2026 主流翻墙协议横评:SS / VLESS-Reality / Hysteria2 / AnyTLS / Tuic 到底怎么选
很多人选机场时会盯着"节点数量""不限速""解锁奈飞",却很少有人真正搞懂:你订阅里那一串 vless://、hysteria2://、ss:// 到底有什么区别。
但 2026 年的现实是:选错协议,比选错机场更容易翻车。同样一条线路,用对协议能稳跑,用错协议可能几天就废。
30秒先看完
如果你不想看长文:自建或手动选节点,抗封优先选 VLESS+Reality,弱网/看 4K 选 Hysteria2;用机场的话协议早就配好了,你只要挑一个支持新协议的客户端(mihomo / sing-box / Shadowrocket)。别再用 SSR 和裸 VMess。
先说结论
协议这东西,没有"最好",只有"在当前环境下最合适"。一句话分场景:
| 你的情况 | 推荐协议 |
|---|---|
| 强审查环境、要最稳的直连 | VLESS + Vision + Reality |
| 线路丢包高 / 看 4K / 打游戏 | Hysteria2 |
| 想要现代、抗 TLS 指纹的新选择 | AnyTLS |
| 不想搞域名和伪装站 | Mieru 或 SS-2022 + ShadowTLS |
| 用的是专线中转机场 | 落地多为 Shadowsocks / SS-2022,省心即可 |
| 还在用 SSR / 裸 VMess / 旧版 SS | 该换了 |
下面解释为什么。
为什么协议会一代代"换代"
理解趋势,比记住协议名更有用。2026 年协议演进就三条主线:
1. 从"加密"到"伪装"
早期思路是:把流量加密得够强就安全。但 GFW 早就不只看"内容是什么",而是看"长得像不像正常流量"。
学术界有实锤:USENIX Security 2023 的论文证实,GFW 在 2021 年底就上线了针对"全加密流量"本身的被动检测——也就是说,一段流量如果"看起来像随机加密字节、不像任何正常协议",反而会成为被盯上的特征。
这直接判了裸 Shadowsocks、裸 VMess 的死刑。所以现在的主流方向是"加密 + 伪装":让流量看起来像一次普通的 HTTPS 访问。uTLS(模仿 Chrome/Firefox 的 TLS 指纹)和 Reality 就是这条路线的代表。
2. 从 TCP 到 UDP / QUIC
QUIC(跑在 UDP 上)天生抗丢包、低延迟,于是有了 Hysteria2、Tuic 这类高性能协议。
但要泼一盆冷水:QUIC 在 2026 年已经不是盲区了。USENIX Security 2025 的论文证实,GFW 从 2024 年 4 月起就开始解密 QUIC 的首包、读取里面的 SNI 做封锁——这是全球首次国家级对 QUIC 的审查。所以 UDP/QUIC 协议现在普遍要配合混淆(如 Hysteria2 的 Salamander)才稳。
3. 抗主动探测,以及刚落地的后量子加密
"主动探测"指 GFW 会主动连你的服务器、发探测包看反应。能扛住它的协议(Reality、Mieru、NaiveProxy 等)会把探测者引到一个真实网站,让对方看不出破绽。
另外,后量子加密(PQC)在 2026 年已经不是概念了:Xray-core 从 v25.9.5 起给 VLESS 加了基于 ML-KEM-768 的加密,Reality 也支持 ML-DSA-65 的后量子签名。普通用户暂时不用管,但这说明对抗已经卷到密码学前沿了。
协议逐个看
为了好理解,按"代际"分三档:正在退场的、当前主力、值得了解的小众选项。
一、正在退场(别再新用了)
ShadowsocksR(SSR) 基于老 SS 加了一层 obfs 混淆。问题是混淆太粗糙,机器学习分类器对它的识别率极高,主动探测也容易确认。连 sing-box 都已经在 v1.6.0 把它移除了,官方理由很直白:"用它的黑产面板都停了,没必要继续维护"。结论:已弃用。
VMess(裸用) V2Ray 时代的老协议,用 UUID 做多用户认证,是一代经典。但它自身没有伪装,TLS 握手有可识别指纹,老版本还依赖系统时间。v2ray-core 从 2022 年起默认就拒绝非 AEAD 的旧连接了。结论:除非旧机场兼容,不建议新部署,真要用也得套 WS+TLS。
裸 Shadowsocks(旧版 AEAD) 没有任何伪装,正好撞在"全加密流量检测"的枪口上,大陆环境基本已死。但注意——它的现代版本 SS-2022 是另一回事(见下)。
二、当前主力(2026 推荐)
