Hysteria2 详解
Hysteria2 是 Hysteria 协议的下一代版本,它是一种高性能、抗审查的代理协议,专注于在高丢包、高延迟、带宽受限的网络环境下提供稳定快速的连接。Hysteria2 在其前身的基础上进行了多项重大改进,将底层传输协议从 QUIC 升级为基于自定义 UDP 的协议栈,并引入了更灵活的流量控制和更强大的抗审查特性。其核心理念是通过高效的 UDP 传输、TCP BBR 拥塞控制算法和 TLS 加密,在恶劣网络条件下最大化可用带宽,同时保持高度的隐蔽性。
核心思想:在不可靠的 UDP 传输之上构建一个可靠的、高性能的、基于 TCP BBR 算法的传输层,并结合 TLS 加密和流量伪装,以应对高丢包、高延迟和严格审查的网络环境。
一、为什么需要 Hysteria2?
传统的代理协议,无论是基于 TCP (如 Shadowsocks TCP, VLESS/Trojan over TCP+TLS) 还是基于 QUIC (如 Hysteria1),在高丢包率、高延迟的网络环境中(例如跨国长距离传输、卫星网络、受到干扰的网络)都可能表现不佳:
- TCP 协议的固有局限性:TCP 旨在保证可靠传输,但在高丢包和高延迟环境下,其拥塞控制机制可能会过于保守,导致带宽利用率低下,传输速度慢。
- QUIC 协议的特定问题:Hysteria1 基于 QUIC 协议。虽然 QUIC 解决了 TCP 的队头阻塞问题,但在某些网络环境下,QUIC 的特征可能仍然容易被识别和阻断。
- 复杂审查环境:审查者可能不仅仅是识别协议特征,还会通过分析流量模式、连接行为来阻断代理。
Hysteria2 旨在通过以下改进来解决这些问题:
- 完全自定义的 UDP 协议栈:摆脱了 QUIC 的束缚,拥有更大的自由度来优化传输和抗审查能力。
- 更强大的抗审查特性:引入了更灵活的流量伪装选项。
- 极致的性能优化:在高丢包、高延迟环境下,能够提供更接近线路极限的传输速度。
二、Hysteria2 协议的核心特性
2.1 基于 UDP 的自定义协议栈 (Custom UDP Protocol Stack)
Hysteria2 的底层传输完全建立在 UDP 之上,但它不是简单地转发 UDP 数据,而是在 UDP 报文内部实现了一套可靠传输、拥塞控制和流量控制机制,类似于 QUIC,但拥有更大的定制空间。
- 优势:
- 摆脱 TCP 的队头阻塞 (Head-of-Line Blocking):一个数据包的丢失不会阻塞其他独立流的传输。
- 摆脱 QUIC 协议指纹:不再暴露 QUIC 的特定握手和流量特征,提供了更高的隐蔽性。
- 传输灵活性:可以根据网络状况更精细地控制重传、流量整形等行为。
2.2 TCP BBR 拥塞控制 (TCP BBR Congestion Control)
Hysteria2 核心集成了 Google 的 TCP BBR (Bottleneck Bandwidth and RTT) 拥塞控制算法。BBR 旨在通过测量网络路径的带宽和延迟来优化传输,而不是简单地通过丢包来判断拥塞。
- 优势:
- 高带宽利用率:在高丢包、高延迟、长距离传输等恶劣网络环境下,能显著提高带宽利用率,实现更快的速度。
- 更公平的带宽分配:在与其他流量竞争时,BBR 表现更激进但更合理。
- 适应性强:能够更好地适应不断变化的网络条件。
2.3 基于 TLS 1.3 的安全传输 (TLS 1.3 based Security)
Hysteria2 使用标准的 TLS 1.3 协议进行加密和认证,确保数据传输的机密性、完整性和真实性。
- 优势:
- 强安全性:TLS 1.3 是目前最安全的加密协议之一。
- 抗审查:通过 TLS 加密,代理流量看起来与正常的加密流量无异。
- 快速握手:TLS 1.3 优化了握手过程,减少了延迟。
2.4 可配置的伪装 (Configurable Obfuscation/Masking)
Hysteria2 提供了多种伪装选项,以增强其抗审查能力:
