🗒️翻墙技术的进展2025
type
status
date
slug
summary
tags
category
icon
password
📝 自由卫士,翻墙技术的进化
翻墙的技术进化
“翻墙”技术,又称网络审查规避技术,是用于绕过互联网审查和限制,访问被封锁内容的各种方法和工具。随着审查技术的不断升级,规避技术也在不断演进。
以下是一些当前主流的翻墙技术及其主要优点:
1. Shadowsocks (SS) / ShadowsocksR (SSR)
- 特点: Shadowsocks 是由 clowwindy 开发的基于 SOCKS5 代理的加密传输协议。SSR 是在 Shadowsocks 基础上增加了一些混淆和协议插件。
- 优点:
- 轻量级: 客户端和服务端占用资源少,适合在各种设备上运行。
- 相对隐蔽: 设计之初就考虑到规避 GFW (Great Firewall) 的检测,通过模拟普通 HTTPS 流量来隐藏代理特征。
- 部署简单: 相对容易搭建和使用。
- 广泛支持: 客户端众多,支持几乎所有主流操作系统。
- 缺点: 随着审查技术的进步,SS/SSR 的纯加密特性(不带额外混淆)越来越容易被识别和阻断。SSR 的混淆功能也逐渐失效。
2. V2Ray (VMess / VLESS)
- 特点: V2Ray 是一个功能强大的代理软件,其核心协议是 VMess。后来又推出了 VLESS 协议。V2Ray 旨在提供更强大、更灵活的网络代理能力。
- 优点:
- VMess:
- 多重加密和混淆: 提供多种加密方式和伪装选项(如伪装成 Web 流量),增强了抗审查能力。
- 动态端口: 支持动态端口,进一步增加识别难度。
- 可塑性强: 可以结合 WebSocket、mKCP、HTTP/2 等传输方式,并通过 TLS 加密,使其流量看起来更像正常的 HTTPS 流量。
- VLESS:
- 无状态: 相较于 VMess,VLESS 协议更加轻量和高效,因为它移除了复杂的认证机制和加密层,将加密和认证交由底层的传输层(如 TLS)。
- 性能优越: 因为协议结构更简洁,传输效率更高,延迟更低。
- 更难识别: 当结合 TLS 和 WebSockets 或 gRPC 时,VLESS 流量与普通 HTTPS 流量几乎无法区分。
- 缺点: 配置相对复杂,需要一定的技术知识。
3. Trojan
- 特点: Trojan 的设计理念是**“伪装成最常见的流量”**,尤其是 HTTPS 流量。它不试图在协议层面进行混淆,而是直接让自身流量看起来就像普通的 HTTPS。
- 优点:
- 高度伪装: 通过强制使用 443 端口并结合真实的 TLS 证书(例如 Let's Encrypt 证书),Trojan 的流量与正常的 HTTPS 流量几乎完全一致,DPI 难以区分。
- 抗审查能力强: 由于其出色的伪装特性,Trojan 在被封锁的环境下表现非常稳定。
- 性能较好: 由于协议层简单,性能损失较小。
- 缺点: 需要一个域名和有效的 TLS 证书,搭建相对复杂。
4. Reality (Xray)
- 特点: Reality 是 VLESS 协议的一个高级特性,由 Xray 核心团队(V2Ray 的一个分支,更专注于抗审查)开发。它是一种无指纹(Zero-knowledge)的协议嗅探伪装技术。
- 优点:
- 极致伪装: Reality 的核心思想是伪装成真实的、正在运行的公共网站流量。它不需要自己的域名和证书,而是利用目标网站的 TLS 指纹和证书,让审查设备认为你在访问一个正常的网站。
- 极难被识别: 由于不产生任何新的流量指纹,且完全模拟真实网站的 TLS 握手,Reality 在所有现有协议中具有最高的抗审查强度,被认为是目前最难被 GFW 识别和阻断的协议之一。
- 性能优异: 基于 VLESS 协议,继承了其高性能特性。
- 无需额外域名/证书: 大大降低了搭建和维护的复杂性。
- 缺点: 配置相对复杂,需要服务端和客户端都支持 Xray 核心并正确配置。
5. WireGuard
- 特点: WireGuard 是一个现代化的 VPN 隧道协议,以其代码简洁、高效、安全而著称。
- 优点:
- 极高速度: 代码量非常少(约 4000 行),性能远超 OpenVPN 和 IPSec。
- 安全性高: 使用最先进的加密算法。
- 易于部署: 配置非常简单,连接建立速度快。
- 移动性好: 在网络切换(如 Wi-Fi 到蜂窝网络)时连接保持性极佳。
- 缺点:
- 抗审查能力相对较弱: WireGuard 协议本身没有内置混淆功能。其流量模式相对固定,在高度审查的环境下可能会被识别和阻断。但可以结合其他技术(如 UDP over TCP)来增强抗审查性。
