1

按照我 2021 年的经验到现在, 里面用啥不重要,跨网时基本都是套在 https 里面.

也许我的已经过时了.

    2

xtls 协议中，欧博abg除了新出的 vision ，均已经被精准识别； TLS 有 TLS in TLS 特征，能被识别。后面四个没用过，不知道

    3

OP

@jsyzdej TLS over TLS 是什么用法？

    4

安全性这东西其实大家大部分都是套 TLS 没啥好讲，速度重要的是线路不是协议，稳定性是最重要的，去年 10 月份左右开始 GFW 就到处乱杀，据我所知容易被封的就有 vmess/vless+ws+tls ，trojan ，然后有人开始转 naive proxy ，IPv6 ，后期复盘大佬是 tls in tls 前五个握手包在长度上有特征，vless 出了 vision 解决这个问题，我现在用起来也很稳。
所以考虑应用场景唯一要素就是稳不稳，稳用啥都好。

    5

shadowsocks+v2ray-plugin,只用 WS,80 端口,没加 TLS,看来这个方法已经过时很久很久了

    6

我还在用 vmess ws tls 套 cdn

    7

用了一大圈，到最后还是 shadowsocks 最稳，稳定性不行的话，其他指标都没啥意义。

    8

@libook 哪家的 vps ？ tls 就封端口，这个封 ip 呀,而且很多是秒封。

    9

shadowsocks + tcptun, ss 几年都没有被封过了, tcptun 端口一段时间就会被封, 但是换一个又能用好久

    10

（来自 ChatGPT ）

vless + xTLS
vless + xTLS 是目前较为安全和流行的协议之一。vless 通过简化 VMess 协议并去除其不必要的功能，使得数据包更加简洁、快速。而 xTLS 通过使用 TLS1.3 ，欧博官网加强了数据传输的安全性，可防止中间人攻击。因此，vless + xTLS 协议在安全性方面表现突出，适用于对网络隐私保护要求较高的用户。同时，由于 vless 协议的简洁性，速度也相对较快。

vmess + TLS
vmess + TLS 是一种使用 VMess 协议并结合 TLS 进行加密的协议。与 vless + xTLS 类似，vmess + TLS 在安全性方面也表现出色。不过，相对于 vless + xTLS ，vmess + TLS 的速度略有些慢，但稳定性比较高。适用于对速度和稳定性要求较高的用户。

shadowTLS
shadowTLS 是一个使用 Shadowsocks 协议和 TLS 加密的协议。相对于前两者，shadowTLS 的速度较快，但相对于 TLS ，安全性不太高。适用于对速度要求较高的用户。

naiveproxy
naiveproxy 是一种基于 SOCKS5 协议的代理。相对于其他协议，naiveproxy 更加轻量级，速度较快。但它只提供了基本的加密，安全性不太高。适用于对速度要求很高，对安全性要求不高的用户。

trojan
Trojan 协议结合了 SOCKS5 和 TLS 加密，并提供了更高的安全性。相对于其他协议，Trojan 的速度较快，但不太稳定。适用于对安全性和速度都有较高要求的用户。

hysteria
hysteria 是一种基于 QUIC 协议的加密协议。它提供了比其他协议更高的安全性和更快的速度。然而，欧博由于它是一种比较新的协议，可用性不太高。适用于对安全性和速度要求都很高的用户。

    11

首先明确一下，非程序员，所有知识来源于网友传授

安全性：
从数据被解密角度看，不用老旧协议例如 RC4-MD5 都安全；设置了密码都安全
从被盯上抓捕角度看，人在国内都不安全
不在网上发不能被放在国内互联网上的东西，用上这些协议都无需担心安全性

协议速度：
速度分 A.首次连接延迟、B.长期连接延迟、C.峰值带宽
关于 A.首次连接延迟，主要看握手次数，没有深入研究，但是都推荐用 trojan ，2rtt 握手
关于 B.长期连接延迟，主要看 CPU 和 IO ，基本没影响
关于 C.峰值带宽可以看： https://github.com/v2ray/discussion/issues/818
结论是：除非开机场，否则几种协议差距在公网的条件下几乎可以忽略，因为基本都超过了 G 口的速度。不过对于移动设备来说，选择一个高效的协议的确能够省电。

