〇、合规提示(必读)
本文仅讨论代理客户端软件本身的技术原理、协议对比与配置方法——这些是公开的网络技术知识,可用于学习、研究、海外业务、跨境企业办公等合法用途。
重要声明:
- 中国大陆境内严格遵循《中华人民共和国计算机信息网络国际联网管理暂行规定》《网络安全法》《数据出境安全评估办法》等法规,未经电信主管部门批准擅自建立、使用其他信道进行国际联网属违法行为。
- 本文不讨论、不提供、不鼓励任何"绕过监管"的代理服务订阅、节点分享、教学。
- 使用代理客户端前请评估:所在国家/地区法律、公司合规要求、业务场景合法性。
- 本文提及的协议(SS / VMess / VLESS / Trojan / Hysteria 等)本质是网络通信技术,与浏览器、SSH 一样是中立的网络工具;其合法用途包括但不限于:
- 跨境企业内部网络互通
- 海外业务数据回传
- 学术研究、协议分析、网络安全演练
- 海外员工访问公司内网
- 海外差旅期间访问公司资源
- 本文不评价任何服务提供方,不做"哪家节点快 / 哪家稳定"的对比——节点性能与服务提供方相关,与客户端软件无关。
下面进入客户端工具层的技术分析。
一、为什么写这篇文章
市面上"代理客户端"工具繁多,质量参差不齐。每年都有项目突然消失(Clash 核心删除、Shadowsocks 多次更名),新手常常搞不清:
- 我该用哪个客户端?
- 哪个协议最快、最稳、最不容易被识别?
- 配置文件怎么导入?
- 节点怎么选?分流怎么配?
- 怎么用得既稳又安全?
本文聚焦"工具层"——下载安装、协议支持、配置语法、坑点——不讨论任何具体服务提供方。
重要声明:本文仅讨论工具软件本身的技术对比。任何"代理服务"的订阅、节点、账号、密码都属于用户私事,请勿在公共场合传播。代理工具的使用务必遵守所在国家/地区的法律法规。
二、客户端全景
| 客户端 | 平台 | 核心 | 状态 |
|---|
| Clash for Windows | Win/Mac/Linux | Clash.Meta / mihomo | 2023-11 项目删除,仍可使用旧版 |
| Clash Verge Rev | Win/Mac/Linux | mihomo fork | 2024+ 社区接手维护 |
| Hiddify | 全平台 | sing-box | 开源活跃 |
| v2rayN | Windows | v2ray / Xray / sing-box | 老牌稳定 |
| ShadowsocksR-Windows | Windows | ShadowsocksR | HMBSbige 维护 |
| Clash for Android | Android | Clash.Meta | 仍可装旧版 |
| v2rayNG | Android | v2ray | 主流安卓选择 |
2.1 Clash 核心删除事件
2023-11 原 Clash 核心作者 删库,后续社区 fork 出:
现在所有"Clash 系"客户端底层都是 mihomo(Clash.Meta),原版 Clash 核心已停止维护。
三、协议对比
3.1 主要协议
1
2
3
4
5
6
7
8
9
10
| Shadowsocks (SS) : 2012 年起,最广泛。AEAD 加密(chacha20-ietf-poly1305)
ShadowsocksR (SSR) : SS 的 fork,加混淆。已较少用
VMess : V2Ray 自研,依赖时间戳 + UUID
VLESS : V2Ray 5+ 轻量版,无加密(依赖 TLS)
Trojan : 伪装成 HTTPS 流量,最难被识别
Hysteria / Hysteria2 : 基于 QUIC,UDP,速度快
TUIC : QUIC 系
Reality : VLESS + Reality 创新,无需自签证书
WireGuard : 内核协议,被众多客户端集成
Snell : SS 作者 @clowwindy 后续作品
|
3.2 协议特性
| 协议 | 速度 | 隐蔽性 | 复杂度 | 推荐场景 |
|---|
| SS | 中 | 中 | 低 | 老牌稳定,最广 |
| VMess | 中 | 中 | 中 | V2Ray 经典 |
| VLESS+Reality | 快 | 高 | 高 | 新部署首选 |
| Trojan | 快 | 高 | 中 | 对稳定性要求高 |
| Hysteria2 | 快 | 高 | 中 | 视频/大文件 |
| WireGuard | 极快 | 中 | 低 | 自建 VPN |
