V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
lopssh
V2EX  ›  VPS

各种梯子协议层出不穷,有兄弟可以总结一下它们的优劣势吗?

  •  5
     
  •   lopssh · 2023-03-17 09:46:23 +08:00 · 22810 次点击
    这是一个创建于 613 天前的主题,其中的信息可能已经有所发展或是发生改变。

    根据搜集的资料,当下流行的有:

    • vless + xTLS
    • vmess + TLS
    • shadowTLS
    • naiveproxy
    • trojan
    • hysteria

    希望各位能从 安全性协议速度稳定性,以及 适用场景 这四个方面综合讨论一下。

    -

    61 条回复    2024-11-10 12:09:19 +08:00
    InDom
        1
    InDom  
       2023-03-17 09:51:25 +08:00
    按照我 2021 年的经验到现在, 里面用啥不重要,跨网时基本都是套在 https 里面.

    也许我的已经过时了.
    jsyzdej
        2
    jsyzdej  
       2023-03-17 10:01:33 +08:00 via Android   ❤️ 6
    xtls 协议中,除了新出的 vision ,均已经被精准识别; TLS 有 TLS in TLS 特征,能被识别。后面四个没用过,不知道
    lopssh
        3
    lopssh  
    OP
       2023-03-17 10:06:12 +08:00
    @jsyzdej TLS over TLS 是什么用法?
    cxtrinityy
        4
    cxtrinityy  
       2023-03-17 10:30:02 +08:00 via Android   ❤️ 5
    安全性这东西其实大家大部分都是套 TLS 没啥好讲,速度重要的是线路不是协议,稳定性是最重要的,去年 10 月份左右开始 GFW 就到处乱杀,据我所知容易被封的就有 vmess/vless+ws+tls ,trojan ,然后有人开始转 naive proxy ,IPv6 ,后期复盘大佬是 tls in tls 前五个握手包在长度上有特征,vless 出了 vision 解决这个问题,我现在用起来也很稳。
    所以考虑应用场景唯一要素就是稳不稳,稳用啥都好。
    99185302
        5
    99185302  
       2023-03-17 10:31:12 +08:00   ❤️ 1
    shadowsocks+v2ray-plugin,只用 WS,80 端口,没加 TLS,看来这个方法已经过时很久很久了
    darksword21
        6
    darksword21  
       2023-03-17 10:39:37 +08:00   ❤️ 2
    我还在用 vmess ws tls 套 cdn
    libook
        7
    libook  
       2023-03-17 10:41:12 +08:00
    用了一大圈,到最后还是 shadowsocks 最稳,稳定性不行的话,其他指标都没啥意义。
    wxxxcxx
        8
    wxxxcxx  
       2023-03-17 11:04:02 +08:00 via Android
    @libook 哪家的 vps ? tls 就封端口,这个封 ip 呀,而且很多是秒封。
    hervey0424
        9
    hervey0424  
       2023-03-17 11:06:28 +08:00
    shadowsocks + tcptun, ss 几年都没有被封过了, tcptun 端口一段时间就会被封, 但是换一个又能用好久
    Courstick
        10
    Courstick  
       2023-03-17 11:16:06 +08:00
    (来自 ChatGPT )

    vless + xTLS
    vless + xTLS 是目前较为安全和流行的协议之一。vless 通过简化 VMess 协议并去除其不必要的功能,使得数据包更加简洁、快速。而 xTLS 通过使用 TLS1.3 ,加强了数据传输的安全性,可防止中间人攻击。因此,vless + xTLS 协议在安全性方面表现突出,适用于对网络隐私保护要求较高的用户。同时,由于 vless 协议的简洁性,速度也相对较快。

    vmess + TLS
    vmess + TLS 是一种使用 VMess 协议并结合 TLS 进行加密的协议。与 vless + xTLS 类似,vmess + TLS 在安全性方面也表现出色。不过,相对于 vless + xTLS ,vmess + TLS 的速度略有些慢,但稳定性比较高。适用于对速度和稳定性要求较高的用户。

