代理协议全景指南:协议、工具与选型推荐
5 minute read
Published:
本文系统梳理主流代理协议体系、客户端/服务端工具生态,并给出安全性评估与选型建议。
一、代理协议总览
1.1 按代理层级分类
| 层级 | 协议 | 说明 |
|---|
| 传输层(L4) | SOCKS4 / SOCKS5 | 基于 TCP/UDP 的通用代理协议,不感知应用层内容 |
| 应用层(L7) | HTTP CONNECT | 仅用于隧道穿透,常见于浏览器代理 |
| 应用层(L7) | HTTPS Proxy | 在 HTTP 代理上加 TLS,保护客户端到代理的链路 |
| 隧道协议 | Shadowsocks(SS) | 轻量加密隧道,流量混淆能力较弱 |
| 隧道协议 | VMess / VLESS | V2Ray 自研协议,VLESS 为 VMess 的精简版 |
| 隧道协议 | Trojan | 伪装成 HTTPS 流量,高混淆能力 |
| 隧道协议 | TUIC | 基于 QUIC 的现代隧道协议,低延迟 |
| 隧道协议 | Hysteria / Hysteria2 | 基于 QUIC,针对高丢包网络优化 |
| 隧道协议 | NaïveProxy | 复用 Chromium 网络栈,极强抗检测 |
| 隧道协议 | WireGuard | 现代 VPN 协议,内核级实现,极高性能 |
| 隧道协议 | REALITY | VLESS 扩展,无需自有证书,借用真实域名 TLS |
| 混淆层 | obfs4 / meek | Tor 项目的流量混淆插件 |
| 混淆层 | ShadowTLS | 为其他协议套上 TLS 握手外壳 |
1.2 核心协议详解
SOCKS5
- 1996 年 RFC 1928 定义,协议极简,支持 TCP + UDP
- 无加密,必须配合其他加密层使用
- 几乎所有代理工具都支持将其作为本地入口
Shadowsocks
- 2012 年 @clowwindy 创建,中国开发者广泛使用
- 基于 ChaCha20 / AES-GCM 等流密码加密
- 原版已停更,社区维护 shadowsocks-libev、shadowsocks-rust 等分支
- 流量特征较明显,在强检测环境下易被识别
VMess / VLESS(V2Ray 协议族)
- VMess:带身份认证 + 加密的自研协议,头部复杂
- VLESS:VMess 精简版,去掉内置加密,依赖外层 TLS
- 传输层可叠加 WebSocket、gRPC、HTTP/2、QUIC 等
Trojan
- 伪装成普通 HTTPS 服务(需真实 TLS 证书 + 域名)
- 服务端如收到非 Trojan 请求,正常返回 Web 内容
- 混淆能力强,部署要求高(需要域名 + 证书)
REALITY
- 2023 年 VLESS 生态新成员,无需自有 TLS 证书
- 借用真实网站(如 Microsoft、Cloudflare)的 TLS 指纹
- 目前抗探测能力最强的协议之一
WireGuard
- 2019 年进入 Linux 内核,代码量仅 4000 行
- 纯 VPN 协议,不做混淆,适合内网穿透和 VPN 场景
- 配合 Amnezia-WG 可增加流量混淆
Hysteria2
- 基于 QUIC,在高丢包/高延迟网络(如卫星网络)表现优异
- 通过人为速率控制欺骗运营商 QoS 策略
- 2023 年重写为 Hysteria2,协议不向下兼容
TUIC
- 同样基于 QUIC,延迟极低
- 支持 0-RTT 握手
二、客户端工具
2.1 通用代理客户端
| 名称 | 平台 | 开源 | 免费 | Stars(约) | 核心协议支持 | 备注 |
|---|
| Clash.Meta(mihomo) | Win/Mac/Linux/Android/iOS | ✅ | ✅ | ~20k | SS/VMess/VLESS/Trojan/Hysteria2/TUIC/WG | Clash 最强分支,规则引擎完善 |
| Clash for Windows (CFW) | Win/Mac/Linux | ❌(已删库) | ✅ | ~50k(已归档) | SS/VMess/Trojan 等 | 原作者已删库,不建议继续使用 |
| Clash Verge Rev | Win/Mac/Linux | ✅ | ✅ | ~30k | 同 Clash.Meta | 基于 Tauri,CFW 的社区替代品 |
