梦行志代理协议选型指南:从VMess到Hysteria2,我终于搞懂了这些网络工具
梳理9种常用代理协议的本质、区别与适用场景
上周我打算重新搭自己的代理节点,打开配置界面的那一刻,我突然愣住了。
屏幕上列着一长串协议名字:VMess、VLESS、Shadowsocks、Trojan、Hysteria2、WireGuard、TUIC、Anytls、SOCKS、HTTP。
之前一直用别人分享的节点,我从来没关心过这些名字到底是什么意思,只知道选个延迟低的就行。可这次要自己搭,我才发现,我完全不知道该选哪个。
网上的教程各说各的,有人说Hysteria2是新出的,速度碾压一切;有人说Trojan才是最稳的,用了三年都没被封;还有人说现在都用VLESS+REALITY,这才是标准答案。
越看越乱,我甚至开始怀疑,是不是我落伍了,这些新协议我一个都搞不懂。
最开始我怀疑了什么
最开始我的想法很简单:这肯定是软件迭代啊,就像APP的版本号一样,新的肯定比旧的好。
所以我直接就把那些看起来老的协议划掉了:Shadowsocks?太老了吧,十年前的东西了;VMess?也是好几年前的了,肯定过时了。剩下的Hysteria2、TUIC、Anytls这些新出的,肯定是最好的,我直接就准备搭Hysteria2了,毕竟它的名字最响,网上都说它是新一代的速度之王。
我甚至已经想好了,搭完这个,以后就再也不用换协议了,一劳永逸。
哪些表象其实是误导
结果搭完Hysteria2,我发现我家的网络根本连不上。
折腾了半天,我才发现,我家的运营商把UDP流量给偷偷限速了,而Hysteria2是基于UDP的,直接就废了。
这时候我才反应过来,我之前的想法全错了。
这些协议根本不是什么迭代关系,不是新的就一定比旧的好。网上那些说"XX协议最好"的,都是站在他们自己的网络环境下说的,放到我这里,可能完全不适用。
还有很多我之前想当然的认知,后来发现全是误导:
- 我以为带TLS的都一样,Trojan和VLESS都是伪装成HTTPS,应该差不多。结果后来才知道,它们的伪装逻辑完全不一样,抗封锁能力差了好几个量级。
- 我以为UDP支持都一样,所有协议的UDP转发都是一回事。结果才发现,有的是Full Cone NAT,有的是Restricted,对游戏联机的影响天差地别。
- 我以为协议越复杂功能越强,VMess有那么多参数,肯定比简单的Shadowsocks强。结果才发现,那些多余的参数,很多时候反而带来了不必要的开销和特征。
我看到了什么关键证据
踩了这个坑之后,我花了一晚上的时间,把每个协议的设计文档、源码、还有实际的测试数据都找了出来,一个个整理,把它们的设计目标、传输层、加密方式、伪装能力、UDP支持、性能、适用场景都列了个表。
这一整理我才发现,原来每个协议的设计初衷,完全不是一回事。
真正根因是什么
原来这些协议,根本不是同一个赛道的竞品。
它们是针对完全不同的问题设计的:有的是为了在弱网下提速,有的是为了对抗强封锁,有的是为了组网,有的是为了低延迟,有的是为了简单易用。
它们解决的是不同的问题,所以根本不存在"最好的协议",只有最适合你当前场景的协议。
就像你不能用锤子去拧螺丝,也不能用螺丝刀去钉钉子,工具本身没有好坏,要看你要解决什么问题。
这些协议,到底都是干什么的?
我把这9种常用的协议,一个个梳理清楚了,你看完就会明白,它们到底解决的是什么问题。
1. 最基础的转发:SOCKS / HTTP
这两个是最古老、最基础的代理协议,没有任何加密,就是单纯的转发流量。
它们本身不是用来翻墙的,一般是用来做本地代理,比如你在本地开个SOCKS5代理,让浏览器的流量走这个代理,或者作为其他代理协议的底层接口,比如Shadowsocks就是基于SOCKS5的。
它们的特点就是简单,所有的工具都支持,但是因为没有加密,所以不能直接在公网上用,只能在信任的内网里用。
2. 轻量加密代理:Shadowsocks
这是最早的一批翻墙协议,2012年出来的,设计的非常简单,就是在SOCKS5的基础上加了一层对称加密,把流量加密了,防止被监听。
它的优点是轻量,速度快,配置简单,几乎所有的客户端都支持,这么多年了,生态非常成熟。
缺点是原始的协议特征比较明显,容易被DPI识别,抗封锁能力比较弱。所以它适合审查比较松的环境,或者用来做内网的加密代理,如果你只是需要简单的加密,不需要对抗强封锁,它是最好的选择。
3. V2Ray的经典协议:VMess
这是V2Ray项目最早的核心协议,设计的比较复杂,自带了加密、认证、多路复用这些功能,还支持多种传输方式,比如TCP、WebSocket、mKCP这些。
它的优点是功能强,生态成熟,客户端支持最广,还能配合CDN中转,把流量伪装成WebSocket,隐藏服务器的真实IP。
