引言：从包裹投递理解代理技术

用一个简单的比喻：邮寄包裹。

传输的数据：是包裹里的“货物”。
**代理协议 (Protocols)**：是打包货物的“箱子”。不同的箱子有不同的封装方式、标签和加密方法。例如 VMess, VLESS, Trojan。
**传输方式 (Transports)**：是运送箱子的“交通工具”。决定了数据包在网络上是以何种形式流动的。例如 TCP, WebSocket, gRPC。
**传输安全 (Security)**：是交通工具的“伪装”。通过加密和模仿，让运送过程看起来像普通、合法的网络活动，从而躲避检查。例如 TLS, REALITY。

一个完整的代理配置，就是选择一个“箱子”，把放进一个“交通工具”，再给这个交通工具加上“伪装”。下面，我们将详细解析每一个部分。

代理协议 (The “Boxes”)

协议是代理技术的核心，定义了数据如何被加密、打包和验证。

Shadowsocks (ss)
- 简介：元老级协议，本质是一个加密的 SOCKS5 代理。专注于用对称加密算法混淆流量。
- 优点：实现简单，资源占用极低，在无干扰网络下速度极快。
- 缺点：协议特征相对固定，易于通过流量分析被识别和干扰。
VMess
- 简介：V2Ray 项目的核心协议，设计比 Shadowsocks 更复杂，引入了用户ID (UUID) 和多路复用等特性。
- 优点：抗检测能力强，功能丰富，安全性高。
- 缺点：性能开销略高于 SS，配置稍复杂。
VLESS
- 简介：VMess 的进化版，追求更极致的性能和灵活性。VLESS 将加密和验证的逻辑“下放”给了传输层（如 TLS 和 REALITY），协议本身变得非常轻量。
- 优点：性能极高，开销小。设计理念先进，可以灵活地与其他传输层安全方案组合。
- 缺点：协议本身不提供加密，必须搭配 TLS 或 REALITY 使用。
Trojan
- 简介：一种“以假乱真”的协议，其核心思想是“最大程度地模仿”。通过模拟互联网上最常见的 HTTPS 协议来传输数据。服务器会像一个真实的 Web 服务器一样响应普通请求，只有收到正确的“密码”时，才会建立代理连接。
- 优点：伪装度极高，流量与真实的 HTTPS 网站几乎无法区分。
- 缺点：实现上比 Shadowsocks 复杂，性能略有开销。
Hysteria / Hysteria2
- 简介：为不稳定和恶劣网络环境设计的暴力发包协议。基于修改版的 QUIC (HTTP/3 的底层协议)，通过拥塞控制算法和并行发包，在丢包严重的环境下依然能保持较高速度。
- 优点：在网络质量差（高延迟、高丢包）的环境下表现极其出色，速度远超 TCP 协议。
- 缺点：会消耗更多带宽（暴力发包），在网络良好时优势不明显。
AnyTLS
- 简介：这不是一个服务器端协议，而是一些客户端（如 NekoRay）实现的一种便利功能。允许客户端自动识别并连接多种使用 TLS 加密的服务器，如 VLESS-TLS, Trojan, Hysteria2 等，无需用户手动区分。

传输方式 (The “Delivery Trucks”)

传输方式决定了数据包在网络中的“奔跑形态”。

**Raw (TCP/UDP)**：最原始的形态，直接发送数据包。速度最快，但特征也最明显。
**WebSocket (ws)**：将流量封装在标准的 WebSocket 连接中，使其看起来像网页的实时通信。是经典的伪装手段。
mKCP: 基于 UDP 的传输方式，通过冗余数据换取低延迟，适合高丢包网络。
gRPC: 使用 Google 的 gRPC 框架传输数据。gRPC 基于 HTTP/2，流量特征像是两个服务器之间的 API 调用，是比 WebSocket 更现代、更高效的伪装方式。
HTTPUpgrade / h2c：利用 HTTP/1.1 的 Upgrade 协议头将连接升级为 HTTP/2，流量特征与一些 Web 服务类似。

