计算机网络

Hysteria2 是 Hysteria 协议的下一代版本，它是一种高性能、抗审查的代理协议，专注于在高丢包、高延迟、带宽受限的网络环境下提供稳定快速的连接。Hysteria2 在其前身的基础上进行了多项重大改进，将底层传输协议从 QUIC 升级为基于自定义 UDP 的协议栈，并引入了更灵活的流量控制和更强大的抗审查特性。其核心理念是通过高效的 UDP 传输、TCP BBR 拥塞控制算法和 TLS 加密，在恶劣网络条件下最大化可用带宽，同时保持高度的隐蔽性。 核心思想：在不可靠的 UDP 传输之上构建一个可靠的、高性能的、基于 TCP BBR 算法的传输层，并结合 TLS 加密和流量伪装，以应对高丢包、高延迟和严格审查的网络环境。 一、为什么需要 Hysteria2？传统的代理协议，无论是基于 TCP (如 Shadowsocks TCP, VLESS/Trojan over TCP+TLS) 还是基于 QUIC (如 Hysteria1)，在高丢包率、高延迟的网络环境中（例如跨国长距离传输、卫星网络、受到干扰的网络）都可能表现不佳： TCP 协议的固有局限性...

QUIC (Quick UDP Internet Connections) 是由 Google 最早开发的一种通用的传输层网络协议，它旨在通过在 UDP 协议之上实现可靠性和安全性来加速 HTTP 流量。QUIC 合并了 TCP、TLS 和 HTTP/2 的最佳特性，并针对现代互联网环境进行了优化，解决了 TCP 的一些固有局限性。目前，QUIC 已经由 IETF (Internet Engineering Task Force) 标准化为 RFC 9000 系列，并作为 HTTP/3 的底层传输协议。 核心思想：QUIC 将 TCP 连接管理、TLS 加密和 HTTP/2 多路复用等功能集成到 UDP 上，通过 0-RTT 连接、独立流、更快的连接迁移和可插拔拥塞控制，实现了低延迟、高吞吐量和强大的安全性。 一、为什么需要 QUIC？尽管 TCP/IP 协议栈在过去几十年中支撑了整个互联网，但随着网络应用的发展和移动设备的普及，TCP 的一些固有缺陷逐渐显现出来： TCP 三次握手延迟 (3-RTT)：每次建立新的 TCP 连接...

REALITY 是 Xray-core 团队在 2022 年底推出的一种创新型传输协议，旨在彻底解决传统代理协议在 TLS 流量伪装上面临的主动探测和 TLS 指纹识别问题。REALITY 的核心思想是“无服务器指纹，无 TLS 握手特征，无需伪装域名和证书”，它通过重用目标网站的 TLS 证书和握手，将代理流量伪装成访问真实网站的流量，从而达到前所未有的隐蔽性。 核心思想：服务器不再持有自己的 TLS 证书和域名，而是被动地作为中继，复用一个真实存在且受欢迎的 HTTPS 网站的 TLS 证书和握手，将代理流量伪装成访问该网站的流量，从而达到极高的隐蔽性，并且不再需要自签证书和伪装域名。 一、为什么需要 REALITY？尽管 VLESS+XTLS 和 Trojan 等协议已经提供了很强的隐蔽性，但它们仍面临一些挑战： TLS 指纹识别 (TLS Fingerprinting)：即使使用合法证书，客户端（如 Xray 客户端）在进行 TLS 握手时，其行为模式（支持的密码套件、扩展顺序、记录大小等）可能与主流浏览器存在细微差异，形成独特的“TLS 指纹”。审查者可以分析...

