SS / VMess / Trojan 協議橫向對比
同樣是「代理」,為什麼有的協議更抗封鎖、有的速度更快?這篇文章從加密方式、偽裝能力、效能開銷三個維度,把主流協議擺在一起對比清楚。
協議到底解決什麼問題
不管是 Shadowsocks 還是 VMess,它們本質上都是把你的網路流量包裝一層,讓中間的網路設備(電信業者、防火牆)難以識別這是「代理流量」,同時保證資料在傳輸過程中不被竊聽或竄改。協議之間的差異主要體現在三點:
-
加密強度用什麼演算法加密資料,是否支援前向安全,被破解或分析的難度有多大。
-
偽裝能力流量特徵是否像正常的 HTTPS/TLS 流量,越像越難被基於流量特徵的封鎖識別。
-
效能開銷加密解密和交握過程消耗的運算資源與延遲,直接影響使用體驗。
Shadowsocks(SS):輕量但特徵明顯
Shadowsocks 是最早流行起來的協議,設計思路非常簡單:用一個共享金鑰對資料做對稱加密(常見 AEAD 加密如 chacha20-ietf-poly1305、aes-256-gcm),幾乎沒有額外的交握開銷。
- 優點:實作簡單、速度快、用戶端資源佔用低,幾乎所有平台都有成熟實作。
- 缺點:流量特徵相對固定,容易被基於流量分析的深度封包檢測(DPI)識別,在審查嚴格的網路環境下更容易被針對性限速或封鎖。
- 適合情境:網路環境相對寬鬆、追求速度和穩定性優先的情境。
VMess:V2Ray 生態的核心協議
VMess 出自 V2Ray 專案,在 SS 的基礎上加入了時間戳驗證、使用者 UUID 鑑權等機制,並支援搭配 WebSocket + TLS 傳輸,把代理流量偽裝成普通的網頁 HTTPS 請求,偽裝能力比原生 SS 更強。
- 優點:搭配 WS+TLS 後偽裝性好,生態成熟,支援多工(mux)減少連線交握次數。
- 缺點:設定項較多,加密/解密與協議標頭解析的開銷比 SS 略高,對時間同步有一定要求(用戶端與伺服器時間差過大會導致鑑權失敗)。
- 適合情境:需要較強偽裝能力,同時能接受稍微複雜一點設定的情境。
Trojan:偽裝成真實網站的 HTTPS 流量
Trojan 的設計理念很直接:直接重複使用標準 TLS 協議,伺服器端偽裝成一個普通的 HTTPS 網站(甚至可以設定真實的網頁內容),代理流量和正常存取該網站的流量在特徵上幾乎無法區分,因為它本身就是標準 TLS。
Trojan 伺服器端通常會配合 Nginx 做埠重複使用和憑證管理,被封鎖時甚至可以直接存取偽裝的網頁內容,進一步提高抗偵測能力。這是它相比 VMess 更受青睞的原因之一。
- 優點:偽裝能力最強、協議開銷小(重複使用標準 TLS 函式庫),部署相對簡單。
- 缺點:需要一張有效的網域憑證(通常用 Let's Encrypt 免費憑證即可),對伺服器端維運要求略高。
- 適合情境:審查嚴格的網路環境,或希望長期穩定使用、不想頻繁換協議的情境。
Hysteria2 / TUIC:基於 QUIC 的新一代協議
近兩年興起的 Hysteria2、TUIC 等協議基於 QUIC(UDP)傳輸層,相比傳統基於 TCP 的協議,天然具備更好的抗封包遺失能力和更低的連線建立延遲,在弱網路、高延遲環境下(比如跨國長距離線路)體驗提升明顯。
- 優點:基於 UDP,抗封包遺失、連線建立快,弱網路環境下速度優勢明顯,內建壅塞控制演算法針對代理情境優化。
- 缺點:部分網路環境對 UDP 流量限速或封鎖比 TCP 更嚴格,生態成熟度和用戶端支援度略遜於前三者。
- 適合情境:網路品質不穩定、跨國距離遠、對下載/串流媒體速度要求高的情境。
一張表看懂如何選擇
優先選擇 Shadowsocks 或 Hysteria2,交握快、開銷低,日常瀏覽和下載體驗最佳。
優先選擇 Trojan,標準 TLS 偽裝讓流量幾乎無法被針對性識別,長期使用被封風險最低。
VMess 配合 V2Ray/Xray 生態,外掛和傳輸方式選擇最豐富,適合喜歡折騰設定的使用者。
Hysteria2 / TUIC 基於 QUIC 抗封包遺失能力強,跨國高延遲線路下體驗優勢明顯。
實際使用中,很多訂閱服務會同時提供多種協議的節點,你完全不需要自己搭建——只需要在 Clash 用戶端裡根據延遲和目前網路環境,直接切換策略組裡的節點或協議類型即可,不滿意隨時換。
常見問題
協議越「新」就一定越好嗎?
不一定。新協議往往在某個維度(比如抗封包遺失、偽裝能力)有優勢,但生態成熟度、用戶端相容性可能不如經典協議。選擇時應該結合自己的網路環境和實際需求,而不是盲目追新。
同一個訂閱裡有多種協議節點,怎麼知道該用哪個?
可以直接在 Clash 控制面板的「代理」頁裡對比各節點的延遲測速結果,延遲低且穩定的優先使用。不確定的話,交給策略組的自動選擇(url-test)模式,用戶端會自動挑選目前最優節點。
Clash 用戶端支援所有這些協議嗎?
主流 Clash 用戶端(Clash Verge、Clash Meta 核心 / Mihomo)都已支援 SS、VMess、Trojan、Hysteria2、TUIC 等協議,直接匯入訂閱即可自動識別,無需手動設定協議參數。
學完了?把 Clash 裝上試試
全平台安裝包一站取得,跟著推薦標籤選就不會錯,幾分鐘就能用上。