3_代理工具协议深度解析

Posted on Edited on In , ,

1. VPN 与代理工具

VPN 是正规安保公司的装甲车,代理工具是伪装成普通人的顶级特工。

VPN(虚拟专用网络):设备通过加密隧道连接到远端服务器,所有流量统一转发。类似驾驶外交装甲车——加密保护完善,但车辆本身特征明显。常见实现:WireGuard、OpenVPN。

代理工具(V2Ray/Trojan):流量伪装为普通网页访问,混入正常 HTTPS 流量中。类似便装特工——外观与普通快递员无异,难以被识别。常见实现:VLESS、Shadowsocks、Trojan。

1.1 工作原理对比

特性 VPN 代理工具
核心思路 安全隧道 (Security Tunnel) 流量伪装 (Traffic Obfuscation)
作用范围 默认全局,支持 Split Tunneling 分流 应用级,可精细控制特定 App 走代理
伪装能力 弱,协议特征明显 强,可伪装成普通 HTTPS 流量
易用性 高,一键连接 中等,需配置服务器和导入规则
灵活性 低,功能由服务商决定 高,支持复杂路由规则(国内直连、国外代理)
主流协议 OpenVPN, WireGuard, IKEv2 VMess, VLESS, Trojan, Shadowsocks
适用场景 公共 Wi-Fi 保护、地区限定内容 突破网络审查、长期稳定访问全球网络

1.2 网络协议层次差异

VPN 协议多工作在网络层(L3),如 WireGuard、IPsec;部分如 L2TP 工作在 L2:

  • 创建虚拟网卡,设备被分配私有 IP(如 10.8.0.2
  • 所有流量默认通过加密隧道转发
  • 相当于通过 “ 虚拟网线 “ 直连远端网络

代理协议(VMess/VLESS/Trojan)为应用层协议,承载于 TLS/TCP 之上:

  • 仅指定应用的流量走代理通道
  • 其他程序仍直连互联网
  • 可开启 TUN 模式在网络层(L3)捕获流量后通过代理转发
%%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#4F46E5', 'primaryTextColor': '#000', 'primaryBorderColor': '#3730A3', 'lineColor': '#6366F1'}}}%%
flowchart TB
    subgraph OSI ["OSI 模型工作层级"]
        L7["L7 应用层<br/>代理工具默认工作层"]
        L6["L6 表示层"]
        L5["L5 会话层"]
        L4["L4 传输层"]
        L3["L3 网络层<br/>VPN / TUN 模式工作层"]
        L2["L2 数据链路层"]
        L1["L1 物理层"]

        L7 --- L6 --- L5 --- L4 --- L3 --- L2 --- L1
    end

    classDef highlight fill:#4F46E5,stroke:#3730A3,color:#fff
    classDef normal fill:#F3F4F6,stroke:#D1D5DB,color:#374151

    class L7,L3 highlight
    class L6,L5,L4,L2,L1 normal

2. 代理工具协议详解

2.1 Shadowsocks (SS)

Shadowsocks 是独立的加密代理协议,客户端对本地应用暴露 SOCKS5 接口,但与服务器之间采用自有加密协议通信。设计简洁高效,但协议特征相对明显。

核心特点:

  • 轻量级,资源占用低
  • 支持多种加密算法(如 AEAD 系列)
  • 协议特征可被识别,需配合混淆插件

2.2 V2Ray 工具集

V2Ray(Project V)是开源代理框架,支持多种协议和传输方式。核心优势在于高度定制化和伪装能力:

  • 伪装为普通 HTTP 流量
  • 伪装为加密网站流量(WebSocket + TLS),与正常 HTTPS 浏览无异

2.2.1 VMess:全能型协议

VMess 是 V2Ray 的原生协议,采用 “ 全副武装 “ 设计——内部完成身份验证、加密、数据传输等全部工作。

%%{init: {'theme': 'base', 'themeVariables': {'actorBkg': '#4F46E5', 'actorTextColor': '#00ff00', 'actorBorder': '#3730A3', 'signalColor': '#6366F1', 'activationBkgColor': '#E0E7FF', 'activationBorderColor': '#4F46E5'}}}%%
sequenceDiagram
    autonumber
    participant C as "客户端"
    participant S as "VMess 服务器"
    participant I as "目标网站"

    C->>S: "身份验证(UUID + 时间戳)"
    activate S
    Note over C,S: "时间误差需 < 90 秒"

