vpn和代理工具协议

发表于 更新于 分类于 阅读次数: Waline: 本文字数: 3.3k 阅读时长 ≈ 3 分钟

1. VPN 和代理工具

VPN 通过加密和隧道技术,在你和 VPN 服务器之间建立了一条安全、私密的连接,然后由 VPN 服务器代替你与互联网进行通信,从而保护你的数据安全、隐藏你的身份。例如:wireguard 和 openvpn。

1.1 VPN 和代理工具的区别

  • VPN:你穿上了一件隐身衣,并坐进了一辆固若金汤的外交装甲车(加密通道),这辆车会把你送到另一个城市(VPN 服务器),你再从那里下车活动。虽然大家都知道这是一辆特殊的外交车辆,但没人知道里面坐的是谁,要去哪里。
  • 代理工具 (V2Ray/Trojan):你没有坐装甲车,而是把自己打扮成一个极其普通的本地快递员(流量伪装),骑着一辆普通的电瓶车(伪装成正常访问),把信送到了目的地。在沿途的监控看来,你和其他千千万万的快递员没有任何区别。

总结: VPN 是身穿制服、开着装甲车的正规安保公司,那么 VLESS、Shadowsocks、Trojan、V2ray 这些工具,更像是 “伪装成普通人、执行秘密任务的顶级特工”

特性VPN (通用商业 VPN)代理工具 (V2Ray/VMess/VLESS/Trojan)
核心思路安全隧道 (Security Tunnel)流量伪装 (Traffic Obfuscation)
作用范围全局性,接管整个操作系统所有流量应用级,可精细控制某个 App 或网站走代理
伪装能力弱。协议特征明显,易被识别和干扰。强。设计初衷就是为了对抗审查,流量可伪装成普通网页浏览 (HTTPS)。
易用性极高。通常是下载软件,一键连接。较高。需要自己寻找或搭建服务器,导入配置,有一定学习成本。
灵活性低。功能由服务商决定。极高。可以自定义复杂的路由规则(如国内网站直连,国外网站走代理)。
主要协议OpenVPN, WireGuard, IKEv2VMess, VLESS, Trojan, Shadowsocks
最佳场景在安全的网络环境(如欧美)下,用于公共 Wi-Fi 保护隐私、看地区限定视频。在有网络审查的环境下,用于稳定、长期地突破限制、访问全球网络。

1.2 网络区别

  • VPN
    • 当你的设备连接到 VPN 服务器时,它会创建一个虚拟网卡 (Virtual Network Adapter)。你的设备会被分配一个该私有网络中的 IP 地址(例如 10.8.0.2)。从此,你的设备就好像通过一根看不见的、加密的“虚拟网线”直接插到了远端的公司/家庭路由器上。
    • 所有流量默认通过隧道 :操作系统会将你设备上的 所有 网络流量(无论哪个程序产生的)都从这个虚拟网卡发送出去,经过加密后到达 VPN 服务器,再由服务器转发到公共互联网。
    • 工作在第 3 层
  • 代理工具
    • 你只是一个委托人 :你并没有加入任何网络。你只是告诉你的“管家”(代理服务器)去帮你办事。
    • 只有指定应用的流量会通过代理 :只有你设置了代理的那个应用的流量会走代理通道。你的操作系统、微信、或其他没设置代理的程序,仍然会直接连接互联网。
    • 工作在第 7 层

2. 代理工具协议

2.1 Shadowsocks (SS)

它本质上是一个加密的 SOCKS5 代理。你可以把它想象成一个穿着便服的特工,他把机密情报(你的数据)用一种特殊的黑话(加密)进行交流。

2.2 V2Ray

V2Ray (Project V) 不是一个协议。它是一个开源的工具集或框架。就像一个功能强大的“特工机构”,它可以派遣使用不同联络暗号(协议)的特工。

V2Ray 的强大之处在于其高度的定制化和伪装能力。它可以把自己的流量伪装成各种常见的网络流量,比如:伪装成普通网站流量 (HTTP) 。伪装成加密网站流量 (WebSocket + TLS) ,这让它看起来就像你在正常浏览 HTTPS 网站一样,极难被发现。

