学习，听说很简单，安装后点开启即可

第三部分：抓包（端口和混淆参数）

作者一直用移动，不熟悉联通和电信，不过三网原理都一样，熟悉了后自然可以举一反三

SSR免流靠混淆参数和端口(没有的话就只能光fan qiang用了)

混淆参数，就是免流网址，就是host，其实能免的host几乎都能在网上找到，不过还是自己学会怎么抓比较好，万一哪天就抓到了新的host了呢。作者常用的抓包软件有两个，一个是wi.cap，一个是packet capture，但是wi.cap需要root和xp框架，要求比较高，所以本教程只介绍不用root也不用框架的packet capture

1、首先安装packet capture，可以百度，也可以去我分享的百度链接里下载

2、关闭所有联网软件，打开手机网络（net和wap都可以试下）

4、点击上方绿色三角形按钮

5、打开要抓包的软件（免流量软件，比如掌厅、咪咕、沃TV等），随便操作软件，尽可能多操作几次

7、点进去上方日期、时间命名的标题栏

8、找到Host字样的信息，那就是混淆参数，如下图

以前137、138基本可免全国移动，现在和谐的差不多了，基本只有8080可用（有的host也可以用80和443），怎么确认一个host打开了哪些端口呢？最简单的自然是用站长工具，当然，老司机可以用各种扫端口软件，比如安卓软件IPScanner就不错，支持自定义端口范围、逐个扫描

站长工具-端口扫描，用法很简单，具体如下图

④你用哪个远程端口，对应的混淆参数一定要打开这个端口，不然99%不会免，抓到host后扫描下host开了哪些端口，然后就剩测试了。

好了，本教程到此结束，祝各位小伙伴早日用上SSR免流。

原标题：账号密码+短信验证码登录，仍不保险

CNNIC（中国互联网络信息中心）最新发布数据显示，截至2014年6月，我国移动支付用户规模达到2.05亿，半年度增长率为63.4%，网民手机支付的使用比例已提升至38.9%。

消费正在迈入移动支付时代，移动支付的安全性如何？昨天，360互联网安全中心发布了《2014年第二期中国移动支付安全报告》，最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评。报告告诉我们：你正在使用的银行手机客户端没那么安全。

16家银行的最新版APP

“测试的版本都是网上能下载到的最新版的银行手机客户端。”360安全专家万仁国告诉记者，测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试，“是非常全面的一次安全性测评。”

手机银行客户端作为网上支付的重要工具， 其自身的安全性是网民账户、资金安全的基础。结果记者在报告中看到，这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高，但在后面几项关键性测评中所有APP都拿了零分。

“为避免具体测试方法和银行客户端漏洞被人恶意利用，我们暂时不会公开每个银行客户端的具体测评结果及敏感试细节。”360互联网安全中心相关负责人透露，秘密报告目前已经提交给了各家银行，也会做后续跟进。

在测评中拿分最高的是登录环节，16款银行手机客户端中9款有加密机制，有13款进行服务器证书校验。这是不是说明这些APP至少在登录验证环节还是安全的？

“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系，在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。”一位安全专家告诉记者，今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马，表面看与银行手机客户端的登录界面一模一样，当用户登录时木马就会提示“系统升级中请稍候”，实际上此时，木马正在向一个“”的神秘号码发送激活短信。

然后，黑客使用控制号码向感染木马的手机发送一条短信， 向银行服务器请求一个授权码。银行服务器系统发送这样一条短信，原本是要保证手机客户端与特定号码绑定。如果用户在手机银行客端中正确输入了这个授权（有些软件会自动检测授权码短信），那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须保证授权短信只有使用该手机号码户能够看到。如被拦截案例中这样，木马程序会窃取并劫持授权短信的话，那就十分危险了——这意味着你收到的短信，黑客也能看到。

“后来我们查到这是一个福建泉州的联通手机号。”这位安全专家直言，虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。

更可怕的是，一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。报告测评结果显示，在16款手机银行客户端软件中，没有任何一款客户端能单独解决这类问题。