| V2rayN | Windows | ✅ | ✅ | ~70k | VMess/VLESS/SS/Trojan/REALITY/Hysteria2 | Windows 最流行的 GUI 客户端 |
| V2rayNG | Android | ✅ | ✅ | ~30k | VMess/VLESS/SS/Trojan/REALITY | Android 首选 |
| Hiddify | Win/Mac/Linux/Android/iOS | ✅ | ✅ | ~18k | 几乎全协议 | UI 现代,跨平台统一体验 |
| NekoBox / NekoRay | Win/Linux/Android | ✅ | ✅ | ~10k | 基于 sing-box,协议全 | NekoRay 已转为 NekoBox |
| Sing-box | Win/Mac/Linux/Android/iOS | ✅ | ✅ | ~20k | 几乎全协议 | 新一代核心,正在取代 Clash |
| Shadowrocket | iOS | ❌ | ❌(付费 $2.99) | — | SS/VMess/VLESS/Trojan/Hysteria2 | iOS 事实标准,需美区账号 |
| Quantumult X | iOS | ❌ | ❌(付费 $7.99) | — | SS/SSR/VMess/Trojan | iOS 高级用户首选,脚本能力强 |
| Surge | Mac/iOS | ❌ | ❌(订阅制) | — | SS/VMess/Trojan/REALITY/WireGuard | 功能最强但最贵,企业级 |
| Loon | iOS | ❌ | ❌(付费) | — | SS/VMess/Trojan | 介于 Shadowrocket 和 Surge 之间 |
| Stash | iOS/Mac | ❌ | ❌(付费) | — | Clash 规则兼容 | Clash 生态 iOS 端 |
| Proxifier | Win/Mac | ❌ | ❌(付费) | — | SOCKS5/HTTP | 强制代理任意应用,老牌工具 |
| ShadowsocksX-NG | Mac | ✅ | ✅ | ~30k | SS | 早期 Mac 标配,现已较少使用 |
| Outline Client | 全平台 | ✅ | ✅ | ~5k | SS | Google Jigsaw 出品,面向普通用户 |
2.2 VPN 型客户端
| 名称 | 平台 | 开源 | 免费 | Stars(约) | 协议 | 备注 |
|---|
| WireGuard 官方 | 全平台 | ✅ | ✅ | ~4k(内核) | WireGuard | 官方极简客户端 |
| Tailscale | 全平台 | 部分开源 | 免费层 | ~20k | WireGuard | 零配置,基于 WireGuard 的 mesh VPN |
| Mullvad VPN | 全平台 | ✅ | ❌(付费) | ~5k | WireGuard/OpenVPN | 极强隐私,不记录日志 |
| OpenVPN | 全平台 | ✅ | ✅ | ~10k | OpenVPN | 老牌 VPN,配置复杂 |
三、服务端工具
3.1 单协议服务端
| 名称 | 协议 | 开源 | 免费 | Stars(约) | 语言 | 备注 |
|---|
| shadowsocks-libev | SS | ✅ | ✅ | ~35k | C | 最轻量,嵌入式设备首选 |
| shadowsocks-rust | SS | ✅ | ✅ | ~8k | Rust | 性能优秀,活跃维护 |
| go-shadowsocks2 | SS | ✅ | ✅ | ~3k | Go | 官方 Go 实现 |
| trojan | Trojan | ✅ | ✅ | ~18k | C++ | 原版 Trojan |
| trojan-go | Trojan | ✅ | ✅ | ~8k | Go | 支持 WebSocket/multiplexing |
| Hysteria2 | Hysteria2 | ✅ | ✅ | ~15k | Go | 官方服务端 |
| TUIC Server | TUIC | ✅ | ✅ | ~3k | Rust | 官方服务端 |