- IP 分配: 默认每次连接的客户端 IP 是固定的,这可能对某些隐私要求较高的场景有影响(商业 VPN 通常会通过双重 NAT 等方式解决)。
6. Hysteria (Hysteria2)
- 特点: Hysteria 是一个基于 QUIC 协议(HTTP/3 的底层协议)的代理工具,旨在解决在不稳定或高延迟网络下(如跨国连接)的传输效率问题。Hysteria2 是其升级版本。
- 优点:
- 抗审查能力强: 基于 QUIC 协议,其流量伪装成正常的 HTTP/3 流量,DPI 难以识别。
- 应对高延迟/丢包: 针对丢包率高、延迟大的网络环境做了优化,在这些环境下能提供比 TCP 协议更好的速度和稳定性,尤其适合游戏和流媒体。
- 高效: QUIC 协议本身就具有多路复用、快速握手等优势。
- 缺点:
- 资源占用: 相较于 TCP 协议,QUIC 在某些情况下可能会消耗更多 CPU 资源。
- 客户端支持: 虽然主流客户端(如 sing-box、Hiddify-Next)已支持,但其普及度仍低于 SS/V2Ray/Trojan。
7. TUIC
- 特点: TUIC 是一个较新的基于 UDP 协议的传输方式,它借鉴了 QUIC 和 TCP 的优点,并加入了独特的拥塞控制算法和流量伪装技术。
- 优点:
- 抗审查能力强: 通过混淆和伪装,其 UDP 流量难以被识别为代理流量。
- 高效且低延迟: 作为 UDP 协议的改进,它在保证传输效率的同时,能有效降低延迟,适合实时应用。
- 穿透力强: UDP 协议在某些网络环境下比 TCP 更容易穿透。
- 缺点:
- 相对较新: 仍在发展中,可能不如其他成熟协议稳定。
- 客户端支持: 相对有限,主要由 sing-box 等新兴客户端支持。
翻墙技术小结
随着网络审查技术的发展,纯粹的加密代理(如早期的 SS)已逐渐失效。当前的趋势是:
- 高度伪装: 让代理流量看起来像正常的互联网流量,特别是 HTTPS 或 HTTP/3 流量(如 Trojan, VLESS + Reality, Hysteria, TUIC)。
- 性能优化: 在保证抗审查能力的同时,追求更低的延迟和更高的吞吐量(如 VLESS, WireGuard, Hysteria, TUIC)。
- 多协议集成: 许多客户端软件(如 sing-box, Clash, Shadowrocket, Hiddify-Next)支持多种协议,允许用户根据实际网络环境灵活切换。
对于普通用户而言,选择一个可靠的机场服务,并使用其推荐的客户端(通常会支持上述多种协议),是较为便捷的方式。而对于自建用户,则需要根据自身技术水平和需求选择合适的协议和工具进行搭建。
苹果终端App推荐
在 iOS (iPhone/iPad) 手机上,由于苹果 App Store 的政策限制,直接提供“翻墙”功能的 VPN 应用种类相对较少,且经常面临下架风险。然而,有一些功能强大的代理工具客户端非常受欢迎,它们支持多种主流的翻墙协议,允许用户导入自己的节点配置来绕过审查。
这些客户端通常需要你在非中国大陆地区的 App Store 账户才能购买和下载。
以下是一些当前在 iOS 平台上非常流行且功能强大的翻墙客户端推荐:
1. Shadowrocket (小火箭)
- 特点:
- 协议支持广泛: 支持 Shadowsocks (SS/SSR)、VMess、VLESS、Trojan、SOCKS5、HTTP/HTTPS 等多种主流协议,并且通过更新不断支持新协议(如 Hysteria、TUIC 等)。
- 基于规则的智能路由: 这是其核心优势。用户可以设置非常详细的规则,根据域名、IP、GeoIP 等来决定流量是直连、走代理还是拒绝。这使得分流(例如国内流量直连,国外流量走代理)非常方便。
- 订阅管理: 支持导入订阅链接,自动更新节点列表,并提供批量测速功能,方便选择最佳节点。
- 流量统计与监控: 提供实时网速显示和流量使用统计。
- 高级功能: 支持 DNS over HTTPS/TLS/QUIC、广告过滤、URL 重写、HTTPS 解密(需安装证书)等。
- 用户友好: 界面相对直观,功能强大但易于上手。
- 优点: 功能全面,协议支持广泛,规则灵活,是许多 iOS 用户首选的“瑞士军刀”型代理工具。
- 获取方式: App Store 付费应用。
2. Quantumult X (圈 X)
- 特点:
- 高度可定制化: 以其强大的脚本功能和高度自定义的规则而闻名。用户可以编写或导入 JavaScript 脚本来实现更复杂的网络请求修改、广告过滤、去重、解锁流媒体等功能。
- 多协议支持: 同样支持 SS/SSR、VMess、VLESS、Trojan、HTTP/HTTPS 等。