你用的APP输入键会变吗

16款下载最多、使用最广的银行手机客户端都有安全漏洞，普通用户如何来分辨呢？对普通用户来说，你只能选择使用或不使用，却无法保证自己使用的银行手机客户端足够安全。

“键盘输入安全性较高的是自绘随机键盘，这个比较容易判断，打开银行客户端输入密码时，每次弹出来的键盘都不一样的就是自绘随机键盘。”360安全专家万仁国说，除了银行外，像证券等行业应用也会使用自绘随机键盘，“自绘随机键盘的使用肯定会增加客户端的开发成本，但在被评测的16款银行客户端中使用率不高不一定是成本原因，也有可能是设计人员没有考虑到，但判断一个银行客户端的安全性高低不仅仅从密码输入判断，还需要整体分析。”

事实上，提高银行手机客户端的安全还不够，因为手机系统本身也有漏洞，很容易被攻击，网民手机支付的使用比例正在以每年20%左右的速度增加，移动支付的安全问题需要引起更多关注了。

CNNIC（中国互联网络信息中心）最新发布数据显示，截至2014年6月，我国移动支付用户规模达到2.05亿，半年度增长率为63.4%，网民手机支付的使用比例已提升至38.9%。

消费正在迈入移动支付时代，移动支付的安全性如何？昨天，360互联网安全中心发布了《2014年第二期中国移动支付安全报告》，最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评。报告告诉我们：你正在使用的银行手机客户端没那么安全。

16家银行的最新版APP

“测试的版本都是网上能下载到的最新版的银行手机客户端。”360安全专家万仁国告诉记者，测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试，“是非常全面的一次安全性测评。”

手机银行客户端作为网上支付的重要工具， 其自身的安全性是网民账户、资金安全的基础。结果记者在报告中看到，这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高，但在后面几项关键性测评中所有APP都拿了零分。

“为避免具体测试方法和银行客户端漏洞被人恶意利用，我们暂时不会公开每个银行客户端的具体测评结果及敏感试细节。”360互联网安全中心相关负责人透露，秘密报告目前已经提交给了各家银行，也会做后续跟进。

在测评中拿分最高的是登录环节，16款银行手机客户端中9款有加密机制，有13款进行服务器证书校验。这是不是说明这些APP至少在登录验证环节还是安全的？

“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系，在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。”一位安全专家告诉记者，今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马，表面看与银行手机客户端的登录界面一模一样，当用户登录时木马就会提示“系统升级中请稍候”，实际上此时，木马正在向一个“”的神秘号码发送激活短信。

然后，黑客使用控制号码向感染木马的手机发送一条短信， 向银行服务器请求一个授权码。银行服务器系统发送这样一条短信，原本是要保证手机客户端与特定号码绑定。如果用户在手机银行客端中正确输入了这个授权（有些软件会自动检测授权码短信），那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须保证授权短信只有使用该手机号码户能够看到。如被拦截案例中这样，木马程序会窃取并劫持授权短信的话，那就十分危险了―这意味着你收到的短信，黑客也能看到。

“后来我们查到这是一个福建泉州的联通手机号。”这位安全专家直言，虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。

更可怕的是，一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。报告测评结果显示，在16款手机银行客户端软件中，没有任何一款客户端能单独解决这类问题。

你用的APP输入键会变吗

16款下载最多、使用最广的银行手机客户端都有安全漏洞，普通用户如何来分辨呢？对普通用户来说，你只能选择使用或不使用，却无法保证自己使用的银行手机客户端足够安全。

“键盘输入安全性较高的是自绘随机键盘，这个比较容易判断，打开银行客户端输入密码时，每次弹出来的键盘都不一样的就是自绘随机键盘。”360安全专家万仁国说，除了银行外，像证券等行业应用也会使用自绘随机键盘，“自绘随机键盘的使用肯定会增加客户端的开发成本，但在被评测的16款银行客户端中使用率不高不一定是成本原因，也有可能是设计人员没有考虑到，但判断一个银行客户端的安全性高低不仅仅从密码输入判断，还需要整体分析。”

事实上，提高银行手机客户端的安全还不够，因为手机系统本身也有漏洞，很容易被攻击，网民手机支付的使用比例正在以每年20%左右的速度增加，移动支付的安全问题需要引起更多关注了。