关键延迟指标
| 阶段 | 延迟范围 | 说明 |
|---|---|---|
| 阶段1: 平壤→上海TCP握手 | 10-30ms | 客户端到SOCKS5代理TCP连接建立 |
| 阶段2: SOCKS5协议协商 | 5-20ms | 客户端通过TCP连接发送CONNECT请求 |
| 阶段3: 上海→美国TCP握手 | 50-60ms | SOCKS5代理建立到农场笔记本的TCP连接 |
| 阶段4: 美国→服务器TCP握手 | 5-25ms | 农场笔记本到EDR服务器TCP连接 |
| 总连接建立延迟 | ≈100ms | 阶段1(10-30ms) + 阶段2(5-20ms) + 阶段3(50-60ms) + 阶段4(5-25ms) |
| 应用层RTT | 100+ms | RDP字符传输延迟(平壤→上海→美国→服务器完整路径) |
| RDP脉冲间隔 | 100ms | 批量输入特征,形成脉冲模式 |
| 双重RTT累加 | 60-90ms | 平壤→上海(10-30ms) + 上海→美国(50-60ms) |
检测特征
- RTT不匹配: TCP握手RTT低(10-30ms平壤→上海) vs 应用层RTT高(100+ms完整路径)
- 脉冲模式: 字符输入以100ms间隔批量抵达,形成"波峰"特征
- 双重RTT累加: 平壤→上海(10-30ms) + 上海→美国(50-60ms) = 60-90ms,这是SOCKS5代理的典型特征
- 非连续流: 输入像脉冲批量抵达,而非连续流
- 地理位置特征: 平壤→上海区域路由延迟低(10-30ms),但通过上海代理跨太平洋后总延迟显著增加(100+ms)
- SOCKS5协议特征: 客户端先建立到代理的TCP连接,然后通过该连接发送CONNECT请求,代理再建立到目标的TCP连接