什么是代理协议?
代理协议是 Clash 客户端与代理服务器之间的"通信语言"——它规定了数据如何被加密、封装与传输。选择正确的代理协议,直接决定了您的代理连接能否突破网络封锁、速度是否流畅,以及隐私是否得到有效保护。
不同的代理协议在加密强度、流量伪装能力、传输效率与抗 DPI 检测(深度包检测)等方面各有侧重,适合不同的网络环境与使用场景。Clash.Meta(Mihomo)内核支持业界最广泛的协议集,让您在一个客户端内自由切换任意协议。
加密与安全性
代理协议决定流量采用何种加密算法(AES-256-GCM、ChaCha20、TLS 1.3 等),防止流量被窃听或篡改,保护您的上网隐私。
流量伪装与抗封锁
优秀的代理协议会将代理流量伪装成普通 HTTPS 或其他正常流量,令防火墙的深度包检测(DPI)难以识别和封锁。
传输性能与延迟
不同协议在握手速度、多路复用、拥塞控制上差异显著。新一代基于 QUIC 的协议(Hysteria 2、TUIC)在弱网环境下性能远超传统 TCP 协议。
SHADOWSOCKS / SSR
Shadowsocks(SS)是由 @clowwindy 于 2012 年创造的开源加密代理协议,至今仍是全球使用最广泛的抗审查代理协议之一。其核心设计理念是"无特征流量"——通过 AEAD 对称加密算法(AES-256-GCM、ChaCha20-Poly1305 等)将流量混淆为随机字节序列,从外观上难以与正常加密流量区分。
Clash 与 Clash.Meta 均完整支持 Shadowsocks 所有主流加密方式,并可搭配 simple-obfs(HTTP/TLS 混淆)或 v2ray-plugin(WebSocket/gRPC)等混淆插件,进一步增强对 DPI 的抵抗能力。ShadowsocksR(SSR)在 SS 基础上增加了协议层与混淆层,Clash.Meta 同样支持。
初次配置机场订阅的新手用户、使用 AEAD 加密机场套餐、网络封锁强度中等的日常上网场景,以及对协议复杂度要求低、希望开箱即用的用户。
AEAD 认证加密
AES-256-GCM、ChaCha20-Poly1305 等现代认证加密算法,在加密的同时提供数据完整性验证,防止中间人攻击与流量篡改。
混淆插件支持
通过 simple-obfs(HTTP/TLS 混淆)或 v2ray-plugin(WebSocket、gRPC)等插件,将 Shadowsocks 流量深度伪装,突破 DPI 封锁。
轻量高效 · 极低开销
协议头部极简,CPU 与内存占用极低,千兆带宽下性能损耗不足 1%,适合低配服务器或路由器部署。
原生 UDP 支持
支持 UDP relay,可代理游戏、视频通话、DNS 等 UDP 流量,延迟表现良好,适合对 UDP 有需求的场景。
机场生态最广兼容
几乎所有机场服务商均支持 Shadowsocks,是 Clash、Clash.Meta、Surge、Quantumult X 等所有主流客户端兼容最好的协议。
VMESS / VLESS
VMess 是 V2Ray 项目自研的加密传输协议,使用 UUID 进行身份认证,支持 AEAD 加密与时间戳校验,可搭配 WebSocket、gRPC、HTTP/2 等多种传输层及 TLS 加密使用,在复杂防火墙环境下表现优异。
VLESS 是 VMess 的精简继任版,将数据加密职责完全委托给外层 TLS,自身不做额外加密,从而降低计算开销、提升性能。Clash.Meta 支持 VLESS + XTLS Reality——借用真实网站的 TLS 证书与流量指纹进行伪装,是目前抗检测能力最强的协议组合之一,广泛用于高审查地区的自建代理。
复杂防火墙环境、需要通过 Cloudflare 等 CDN 中转隐藏服务器 IP、或使用 VLESS + Reality 极致抗审查的技术用户与自建代理服务场景。
灵活的多传输层
支持 WebSocket、gRPC、HTTP/2、XHTTP 等传输层,可搭配 Cloudflare CDN 或反向代理部署,隐藏服务器真实 IP 地址。