    shadowTLS
    shadowTLS 是一个使用 Shadowsocks 协议和 TLS 加密的协议。相对于前两者,shadowTLS 的速度较快,但相对于 TLS ,安全性不太高。适用于对速度要求较高的用户。

    naiveproxy
    naiveproxy 是一种基于 SOCKS5 协议的代理。相对于其他协议,naiveproxy 更加轻量级,速度较快。但它只提供了基本的加密,安全性不太高。适用于对速度要求很高,对安全性要求不高的用户。

    trojan
    Trojan 协议结合了 SOCKS5 和 TLS 加密,并提供了更高的安全性。相对于其他协议,Trojan 的速度较快,但不太稳定。适用于对安全性和速度都有较高要求的用户。

    hysteria
    hysteria 是一种基于 QUIC 协议的加密协议。它提供了比其他协议更高的安全性和更快的速度。然而,由于它是一种比较新的协议,可用性不太高。适用于对安全性和速度要求都很高的用户。
    totoro625
        11
    totoro625  
       2023-03-17 11:23:16 +08:00   ❤️ 2
    首先明确一下,非程序员,所有知识来源于网友传授

    安全性:
    从数据被解密角度看,不用老旧协议例如 RC4-MD5 都安全;设置了密码都安全
    从被盯上抓捕角度看,人在国内都不安全
    不在网上发不能被放在国内互联网上的东西,用上这些协议都无需担心安全性

    协议速度:
    速度分 A.首次连接延迟、B.长期连接延迟、C.峰值带宽
    关于 A.首次连接延迟,主要看握手次数,没有深入研究,但是都推荐用 trojan ,2rtt 握手
    关于 B.长期连接延迟,主要看 CPU 和 IO ,基本没影响
    关于 C.峰值带宽可以看: https://github.com/v2ray/discussion/issues/818
    结论是:除非开机场,否则几种协议差距在公网的条件下几乎可以忽略,因为基本都超过了 G 口的速度。不过对于移动设备来说,选择一个高效的协议的确能够省电。

    稳定性:
    稳定性一般指不被墙的概率,流量小没人管,流量大看伪装
    因为都用“伪专线”过墙,所以没研究

    适用场景:
    分析角度:A.机场大规模应用的协议、B.主流软件支持的协议、C.老固件的支持程度、D.搭建难易程度
    主流机场都在用 SS/trojan/vmess+ws+tls