VLESS + Vision + Reality —— 最敌对环境下的首选
这是目前自建和技术党的"标准答案",重点理解 Reality 的精妙之处:
- 服务端不需要自己的域名,也不需要自己的证书。它借用一个真实大站(比如某个支持 TLS 1.3 的知名网站)来完成握手。
- 当 GFW 的探测者连进来(没有正确密钥)时,服务端会把这次连接透明转发到那个真实网站——探测者拿到的是货真价实的真站握手和真证书,根本分不出这是个代理。
- 合法客户端则在握手里带上预共享的密钥,服务端识别后才走代理通道。
再配上 Vision(xtls-rprx-vision) 解决"TLS 套 TLS"被识别的问题,性能和隐蔽性都拉满。
一个常被写错的时间点
Reality + XTLS-Vision 是随 Xray-core v1.8.0(2023 年 3 月) 正式发布的,网上不少文章写成"2022 年 12 月",是错的。
要提醒的是:Reality 不是"永不被封"。它依赖一个干净的落地 IP 和可用的伪装站点;2025 年也出现过针对 Reality / ShadowTLS 的探测 PoC 工具。它抗的是"已知的探测手法",不是魔法。
Hysteria2 —— 弱网和大带宽之王
基于 QUIC/UDP,专治"线路丢包高、被故意限速"的场景,看 4K、打游戏体验明显更好。核心是它的 Brutal 拥塞控制:你手动告诉它带宽是多少,它就按固定速率发包,不会因为丢包就自己降速(普通 TCP 一丢包就退让)。代价是它比较"霸道"、对同链路其他流量不公平。
抗封方面它有 HTTP/3 网站伪装 + Salamander 混淆 + 端口跳跃。注意它和 Hysteria1 协议不兼容,Hysteria1 已是遗留版本,官方强烈建议迁移到 v2。原理、配置和 hysteria2:// 链接的正确写法,详见 Hysteria2 详解。
小提醒:Hysteria2 一定要在客户端/服务端如实填写带宽,填错反而更不稳。
Tuic(v5)—— 温和的 QUIC 方案
同样基于 QUIC,特点是 0-RTT、对 UDP(Full Cone NAT)友好、换网不断流。它比 Hysteria2"温和"——没有激进的拥塞控制,对运营商更友好。但它没有内置混淆,而 QUIC 本身在 2026 年已经被针对性审查,所以激进环境下不如 Reality / Hysteria2 稳。
另外原作者已经把官方实现交给社区维护了,现在用 Tuic 基本是用 sing-box / mihomo 的内置实现。
AnyTLS —— 专治"TLS 套 TLS"指纹的新选择
2026 年直连机场的新兴主力之一。它要解决的问题很具体:VLESS / Trojan 走 WS+TLS 时,会在真 TLS 里再套一层 TLS,这个"双层 TLS"会被分类器识别。AnyTLS 用灵活的随机分片 + 填充 + 会话复用来打乱这个特征。客户端方面 sing-box、mihomo、Shadowrocket(较新版本)都支持。结论:值得用的现代选项,活跃维护中。原理、配置与能力边界详见 AnyTLS 协议详解。
Trojan —— 能用,但属于上一代
设计哲学是"模仿而非混淆":直接做成一个真 HTTPS 服务,密码错了就回落到一个预设的真实网站,让主动探测者只看到正常网页。问题是它需要真实域名 + 证书 + 回落网站,部署门槛高;而且 USENIX Security 2024 的论文实测,含 Trojan 的"TLS 套 TLS"被动检出率超过 70%。能用,但整体逊于 Reality。
三、值得了解的小众 / 特定场景
- SS-2022(+ ShadowTLS):现代版 Shadowsocks,强制重放保护、修了老版弱点,开销极低,是很多 IPLC/IEPL 专线机场的落地主力。裸用仍缺伪装,所以常配 ShadowTLS 套一层真 TLS。仍推荐,但有前提。
- Mieru:不依赖 TLS、不需要域名和伪装站,靠自研加密 + 随机填充 + 重放检测来抗探测。适合不想折腾域名的人,维护很活跃。
- NaiveProxy:直接复用 Chromium 网络栈,让流量和"真实 Chrome 浏览网页"在指纹上几乎一模一样,抗指纹能力极强。代价是要跟着 Chrome 更新版本。
- ShadowTLS v3:把一次真实 TLS 握手实时中继给真网站,伪装比 Trojan 更真。但 2025 年已被探测工具盯上,不再首推。
- WireGuard:高速 VPN 协议,但裸用穿墙必被封(握手特征固定),机场一般只拿它做接入 Cloudflare WARP 的跳板。要直连穿墙得配 AmneziaWG 混淆。