| NaïveProxy | NaïveProxy | ✅ | ✅ | ~6k | C++ | 基于 Chromium 网络栈 |
3.2 多协议服务端(代理框架)
| 名称 | 协议支持 | 开源 | 免费 | Stars(约) | 语言 | 备注 |
|---|
| Xray-core | VMess/VLESS/Trojan/SS/REALITY/WS/gRPC | ✅ | ✅ | ~25k | Go | V2Ray 最强分支,功能超越原版 |
| V2Ray(官方) | VMess/VLESS/Trojan/SS | ✅ | ✅ | ~46k | Go | 原版,更新较慢 |
| sing-box | 几乎全协议 | ✅ | ✅ | ~20k | Go | 新一代统一框架,正在成为行业标准 |
| 3X-UI / X-UI | Xray 全协议 | ✅ | ✅ | ~13k | Go+Vue | Xray 的 Web 管理面板,一键部署 |
| Marzban | Xray/Sing-box 全协议 | ✅ | ✅ | ~8k | Python | 多用户管理面板,API 完善 |
| outline-server | SS | ✅ | ✅ | ~5k | TypeScript | Google Jigsaw 出品,极简部署 |
| Caddy(forwardproxy) | HTTP/HTTPS/NaïveProxy | ✅ | ✅ | ~60k | Go | 配合插件实现 NaïveProxy 服务端 |
四、派系与生态关系
SS 派系(Shadowsocks 生态)
├── shadowsocks-libev(C,嵌入式)
├── shadowsocks-rust(Rust,高性能)
├── ShadowsocksX-NG(Mac 客户端)
└── Outline(Google Jigsaw,面向非技术用户)
V2Ray / Xray 派系(Project X 生态)
├── V2Ray-core(原版)
│ └── Xray-core(fork,功能更强,REALITY 发源地)
├── 客户端:V2rayN / V2rayNG / Hiddify
└── 面板:3X-UI / Marzban
Clash 派系
├── Clash(原版,已停更)
│ ├── Clash.Meta / mihomo(最活跃分支)
│ └── Clash Premium(闭源内核)
├── 客户端:Clash for Windows / Clash Verge Rev / Stash / Surge(兼容规则)
└── 规则生态:Loyalsoldier / ACL4SSR 等规则集
Sing-box 派系(新生代,逐渐统一)
├── sing-box(核心,协议最全)
├── 客户端:NekoBox / Hiddify / 部分 Clash.Meta 版本
└── 正逐步取代 Xray 和 Clash.Meta 的生态位
QUIC 新协议派系
├── Hysteria2(高丢包优化)
├── TUIC(低延迟优化)
└── 均被 sing-box / Clash.Meta 集成
WireGuard 派系
├── 官方客户端
├── Tailscale(企业 mesh VPN)
└── Mullvad / ProtonVPN(商业 VPN)
Tor / 抗审查派系
├── obfs4 / meek(流量混淆)
├── Tor Browser
└── Snowflake(WebRTC 桥接)
五、安全性评估
5.1 协议安全性对比
| 协议 | 加密强度 | 抗检测能力 | 抗审查能力 | 匿名性 | 综合安全评级 |
|---|
| HTTP Proxy | ❌ 无加密 | ❌ 极弱 | ❌ 极弱 | ❌ | ⭐ |
| SOCKS5(裸) | ❌ 无加密 | ❌ 极弱 | ❌ 极弱 | ❌ | ⭐ |
| Shadowsocks(无混淆) | ✅ AES/ChaCha | ⚠️ 弱(有流量特征) | ⚠️ 中 | ⚠️ | ⭐⭐⭐ |
| SS + obfs4 | ✅ | ✅ 较强 | ✅ | ⚠️ | ⭐⭐⭐⭐ |
| VMess + WS + TLS | ✅ | ✅ 较强 | ✅ | ⚠️ | ⭐⭐⭐⭐ |
| VLESS + REALITY | ✅ TLS 1.3 | ✅✅ 极强 | ✅✅ | ⚠️ | ⭐⭐⭐⭐⭐ |