2024+ 推荐:VLESS+Reality(无需域名证书)或 Hysteria2(速度优先)。
四、Clash Verge Rev 安装与配置
4.1 下载
clash-verge-rev/clash-verge-rev 下载 Windows 安装包或 zip 绿色版。
4.2 订阅导入
1
2
3
4
5
6
| 1. 启动 Clash Verge Rev
2. Profiles → New Profile → 选 "Subscription"
3. 粘贴订阅 URL(每行一个)
4. 点 Import → 客户端拉取节点配置
5. Proxy → 选策略组(按地区/延迟)
6. 开启 System Proxy 或 TUN Mode
|
4.3 三大模式
1
2
3
4
| Rule(规则模式) : 默认推荐,按配置文件内的规则分流
Global(全局模式) : 所有流量走代理
Direct(直连模式) : 所有流量不走代理
Script(脚本模式) : 自定义脚本分流(高级用户)
|
4.4 系统代理 vs TUN 模式
1
2
3
4
5
6
7
8
9
10
| 系统代理(System Proxy):
✓ 浏览器 / 大部分走 HTTP 代理的客户端自动生效
✗ 某些应用不读系统代理(UWP 应用、命令行、Docker、WSL)
TUN 模式:
✓ 全流量接管,应用无感知
✗ 需要安装虚拟网卡(首次启动会弹安装)
✗ 性能略低于系统代理
混合模式 = System Proxy + TUN 同时开
|
4.5 UWP 应用代理问题
Win10 中 UWP 应用(微软商店、邮件等)默认不能访问本地回环地址(127.0.0.1),导致代理失效。
Clash for Windows 集成 EnableLoopback:
1
2
3
4
| General → UWP Loopback → 点击 "EnableLoopback"
→ 弹窗显示所有 UWP 应用列表
→ 选 exempt all → Save Changes
→ 微软商店等可以走代理
|
4.6 节点测速
1
2
3
4
| Proxies 页面 → 选策略组 → 点闪电图标 ⚡
→ 客户端自动 ping 全部节点
→ 数字 = 延迟(ms)
→ 颜色:绿(<200ms) / 黄 / 红
|
4.7 节点排序与负载均衡
节点多了想"雨露均沾",用 parsers 预处理实现负载均衡:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| parsers:
- reg: "slbable$"
yaml:
append-proxy-groups:
- name: ⚖️ 负载均衡-散列
type: load-balance
url: "http://www.google.com/generate_204"
interval: 300
strategy: consistent-hash
- name: ⚖️ 负载均衡-轮询
type: load-balance
url: "http://www.google.com/generate_204"
interval: 300
strategy: round-robin
commands:
- proxy-groups.⚖️ 负载均衡-散列.proxies=[]proxyNames
- proxy-groups.0.proxies.0+⚖️ 负载均衡-散列
- proxy-groups.⚖️ 负载均衡-轮询.proxies=[]proxyNames
- proxy-groups.0.proxies.0+⚖️ 负载均衡-轮询
|
订阅地址后手动加 #slbable 触发预处理。
4.8 配置文件目录
1
2
| C:\Users\<USER>\.config\clash\profiles\ # 订阅缓存
C:\Users\<USER>\.config\clash\config.yaml # 当前激活配置
|
注:<USER> 替换为实际用户名。
五、v2rayN
5.1 下载
2dust/v2rayN/releases —— 国内开发者 2dust 维护,2026-01 仍是 v7.17.0。
5.2 核心选择
v2rayN 支持切换多种核心:
1
2
3
| v2ray : 原版 V2Ray
Xray : VLESS / Reality 支持
sing-box : 新一代跨平台核心(推荐)
|
1
| 设置 → 核心设置 → Core 类型 → sing-box