mask字段:允许将 Hysteria2 的流量伪装成访问一个真实网站的 HTTPS 流量。例如,你可以指定mask: "https://www.google.com",这样 Hysteria2 的握手和部分数据包就会模仿访问 Google 网站的特征。自定义 HTTP 请求头:在
mask的基础上,可以进一步定制伪装 HTTP 请求头,使其更难以被识别。混淆模式 (Obfuscation Mode):通过对 UDP 包的头进行一定程度的混淆,使其不那么容易被识别出是 Hysteria2 流量。
IP 模糊 (IP Confusion):通过同时监听多个 IP 地址或端口,增加探测的难度。
优势:极大增强了流量的隐蔽性,使其在深度包检测下更难以被识别和阻断。
2.5 流量控制 (Rate Limit & Congestion Control)
Hysteria2 允许用户对上传和下载速度进行精细的控制,可以设置最大速率,防止单个连接耗尽服务器所有带宽。
- 优势:
- 服务器资源管理:有效管理服务器带宽,防止滥用。
- 用户体验优化:在多用户环境下,可以提供更公平的带宽分配。
2.6 NAT 类型支持 (NAT Type Support)
Hysteria2 能够更好地穿透各种 NAT (Network Address Translation) 类型,这对于 P2P 连接或某些特殊的网络环境非常重要。
三、Hysteria2 协议结构概述
Hysteria2 的协议结构是建立在 UDP 数据报文之上的。大致可以分为以下几个阶段:
- UDP 握手阶段:
- 客户端和服务器之间通过自定义的 UDP 报文进行初次握手。
- 这个握手过程会协商连接 ID、加密参数等。
- 在此阶段,如果配置了
mask,则会发送伪装成 HTTP/TLS 的请求,使得外部看起来像是一个正常的 HTTPS 连接。
- TLS 1.3 握手阶段:
- 在 UDP 握手成功后,双方建立一个 TLS 1.3 会话。
- 这提供了端到端的加密和身份验证。
- 客户端会验证服务器证书,服务器会根据配置验证客户端身份(可选,通常通过密码)。
- Hysteria2 数据传输阶段:
- TLS 握手成功后,所有代理数据都通过 TLS 1.3 加密,封装在 Hysteria2 的 UDP 报文内进行传输。
- Hysteria2 在 UDP 报文内部实现了可靠性、顺序性、流量控制和拥塞控制。
- 每个 UDP 报文可能包含多个 Hysteria2 帧,每个帧又可能包含多个应用数据包。
四、Hysteria2 的工作流程 (简化)
sequenceDiagram
participant client as 客户端 (Hysteria2 Client)
participant hysteria_server as Hysteria2 服务器
participant target_server as 目标网站/服务
client->>hysteria_server: 1. UDP 连接建立 (Hysteria2 握手 + 伪装)
hysteria_server->>hysteria_server: 2. 验证 Hysteria2 握手
client->>hysteria_server: 3. TLS 1.3 握手 (客户端验证服务器证书, 携带密码)
hysteria_server->>hysteria_server: 4. 验证 TLS 证书和客户端密码
alt 握手成功
client->>hysteria_server: 5. Hysteria2 数据流 (通过 TLS 1.3 加密, BBR 拥塞控制)
hysteria_server->>target_server: 6. 转发请求 (解密 Hysteria2 -> 原始请求)
target_server->>hysteria_server: 7. 返回响应