    C->>S: "加密数据(AES-128-GCM)"

    alt "验证成功"
        S->>S: "解密请求"
        S->>I: "转发请求"
        activate I
        I-->>S: "返回响应"
        deactivate I
        S-->>C: "加密返回数据"
    else "验证失败"
        S-->>C: "拒绝连接"
    end
    deactivate S

VMess 特点

  • 自带加密机制,可独立使用;生产环境推荐配合 TLS 增强伪装
  • 严格依赖系统时间(误差 < 90 秒)
  • 支持动态端口和多用户

2.2.2 VLESS:轻量化进化

VLESS(VMess Less)是 VMess 的简化版本,采用 “ 极致精简 “ 设计——仅负责数据转发和身份验证,加密工作交给 TLS。

%%{init: {'theme': 'base', 'themeVariables': {'actorBkg': '#4F46E5', 'actorTextColor': '#00ff00', 'actorBorder': '#3730A3', 'signalColor': '#6366F1', 'activationBkgColor': '#E0E7FF', 'activationBorderColor': '#4F46E5'}}}%%
sequenceDiagram
    autonumber
    participant C as "客户端"
    participant TLS as "TLS 通道"
    participant S as "VLESS 服务器"
    participant I as "目标网站"

    C->>TLS: "建立 TLS 连接"
    activate TLS
    TLS->>S: "标准 HTTPS 握手"

    C->>TLS: "发送 VLESS 数据包"
    TLS->>S: "验证 UUID"
    activate S

    opt "Vision 流控模式"
        Note over C,S: "智能识别 TLS 流量,避免重复加解密"
    end

    S->>I: "转发请求"
    activate I
    I-->>S: "返回响应"
    deactivate I
    S-->>C: "返回数据"
    deactivate S
    deactivate TLS

VLESS 核心特点

特性 说明
无自带加密 依赖外层 TLS,避免双重加密的性能损耗
无时间依赖 取消系统时间校验,仅验证 UUID
回落机制 验证失败时转发到伪装网站,隐蔽性强
XTLS 支持 完美支持 Reality / Vision 等先进技术

2.3 Trojan:伪装优先

Trojan 的设计理念是 “ 大隐隐于市 “——将代理流量伪装成标准 HTTPS 流量,与访问银行网站时的流量特征一致。

%%{init: {'theme': 'base', 'themeVariables': {'actorBkg': '#4F46E5', 'actorTextColor': '#00ff00', 'actorBorder': '#3730A3', 'signalColor': '#6366F1', 'activationBkgColor': '#E0E7FF', 'activationBorderColor': '#4F46E5'}}}%%
sequenceDiagram
    autonumber
    participant Client as "客户端/探测器"
    participant Server as "Trojan 服务器"
    participant Fake as "伪装网站(Nginx)"
    participant Internet as "互联网"

    Note over Client,Internet: "监听 443 端口,配置真实域名和 TLS 证书"

    rect rgb(240, 253, 244)
    Note over Client, Internet: "场景 A:正常客户端连接"
    Client->>Server: "连接请求(携带正确密码)"
    activate Server
    Server->>Server: "验证密码成功"
    Server->>Internet: "转发到互联网"
    activate Internet
    Internet-->>Server: "返回响应"
    deactivate Internet
    Server-->>Client: "返回数据"
    deactivate Server
    end

    rect rgb(254, 242, 242)
    Note over Client, Fake: "场景 B:防火墙主动探测"
    Client->>Server: "探测请求(无密码/错误密码)"
    activate Server
    Server->>Server: "验证失败"
    Server->>Fake: "转发到伪装网站"
    activate Fake
    Fake-->>Client: "返回正常网页"
    deactivate Fake
    Note over Client: "判定为普通网站,放行"
    deactivate Server
    end

Trojan 核心特点

特性 说明
HTTPS 伪装 监听 443 端口,使用标准 TLS 加密
抗主动探测 验证失败返回伪装网页,隐蔽性极强
轻量高效 专注流量伪装,延迟低、省电
要求 必须配置域名和 SSL 证书