|
5.3 订阅与节点
1
2
3
4
5
6
| 1. 订阅分组 → 订阅设置 → 添加
2. 备注名 + URL
3. 更新订阅(不通过订阅更新)
4. 主界面会出现节点列表
5. 右键 → 测试服务器延迟(真连接)
6. 双击节点 → 设为活动服务器
|
5.4 高级:开启系统代理
1
2
3
4
| 设置 → 参数设置 → v2rayN 设置
☑ 启用系统代理
SOCKS 端口:10808
HTTP 端口:10809
|
浏览器代理插件用 127.0.0.1:10809(HTTP 代理)。
六、ShadowsocksR-Windows
6.1 下载
HMBSbige/ShadowsocksR-Windows —— v6.1.0 2022-12 仍可用,支持负载均衡。
6.2 节点导入
1
2
3
4
| 1. 服务器 → 编辑服务器
2. 添加单个:IP / 端口 / 密码 / 加密方式 / 协议 / 混淆
3. 或:剪贴板批量导入 ssr:// 链接
4. 系统代理模式:全局 / PAC / 直连
|
6.3 SSR vs SS
1
2
3
4
| SS (Shadowsocks) : 简洁,速度快,主流选择
SSR (ShadowsocksR) : 加协议混淆,能绕过某些主动探测
但:现在大多数"翻墙"对抗技术能识别 SSR 流量特征
→ 2023+ 新部署大多不再用 SSR
|
七、分流规则
7.1 默认规则组(以 Clash 为例)
1
2
3
4
5
6
7
8
9
| 节点选择 : 决定默认走哪组节点
国外媒体 : YouTube / Netflix / Twitch
国内媒体 : 优酷 / B 站 / 爱奇艺 → Direct
微软服务 : OneDrive / SharePoint
电报 SG/US/NL : Telegram → 专用节点
苹果服务 : Apple 相关
全球直连 : 内网地址、已识别国内 IP
全球拦截 : 广告域名 → REJECT
漏网之鱼 : 不匹配以上规则 → 默认走代理
|
7.2 规则集合仓库
1
2
3
| Loyalsoldier/v2ray-rules-dat : 完整规则集(约 10MB)
Loyalsoldier/clash-rules : Clash 格式
ruleset-geosite / ruleset-geoip : sing-box 格式
|
7.3 自定义规则
1
2
3
4
5
| rules:
- DOMAIN-SUFFIX,example.com,🚀 节点选择
- DOMAIN-KEYWORD,github,🚀 节点选择
- GEOIP,CN,DIRECT
- MATCH,🐟 漏网之鱼
|
八、安全与隐私
8.1 客户端选型原则
1
2
3
4
5
6
| ✓ 开源 + 活跃维护 + 多平台审计
✓ 支持现代协议(VLESS+Reality、Hysteria2)
✓ 内存常驻小、CPU 占用低
✗ 闭源 + 长期不更新
✗ 强制云端账号
✗ 内置"广告 / 推荐节点"
|
8.2 DNS 防泄漏
1
2
3
4
5
6
7
| dns:
enable: true
listen: 127.0.0.1:53
enhanced-mode: fake-ip # 防止 DNS 污染
nameserver:
- https://1.1.1.1/dns-query
- https://8.8.4.4/dns-query
|
8.3 系统时间校准
部分协议(VMess、VLESS)依赖时间戳,系统时间偏差 > 90 秒会连接失败:
1
2
3
4
5
6
7
| # 手动校准
w32tm /config /manualpeerlist:"time.windows.com" /syncfromflags:manual /reliable:YES /update
Restart-Service w32time
w32tm /resync
# 启用 Windows 时间自动同步
timedate.cpl → Internet 时间 → 更改设置 → 自动同步
|
九、常见坑
| 现象 | 原因 | 对策 |
|---|
| 启动后浏览器仍走直连 | 系统代理没生效 | 检查是否 clash verge 托盘图标亮起 |
| 节点全红 / 超时 | 订阅过期 / 协议不匹配 | 更新订阅;换核心(v2ray / sing-box) |
| TUN 模式装不上 | Win 驱动未签名 | 关 Secure Boot / 装 v3.x 内核 |