hysteria_server->>client: 8. Hysteria2 数据流 (原始响应 -> 加密 Hysteria2)
else 握手失败
hysteria_server->>client: 9. 关闭连接
end
流程说明:
- UDP 握手与伪装:客户端首先向 Hysteria2 服务器的 UDP 端口发送经过 Hysteria2 特有头部封装和伪装(如果配置了
mask)的 UDP 报文,开始 Hysteria2 协议的握手。 - TLS 握手:在 Hysteria2 握手成功后,客户端和服务器之间进行 TLS 1.3 握手。客户端验证服务器的 TLS 证书,并发送客户端密码进行认证。
- 身份验证:服务器验证 TLS 证书的合法性以及客户端密码的正确性。
- 数据传输:一旦 TLS 握手和身份验证成功,客户端和服务器之间就建立了一个安全的 Hysteria2 隧道。所有后续的代理数据都将通过这个隧道传输:
- 客户端应用数据被 Hysteria2 客户端捕获。
- 数据被封装、加密(TLS 1.3)、并通过 Hysteria2 的自定义 UDP 协议栈(包含 BBR 拥塞控制)发送。
- 服务器接收 UDP 报文,解封装、解密,并将原始应用数据转发到目标服务。
- 目标服务的响应数据反向经过 Hysteria2 服务器、封装加密,通过 UDP 隧道返回给客户端。
- BBR 优化:在整个数据传输过程中,BBR 拥塞控制算法会持续监测网络状况(RTT、带宽),动态调整发送速率,以最大化吞吐量并减少延迟。
五、Hysteria2 的优缺点与适用场景
5.1 优点:
- 极致性能 (高丢包/高延迟环境):
- 基于 UDP 和 BBR 拥塞控制,在高丢包、高延迟、长距离网络条件下表现卓越,能够充分利用带宽。
- 比传统 TCP 代理和基于 QUIC 的代理在恶劣网络中提供更快的速度和更稳定的连接。
- 强大的抗审查能力:
- UDP 传输:UDP 流量在某些审查环境中可能比 TCP 更不容易被限制。
- TLS 1.3 加密:保证流量加密和伪装。
- 可配置的伪装 (Masking):能将流量伪装成访问真实网站的 HTTPS 流量,进一步增强隐蔽性。
- 自定义协议栈:摆脱了 QUIC 的特定指纹。
- 灵活性高:多种伪装和流量控制选项,适应不同网络和审查环境。
- 部署相对简单:相比 REALITY,Hysteria2 仍然需要域名和 TLS 证书,但其配置逻辑相对直观。
5.2 缺点:
- 仍需域名和 TLS 证书:为了安全性、隐蔽性和避免 IP 被封,通常需要一个域名和合法 TLS 证书。
- UDP 端口开放问题:部分严格的网络环境可能对 UDP 流量有限制或 QOS 较低,或默认关闭所有 UDP 端口。
- 需要服务器资源:BBR 算法和复杂的 UDP 传输层需要一定的 CPU 资源。
- 可能存在特定 UDP 流量的识别:尽管进行了伪装和混淆,但 UDP 流量的特征本身仍可能被高级审查系统识别。
5.3 适用场景:
- 网络环境恶劣:用户所在地区网络丢包率高、延迟大(例如跨国链路拥堵)、带宽受限。
- 需要突破 UDP 限制:希望使用 UDP 协议进行代理传输,特别是用于游戏、VoIP 等对实时性要求高的应用。
- 对代理性能有较高要求:追求在高负载或挑战性网络条件下仍能保持高速稳定连接。
- 对抗复杂的流量识别和审查。
- 对安全性有较高要求。
六、总结
Hysteria2 作为新一代的抗审查代理协议,在高丢包、高延迟网络环境下展现出卓越的性能和强大的抗审查能力。它通过在 UDP 上构建自定义的、基于 BBR 拥塞控制的可靠传输协议栈,并结合 TLS 1.3 加密和灵活的流量伪装,有效地解决了传统协议在恶劣网络条件下效率低下的问题,并进一步提升了隐蔽性。对于那些面临严苛网络环境或追求极致代理速度的用户而言,Hysteria2 是一个非常值得关注和部署的解决方案。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 1024 维度!