2.4 Hysteria 2:UDP 暴力突破

Hysteria 2 基于 QUIC 协议(HTTP/3 底层),专为高丢包、高延迟的恶劣网络环境设计。

核心机制

%%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#4F46E5', 'primaryTextColor': '#000', 'primaryBorderColor': '#3730A3', 'lineColor': '#6366F1'}}}%%
flowchart LR
    subgraph Traditional ["传统 TCP 协议"]
        T1["发送数据"] --> T2{"丢包?"}
        T2 -->|"是"| T3["降速重传"]
        T2 -->|"否"| T4["继续发送"]
        T3 --> T1
    end

    subgraph Hysteria ["Hysteria Brutal 模式"]
        H1["发送数据"] --> H2{"丢包?"}
        H2 -->|"是"| H3["冗余补发<br/>保持带宽"]
        H2 -->|"否"| H4["继续发送"]
        H3 --> H1
    end

    classDef primary fill:#4F46E5,stroke:#3730A3,color:#fff
    classDef warning fill:#F59E0B,stroke:#D97706,color:#000
    classDef success fill:#10B981,stroke:#059669,color:#fff

    class T1,T4,H1,H4 primary
    class T3 warning
    class H3 success

Hysteria 2 特点:

特性 说明
HTTP/3 伪装 协议格式与 QUIC 一致,Brutal 模式流量行为可被识别
Brutal 模式 忽略丢包,强制满带宽发送
端口跳跃 自动切换端口,规避单端口封锁
0-RTT 建连 连接建立极快,响应感强

适用场景对比:

  • Trojan / VLESS:线路质量好,追求低功耗和稳定
  • Hysteria 2:线路质量差(高丢包/高延迟),追求极致速度

3. 进阶技术解析

3.1 VLESS 与 Trojan 对比

%%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#4F46E5', 'primaryTextColor': '#000'}}}%%
flowchart TB
    subgraph Compare ["协议选型决策"]
        Q1{"有域名和证书?"}
        Q1 -->|"是"| Q2{"追求极致性能?"}
        Q1 -->|"否"| R3["VLESS + Reality"]

        Q2 -->|"是"| R1["VLESS + TLS + Vision"]
        Q2 -->|"否"| R2["Trojan"]
    end

    classDef decision fill:#F59E0B,stroke:#D97706,color:#000
    classDef result fill:#10B981,stroke:#059669,color:#fff

    class Q1,Q2 decision
    class R1,R2,R3 result
维度 Trojan VLESS VLESS + Reality
设计理念 伪装优先 性能优先 兼顾伪装与性能
加密方式 标准 TLS 依赖 TLS/XTLS Reality 伪装
证书要求 需要域名证书 需要 TLS 证书 无需域名证书
伪装能力 极强(标准 HTTPS) 强(配合 TLS) 极强(拟态目标网站)
性能表现 高效 极高 极高

3.2 Reality 技术原理

Reality 是 TLS 的变种,核心能力是 “ 拟态目标网站 “。

工作流程:

%%{init: {'theme': 'base', 'themeVariables': {'actorBkg': '#4F46E5', 'actorTextColor': '#00ff00', 'actorBorder': '#3730A3', 'signalColor': '#6366F1', 'activationBkgColor': '#E0E7FF', 'activationBorderColor': '#4F46E5'}}}%%
sequenceDiagram
    autonumber
    participant C as "客户端"
    participant FW as "防火墙"
    participant S as "Reality 服务器"
    participant T as "目标网站<br/>(如 microsoft.com)"

    C->>S: "TLS 握手(伪装成访问 microsoft.com)"

    FW->>S: "主动探测"
    activate S
    S->>T: "转发探测流量"
    activate T
    T-->>FW: "返回 microsoft.com 真实网页"
    deactivate T
    Note over FW: "检测到有效证书,判定为合法网站"
    deactivate S

    C->>S: "正常客户端连接"
    activate S
    S-->>C: "代理服务启动"
    deactivate S

Reality 优势:

特性 说明
无需域名 仅需 VPS IP,消除域名关联风险
完美伪装 探测时返回目标网站的真实内容和证书
无需自购证书 使用目标网站证书握手,通过 shortId 认证客户端
高性能 继承 XTLS 血统,延迟低

3.3 Trojan 与 Reality 的兼容性

Trojan 不能与 Reality 配合使用。

原因在于两者的握手机制互斥:

  • Trojan:必须提供真实的域名证书(标准 TLS)
  • Reality:动态拟态目标网站特征,不使用本地证书

目前仅 VLESS 和 VMess 支持 Reality,其中 VLESS + Reality 是官方推荐的最佳组合。

系列导航 | ← 上一篇:DNS 解析与 FakeIP | 下一篇:传输架构 →