TUIC (TCP User Datagram Internet Connections) 是一个创新的代理协议，旨在结合 TCP 的稳定性和 UDP 的灵活性及高效率。它基于 QUIC 协议的思想，但在用户空间实现了一套自定义的拥塞控制和可靠传输机制，运行在 UDP 端口上，并利用 TLS 1.3 进行加密。TUIC 的核心目标是提供一个高性能、低延迟、抗审查且在各种网络环境下（尤其是高丢包、高延迟）表现优异的代理解决方案，同时保持极高的隐蔽性。 核心思想：在 UDP 端口上模拟 TCP 的可靠传输和拥塞控制（但拥有更强的灵活性和性能），并融入 QUIC 的多路复用优势，所有流量均通过 TLS 1.3 加密，以实现高性能、高隐蔽性和强抗审查能力。 一、为什么需要 TUIC？在代理协议的发展历程中，TCP 和 UDP 各有优劣： TCP 协议： 优点：可靠传输、有序交付、广泛兼容性、穿越 NAT 能力强。 缺点：队头阻塞 (Head-of-Line Blocking)、拥塞控制在高丢包/高延迟环境下效率低下、握手开销大。 UDP 协议： 优点：无连接、低延...

Trojan 是一个开源的代理协议，其核心设计理念是“伪装为最常见的 HTTPS 流量”。它通过模仿 HTTPS 流量的特征，并利用 TLS (Transport Layer Security) 的加密和认证机制，旨在实现几乎无法被识别和阻断的代理连接。Trojan 协议放弃了传统代理协议常见的复杂头部和混淆算法，转而直接将代理数据封装在 TLS 中，并强制要求使用 443 端口和合法 TLS 证书，以最大化其隐蔽性。 核心思想：将代理流量深度伪装为 HTTPS 流量，通过在 443 端口上直接利用 TLS 协议的加密会话来传输代理数据，从而使其在外部看来与正常的 HTTPS 流量几乎无异。 一、Trojan 协议的诞生背景与目标Trojan 协议的出现，是对传统代理协议（如 Shadowsocks、VMess 等）在对抗深度包检测 (DPI) 和主动探测时的局限性的一种回应。主要背景如下： 协议特征识别：许多代理协议，即使经过混淆，仍可能因其特定的协议头部、握手流程、流量模式或不符合 TLS 规范的行为而被识别。 主动探测：审查系统可能会主动连接代理服务器，发送探测包...

随着数字化时代的深入发展，网络已成为我们工作和生活中不可或缺的一部分。然而，伴随而来的网络攻击也日益猖獗，形式多样且破坏力巨大。理解常见的网络攻击类型及其防御方法，对于个人、企业乃至国家层面的网络安全防护至关重要。 核心思想：网络攻击的本质是利用系统、网络、应用或人为的漏洞，破坏信息资产的机密性、完整性、可用性。有效的防御需要结合技术防护、安全管理和人员意识培训。 一、网络攻击概述网络攻击是指以获取、破坏、更改、禁用、窃取或秘密访问计算机系统、基础设施、计算机网络或链接设备为目的的恶意行为。攻击者利用各种技术手段，针对不同层面的漏洞发起攻击，以达到其非法目的。 1.1 攻击目标 数据 (Data)：窃取敏感信息（用户数据、商业机密、知识产权），篡改数据，删除数据。 系统/应用 (Systems/Applications)：破坏服务可用性（拒绝服务）、获取系统控制权、植入恶意代码。 网络 (Network)：瘫痪网络基础设施、监听网络流量、劫持通信。 用户 (Users)：欺骗、诱导用户泄露信息（钓鱼）、传播谣言或虚假信息。 1.2 攻击动机 经济利...

XTLS (eXtended TLS) 是 Xray-core 提出的一种创新性传输协议，旨在解决传统代理方案中 TLS 双重加密带来的性能损耗，同时保持甚至增强流量的隐蔽性。XTLS 的核心思想是优化 TLS 加密过程，只对必要的数据进行加密，避免重复加密，从而提高代理的性能和降低资源占用。 核心思想：避免 TLS 双重加密，直接复用 TLS 握手后的加密会话，将代理协议数据直接封装在 TLS Payload 中，从而实现高性能且隐蔽的传输。 一、为什么需要 XTLS？在 VLESS+WS+TLS 或 VMess+WS+TLS 等传统代理方案中，数据流通常会经历双重加密： 代理协议自身加密：例如，VMess 协议会对数据进行加密（VLESS 自身不加密，但通常会与其他加密方案结合）。 传输层 TLS 加密：WebSocket 流量再通过 TLS 进行加密，形成 代理协议数据 -> WS 帧 -> TLS 记录 的封装。 这种双重加密虽然增强了安全性，但带来了以下问题： 性能损耗：加密和解密操作是 CPU 密集型的，双重加密会显著增加 CPU 负担，尤其...