- 分流和策略组: 提供非常灵活的分流规则和策略组功能,可以实现复杂的节点选择逻辑(如自动选择、负载均衡、故障转移等)。
- 流量监控和调试: 提供详细的流量日志和网络调试功能。
- 优点: 适合高级用户和开发者,能够实现非常个性化和强大的网络代理功能。
- 获取方式: App Store 付费应用。
3. Surge
- 特点:
- 专业级网络工具: Surge 不仅仅是一个代理客户端,更是一个专业的网络调试和代理工具。它在 macOS 和 iOS 平台上都有版本,功能强大且稳定。
- 强大规则引擎: 提供非常精细的规则配置,支持脚本、URL 重写、DNS 增强等。
- 网络调试功能: 内置 HTTP/HTTPS 抓包、DNS 记录、流量统计等强大的调试工具。
- 模块化配置: 支持模块化配置,方便管理和分享。
- 优点: 稳定性和专业性极高,适合对网络控制有极致需求的用户,以及需要进行网络调试的开发者。
- 获取方式: App Store 付费应用,价格相对较高。
4. Loon
- 特点:
- 界面友好: 相较于 Quantumult X 和 Surge,Loon 的界面设计更注重用户体验,相对更容易上手。
- 功能全面: 同样支持多种代理协议,提供规则分流、策略组、脚本功能、广告过滤等。
- 兼容性好: 对 Clash 订阅格式有较好的兼容性。
- 优点: 在功能和易用性之间取得了很好的平衡,适合希望有强大功能但又不想花费太多时间学习复杂配置的用户。
- 获取方式: App Store 付费应用。
5. Hiddify-Next
- 特点:
- 基于 sing-box 核心: Hiddify-Next 客户端使用 sing-box 作为其底层核心,因此继承了 sing-box 强大的协议支持(包括 VLESS + Reality/Vision, Hysteria2, TUIC 等最新协议)和高性能。
- 与 Hiddify Manager 配合: 如果你使用 Hiddify Manager 自建服务器,Hiddify-Next 客户端可以完美配合,一键导入订阅,并提供用户友好的界面。
- 用户友好: 旨在提供简洁的操作体验,方便用户管理和切换节点。
- 优点: 适合 Hiddify 自建用户,或希望体验 sing-box 核心最新协议和高性能的用户。
- 获取方式: App Store 上架,通常免费。
6. sing-box (官方客户端)
- 特点:
- 纯粹的 sing-box 体验: 这是 sing-box 核心的官方客户端,允许用户直接导入和配置 sing-box 的 JSON 配置文件。
- 最新协议支持: 能够第一时间支持 sing-box 核心开发的最新代理协议和功能。
- 高性能: 直接利用 sing-box 核心的性能优势。
- 优点: 适合对 sing-box 核心有深入了解,并希望直接控制其所有功能的高级用户和开发者。
- 获取方式: App Store 上架,通常免费。
7. WireGuard (官方客户端)
- 特点:
- 官方支持: 这是 WireGuard 协议的官方客户端,由 WireGuard 团队开发和维护。
- 简洁高效: 界面极其简洁,配置非常简单,只需导入 WireGuard 配置文件(通常是
.conf文件或二维码)。 - 性能优异: 继承了 WireGuard 协议本身的高速和低延迟特性。
- 优点: 如果你的代理服务提供商支持纯 WireGuard 协议,这是最推荐的客户端,因为它最稳定、最安全、性能最好。
- 获取方式: App Store 免费应用。
选择建议:
- 新手入门或追求全面性: Shadowrocket 是一个非常好的起点,功能强大且相对容易上手。
- 追求极致定制和高级功能: Quantumult X 或 Surge 是更专业的选择,但学习曲线较陡峭。
- 喜欢简洁且注重最新协议: Hiddify-Next 或 sing-box 官方客户端 可以提供最新的技术体验。
- 如果你的服务商明确支持 WireGuard: 直接使用 WireGuard 官方客户端。
安卓终端App推荐
在 Android 平台上,由于其开放性,用户在获取和使用翻墙客户端方面通常比 iOS 更加灵活。除了 Google Play 商店,许多应用也可以直接通过 APK 文件安装,或者从 GitHub 等开源平台下载。
以下是一些当前 Android 平台上非常流行且功能强大的翻墙客户端推荐:
1. V2RayNG
- 特点:
- 协议支持: 主要支持 VMess 和 VLESS 协议,也支持 Trojan、Shadowsocks 等。它是 V2Ray 和 Xray 核心在 Android 平台上的主流图形客户端之一。