  • VMess 资深的全能特工 (The Veteran Agent)
    • VMess 的设计思路是“全副武装,自带干粮”。它是一个复合协议,自己内部就包办了身份验证、加密、数据传输等所有事情,力求面面俱到。
      工作流程简述:
    1. 身份识别:客户端不使用传统的用户名密码,而是使用一个长长的字符串 UUID (通用唯一标识符) 作为主要“接头暗号”。
    2. 时间校验:为了对抗重放攻击(即攻击者录下你的数据包再重新发送),VMess 的服务器和客户端都要求精确的时间同步。如果时间误差太大(默认 90 秒),服务器会认为连接是伪造的,直接拒绝。
    3. 加密封装:客户端将要发送的数据,按照预设的加密方式(如 AES-128-GCM)进行加密,然后打包成 VMess 格式。
    4. 传输:这个 VMess 数据包再被套上一层伪装(通常是 WebSocket 或 TCP),发送给服务器。
    5. 解密:服务器收到后,先验证 UUID 和时间戳,确认是自己人,再用同样的加密方式解密,得到原始数据,然后去访问目标网站。
  • Vless: 高效的精英刺客 (The Elite Assassin)
    • 可以看作是 VMess 的一个简化和进化版。它的名字意为 “VMess-like, but less”。
    • VLESS 的设计思路是“极致精简,专业分工”。它认为 VMess 把太多事情揽在自己身上,导致效率不高。VLESS 的做法是:我只负责最核心的“数据转发”和“身份验证”,把专业的“加密”工作,直接甩给更专业的 TLS (即 HTTPS 的核心) 去做。
      工作流程简述:
    1. 身份识别:和 VMess 一样,它也使用 UUID 作为“接头暗号”。
    2. 建立外层通道:客户端首先和服务器建立一个标准的 TLS 连接,这一步和你的浏览器访问银行网站完全一样,具有极高的伪装性。
    3. VLESS 载荷:在建立好的 TLS 安全通道内部,VLESS 开始传输它的数据。它的数据格式非常简洁,没有像 VMess 那样复杂的自带加密。
    4. 数据流 (Flow):VLESS 支持一种叫做 flow 的高级流控模式(最著名的就是 xtls-rprx-vision)。它可以智能地识别 TLS 流量,避免重复的加密解密操作(即“应用层数据加密一遍,TLS 层再加密一遍”的低效行为),实现“数据直通”,从而极大地提升了性能。

2.3 Trojan (特洛伊木马)

  • Trojan 的工作方式堪称绝妙。它直接模拟了 HTTPS 协议的握手和通信过程。当防火墙探测你的服务器端口时,它会看到一个完全合法的 TLS/SSL 证书和握手过程,防火墙会认为“哦,这只是一个普通的加密网站”,然后就放行了。只有当你的客户端发来正确的“暗号”(密码)时,服务器才会执行代理任务;否则,它就是一个真实可访问的网站。
  • Trojan 的设计思路是“不做伪装,我就是我”。它不“模仿”HTTPS,而是完全成为一个标准的 HTTPS 服务器。它的哲学是:最好的伪装就是没有伪装。
  • 依赖域名和证书:必须拥有一个域名,并配置好有效的 TLS 证书,这比只用 IP 地址的配置方式门槛稍高。

工作流程简述:

  1. 监听端口:Trojan 服务器会监听在最常见的 HTTPS 端口 443 上,并配置好一个真实的域名和 SSL/TLS 证书。
  2. 连接判断:当一个连接请求过来时,服务器会检查请求中是否包含预设的“口令 (Password)”。
    • 如果是 Trojan 客户端:带着正确的口令来连接,服务器验证通过后,就认为这是自己人,立刻为它建立代理通道,开始转发数据。
    • 如果是普通访问者(或防火墙探测):没有带正确的口令,服务器就表现得像一个真正的、普通的 Web 服务器,直接返回一个你预先设置好的网站内容(比如一个博客页面或企业官网)。
  3. 数据传输:一旦验证通过,所有后续流量都在标准的 TLS 通道内传输。

2.4 Vmess 和 Torjan 区别

  • vmess 组合与伪装” :这是一个独立的、功能丰富的协议,可以和各种传输方式(如 TCP, mKCP, WebSocket)组合,再用 TLS 来伪装。
  • torjan 它不创造新协议,而是 直接模仿 互联网上最常见、最安全的 HTTPS 协议。性能和伪装水平会更好一些。

2.5 新技术

  • VLESS
    • 它正是为了解决 VMess 的性能开销而生的。它去掉了 VMess 的自有加密,完全依赖于外层的 TLS 来保证安全,从而达到了和 Trojan 媲美的性能。
  • Reality 技术
    • 它巧妙地借鉴了 Trojan 的思想,让你在 不需要自己购买域名 的情况下,通过“借用”别人的知名网站(如 )的证书信息,来实现和 Trojan 一样完美的伪装效果。 www.microsoft.com
  • XHTTP