VLESS+WS+TLS 是一种高效、安全且隐蔽的代理组合方案，广泛应用于突破网络审查和实现隐私保护。它结合了 VLESS 协议的轻量和高性能、WebSocket (WS) 的伪装能力以及 TLS 的加密和流量混淆特性。这种组合使得代理流量在网络传输中难以被检测和干扰，提供了良好的稳定性和抗封锁能力。 核心思想：VLESS 负责高效数据传输，WebSocket 将代理流量伪装成正常的网页浏览流量，TLS 提供端到端加密和证书认证，三者结合形成一个难以被识别、安全且高性能的代理通道。 一、各组件详解1.1 VLESS 协议VLESS 是一种由 Xray-core 开发的轻量级代理协议。它旨在提供比 VMess 更简单、更高效的数据传输，并减少协议开销。 特点： 无状态 (Stateless)：与 VMess 不同，VLESS 不包含复杂的握手和会话管理，减少了协议开销。 高性能 (High Performance)：由于协议简单，数据传输效率高。 透明性 (Transparency)：VLESS 可以相对透明地传输数据，不进行额外的加密或混淆（通常与 TLS 或 XTL...

Dokodemo-door (任意门) 是 V2Ray (Project V) 中一个特殊的 Inbound (入站) 代理协议。它的设计灵感来源于哆啦A梦的“任意门”，主要作用是将指定端口或 IP/端口范围的所有流量透明地转发到预设的目标地址。与 SOCKS、HTTP 等常见的代理协议不同，Dokodemo-door 不期望客户端发送任何代理协议头信息，而是直接捕获并处理原始的 TCP/UDP 流量。 核心思想：透明地拦截并重定向指定端口/IP 的网络流量，无需客户端配置代理，实现“强制代理”或“透明代理”的效果。 一、Dokodemo-door 的工作原理与用途Dokodemo-door 协议本身并不是一个用于客户端与 V2Ray 服务端通信的“伪装”或“加密”协议（如 VMess、VLESS、Trojan）。它是一个入站协议 (Inbound Protocol)，这意味着它在 V2Ray 的服务器端或本地代理端接收流量。 1.1 工作原理当配置了 Dokodemo-door Inbound 时，V2Ray 会监听指定的端口和/...

VLESS 是一种由 Xray-core 团队设计和实现的代理协议，旨在提供一种简洁、透明且高性能的传输方式。与 VMess 等协议不同，VLESS 自身不包含任何加密或混淆功能，它将这些任务委托给传输层（如 TLS, WebSocket）来完成。VLESS 的核心理念是“不加密，不混淆，只传输”，它极大地减少了协议自身的开销，从而带来了更快的速度和更低的资源占用。 核心思想：将协议开销降到最低，只负责将客户端的流量“透明”地转发给目标服务器，而将加密和混淆的重任完全交给底层的传输协议（如 TLS、WebSocket）。 一、VLESS 协议的诞生背景与目标VLESS 协议的诞生，是对 VMess 协议以及其他一些传统代理协议的反思和改进。它主要为了解决以下问题： 双重加密的性能损耗： 许多代理协议（如 VMess）自身会进行数据加密和混淆。 当这些协议再叠加 TLS（HTTPS）等传输层加密时，就会形成“双重加密”，导致不必要的 CPU 消耗和延迟。 协议特征暴露： 复杂的协议自身往往会产生固定的“指纹”或特征，可能被深度包检测 (DPI) 识别并封锁。 协议越简...