- 易用性: 界面简洁直观,操作相对简单,即使是初级用户也能较快上手。
- 订阅功能: 支持导入订阅链接,自动更新节点,并提供节点测速功能。
- 分应用代理: 可以设置哪些应用走代理,哪些应用直连,实现智能分流。
- 流量统计: 提供简单的流量使用统计。
- 优点: 稳定、高效,协议支持广泛,是 Android 用户使用 V2Ray/Xray 协议的首选客户端。
- 获取方式: Google Play 商店,或从其 GitHub 页面下载 APK。
2. Clash for Android
- 特点:
- 配置文件驱动: Clash 系列客户端以其强大的配置文件(YAML 格式)而闻名,可以实现非常复杂的代理规则和策略组。
- 协议支持: 支持 Clash 核心所支持的所有协议,包括 Shadowsocks、VMess、Trojan、Snell、HTTP 等,并且可以兼容多种订阅格式。
- 策略组: 允许用户创建复杂的策略组,实现负载均衡、故障转移、按需选择等高级路由功能。
- UI/UX: 界面设计相对美观,提供实时连接信息和流量图表。
- 增强模式: 支持 TUN 模式,实现系统级的透明代理。
- 优点: 功能非常强大和灵活,适合对代理规则和分流有高级需求的用户。
- 获取方式: Google Play 商店,或从其 GitHub 页面下载 APK。
3. Hiddify-Next
- 特点:
- 基于 sing-box 核心: 与 iOS 版本一样,Hiddify-Next Android 客户端也基于强大的 sing-box 核心,因此支持最新的协议,如 VLESS + Reality/Vision、Hysteria2、TUIC 等。
- 与 Hiddify Manager 配合: 如果你使用 Hiddify Manager 自建服务器,Hiddify-Next 客户端可以完美配合,一键导入订阅,并提供用户友好的界面。
- 用户友好: 旨在提供简洁的操作体验,方便用户管理和切换节点。
- 自动选择最优节点: 具备自动测速和选择最低延迟节点的功能。
- 优点: 适合 Hiddify 自建用户,或希望体验 sing-box 核心最新协议和高性能的用户,且界面相对友好。
- 获取方式: Google Play 商店,或从其 GitHub 页面下载 APK。
4. sing-box (官方/社区客户端)
- 特点:
- 纯粹的 sing-box 体验: Android 上也有直接基于 sing-box 核心的客户端,允许用户导入和配置 sing-box 的 JSON 配置文件。
- 最新协议支持: 能够第一时间支持 sing-box 核心开发的最新代理协议和功能。
- 高性能: 直接利用 sing-box 核心的性能优势。
- 优点: 适合对 sing-box 核心有深入了解,并希望直接控制其所有功能的高级用户和开发者。
- 获取方式: Google Play 商店通常有社区开发的版本,或从 sing-box 的 GitHub 页面下载 APK。
5. WireGuard (官方客户端)
- 特点:
- 官方支持: 这是 WireGuard 协议的官方客户端,由 WireGuard 团队开发和维护。
- 简洁高效: 界面极其简洁,配置非常简单,只需导入 WireGuard 配置文件(通常是
.conf文件或二维码)。 - 性能优异: 继承了 WireGuard 协议本身的高速和低延迟特性。
- 优点: 如果你的代理服务提供商支持纯 WireGuard 协议,这是最推荐的客户端,因为它最稳定、最安全、性能最好。
- 获取方式: Google Play 商店,或从 WireGuard 官网下载 APK。
6. Shadowsocks-Android
- 特点:
- 官方客户端: Shadowsocks 协议的官方 Android 客户端。
- 简洁: 功能相对简单,专注于 Shadowsocks 协议的代理。
- 稳定: 作为官方客户端,通常比较稳定。
- 优点: 如果你只使用 Shadowsocks 协议,并且喜欢简洁的界面,这是个不错的选择。
- 获取方式: Google Play 商店,或从其 GitHub 页面下载 APK。
获取方式注意事项:
- Google Play 商店: 在中国大陆地区,Google Play 商店通常无法直接访问。你需要通过其他方式(如使用现有 VPN)才能访问并下载这些应用。
- GitHub / 官方网站: 许多开源项目会直接在 GitHub 或其官方网站上提供 APK 下载。这是在中国大陆获取这些应用最常见和推荐的方式。请务必从官方或可信赖的来源下载,以防恶意软件。
- 第三方应用商店: 尽量避免使用非官方的第三方应用商店下载,因为它们可能包含修改过的或不安全的版本。