相关推荐
2023-05-22
SOCKS5协议详解:网络代理的基础与通用协议
SOCKS5 是一种网络传输协议,它允许客户端通过一个“代理服务器”间接地连接到其他服务器。SOCKS 是 “SOCKet Secure” 的缩写,版本 5 是目前最常用的 SOCKS 协议版本。SOCKS5 协议工作在 OSI 模型中的会话层 (第五层),能够处理TCP 和 UDP 两种流量,并且支持多种认证方式。它本身不提供加密功能,主要用于路由流量和隐藏真实 IP 地址,是许多更高级代理协议(如 Shadowsocks、V2Ray 客户端的本地监听)的基础。 核心思想:SOCKS5 是一个通用的网络代理协议,它实现了在客户端和目标服务器之间建立连接的中间转发机制。它不关心应用层数据,只负责转发 TCP 连接和 UDP 数据包,并提供认证功能。 一、为什么需要 SOCKS5 代理?在没有代理的情况下,应用程序直接连接到目标服务器。SOCKS5 代理的出现,主要解决了以下问题: 突破网络限制:当直接访问某个服务受阻时,可以通过 SOCKS5 代理服务器进行中转,绕过本地网络限制。 隐藏真实 IP 地址:客户端的真实 IP 地址对目标服务器隐藏,保护用户隐私。 负载均衡...
2023-07-03
Shadowsocks(SS)详解:轻量级加密代理协议
Shadowsocks (SS) 是一个开源的SOCKS5 代理协议,由 @clowwindy 于 2012 年开发。它专门设计用于穿透网络审查,并保护用户隐私。与传统 VPN 不同,Shadowsocks 采取了轻量级的加密和混淆机制,旨在让代理流量看起来不那么“突出”,从而避免被网络防火墙识别和阻断。其简洁高效的设计概念,使其一度成为最流行的科学上网工具之一。 核心思想:Shadowsocks 通过特定的加密算法对SOCKS5代理流量进行加密,并通常通过在TCP层提供一个“看起来像随机数据”的加密层,来隐藏其代理本质,而非像 VPN 那样建立一个完整的隧道。 一、为什么需要 Shadowsocks?传统的 VPN 协议,如 PPTP、L2TP/IPSec 等,虽然能提供加密和匿名性,但在严格的网络审查环境下,其协议特征容易被防火墙识别和阻断。许多早期 VPN 服务商采用的 PPTP 协议甚至因为安全性弱点而不再被推荐。 Shadowsocks 旨在解决以下问题: 协议特征明显:传统 VPN 协议的握手和数据包结构特征明显,容易被防火墙识别。 性能开销:完整...
2023-09-27
VMess协议详解:V2Ray核心加密代理协议
VMess 是 V2Ray 项目最初开发的一款加密传输协议,也是 V2Ray 的核心协议。它旨在提供一个安全、高效、高匿名性的代理传输方式,以应对复杂的网络审查环境。VMess 协议在设计时考虑了多种加密和混淆方案,并支持多种底层传输协议(如 TCP、WebSocket、mKCP 等),使其在各种网络环境下都具备较强的适应性和抗审查能力。 核心思想:VMess 协议通过复杂的协议头、多重加密机制和灵活的传输配置,实现在客户端和服务器之间建立一个加密且相对隐蔽的通信隧道,以达到绕过网络审查、保护用户隐私的目的。 一、为什么需要 VMess?传统的代理协议(如 SOCKS5、HTTP 代理)或简单的 VPN 协议(如 PPTP)在安全性和抗审查方面存在不足: 缺乏加密:数据明文传输,容易被监听和审查。 协议特征明显:协议固有的特征容易被防火墙识别和封锁。 安全性弱点:认证机制不够完善,易受到攻击。 VMess 协议旨在解决这些问题,提供一个增强安全性、抵抗审查、且高度可配置的代理方案。 二、VMess 的核心特性与机制VMess 协议的设计复杂而精妙,主要包含以下核心特性...