VLESS + XTLS Reality
Reality 技术通过借用真实网站的 TLS 证书指纹进行伪装,流量从外部看与访问真实 HTTPS 站点无异,抗检测能力极强。
Mux 多路复用
h2mux / smux 多路复用将多个代理连接合并到单个 TCP 连接,减少握手次数,显著改善高延迟网络下的响应速度与并发性能。
UUID 安全认证
使用全局唯一标识符 UUID 代替明文密码进行身份验证,VMess 额外引入时间戳校验机制,防止重放攻击,安全性更高。
自建代理首选
V2Ray、Xray-core 等主流服务端软件均支持,社区资源丰富,配置文档完善,是技术用户自建代理服务器的主流协议选择。
TROJAN / TROJAN-GO
Trojan 的设计思路极其巧妙:它不去主动混淆代理流量,而是将代理服务器伪装成一个真实运行的 HTTPS Web 服务器。Trojan 服务端监听标准 443 端口,持有有效的 TLS 证书。当访问者不是 Trojan 客户端时,服务器会返回真实的网页内容——从防火墙视角看,这就是一个普通的 HTTPS 网站,几乎无法区分代理流量与正常 Web 流量。
Trojan-Go 是 Trojan 的 Go 语言增强版本,新增了 WebSocket 传输支持(可通过 Cloudflare CDN 中转)、AEAD 额外加密层与多路复用,进一步提升了协议的灵活性、抗封锁能力与性能表现。
网络审查极为严格、IP 被针对性封锁的用户;自建服务器且追求最高流量隐蔽性;对 TLS 特征校验敏感的高审查地区使用场景。
TLS 443 端口 HTTPS 伪装
完整伪装为 HTTPS 流量,监听标准 443 端口,使用真实 TLS 证书,防火墙无法从端口或协议特征上识别代理行为。
错误回落(Fallback)机制
非 Trojan 连接自动回落到真实 Web 服务(Nginx/Caddy),服务器在外部扫描时表现为正常网站,降低被针对性封锁的风险。
WebSocket + CDN 中转(Trojan-Go)
Trojan-Go 支持 WebSocket 传输,可通过 Cloudflare 等 CDN 中转请求,隐藏服务器真实 IP,进一步规避 IP 封锁。
TLS 1.3 高性能加密
默认使用 TLS 1.3 加密,无额外协议层加密开销,握手速度快,在高速线路上性能接近原生 HTTPS 连接速度。
密码哈希认证
使用 SHA-224 对密码进行哈希后验证身份,配置简单,无需生成复杂的 UUID,适合快速部署自建代理服务。
TUIC V5 / HYSTERIA 2
TUIC v5 和 Hysteria 2 是近年来发展最迅速的新生代代理协议,两者均基于 QUIC 传输层(RFC 9000),专为弱网与高延迟环境设计。TUIC v5(Tiny UDP-based IP tunneling Codec)实现了 0-RTT 快速握手与 UDP over QUIC,适合需要大量短连接的浏览场景。
Hysteria 2 则更进一步,采用魔改版 BBR Brutal 拥塞控制算法,在 20% 以上丢包率的极差网络下仍可激进占满带宽,传输效率远超同类协议。无论是卫星互联网、跨洋链路,还是高噪声 4G/5G 网络,Hysteria 2 都能提供令人惊艳的速度体验。
网络质量差(高延迟 / 高丢包 / 弱 4G 信号);需要极致下载速度(视频、大文件);对延迟敏感的游戏加速与视频通话;频繁在 WiFi 与移动网络间切换的移动设备用户。
QUIC 基础传输层
基于 UDP 的 QUIC 协议,内建 TLS 1.3 加密、流量多路复用与连接迁移(IP 切换不断流),比传统 TCP 更适应移动网络环境。
0-RTT 极速握手
支持 0-RTT 连接恢复,重连延迟极低,适合频繁切换网络(WiFi ↔ 4G 切换)的移动设备,有效降低首次连接延迟。
BBR Brutal 拥塞控制(Hysteria 2)
自定义魔改 BBR 算法,在 20%+ 丢包率环境下仍可满速传输,适合卫星网络和极差移动网络,速度是普通协议的数倍。
原生 UDP over QUIC
