翻墙协议

演进脉络

第一代：加密代理

Shadowsocks（2012）

• 传输层：TCP
• 原理：加密 SOCKS5 代理，流量看起来随机
• 优点：简单轻量、延迟低、生态最成熟
• 现状：流量模式固定，GFW 已能精准识别，裸跑秒封

ShadowsocksR（2015）

• SS + 混淆插件（http/tls 伪装）
• 项目停更，安全性存疑，生态差

第二代：多路复用+TLS

VMess（2016）

• 传输层：TCP / WebSocket / gRPC
• 原理：V2Ray 核心协议，动态 ID + 多种传输层
• 优点：灵活多变，WebSocket+CDN 可过墙
• 缺点：协议头有特征，被主动探测识别，逐渐淘汰

Trojan（2019）

• 传输层：TCP + TLS
• 原理：伪装成标准 HTTPS 流量，GFW 看到的就是正常网站访问
• 优点：流量和真实 HTTPS 几乎一样
• 缺点：TLS in TLS 指纹问题；需要域名+证书；配置不当会暴露
• Surge 支持：✅

第三代：抗审查主力

VLESS Reality（2023.3，Xray）

• 传输层：TCP
• 原理：借用真实网站（如 microsoft.com）的 TLS 指纹，无需自己的域名和证书
• 抗封能力：★★★★★ 目前最强 TCP 方案
• 优点：无需域名证书、完美伪装、GFW 无法区分与正常 HTTPS
• 缺点：速度中等（受限于 TCP）
• Surge 支持：❌（Clash/Shadowrocket 支持）

Hysteria2（2023，基于 QUIC）

• 传输层：UDP / QUIC
• 原理：基于 QUIC 协议，BBR 拥塞控制，支持端口跳跃和 obfs 混淆
• 抗封能力：★★★★ 速度最快，端口跳跃增强存活
• 优点：同线路延迟比 TCP 低 3 倍、单连接带宽翻倍、端口跳跃抗 QoS
• 缺点：运营商可针对性封 UDP，晚高峰 QoS
• Surge 支持：✅（含端口跳跃 ports: 65000-65442）

ShadowTLS v3（2023）

• 传输层：TCP
• 原理：借用他人受信证书做 TLS 伪装，作为 Shadowsocks 插件使用
• 抗封能力：★★★★ 小众但有效
• Surge 支持：❌

TUIC（2023）

• 传输层：UDP / QUIC
• 原理：类似 Hy2，基于 QUIC
• 抗封能力：★★★ 生态不如 Hy2，客户端支持少
• Surge 支持：✅（含端口跳跃）

AnyTLS（2025）

• 传输层：TCP
• 原理：缓解 TLS in TLS 指纹问题的新协议
• 抗封能力：★★★ 刚出现，待观察
• Surge 支持：❌

核心对比（2026年主流三强）

HTTPS Proxy（基础回落）

• 传输层：TCP + TLS
• 原理：标准 HTTP CONNECT 隧道套 TLS，就是 TLS 套 TLS——外层是你到代理服务器的 HTTPS 连接，内层是代理服务器到目标网站的 HTTPS 连接
• GFW 看到的：你访问了 au1.gmdns.net:1184，一个普通 HTTPS 连接，里面跑什么完全不知道
• 优点：最通用、任何客户端支持、GFW 几乎不会封（封了等于封正常 HTTPS）
• 缺点：速度最差（每请求单独建连，无多路复用）
• 定位：终极保底，"永远能连"的兜底方案
• Surge 支持：✅

Snell（Surge 私有协议）

• 传输层：TCP
• 原理：Surge 团队自研，0-RTT + AES 硬件加速
• 优点：Surge 亲儿子优化最好、延迟达理论极限、省电
• 缺点：闭源、只有 Surge 支持、无 TLS 伪装抗封一般
• 适用：只用 Surge 且追求极致速度的场景
• Surge 支持：✅（v4/v5）

Surge 支持的协议汇总

实践经验

Hy2 晚高峰被封的应对

1. 端口跳跃：服务端 iptables 转发端口范围到 Hy2 监听端口，客户端写端口范围
2. 多节点轮换：不同 IP/地区的 Hy2 节点，总有一个能活
3. TCP 回落：Trojan 或 VLESS Reality 作为 Hy2 全挂时的保底

机场为什么更稳

• 每个地区同时提供 HTTP + HY2 + VLESS/Trojan 三种协议，覆盖所有封锁场景
• 端口跳跃（ports: 65000-65442）
• 国内中转/专线（国内段 TCP → 境外段 UDP，绕过本地运营商 UDP 封杀）
• IP 池多，封一个换一个
• url-test 自动选最快——任何协议挂了自动跳到下一个能通的

国内中转是什么

你的电脑 ──TCP──→ 国内中转服务器 ──UDP/Hy2──→ 海外节点
         (国内段)                  (出境段)

运营商只看到你和国内服务器之间的 TCP 流量（像正常国内访问），真正的 Hy2 UDP 从中转服务器出境——机房级带宽不受本地运营商 UDP 封杀影响。这就是机场"高级线路/IPLC/专线"贵的原因。

IP 被封后的续命：套 Cloudflare CDN

IP 被标记后不管跑什么协议都一样——直接丢包，协议层面无解。

套 CF 方案：VLESS + WebSocket + CF CDN

你 ──→ Cloudflare CDN（任播IP，全球几千个）──→ 你的VPS

GFW 看到你连接 CF 的 IP，不是 VPS 的 IP。CF 的 IP 不可能封——封了等于封半个互联网。

代价：

• 速度变慢（多一跳 + CF 免费套餐不保证带宽）
• 延迟增加 30-80ms
• 只支持 TCP（WebSocket），不能跑 UDP/Hy2
• CF 在大陆没节点，国内访问本身就绕海外

定位：IP 被封后的续命方案，不是日常方案。

推荐策略组合（自建）

我的实际部署（2026-05）

节点配置

客户端分工

订阅文件

位于 bytevirt:/var/www/sub/86a2e82bcc1a03548fb4881be759045b/surge.conf，通过 https://sub.seesaw.icu:10444/86a2e82bcc1a03548fb4881be759045b/surge.conf 访问。

策略组

Proxy = select, ByteVirt-LA-HY2, ByteVirt-JP-HY2, TC-SV-HY2, ByteVirt-LA-Trojan, DIRECT

晚高峰 UDP 被 QoS 时手动切到 Trojan。也可改为 url-test 自动切换。

端口跳跃配置方法

服务端（以 JP 为例，Hy2 监听 8443）：

iptables -t nat -A PREROUTING -p udp --dport 65000:65442 -j REDIRECT --to-ports 8443
iptables-save > /etc/iptables.rules

持久化：/etc/network/if-pre-up.d/iptables 开机恢复。

客户端 Surge 端口字段写 65000-65442。

与其他概念的关系

• Xray — VLESS Reality 和 Trojan 的服务端实现
• VLESS Reality — 当前最强 TCP 抗封方案
• Hysteria2 — 当前最快 UDP 方案
• 中国优化线路 — 线路质量决定协议发挥上限

来源

• 个人服务器资产清单
• VPS选购简报-大陆出海代理