| 微软商店打不开 | UWP Loopback 限制 | 见 §4.5 |
| 节点有但用不了 | 系统时间不准 | 见 §8.3 |
| 内存占用 1GB+ | 规则集太大 | 换 Loyalsoldier 精简版 / 删不必要规则组 |
| 启动时报 .NET 错 | 缺运行时 | 装 .NET Desktop Runtime |
| Clash Verge 启动卡住 | TUN 模式残留 | 卸载 TAP 设备后重装 |
十、协议演进时间线
1
2
3
4
5
6
7
8
9
10
11
12
13
| 2012 Shadowsocks @clowwindy
2015 Shadowsocks 被 GFW 针对性干扰
2016 V2Ray @VTEXS
2018 Trojan @thinkingbourn
2018 Clash @Dreamacro
2019 ShadowsocksR / V2Ray 主流
2020 Hysteria 基于 QUIC
2021 VLESS V2Ray 5+ 轻量化
2023 Reality (VLESS+Reality) 无需证书,里程碑
2023 Clash 核心删除 → mihomo fork
2024 sing-box 1.8+ 全面支持 Reality
2024 Hysteria2 稳定
2025 sing-box / mihomo 双雄
|
2025+ 选型建议:客户端用 mihomo 系(Clash Verge Rev)或 sing-box 系(Hiddify),协议首选 VLESS+Reality 或 Hysteria2。
十一、其他客户端推荐
11.1 Hiddify
github.com/hiddify/hiddify-app —— sing-box 内核,2024+ 出现的新星:
- 全平台(Win/Mac/Linux/iOS/Android)
- 内置 TUN 模式
- 自动节点测速
- 多语言
- 适合"零配置"用户
11.2 sing-box
sing-box 本身是命令行/服务,不带 GUI,但有官方配置生成器和多个 GUI 前端(hiddify、v2rayN 都用它)。
十二、配置备份
1
2
3
4
| # 配置文件位置
Clash Verge Rev : %APPDATA%\io.github.clash-verge-rev.clash-verge-rev\profiles\
v2rayN : %APPDATA%\v2rayN\guiNConfig.json
Hiddify : %APPDATA%\Hiddify\config.json
|
建议定期备份配置文件 + 订阅 URL 到密码管理器。
十三、调试技巧
13.1 看流量路径
1
2
3
4
5
| 1. 开启 TUN 模式
2. Proxies → Logs(clash 端)
3. 看每条请求命中哪条规则
4. Connections → 实时看 TCP/UDP 连接
5. 错误/超时请求 → 切节点
|
13.2 单条 URL 测试
1
2
3
4
5
6
7
8
| # 走代理测试
curl -x http://127.0.0.1:7890 https://www.google.com -I
# 走直连测试
curl https://www.baidu.com -I
# 看出口 IP
curl -x http://127.0.0.1:7890 https://api.ipify.org
|
13.3 协议握手测试
1
2
3
4
5
| # Trojan / SS 类:直接 telnet 端口
telnet <node-host> 443
# VMess:v2rayN → 服务器 → 测试服务器延迟(真连接)
# → 看是握手失败 / 流量不通 / DNS 污染
|
十四、合法使用红线
1
2
3
4
5
| - 在中国大陆访问境外网站受《计算机信息网络国际联网管理暂行规定》约束
- 售卖"翻墙"工具违法
- 传播"翻墙"教学 / 散播订阅 URL 涉及协助违法
- 翻墙后不要在境外平台发布"敏感"言行
- 商业用途务必走正规合规的跨境网络方案
|
十五、下一步
- 协议层:学 Reality 自建节点(需境外 VPS)
- 客户端层:用 sing-box 配置 TUN + DNS 防泄漏
- 运维层:用 Prometheus 监控多节点延迟(参考 2025-03-15《Prometheus 监控告警体系》)
- 安全层:所有订阅 URL 用密码管理器保存,不要写进 dotfiles 仓库
十六、参考资料