VMess 是 V2Ray 项目最初开发的一款加密传输协议，也是 V2Ray 的核心协议。它旨在提供一个安全、高效、高匿名性的代理传输方式，以应对复杂的网络审查环境。VMess 协议在设计时考虑了多种加密和混淆方案，并支持多种底层传输协议（如 TCP、WebSocket、mKCP 等），使其在各种网络环境下都具备较强的适应性和抗审查能力。 核心思想：VMess 协议通过复杂的协议头、多重加密机制和灵活的传输配置，实现在客户端和服务器之间建立一个加密且相对隐蔽的通信隧道，以达到绕过网络审查、保护用户隐私的目的。 一、为什么需要 VMess？传统的代理协议（如 SOCKS5、HTTP 代理）或简单的 VPN 协议（如 PPTP）在安全性和抗审查方面存在不足： 缺乏加密：数据明文传输，容易被监听和审查。 协议特征明显：协议固有的特征容易被防火墙识别和封锁。 安全性弱点：认证机制不够完善，易受到攻击。 VMess 协议旨在解决这些问题，提供一个增强安全性、抵抗审查、且高度可配置的代理方案。 二、VMess 的核心特性与机制VMess 协议的设计复杂而精妙，主要包含以下核心特性...

Shadowsocks (SS) 是一个开源的SOCKS5 代理协议，由 @clowwindy 于 2012 年开发。它专门设计用于穿透网络审查，并保护用户隐私。与传统 VPN 不同，Shadowsocks 采取了轻量级的加密和混淆机制，旨在让代理流量看起来不那么“突出”，从而避免被网络防火墙识别和阻断。其简洁高效的设计概念，使其一度成为最流行的科学上网工具之一。 核心思想：Shadowsocks 通过特定的加密算法对SOCKS5代理流量进行加密，并通常通过在TCP层提供一个“看起来像随机数据”的加密层，来隐藏其代理本质，而非像 VPN 那样建立一个完整的隧道。 一、为什么需要 Shadowsocks？传统的 VPN 协议，如 PPTP、L2TP/IPSec 等，虽然能提供加密和匿名性，但在严格的网络审查环境下，其协议特征容易被防火墙识别和阻断。许多早期 VPN 服务商采用的 PPTP 协议甚至因为安全性弱点而不再被推荐。 Shadowsocks 旨在解决以下问题： 协议特征明显：传统 VPN 协议的握手和数据包结构特征明显，容易被防火墙识别。 性能开销：完整...

FRP (Fast Reverse Proxy) 是一个高性能的内网穿透和反向代理工具，它允许您将位于内网（局域网）中的服务（如 Web 服务器、SSH、数据库等）通过一台具有公网 IP 的服务器暴露给公网用户访问。在当前 IPv4 地址资源日益紧张，许多家庭和小型办公室难以获取公网 IP 的背景下，FRP 提供了便捷、高效的解决方案。 核心思想：FRP 通过在公网服务器上运行一个 frps (服务端) 和在内网机器上运行一个 frpc (客户端) 来建立连接。内网流量经由 frpc 转发到 frps，再由 frps 转发到公网用户，实现内网服务的公网访问。 一、为什么需要 FRP？在许多场景下，我们需要从外部网络访问位于内网的服务，但常常面临以下问题： 没有公网 IP：大多数家庭宽带用户和一些小型企业用户不再拥有独立的公网 IPv4 地址。他们处于运营商的 NAT (Network Address Translation) 之后，无法直接从外部访问内网设备。 端口转发困难：即使有公网 IP，也可能需要手动在路由器上配置端口转发规则，这对于不熟悉网络配置的用户来说可能比...