2023-10-01
Dokodemo-door 协议详解
Dokodemo-door (任意门) 是 V2Ray (Project V) 中一个特殊的 Inbound (入站) 代理协议。它的设计灵感来源于哆啦A梦的“任意门”,主要作用是将指定端口或 IP/端口范围的所有流量透明地转发到预设的目标地址。与 SOCKS、HTTP 等常见的代理协议不同,Dokodemo-door 不期望客户端发送任何代理协议头信息,而是直接捕获并处理原始的 TCP/UDP 流量。 核心思想:透明地拦截并重定向指定端口/IP 的网络流量,无需客户端配置代理,实现“强制代理”或“透明代理”的效果。 一、Dokodemo-door 的工作原理与用途Dokodemo-door 协议本身并不是一个用于客户端与 V2Ray 服务端通信的“伪装”或“加密”协议(如 VMess、VLESS、Trojan)。它是一个入站协议 (Inbound Protocol),这意味着它在 V2Ray 的服务器端或本地代理端接收流量。 1.1 工作原理当配置了 Dokodemo-door Inbound 时,V2Ray 会监听指定的端口和/...
2023-09-29
VLESS协议详解:下一代无状态加密传输协议
VLESS 是一种由 Xray-core 团队设计和实现的代理协议,旨在提供一种简洁、透明且高性能的传输方式。与 VMess 等协议不同,VLESS 自身不包含任何加密或混淆功能,它将这些任务委托给传输层(如 TLS, WebSocket)来完成。VLESS 的核心理念是“不加密,不混淆,只传输”,它极大地减少了协议自身的开销,从而带来了更快的速度和更低的资源占用。 核心思想:将协议开销降到最低,只负责将客户端的流量“透明”地转发给目标服务器,而将加密和混淆的重任完全交给底层的传输协议(如 TLS、WebSocket)。 一、VLESS 协议的诞生背景与目标VLESS 协议的诞生,是对 VMess 协议以及其他一些传统代理协议的反思和改进。它主要为了解决以下问题: 双重加密的性能损耗: 许多代理协议(如 VMess)自身会进行数据加密和混淆。 当这些协议再叠加 TLS(HTTPS)等传输层加密时,就会形成“双重加密”,导致不必要的 CPU 消耗和延迟。 协议特征暴露: 复杂的协议自身往往会产生固定的“指纹”或特征,可能被深度包检测 (DPI) 识别并封锁。 协议越简...
2023-10-02
VLESS+WS+TLS 代理方式详解
VLESS+WS+TLS 是一种高效、安全且隐蔽的代理组合方案,广泛应用于突破网络审查和实现隐私保护。它结合了 VLESS 协议的轻量和高性能、WebSocket (WS) 的伪装能力以及 TLS 的加密和流量混淆特性。这种组合使得代理流量在网络传输中难以被检测和干扰,提供了良好的稳定性和抗封锁能力。 核心思想:VLESS 负责高效数据传输,WebSocket 将代理流量伪装成正常的网页浏览流量,TLS 提供端到端加密和证书认证,三者结合形成一个难以被识别、安全且高性能的代理通道。 一、各组件详解1.1 VLESS 协议VLESS 是一种由 Xray-core 开发的轻量级代理协议。它旨在提供比 VMess 更简单、更高效的数据传输,并减少协议开销。 特点: 无状态 (Stateless):与 VMess 不同,VLESS 不包含复杂的握手和会话管理,减少了协议开销。 高性能 (High Performance):由于协议简单,数据传输效率高。 透明性 (Transparency):VLESS 可以相对透明地传输数据,不进行额外的加密或混淆(通常与 TLS 或 XTL...