    最后,我用的是 trojan + ss ,没感觉有啥区别
    libook
        12
    libook  
       2023-03-17 11:50:04 +08:00
    @wxxxcxx #8 我不是自建的,用的机场,小众机场还好,目前用了半年了,速度和可靠性也都有保证。
    lopssh
        13
    lopssh  
    OP
       2023-03-17 13:19:03 +08:00 via Android
    @libook 说不定是国内 ss 中转。。。出墙的时候走别的协议去了。
    olaloong
        14
    olaloong  
       2023-03-17 13:43:39 +08:00
    我用的这个机场一直都是 SSR ,原版,没加黑科技,又快又稳(特殊时期会慢点),用了 5 年了也没失联过,除了贵点哪都好
    不知道怎么做到不被封的
    1S3R05F21718P59c
        15
    1S3R05F21718P59c  
       2023-03-17 13:53:05 +08:00
    @olaloong 来个网址看下
    worldquant
        16
    worldquant  
       2023-03-17 13:53:36 +08:00
    现在最新的是 vision 和 reality ,reality 更骚,不要域名用别人的证书。
    HeyWeGo
        17
    HeyWeGo  
       2023-03-17 14:01:52 +08:00
    我就用最原始的 ss ,套了点别的,用了快 6 年了。但是纯 ss 是见光死的,不敢用
    olaloong
        18
    olaloong  
       2023-03-17 14:05:34 +08:00
    @LongTou 最近停止新用户注册了
    libook
        19
    libook  
       2023-03-17 14:21:05 +08:00
    @lopssh #13 现在要想保证速度的话,中转基本是标配了。
    cxsz
        20
    cxsz  
       2023-03-17 15:34:12 +08:00 via Android
    @olaloong iplc 线路的吗?理论上来说 iplc iepl 这种线路不过墙,都没流量经过 自然就不会被检测到😂
    estk
        21
    estk  
       2023-03-17 15:45:03 +08:00
    trojan-go 比 trojan 好用
    olaloong
        22
    olaloong  
       2023-03-17 16:08:05 +08:00
    @cxsz 也许吧,标 IPLC IEPL 的节点挺多的。不过价格和那些真 IPLC 机场比起来又挺便宜的,感觉不太保真
    lambdaq
        23
    lambdaq  
       2023-03-17 16:10:11 +08:00   ❤️ 1
    晶哥要写年终 kpi 规划了?
    eycode
        24
    eycode  
       2023-03-17 16:12:20 +08:00
    vmess + TLS/Ktcp/tcp,可能我已经跟不上大佬们开发的节奏了。但是稳呀。
    ovtfkw
        25
    ovtfkw  
       2023-03-17 16:14:19 +08:00
    不中转不能稳定看流媒体
    SenLief
        26
    SenLief  
       2023-03-17 16:17:11 +08:00
    其实没啥区别的,你要是用的家宽,那稳定的很了都。

    大多数自建的被扫了,都是被波及到了,也就是封 ip 的段的时候机房都被干了。
    kloge
        27
    kloge  
       2023-03-17 16:22:18 +08:00
    trojan 用了三年多了, 挺稳的
    wxxxcxx
        28
    wxxxcxx  
       2023-03-17 16:30:04 +08:00
    @Courstick naiveproxy 乱扯的吧,naive 也是基于 tls 的,相比其他基于 tls 的协议,主要解决了 tls 指纹的问题。
    sadfQED2
        29
    sadfQED2  
       2023-03-17 16:47:16 +08:00 via Android
    1. vless 是不加密的一个传输协议,被设计出来就是为了随意组合任何加密协议已经嵌套传输协议的
    vless+tls 是最基本的也是最早的使用方式。但是后面大家发现会有 tls over tls 的问题,这样多次加密白白浪费性能,因此发明了 vless+xTls ,xtls 将不再重复加密 tls 数据,提高了传输性能。( xtls 与 tls 均被识别,现在替代品为 tls-vision )

    2.vmess 协议自带加密,这个方案相当于再套一层 tls 加密,没有什么优势

    3.没用过,不了解

    4.使用原始的 tls 加密,但是使用了 chrome 开源版本代码解决 tls 指纹问题
    lopssh
        30
    lopssh  
    OP
       2023-03-17 16:51:42 +08:00
    @wxxxcxx 那么这个协议有没有 tls in tls 问题?
    wsjwqq
        31
    wsjwqq  
       2023-03-17 16:52:43 +08:00   ❤️ 1
    去油管看看不良林的视频。讲计网一样讲翻墙协议。https://www.youtube.com/@bulianglin/videos
    sadfQED2
        32
    sadfQED2  
       2023-03-17 16:54:15 +08:00 via Android
    @sadfQED2 1 2 3 4 ,还有 vmess/vless+ws+tls 我都尝试过,目前只有 tls+vision 和 naiveproxy 没有被封过,其他方案都被封过
    popzuk
        33
    popzuk  
       2023-03-17 17:02:40 +08:00 via iPhone
    @99185302 这种方式没有 udp 。不过可以用 xray 的 ss2022+ws ,有 udp over tcp ,但不兼容 ss+*ray-plugin 的形式。
    iamv2er
        34
    iamv2er  
       2023-03-17 17:53:30 +08:00 via iPhone
    没什么重要的,直接买专线机场 ss 线路就好了
    bigshawn
        35
    bigshawn  
       2023-03-17 18:20:47 +08:00 via iPhone
    专线不过墙 ss 随便跑。
    Muniesa
        36
    Muniesa  
       2023-03-17 18:30:48 +08:00 via Android
    @olaloong 薯条吗?他家节点都是国内中转的当然不会被封😂
    qq565425677
        37
    qq565425677  
       2023-03-17 18:45:32 +08:00
    之前买的机场敏感期好像只有 trojan 活下来了,后来 vps 自建机场就只用这个协议了,其他协议不是太了解。