稳定性：
稳定性一般指不被墙的概率，流量小没人管，流量大看伪装
因为都用“伪专线”过墙，所以没研究

适用场景：
分析角度：A.机场大规模应用的协议、B.主流软件支持的协议、C.老固件的支持程度、D.搭建难易程度
主流机场都在用 SS/trojan/vmess+ws+tls

最后，我用的是 trojan + ss ，欧博娱乐没感觉有啥区别

    12

@wxxxcxx #8 我不是自建的，用的机场，小众机场还好，目前用了半年了，速度和可靠性也都有保证。

    13

OP

@libook 说不定是国内 ss 中转。。。出墙的时候走别的协议去了。

    14

我用的这个机场一直都是 SSR ，原版，没加黑科技，又快又稳（特殊时期会慢点），用了 5 年了也没失联过，除了贵点哪都好
不知道怎么做到不被封的

    15

@olaloong 来个网址看下

    16

现在最新的是 vision 和 reality ，reality 更骚，不要域名用别人的证书。

    17

我就用最原始的 ss ，套了点别的，用了快 6 年了。但是纯 ss 是见光死的，不敢用

    18

@LongTou 最近停止新用户注册了

    19

@lopssh #13 现在要想保证速度的话，中转基本是标配了。

    20

@olaloong iplc 线路的吗？理论上来说 iplc iepl 这种线路不过墙，都没流量经过 自然就不会被检测到😂

    21

trojan-go 比 trojan 好用

    22

@cxsz 也许吧，标 IPLC IEPL 的节点挺多的。不过价格和那些真 IPLC 机场比起来又挺便宜的，感觉不太保真

    23

晶哥要写年终 kpi 规划了？

    24

vmess + TLS/Ktcp/tcp,可能我已经跟不上大佬们开发的节奏了。但是稳呀。

    25

不中转不能稳定看流媒体

    26

其实没啥区别的，你要是用的家宽，那稳定的很了都。

大多数自建的被扫了，都是被波及到了，也就是封 ip 的段的时候机房都被干了。

    27

trojan 用了三年多了, 挺稳的

    28

@Courstick naiveproxy 乱扯的吧，naive 也是基于 tls 的，相比其他基于 tls 的协议，主要解决了 tls 指纹的问题。

    29

1. vless 是不加密的一个传输协议，被设计出来就是为了随意组合任何加密协议已经嵌套传输协议的
vless+tls 是最基本的也是最早的使用方式。但是后面大家发现会有 tls over tls 的问题，这样多次加密白白浪费性能，因此发明了 vless+xTls ，xtls 将不再重复加密 tls 数据，提高了传输性能。（ xtls 与 tls 均被识别，现在替代品为 tls-vision ）

2.vmess 协议自带加密，这个方案相当于再套一层 tls 加密，没有什么优势

3.没用过，不了解

4.使用原始的 tls 加密，但是使用了 chrome 开源版本代码解决 tls 指纹问题

    30

OP

@wxxxcxx 那么这个协议有没有 tls in tls 问题？

    31

去油管看看不良林的视频。讲计网一样讲翻墙协议。https://www.youtube.com/@bulianglin/videos

    32

@sadfQED2 1 2 3 4 ，还有 vmess/vless+ws+tls 我都尝试过，目前只有 tls+vision 和 naiveproxy 没有被封过，其他方案都被封过

    33

@99185302 这种方式没有 udp 。不过可以用 xray 的 ss2022+ws ，有 udp over tcp ，但不兼容 ss+*ray-plugin 的形式。

    34

没什么重要的，直接买专线机场 ss 线路就好了

    35

专线不过墙 ss 随便跑。

    36

@olaloong 薯条吗？他家节点都是国内中转的当然不会被封😂

    37

之前买的机场敏感期好像只有 trojan 活下来了，后来 vps 自建机场就只用这个协议了，其他协议不是太了解。

有人反映 trojan 也会被封，不过好像主要是没有正确设置，比如用一件脚本搞了个 http 的监控面板，端口号也是脚本默认的，不封你封谁- -！

    38

有没有必要给 frp 套一层协议？我今天 frp 连不上，其他协议正常，通过 ipv6 直连登录到 openwrt 后重新拨号后恢复了。

    39

@lopssh 有的

    40

@olaloong 我知道你说的哪一家，嘿嘿，我也用了 3 年了，稳如狗。

暂时停止注册，能低调的一直用下去就最好

    41

OP

@bigshawn 怎么辨别真假专线

    42

现在 gfw 都是大数据分析特征 绝大多数伪装 被精确识别 只是时间问题

这本身就是场猫鼠游戏 如果要稳定的话 最好就是追着主流多人用，比较新的技术协议跑

    43

哈哈，每次想用大家讨论的 v2ray ，一看配置文件傻眼了不知道什么是什么。。。

用惯了 stunnel
安全性
基于 pki 的认证过程防止被中间人
https://www.stunnel.org/auth.html
可以 rr 负载到不同端口 /服务器，不知道监控方是否有能力重组数据
通过 cron 基于 ca 的加密证书变换过程