缺点是协议本身的特征比较明显,而且开销比较大,性能不如新的协议,现在慢慢被VLESS取代了,主要是用来兼容老的客户端,如果你有一些很老的设备,只能支持VMess,那它还是有用的。
4. 轻量新协议:VLESS
这是VMess的简化版,把VMess里多余的加密和认证都去掉了,把安全的工作完全交给了底层的TLS协议,所以它的开销非常小,性能很高。
尤其是配合XTLS和REALITY之后,REALITY可以不用域名,直接偷大型网站的SNI来伪装,就算防火墙主动探测,也会连接到真实的网站,根本分不清真假,抗封锁能力极强。
现在它是日常使用的首选协议,普适性最强,不管什么网络环境,它都能适配,性能也够高。
5. 伪装大师:Trojan
这个协议的设计思路很有意思,它不是隐藏流量,而是把流量完全伪装成正常的HTTPS访问,跑在443端口,服务端如果被探测的话,会返回一个正常的网站,让防火墙以为这就是个普通的网站。
它的优点是伪装能力极强,抗封锁能力很强,配置也比较简单,很多人用它都能稳定用很久。
缺点是功能比较少,而且需要一个域名和证书,不如REALITY灵活,REALITY不用域名就能伪装,比它方便多了。
6. 弱网加速:Hysteria2
这个是基于QUIC协议的,也就是UDP的,它的设计目标就是在高丢包、高延迟的弱网环境下提速。
它自带了自定义的拥塞控制算法,能绕过TCP的拥塞控制,在晚高峰TCP拥堵的时候,它的速度能比TCP快很多,比如你用TCP下载只有1MB/s,用它可能能跑到5MB/s。
优点是弱网下性能极强,UDP传输,多路复用,对高丢包的网络特别友好。
缺点是依赖UDP,如果你的网络把UDP限速或者封了,它就用不了,所以一般是作为备用节点,平时用TCP的主力节点,晚高峰拥堵的时候切到它。
7. 现代VPN:WireGuard
这个不是代理协议,是VPN协议,三层的隧道,它的设计非常极简,核心代码只有4000多行,跑在内核态,性能极高,比OpenVPN快好几倍。
它的优点是速度快,配置简单,安全,适合组网,比如远程访问家里的NAS,或者企业的远程办公,把两个网络连起来,就像在同一个局域网里一样。
缺点是没有伪装,抗封锁能力弱,在审查严的环境下用不了,因为它的流量特征很明显,很容易被识别。
8. 低延迟QUIC代理:TUIC
这个也是基于QUIC的,和Hysteria2有点像,但是它更偏向低延迟。
它实现了0-RTT的握手,也就是连接建立的时候不用等回复,直接就能发数据,延迟非常低,而且它的UDP转发是Full Cone的,对游戏联机特别友好,很多玩外服游戏的人都用它。
而且它的拥塞控制比较"温柔",不像Hysteria2那么激进,不容易触发运营商的QoS,很多网络下Hysteria2会被限速,但是TUIC不会。
优点是低延迟,适合游戏、实时通话这些场景,缺点也是依赖UDP。
9. 解决嵌套TLS的:Anytls
这个是比较新的协议,它解决的是嵌套TLS的握手指纹问题。
很多时候我们会用CDN中转代理,这时候就会出现TLS套TLS的情况,也就是客户端的TLS,套上CDN的TLS,这个嵌套的TLS会有明显的指纹,容易被识别。
Anytls就是解决这个问题的,它把嵌套的TLS伪装成正常的TLS,让防火墙看不出来,抗封锁能力更强,而且配置也很简单。
最终的选型方案:不同场景选不同的协议
搞清楚这些之后,我终于明白该怎么选了,没有万能的协议,你要根据自己的场景来选:
- 日常主力节点:选VLESS+REALITY,抗封锁强,性能高,不用域名,普适性最强,大部分场景下它都是最好的选择。
- 弱网/晚高峰备用:选Hysteria2或者TUIC,UDP的,能绕过TCP的拥堵,提速明显,作为备用,平时不用,拥堵的时候切过去。
- 强封锁环境:选Trojan或者VLESS+WS+TLS,配合CDN中转,把流量伪装成正常的网站访问,隐藏服务器的真实IP。
- 组网/远程访问:选WireGuard,速度快,安全,配置简单,适合远程访问家里的设备,或者企业的远程办公。
- 简单快速,审查松的环境:选Shadowsocks,配置简单,速度快,生态成熟,用起来省心。
- 老客户端兼容:选VMess,生态最成熟,所有老客户端都支持,如果你有一些旧设备,只能用它。
这次最值得记住的经验
搞完这一切,我靠在椅子上,看着窗外的夜色,突然有点感慨。
我们总是很容易陷入"新的就是好的"的误区,看到新出的技术,就觉得旧的都过时了,就想赶紧换掉。
但其实,技术从来都不是这样的。每个技术,每个工具,都有它自己的定位,都有它要解决的问题。没有什么万能的银弹,能解决所有的问题。
就像这些代理协议,Hysteria2再快,在UDP被封的网络里,它就是不如老的Shadowsocks好用;WireGuard再强,在审查严的环境里,它就是不如Trojan稳。
选对工具,比选最新最贵的工具,重要多了。
这大概就是这次排查,给我上的最好的一课吧。