    有人反映 trojan 也会被封,不过好像主要是没有正确设置,比如用一件脚本搞了个 http 的监控面板,端口号也是脚本默认的,不封你封谁- -!
    lovelylain
        38
    lovelylain  
       2023-03-17 19:36:15 +08:00 via Android
    有没有必要给 frp 套一层协议?我今天 frp 连不上,其他协议正常,通过 ipv6 直连登录到 openwrt 后重新拨号后恢复了。
    wxxxcxx
        39
    wxxxcxx  
       2023-03-17 20:54:14 +08:00
    @lopssh 有的
    tnesa
        40
    tnesa  
       2023-03-17 22:38:21 +08:00
    @olaloong 我知道你说的哪一家,嘿嘿,我也用了 3 年了,稳如狗。

    暂时停止注册,能低调的一直用下去就最好
    lopssh
        41
    lopssh  
    OP
       2023-03-17 23:13:06 +08:00 via Android
    @bigshawn 怎么辨别真假专线
    GaryLz
        42
    GaryLz  
       2023-03-18 01:29:17 +08:00 via iPhone
    现在 gfw 都是大数据分析特征 绝大多数伪装 被精确识别 只是时间问题

    这本身就是场猫鼠游戏 如果要稳定的话 最好就是追着主流多人用,比较新的技术协议跑
    datocp
        43
    datocp  
       2023-03-18 01:42:08 +08:00 via Android   ❤️ 1
    哈哈,每次想用大家讨论的 v2ray ,一看配置文件傻眼了不知道什么是什么。。。

    用惯了 stunnel
    安全性
    基于 pki 的认证过程防止被中间人
    https://www.stunnel.org/auth.html
    可以 rr 负载到不同端口 /服务器,不知道监控方是否有能力重组数据
    通过 cron 基于 ca 的加密证书变换过程

    协议速度
    https://www.stunnel.org/perf.html

    稳定性
    rr 负载意味着可以减少流量累积
    使用 haproxy 端口复用在 tcp80

    适用场景
    socks5 代理
    没有配置成功过的
    https://www.stunnel.org/socksvpn.html

    用惯了 stunnel ,完全看不懂 v2ray 是什么。。。Android 用的 SSLsocks+AndProxy 。

    配置文件
    https://www.stunnel.org/config_windows.html
    lopssh
        44
    lopssh  
    OP
       2023-03-18 07:42:23 +08:00 via Android
    @GaryLz 据传会升级到机器学习识别特征(或者在使用了?)🤣,我只是想查查技术文档 好难
    deorth
        45
    deorth  
       2023-03-18 09:31:44 +08:00 via Android
    没有
    HEROic
        46
    HEROic  
       2023-03-18 09:41:23 +08:00 via Android
    @darksword21 俺也一样。 不过稳定性很捉急
    nrtEBH
        47
    nrtEBH  
       2023-03-18 11:06:12 +08:00
    专线王道 其他加密都是睁一只眼闭一只眼 量大了一样抓的
    lihang1329
        48
    lihang1329  
       2023-03-18 11:10:46 +08:00 via Android
    singbox 小而全
    gamekiller0010
        49
    gamekiller0010  
       2023-03-18 12:47:13 +08:00 via iPhone
    直接装 shadowsocks 不香吗
    skyrocketing
        50
    skyrocketing  
       2023-03-18 12:54:55 +08:00
    @olaloong 你说到停止注册我就知道是哪个了,用了很多年了🤣
    tdjnodj
        51
    tdjnodj  
       2023-03-18 15:46:28 +08:00
    # 安全性