HTTP Upgrade 请求 是一种特殊的 HTTP/1.1 机制，允许客户端和服务器在已经建立的 TCP 连接上，将当前协议从 HTTP/1.1 切换到另一个不同的、更高级别的协议。最常见的应用场景是将 HTTP 连接升级到 WebSocket 协议，从而实现全双工、低延迟的持久连接。 核心思想：Upgrade 请求是 HTTP/1.1 中用于协议协商的机制，允许在一个已有的 TCP 连接上，在客户端和服务器都同意的情况下，从 HTTP 切换到其他协议，避免了重新建立连接的开销，并开启更强大的通信模式。 一、为什么需要 HTTP Upgrade？HTTP/1.0 和 HTTP/1.1 都是无状态的请求-响应协议。对于每个请求，客户端发送请求，服务器发送响应，然后连接可以关闭（非持久连接）或保持一段时间用于后续的 HTTP 请求（持久连接，Keep-Alive）。 这种请求-响应模式对于传统的 Web 页面浏览非常高效。然而，随着 Web 应用复杂度的增加，许多场景需要更高级的通信模式： 实时通信：聊天应用、在线游戏、...

WebSocket 是一种在单个 TCP 连接上进行全双工（Full-Duplex）通信的网络协议。它在 Web 浏览器和服务器之间提供了一个持久化的连接，允许双方在任何时候发送消息，而无需像传统的 HTTP 请求那样需要先发送请求再接收响应。WebSocket 解决了传统 Web 应用中实现实时通信的诸多难题，是构建实时 Web 应用的关键技术之一。 核心思想：从 HTTP 协议“握手”后，将底层 TCP 连接“升级”为 WebSocket 连接，实现客户端与服务器之间长时间、双向、无阻塞的消息传输，从而大幅降低通信开销，提升实时应用的性能。 一、为什么需要 WebSocket？传统 HTTP 的局限性在 WebSocket 出现之前，Web 应用程序要实现实时通信，如聊天室、股票行情、在线游戏、推送通知等，面临着传统 HTTP 协议的固有局限性： 半双工 (Half-Duplex) 通信：HTTP 协议是单向请求-响应模型。客户端发送请求，服务器返回响应。服务器无法主动向客户端发送消息，除非客户端先发起请求。 效率低下： 频繁连接建立与断开：每个 HTTP 请求都需...

在计算机网络编程中，“流 (Stream)”是一个非常核心且抽象的概念，它通常用来描述数据在两个实体之间进行传输时，数据流动的抽象表示。尤其在基于 TCP 协议的网络通信中，“流”的概念至关重要，它模拟了数据的顺序传输和持续性连接。理解“流”有助于开发者更好地掌握网络数据传输的本质，并编写出健壮、高效的网络应用程序。 核心思想：网络编程中的“流”是一种抽象，表示数据像水流一样顺序、持续地从一个端点流向另一个端点，封装了底层网络传输的复杂性。 一、什么是“流”？在网络编程中，“流”可以被理解为： 数据的有序序列 (Ordered Sequence of Data)：数据被发送时按照发送的顺序到达接收方，不会乱序。 持续的数据传输通道 (Continuous Data Flow Channel)：它代表了客户端与服务器之间建立的一种逻辑连接，数据可以在这个连接上持续不断地传输，就像水流一样。 抽象的读写接口 (Abstract Read/Write Interface)：开发者通过操作流接口（例如 read()、write()），而不必关心底层数据的分段、组装、路...

SOCKS5 是一种网络传输协议，它允许客户端通过一个“代理服务器”间接地连接到其他服务器。SOCKS 是 “SOCKet Secure” 的缩写，版本 5 是目前最常用的 SOCKS 协议版本。SOCKS5 协议工作在 OSI 模型中的会话层 (第五层)，能够处理TCP 和 UDP 两种流量，并且支持多种认证方式。它本身不提供加密功能，主要用于路由流量和隐藏真实 IP 地址，是许多更高级代理协议（如 Shadowsocks、V2Ray 客户端的本地监听）的基础。 核心思想：SOCKS5 是一个通用的网络代理协议，它实现了在客户端和目标服务器之间建立连接的中间转发机制。它不关心应用层数据，只负责转发 TCP 连接和 UDP 数据包，并提供认证功能。 一、为什么需要 SOCKS5 代理？在没有代理的情况下，应用程序直接连接到目标服务器。SOCKS5 代理的出现，主要解决了以下问题： 突破网络限制：当直接访问某个服务受阻时，可以通过 SOCKS5 代理服务器进行中转，绕过本地网络限制。 隐藏真实 IP 地址：客户端的真实 IP 地址对目标服务器隐藏，保护用户隐私。 负载均衡...

