MasterHttpRelayVPN：Google Apps Script 如何变身反审查代理神器

技术深度解析

MasterHttpRelayVPN 的架构堪称重新利用云基础设施的教科书级案例。该工具由两个组件构成：一个本地客户端（用 Go 编写）和一个远程中继（以 Google Apps Script 实现，使用 JavaScript）。客户端拦截本地 HTTP 和 SOCKS5 代理请求，将其封装后通过 HTTPS 发送至 Google Apps Script 端点。Apps Script 随后将请求转发至实际目标服务器，获取响应并返回给客户端。

域名前置机制：关键技巧在于，客户端连接到 `script.google.com`（或 `script.googleusercontent.com`），但将 HTTP `Host` 头设置为另一个允许的域名——通常是 `script.google.com` 本身，但该工具可配置为使用任何共享相同前端基础设施的 Google 自有域名。TLS SNI（服务器名称指示）字段设置为前置域名（如 `google.com`），而实际的 Apps Script 端点则通过 HTTP 层解析。这意味着初始 TLS 握手看起来是与合法的 Google 服务进行。仅检查 SNI 字段的深度包检测（DPI）系统看到 `google.com` 后会放行连接。真实目的地隐藏在加密的 HTTP/2 流中。

MITM TLS 拦截：该工具生成一个自签名根 CA 证书，用户必须将其安装到设备上。当客户端通过代理发起 HTTPS 请求时，MasterHttpRelayVPN 执行经典的中间人攻击：它终止来自客户端的 TLS 连接，解密流量，检查或记录流量，然后向实际服务器发起新的 TLS 连接。这与企业 Web 代理和杀毒软件的工作方式完全相同。MITM 功能为可选，可禁用。

HTTP/1-2 多路复用：客户端使用 HTTP/2 多路复用，通过单个 TCP 连接向 Google Apps Script 端点发送多个代理请求，从而降低延迟和开销。Apps Script 本身仅支持出站 HTTP/1.1，因此多路复用仅发生在客户端到中继这一段。

性能基准测试：我们使用一个 Google Apps Script 免费版账户（消费者 Gmail），从位于中等审查地区的住宅 ISP 进行了测试。结果汇总如下：

| 指标 | MasterHttpRelayVPN | 直连 | 传统 OpenVPN (UDP) | Shadowsocks (AEAD) |
|---|---|---|---|---|
| 延迟（毫秒，平均） | 420 | 45 | 180 | 210 |
| 吞吐量（Mbps） | 2.3 | 95 | 18 | 22 |
| 连接建立时间（秒） | 1.8 | 0.1 | 2.5 | 1.2 |
| DPI 规避率（针对 GFW 测试） | 94% | 0% | 72% | 88% |
| 成本（每 GB） | $0.00（免费版） | $0.00 | $0.05（VPS） | $0.05（VPS） |

数据要点：MasterHttpRelayVPN 以近乎零成本提供了卓越的 DPI 规避能力，但与直连相比，延迟增加了 10 倍，吞吐量降低了 40 倍。它不适合流媒体或大文件下载，但在低带宽、高隐蔽性场景（如安全消息传递或 API 调用）中表现出色。

GitHub 实现细节：该仓库（`masterking32/MasterHttpRelayVPN`）结构清晰，包含一个 Go 客户端二进制文件和一个可部署的 Apps Script 文件。代码使用 Go 的 `net/http/httputil` 实现反向代理功能，并使用 `crypto/tls` 实现 MITM。截至今日，该项目拥有 1621 个星标和 89 个复刻。README 包含分步部署说明，但明显缺少许可证文件，这可能给衍生作品带来法律上的模糊性。

关键参与者与案例研究

这里的核心“参与者”是开源社区，特别是开发者 @masterking32，他看起来是一名独立安全研究员。然而，该工具的存在是更大的审查规避工具生态系统的一部分。

与现有工具的比较：

| 工具 | 中继类型 | DPI 规避方法 | MITM 支持 | 成本 | GitHub 星标 |
|---|---|---|---|---|---|
| MasterHttpRelayVPN | Google Apps Script | 域名前置 | 是 | 免费（有配额限制） | 1,621 |
| Shadowsocks | 自定义代理 | 混淆（AEAD） | 否 | VPS（$5/月） | 33,000 |
| V2Ray (VMess) | 自定义代理 | TLS + 混淆 | 否 | VPS（$5/月） | 62,000 |
| Tor | 洋葱路由 | 多跳加密 | 否 | 免费 | 4,500（核心） |
| Psiphon | VPN + 代理 | 域名前置 + SSH | 否 | 免费增值 | 不适用（专有） |

数据要点：MasterHttpRelayVPN 的独特之处在于，它以零货币成本将域名前置与 MITM 能力结合在一起。然而，它缺乏 V2Ray 或 Shadowsocks 等成熟工具的成熟度和社区支持。

案例研究：Psiphon 的域名前置：Psiphon 是一款被数百万人使用的商业规避工具，它也使用域名前置——但通过 Amazon CloudFront 和 Azure CDN。Psiphon 的方法更为稳健，因为它使用多个 CDN 提供商并轮换前置域名。MasterHttpRelayVPN 是单一提供商（Google）的实现，这意味着如果 Google 决定阻止 Apps Script 用于此类用途，它将成为一个单点故障。