| Trojan + TLS | ✅ TLS 1.3 | ✅✅ 极强 | ✅✅ | ⚠️ | ⭐⭐⭐⭐⭐ |
| Hysteria2 | ✅ QUIC/TLS | ✅ 较强 | ✅✅(高丢包) | ⚠️ | ⭐⭐⭐⭐ |
| NaïveProxy | ✅ Chromium TLS | ✅✅ 最强之一 | ✅✅ | ⚠️ | ⭐⭐⭐⭐⭐ |
| WireGuard | ✅ ChaCha20 | ❌ 特征明显 | ❌ 易封锁 | ⚠️ | ⭐⭐⭐(VPN 场景) |
| Tor | ✅✅ 多层加密 | ✅ 较强 | ✅✅ | ✅✅ 匿名最强 | ⭐⭐⭐⭐⭐(匿名) |
⚠️ 注:所有代理协议均不提供真正意义上的匿名性,服务端运营者可以看到用户真实 IP。
5.2 工具安全注意事项
- Clash for Windows:已删库,存在被植入恶意代码的风险,不建议继续使用
- 3X-UI 面板:历史上存在 SSRF 等漏洞,部署需及时更新并加防火墙
- 订阅链接:包含完整服务器信息,需妥善保管,避免泄露
- 公共节点:运营者可解密并监控全部流量,不要传输敏感信息
六、选型推荐
6.1 按场景推荐
| 场景 | 推荐方案 |
|---|
| 🏠 个人翻墙(日常) | 客户端:Clash Verge Rev(Win/Mac)/ V2rayNG(Android)/ Shadowrocket(iOS);协议:VLESS + REALITY 或 Trojan + TLS |
| 🚀 高丢包/不稳定网络 | 协议:Hysteria2;客户端同上(均支持) |
| 🏢 团队/多用户共享 | 服务端面板:3X-UI 或 Marzban + Xray-core;协议:VLESS + REALITY |
| 🔒 极致安全/隐私 | NaïveProxy(最难识别)或 Tor(最匿名,但速度慢) |
| 🏗️ 企业内网互联 | Tailscale(基于 WireGuard,零配置 mesh) |
| 🧑💻 开发者本地调试 | Clash.Meta 本地代理 + 规则分流 |
| 📱 iOS 用户 | 付费:Shadowrocket(性价比最高)或 Surge(最强功能);免费:Hiddify |
| 🆓 普通用户/非技术 | Outline(Google Jigsaw,极简操作) |
6.2 核心组合推荐
方案 A:稳定首选(推荐 90% 用户)
服务端:Xray-core / 3X-UI 面板
协议:VLESS + REALITY(Vision 流控)
客户端:Clash Verge Rev(桌面)+ V2rayNG(Android)+ Shadowrocket(iOS)
方案 B:新生代全能(未来趋势)
服务端:sing-box
协议:VLESS + REALITY 或 Hysteria2(网络差时切换)
客户端:Hiddify(全平台统一,免费开源)
方案 C:极简部署
服务端:Outline Server(一键 Docker 部署)
协议:Shadowsocks(自动选择加密套件)
客户端:Outline Client(全平台)
方案 D:极致抗检测
服务端:Caddy + forwardproxy 插件
协议:NaïveProxy(伪装 Chromium H2/H3 流量)
客户端:NaïveProxy 客户端
七、总结速查表
| 维度 | 最佳选择 |
|---|
| 抗检测能力最强协议 | REALITY / NaïveProxy / Trojan |
| 高丢包网络最优协议 | Hysteria2 |
| 最低延迟协议 | TUIC / WireGuard |
| 最匿名 | Tor |
| 最活跃服务端框架 | sing-box |
| Windows 最佳客户端 | Clash Verge Rev / V2rayN |
| Android 最佳客户端 | V2rayNG / Hiddify |
| iOS 最佳客户端(付费) | Shadowrocket |
| iOS 最佳客户端(免费) | Hiddify |
| Mac 最佳客户端(付费) | Surge |
| 最易部署服务端 | 3X-UI + Xray / Outline Server |
| 企业内网 VPN | Tailscale |
本文信息基于 2025 年公开数据,Stars 数量为近似值,相关项目更新较快,建议以 GitHub 实时数据为准。