ALPN (Application-Layer Protocol Negotiation)，即应用层协议协商，是 TLS (传输层安全) 协议的一个扩展，允许客户端和服务器在进行 TLS 握手时，协商决定在加密连接上使用哪个应用层协议。它在 RFC 7301 中被定义。ALPN 的出现，极大地简化了现代网络协议的部署和使用，尤其是对于 HTTP/2 和未来的 QUIC 等协议。 核心思想：ALPN 将应用层协议的选择过程集成到 TLS 握手阶段，使得在建立加密连接的同时，也完成了应用层协议的确定，避免了额外的往返延迟，并允许在同一端口上运行多种应用层协议。 一、为什么需要 ALPN？在 ALPN 出现之前，协商应用层协议通常面临以下挑战： 端口绑定：传统的做法是为不同的应用层协议使用不同的端口。例如，HTTP 使用 80 端口，HTTPS 使用 443 端口，FTP 使用 21 端口。当引入新的协议（如 HTTP/2 或 SPDY）时，如果想与现有协议共存，就必须使用新的端口，这会增加防火墙配置、负载均衡设置的复杂性，并且用户可能需要记住非标准的端口...

SNI (Server Name Indication) 是 TLS (Transport Layer Security) 协议的一个扩展，它允许客户端在建立 TLS/SSL 握手时，在 Client Hello 报文中指定其尝试连接的主机名（域名）。SNI 主要解决了在单个 IP 地址和端口上托管多个 HTTPS 网站（每个网站有不同的域名和证书）的问题。 核心思想：TLS 握手阶段，客户端告诉服务器它想访问哪个域名，这样服务器就知道应该提供哪个域名的证书。 一、为什么需要 SNI？在 SNI 出现之前，建立 HTTPS 连接的过程是这样的： 客户端通过 IP 地址和端口 (通常是 443) 连接到服务器。 服务器接收连接，然后发送其数字证书给客户端。 客户端验证证书，然后建立加密通信。 这里的问题在于，一个服务器 IP 地址可以托管多个网站，每个网站都有其自己的域名。在 HTTPS 中，每个域名都需要一张匹配的 SSL/TLS 证书。 没有 SNI 的局限性： IP 地址瓶颈：服务器在收到客户端的连接请求时，它只知道客户端连接的是哪个 IP ...

HTTPS (Hypertext Transfer Protocol Secure)，即超文本传输安全协议，是在 HTTP 协议的基础上，通过添加 SSL/TLS (Secure Sockets Layer/Transport Layer Security) 协议层来提供安全性的网络协议。它确保了客户端（通常是浏览器）和服务器之间的数据传输加密、完整且经过认证，从而保护用户的隐私和数据的安全。 核心思想：在不安全的互联网上，为 HTTP 通信提供加密、身份认证和数据完整性保护，使得网站能够安全可靠地传输信息。 一、为什么需要 HTTPS？传统的 HTTP 协议是一种明文传输协议，其数据的传输是透明的，没有任何加密。这导致了多重重要的安全隐患： 数据窃听 (Eavesdropping / Sniffing)： 任何网络中间节点（如 Wi-Fi 热点、路由器、ISP）都可以截获并读取用户与网站之间传输的所有数据，包括敏感信息如用户名、密码、银行卡号、邮件内容等。 例如，您在一个非 HTTPS 网站登录，您的用户名和密码在网络中就是明文传输，攻...