协议速度
https://www.stunnel.org/perf.html

稳定性
rr 负载意味着可以减少流量累积
使用 haproxy 端口复用在 tcp80

适用场景
socks5 代理
没有配置成功过的
https://www.stunnel.org/socksvpn.html

用惯了 stunnel ，完全看不懂 v2ray 是什么。。。Android 用的 SSLsocks+AndProxy 。

配置文件
https://www.stunnel.org/config_windows.html

    44

OP

@GaryLz 据传会升级到机器学习识别特征(或者在使用了？)🤣，我只是想查查技术文档 好难

    45

没有

    46

@darksword21 俺也一样。 不过稳定性很捉急

    47

专线王道 其他加密都是睁一只眼闭一只眼 量大了一样抓的

    48

singbox 小而全

    49

直接装 shadowsocks 不香吗

    50

@olaloong 你说到停止注册我就知道是哪个了，用了很多年了🤣

    51

# 安全性

除 shadowTLS 外，其他协议均使用 TLS 加密，除非自签证书都很安全（自签证书可以在客户端固定证书散列）。

vmess + TLS 只要内层加密不用 `zero` 或 `none` ，就有了两层加密，就算 GFW 搞到了真的证书来劫持你，它也不知道传输内容。而其他协议被劫持后能得知访问的域名（ https 网站）。

shadowTLS 内层使用的 shadowsocks 使用的都是 AEAD 加密方式，现在来看，除非 shadowsocks 的加密爆出巨大漏洞，不然安全性也非常高。

# 速度

一般用来搭建梯子的服务器配置都不会太好，用 xtls 能节省性能，跟 vmess + tls 对比速度明显更快。但线路垃圾的话用不用速度没多大影响。

naiveproxy 尤其吃线路，因为 naiveproxy 的多路复用太多了，单线程速度慢的话就没速度了。

hysteria 通过自己独有的拥塞控制，能在垃圾线路跑出不错的速度，就是非常吃 CPU 。

# 稳定性 && 适用场景

**个人体验，不同人体质不同，有的人 VPN 、shadowsocks 都不会封。**

hysteria 由于是 UDP ，所以运营商非常讨厌，加上 GFW 的观照，比较容易被封 ip 。适用于垃圾机。

直连：稳定的是 naiveproxy 和 VLESS + xtls-rprx-vision ，都处理了指纹问题，但 naive 对于 TLS in TLS 的处理没有 xtls 好。

走 CDN：TLS 很容易被阻断，不如直接 vmess + ws 走高位 http 端口。

    52

@worldquant 请问正确使用 reality 时，直接用浏览器访问 inbounds 的 port 会是什么反应？直接跳转到 dest 吗？

    53

@lifansama 偷别人证书的配置下，https 访问会直接显示证书不适合；偷自己证书就会加载设置的地址。

    54

@lifansama 會直接進入被偷的網頁

    55

@99185302 老哥，请问 ss+v2plugin 只用 ws 稳吗？最近 tls 封了两个端口了，换端口用不到两天就继续被封

    56

@dugrey 一直这样用，目前还没被墙过，可以直接用 IP 连 80 端口，再套个 CDN 备用。可能跟不同地区的网络环境也有关系吧。

    57

一直用原版 Shadowsocks-AEAD ，走 IPv6 ，延迟低速度快，稳如老狗

    58

同一个机场，在 macos 下
v2rayu 比 clash x pro 好
一直是以为机场的缘故 延迟高 老红色断开
结果用 v2rayu 就正常了，速度还快
没搞懂啥原因

    59

@olaloong 你好，可以推荐一下不谢谢

    60

@olaloong 应该是中转

    61

只用 hysteria2 ，snellv4 ，wireguard 三种