    除 shadowTLS 外,其他协议均使用 TLS 加密,除非自签证书都很安全(自签证书可以在客户端固定证书散列)。

    vmess + TLS 只要内层加密不用 `zero` 或 `none` ,就有了两层加密,就算 GFW 搞到了真的证书来劫持你,它也不知道传输内容。而其他协议被劫持后能得知访问的域名( https 网站)。

    shadowTLS 内层使用的 shadowsocks 使用的都是 AEAD 加密方式,现在来看,除非 shadowsocks 的加密爆出巨大漏洞,不然安全性也非常高。

    # 速度

    一般用来搭建梯子的服务器配置都不会太好,用 xtls 能节省性能,跟 vmess + tls 对比速度明显更快。但线路垃圾的话用不用速度没多大影响。

    naiveproxy 尤其吃线路,因为 naiveproxy 的多路复用太多了,单线程速度慢的话就没速度了。

    hysteria 通过自己独有的拥塞控制,能在垃圾线路跑出不错的速度,就是非常吃 CPU 。

    # 稳定性 && 适用场景

    **个人体验,不同人体质不同,有的人 VPN 、shadowsocks 都不会封。**

    hysteria 由于是 UDP ,所以运营商非常讨厌,加上 GFW 的观照,比较容易被封 ip 。适用于垃圾机。

    直连:稳定的是 naiveproxy 和 VLESS + xtls-rprx-vision ,都处理了指纹问题,但 naive 对于 TLS in TLS 的处理没有 xtls 好。

    走 CDN:TLS 很容易被阻断,不如直接 vmess + ws 走高位 http 端口。
    lifansama
        52
    lifansama  
       2023-03-19 15:12:33 +08:00 via Android
    @worldquant 请问正确使用 reality 时,直接用浏览器访问 inbounds 的 port 会是什么反应?直接跳转到 dest 吗?
    zxbiao
        53
    zxbiao  
       2023-03-21 10:55:19 +08:00 via Android
    @lifansama 偷别人证书的配置下,https 访问会直接显示证书不适合;偷自己证书就会加载设置的地址。
    Lather
        54
    Lather  
       2023-03-25 23:24:45 +08:00 via Android
    @lifansama 會直接進入被偷的網頁
    dugrey
        55
    dugrey  
       2023-04-01 09:08:18 +08:00
    @99185302 老哥,请问 ss+v2plugin 只用 ws 稳吗?最近 tls 封了两个端口了,换端口用不到两天就继续被封
    99185302
        56
    99185302  
       2023-04-03 09:44:07 +08:00
    @dugrey 一直这样用,目前还没被墙过,可以直接用 IP 连 80 端口,再套个 CDN 备用。可能跟不同地区的网络环境也有关系吧。
    MFWT
        57
    MFWT  
       2023-04-12 10:23:59 +08:00
    一直用原版 Shadowsocks-AEAD ,走 IPv6 ,延迟低速度快,稳如老狗
    Preposterous
        58
    Preposterous  
       338 天前
    同一个机场,在 macos 下
    v2rayu 比 clash x pro 好
    一直是以为机场的缘故 延迟高 老红色断开
    结果用 v2rayu 就正常了,速度还快
    没搞懂啥原因
    SIEMENS
        59
    SIEMENS  
       332 天前 via Android
    @olaloong 你好,可以推荐一下不谢谢
    martinloserking
        60
    martinloserking  
       40 天前
    @olaloong 应该是中转
    mhj144007
        61
    mhj144007  
       9 天前 via iPhone
    只用 hysteria2 ,snellv4 ,wireguard 三种
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1020 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 20:16 · PVG 04:16 · LAX 12:16 · JFK 15:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.