代理 vs VPN:不是同一件事
很多人混用这两个词,但它们工作在不同的网络层:
| 维度 | 代理(Proxy) | VPN |
|---|---|---|
| 工作层 | 应用层(L7) | 网络层(L3) |
| 覆盖范围 | 指定应用 / 浏览器 | 全局流量 |
| 协议感知 | 感知 HTTP/HTTPS | 不感知上层协议 |
| 延迟 | 较低 | 较高(封装开销) |
| 典型实现 | SOCKS5、HTTP Proxy | OpenVPN、WireGuard |
| 翻墙场景 | Clash、sing-box 分流 | 商业 VPN 服务 |
翻墙场景下,“机场 + 代理客户端”走的是应用层代理,不是传统 VPN。Clash 之类的工具做的是把系统流量接管后按规则分流,本质是增强版 SOCKS5/HTTP 代理。
协议演进
SOCKS5(1996)
最基础的代理协议,无加密,支持 TCP/UDP,告诉代理服务器”帮我连接这个地址”。GFW 可轻松识别并封锁。
Shadowsocks(2012)
clowwindy 设计,核心思路:SOCKS5 流量 + 对称加密 + 混淆。
Client → [SOCKS5 payload 加密(AES-256-GCM)] → SS Server → 目标- 加密算法推荐:
aes-256-gcm、chacha20-ietf-poly1305(AEAD 认证加密) - 流量特征:随机噪声,GFW 早期无法识别
- 现状:流量特征已被 GFW 学习,纯 SS 容易被检测,需配合混淆
V2Ray / Xray(2019+)
V2Ray 引入了流量伪装思路,Xray 是它的分支,性能更好。
核心:把代理流量伪装成正常 HTTPS 网站流量,过 GFW 检测时看起来像在访问某个网站。
Client → VLESS/VMess 流量
→ WebSocket / gRPC 传输
→ TLS 加密(SNI 指向正常域名)
→ CDN(可选,Cloudflare)
→ 落地服务器VLESS vs VMess:
- VMess:有认证和加密,协议本身自带混淆
- VLESS:无内置加密(依赖外层 TLS),更轻量,配合 XTLS 性能更好
- 现在新配置推荐:VLESS + Reality(伪装成真实网站 TLS,无需自己的域名)
Hysteria2(2023)
基于 QUIC(UDP) 的协议,模拟视频流量特征(BBR 拥塞控制 + 伪装成视频网站)。
优势:
- 在丢包率高的网络下性能极好(UDP 比 TCP 更耐丢包)
- 带宽利用率高,实测比 V2Ray 快 2-5 倍
劣势:UDP 在某些网络环境下被 QoS 限速;落地 VPS 需开放 UDP 端口。
协议对比
| 协议 | 速度 | 抗封锁 | 配置复杂度 | 推荐场景 |
|---|---|---|---|---|
| Shadowsocks | 快 | 弱 | 简单 | 已不推荐单独用 |
| V2Ray VMess | 中 | 强 | 中 | 稳定场景 |
| VLESS + Reality | 快 | 最强 | 中 | 推荐,无需域名 |
| Hysteria2 | 最快 | 强 | 中 | 网络质量差 / 追求速度 |
| Trojan | 快 | 强 | 中 | 有域名时的好选择 |
客户端工具
| 工具 | 平台 | 内核 | 特点 |
|---|---|---|---|
| Clash Verge Rev | Win/Mac/Linux | Mihomo | 最推荐,图形界面完善 |
| sing-box | 全平台 | 自研 | 支持协议最全,配置较复杂 |
| V2rayN | Windows | Xray | 老牌,轻量 |
| Surge | Mac/iOS | 自研 | 最强分流规则,贵 |
| Shadowrocket | iOS | 自研 | iOS 最流行,一次性付费 |
| NekoBox | Android | sing-box | Android 推荐 |
机场的本质
“机场”本质是一门带宽批发转零售的生意:
机场运营商
→ 批量购买境外 VPS(美国/香港/日本/新加坡)
→ 在 VPS 上部署代理服务端(Xray/sing-box)
→ 用面板工具(X-UI、3X-UI)管理用户
→ 按月/年售卖订阅,用户导入订阅链接订阅链接格式:
# Clash 订阅:YAML 格式,包含节点列表 + 规则
https://your-airport.com/api/v1/client/subscribe?token=xxx
# 通用订阅:Base64 编码的节点 URI 列表
ss://base64==@host:port#name
vless://uuid@host:port?xxx#name选机场的依据
- 不要选太便宜的(月付 < 5 元):要么跑路,要么卖流量数据
- 看落地 IP 质量:用 ipcheck.ing 检测是否被标记为代理/数据中心
- 看协议支持:2025 年还只提供 SS 的机场建议放弃,起码要有 VLESS/Hysteria2
- 不存密码/隐私数据在流量里:代理服务器可以看到未加密的流量,HTTPS 内容则看不到
- 备用节点:主机场 + 一个备用,关键时刻不断网
延伸:WARP
Cloudflare WARP 是一个免费的基于 WireGuard 的工具,可以访问部分被墙内容(Twitter 等),但不稳定且速度有限。优势是不需要机场,直接用 Cloudflare 的网络。