传输安全 (The “Disguise”)

传输安全是在传输层增加的伪装，让防火墙无法识别流量的真实目的。

None：无额外伪装。依赖协议自身的加密，在现代网络审查下极易被识别。
**TLS (Transport Layer Security)**：目前应用最广泛的伪装。通过申请域名和 SSL/TLS 证书，将代理服务器伪装成一个标准的 HTTPS 网站。这是经过时间考验的、非常可靠的方案。
REALITY：TLS 的“终极进化版”。解决了自购域名和证书可能被识别为“小众”网站的问题。通过“借用”一个真实、知名的大网站（如 google.com）的 TLS 身份来与服务器进行握手。防火墙在探测时，会认为你是在访问那个知名网站，从而放行。这是目前隐蔽性最高、配置最便捷的方案之一。

代理技术核心组件对比表

类别	名称	核心优点	核心缺点	适用场景
协议	Shadowsocks (ss)	• 极致轻量，速度快 • 配置非常简单	• 协议特征相对明显 • 抗检测能力较弱	网络环境良好，追求最低延迟和最高速度。
	VMess	• 抗检测能力强 • 功能全面，安全性高	• 性能开销略高 • 配置相对复杂	需要高安全性和可靠性的通用场景。
	VLESS	• 性能极高，开销低 • 协议设计灵活，可组合	• 自身不加密，必须搭配 TLS/REALITY	追求极致性能，搭配 REALITY 或 TLS 的首选。
	Trojan	• 伪装度极高，流量与 HTTPS 无异 • 不易被主动探测	• 性能开销略高于 VLESS • 依赖 TLS 伪装	在审查严格的环境下，追求最高级别的伪装。
	Hysteria / Hysteria2	• 在高丢包/高延迟网络下速度极快 • 先进的拥塞控制算法	• 带宽消耗较大 • 在优质网络下优势不明显	国际线路、跨国网络等质量不佳的网络环境。
传输方式	Raw (TCP/UDP)	• 无额外开销，延迟最低	• 无任何伪装，流量特征明显	内部网络或审查宽松的环境。
	WebSocket (ws)	• 伪装成网页流量，兼容性好 • 可过 CDN 中转	• 有一定的性能开销和延迟	需要穿透防火墙或使用 CDN 隐藏服务器 IP。
	mKCP	• 显著降低高丢包网络下的延迟	• 额外带宽消耗大	视频通话、在线游戏等对延迟敏感的应用。
	gRPC	• 伪装成 HTTP/2 API 流量，高效现代 • 性能优于 WebSocket	• 客户端/服务端支持度略低于 WS	需要高性能伪装，是 WebSocket 的优秀替代方案。
传输安全	None	• 无性能损耗	• 完全暴露，极易被识别和阻断	不推荐在公共网络使用。
	TLS	• 伪装成标准 HTTPS 网站，可靠性高	• 需自备域名和证书 • 域名可能成为特征点	主流、可靠的伪装方案，适用绝大多数场景。
	REALITY	• 隐蔽性极高，借用大厂域名 • 无需购买域名，配置简单	• 协议较新，部分客户端支持不完善	目前最先进的伪装方案之一，追求极致隐蔽性。

如何选择与组合

追求极致性能和稳定性：VLESS + TCP + REALITY 是当前兼顾性能和隐蔽性的顶尖方案。
需要兼容CDN或特定网络环境：VLESS/VMess + WebSocket + TLS 提供了最好的兼容性，可以通过 CDN 隐藏服务器 IP。
网络环境极其恶劣：Hysteria2 是不二之选，能把“羊肠小道”压榨出“高速公路”的效果。
追求最高隐蔽性：Trojan 或 VLESS + gRPC/WS + TLS 以及 VLESS + TCP + REALITY 都是顶级的伪装方案。