速查表
| 协议 | 传输层 | 核心抗封手段 | 速度 | 2026 推荐度 |
|---|---|---|---|---|
| VLESS+Vision+Reality | TCP+TLS/Reality | 借真站握手、免证书、抗主动探测 | 高 | ⭐ 首选(强审查) |
| Hysteria2 | QUIC/UDP | HTTP/3 伪装 + Salamander + Brutal | 高(弱网猛) | ⭐ 推荐(弱网/大带宽) |
| AnyTLS | TCP/TLS | 随机分片+填充+会话复用解 TLS-in-TLS | 中 | ✅ 推荐(现代新选项) |
| Tuic v5 | QUIC/UDP | 标准 QUIC 加密(无内置混淆) | 高 | ✅ 有条件推荐 |
| NaiveProxy | H2/H3 over TLS | 真 Chrome 指纹 + 应用前置 | 中 | ✅ 推荐(抗指纹强) |
| Mieru | TCP/UDP | 自研加密 + 随机填充 + 抗探测 | 中 | ✅ 推荐(免域名) |
| SS-2022(+ShadowTLS) | TCP/UDP | 强加密;裸连需套真 TLS | 高(低开销) | ✅ 专线主力,有前提 |
| Trojan | TCP/TLS | 模仿真 HTTPS、错密码回落 | 中 | ➖ 可用,上一代 |
| ShadowTLS v3 | TCP | 中继真站握手 | 较高 | ⚠️ 谨慎(已被探测) |
| VMess | TCP/WS/gRPC | 自身无伪装,须套 WS+TLS | 中 | ➖ 仅旧版兼容 |
| SSR | TCP/UDP | obfs 伪装(已被高识别率攻破) | — | ❌ 弃用 |
| WireGuard | UDP | 无(裸用易封) | 高 | ➖ 当 WARP 跳板可,直连不可裸用 |
关于"识别率/提速倍数"那些数字
网上常见"某协议被秒识别""提速 300%"之类的百分比,绝大多数来自机场带货文,没有一手数据支撑。本文只采用学术论文和官方文档能证实的机制性结论,对具体数字一律不引用,建议你也别太当真。
直连机场 vs 中转机场,协议用法不一样
这是很多人忽略的一层。机场大体分两类,协议侧重点完全不同:
- 直连机场(客户端直接连境外落地,走公网):因为公网最容易被 DPI 和主动探测,所以拼的是协议本身抗不抗封。2026 年的新兴主力就是 VLESS+Reality 和 AnyTLS,外加 Hysteria2 / Trojan。
- 中转 / 专线机场(境内入口 + 隧道转发到落地,含 IEPL/IPLC 专线):过墙这件事主要由线路扛,落地协议可以很轻量,所以多用 Shadowsocks / SS-2022(省 CPU),高端的再叠 Reality 或 Hysteria2。
一句话:直连拼协议,专线拼线路。 这也是为什么专线机场更稳但更贵——它赌的是"线路本身不被封",而不是"协议伪装得够好"。
关于直连和专线的整体环境变化,可以结合这篇一起看:2026年4月跨境网络整顿全景:中转与专线机场进入高压期。
普通用户怎么选(最实在的部分)
结论先行:99% 的人不用自建,直接用机场就好,协议机场早替你配好了。 你真正要做的是两件事:
- 挑一个支持新协议的客户端:
- 电脑:Clash Verge Rev 或 sing-box
- 安卓:Clash(mihomo 内核) 或 sing-box
- iOS:Shadowrocket 或 ClashMi
- 挑一个口碑机场,按月小额试,别一上来就买年付。可以先看这份长期更新的清单:2026年免费机场、便宜好用的翻墙机场推荐评测。
如果你要自建或手动选节点,按这个优先级:
- 要最稳最隐蔽 → VLESS + Vision + Reality
- 线路烂 / 看 4K / 打游戏 → Hysteria2(记得填真实带宽)
- 想极致伪装成浏览器 → NaiveProxy
- 不想搞域名和伪装站 → Mieru 或 SS-2022 + ShadowTLS
这几个别再用:SSR、裸 VMess、裸旧版 SS、裸 WireGuard 直连。
最后一条经验:没有任何一个协议在所有地区、所有时段都 100% 可用。 封锁有地域差也有时间差,常备两个协议/两个机场互为备份,比执着于找"永不被封的神协议"现实得多。
免责声明
本文基于公开的协议文档、学术论文与社区共识整理,技术细节可能随版本更新而变化,请以各项目官方文档为准。文中涉及的工具仅用于技术学习与合法合规的网络访问,请遵守所在地法律法规,自行承担使用风险。