Skip to content

代理协议

玩直连导致的。

不加密类 / VPN 类

Socks / HTTP / Wireguard

想死就用。

全加密类

全加密 == 翻墙

放国外秒死,放国内秒反向墙。均不推荐使用。

Shadowsocks / VMess

多用户场景下性能 VMess 远大于 Shadowsocks AEAD。

VMess 协议标准混乱,客户端兼容性有问题。

SS2022

最近有一些机场上了 SS2022 并且标榜解决了多用户场景下性能问题,而且握手延迟比 Trojan 低。

简单科普其“解决”的原理:全站统一一个密钥(也就是密码的前半部分),用这个密钥对称加密用户的密码和代理数据。因此解密后服务器可以直接匹配出用户密码,不再需要像 SS AEAD 一样暴力解密。

正常开发者应该使用 TLS 这种现成的加密套件,而不是使用固定的密钥。SS2022 握手延迟低的代价是什么呢?本题留作思考。

SSR

其实不是全加密,而是伪装 HTTP。伪装的全是 2016 年左右的软件,现在反而成为了特征。

老古董,曾经的多用户优化方案。新面板都不支持。

WS 类

众所周知,WS 传输是明文,大多数情况下 WS 只是一个 HTTP 头。因此 WS 被墙与否主要取决于运载的上层协议(如 Vmess)的客户端实现。

Host / Path

WS 中的 Host / Path 参数是明文的,请不要包含机场官网之类的信息。

放国内可能会抓备案。

TLS 类

此类协议显著特点是许多客户端不支持多路复用,因为 TLS 握手造成了额外的延迟开销(还有极其恶心的 TLS in TLS 问题使得墙能精确分类出这类流量)。

SNI

TLS 中的 SNI 参数是明文的,请不要包含机场官网之类的信息。

放国内可能会抓备案。

VLESS

VLESS 类协议试图通过 TLS ClientHello 指纹模仿和 XTLS-Vison 固定长度填充技术达成 "防墙" 效果,然而据某些直连机场测试,仍然有概率发生封禁。

教训: Xray 代码自带混淆,不推荐使用。

2024.05 猜想

GFW 变幻无常,最近 TLS 的封禁力度下降,或许是因为现有算法误报比较严重,人为调整了封禁阈值。

2024.09

  1. GFW 新增拉黑了 VLESS / VLESS + Vision 的特征(可能是长度特征)。
  2. 目前需要同时符合「特定的 TLS ClientHello 指纹」才能触发被墙,所以 Reality (即强制开启 uTLS) 貌似没事。

2024.10

  1. VLESS+WS+TLS/uTLS VLESS+Vision+Reality 等组合也开始被墙了。
  2. VLESS 如果和 Hy2 一起开,墙的特别快。

QUIC 类

很少被墙。但是目前 Hysteia2 后端 bbr 阻塞控制算法实现有问题,在某些情况下会造成【上传严重高于下载】的问题。

QUIC 类协议测速基本跑不上 100MB/s,但是没有用户需要这么高的速度,请不要以测速好看为终极目标。

2024.04 发现

目前 GFW 已具备解密 QUIC SNI 的能力。但是还未对 hy2 直连下手。

2024.07 发现

三中全会期间封了一大批 Hy2 的 IP,然后又不封了?

后注: 我记得这次封禁并没有按照 7 天的封禁时间,而是在大会结束后的某一天几乎全部释放了。结合后续 hy2 没有再被封的情况,可能是因为这次的识别方法仍然不靠谱?

CDN 类

CDN 套 WS / TLS 的用法本质上是利用了 Cloudflare / Cloudfront 的 IP 段【在白名单内】的特性,此类用法虽然不会造成 IP 封禁,但可能会造成【域名封禁】。

自研协议

PFGO "Secure" / Nyanpass

可能是小众优势,目前很稳定。请勿听信某些不合实际的商业宣传。

Multiplex

包括 Nyanpass 的很多软件都支持。

一般作为一个叠加层存在(可选或强制开启)。降低延迟,同时降低测速,但是没有用户需要这么高的速度,请不要以测速好看为终极目标。可能有抗墙效果。