无需 fakeTCP 封装,原生代理 UDP 流量,游戏、P2P、DNS、VOIP 等 UDP 场景延迟更低,体验更流畅。
连接迁移 · 不断线切换
QUIC 协议内建连接迁移能力,网络切换(如 WiFi 切 4G)时现有连接不中断,移动用户体验显著优于 TCP 协议。
WIREGUARD / SNELL
WireGuard 是由 Jason Donenfeld 开发的现代 VPN 协议,以极简代码库(不足 4000 行)、卓越性能与强大安全性著称,已被合并进 Linux 内核(5.6+)。Clash.Meta 原生集成 WireGuard 协议,您可直接在 Clash 配置文件中声明 WireGuard 节点,无需额外安装 VPN 客户端,并享受完整的 Clash 规则分流与策略组能力。
Snell v4 是 Surge(iOS/macOS 知名代理工具)专有的私有高性能协议,支持多路复用(Multiplexing)、UDP over TCP 等特性,在延迟与吞吐量方面表现优异,适合同时使用 Surge 与 Clash 的进阶用户。
有自建 VPS 且追求稳定高速隧道的技术用户;Linux 服务器与路由器部署场景;同时使用 Surge 与 Clash 且需要 Snell 协议互通的高级用户。
现代密码学设计
Curve25519 密钥交换、ChaCha20-Poly1305 数据加密、BLAKE2s 哈希,密码学方案现代且审计友好,安全性极高。
Linux 内核级性能
WireGuard 已合并进 Linux 5.6+ 内核,在 Linux/Android 上享有内核级性能,大流量场景下 CPU 占用远低于 OpenVPN 和 IPSec。
无状态握手 · 漫游无感
无需维护会话状态,空闲时零开销。网络切换(IP 变化)时自动漫游,无需重新握手,移动设备体验极佳。
Clash.Meta 原生集成
无需外部 WireGuard 客户端,直接在 Clash.Meta(Mihomo)配置文件中声明 WireGuard 节点,享受完整的规则分流与策略组管理。
Snell 多路复用(v4)
Snell v4 使用连接多路复用技术,减少 TCP 握手次数,在高延迟链路上显著降低首字节时间(TTFB),页面加载体验更流畅。
HTTP / SOCKS5
HTTP 代理和 SOCKS5 是最古老也最通用的代理协议,几乎所有支持网络请求的软件和操作系统都兼容这两种协议。Clash 可作为上游节点接入 HTTP/SOCKS5 类型的代理服务器,同时也会在本地开放 HTTP(默认 7890 端口)与 SOCKS5(默认 7891 端口)端口,供浏览器及其他应用程序直接使用。
HTTP 代理仅支持 TCP 流量,原生不支持 UDP,且在网络中容易被识别,不适合对抗防火墙审查。SOCKS5 协议更为通用,同时支持 TCP 和 UDP 流量,是在 TUN 全局代理出现前实现"全局代理"的主要手段,至今仍广泛用于需要最大软件兼容性的场景。
局域网内多设备代理共享;需要与 Proxifier、命令行工具(curl、git)或开发工具链对接;为特定应用程序单独配置代理的开发调试场景。
最大软件兼容性
几乎所有操作系统、浏览器和应用程序均原生支持 HTTP 与 SOCKS5,无需额外驱动或插件,即插即用。
Clash 本地代理端口
Clash 在本地开放 HTTP(7890)和 SOCKS5(7891)端口,浏览器可直接填写 127.0.0.1:7890 使用,无需 TUN 驱动。
HTTP CONNECT 隧道
HTTP 代理通过 CONNECT 方法支持 HTTPS 加密隧道建立,常用于企业代理网关及浏览器扩展程序(如 SwitchyOmega)的配置。
SOCKS5 UDP 代理
SOCKS5 原生支持 UDP 流量转发,适用于需要 UDP 协议的游戏工具、视频通话软件或 DNS 查询代理场景。
开发调试友好
协议结构简单,易于抓包分析(Wireshark、mitmproxy 等),适合开发者排查代理问题、调试 API 请求或测试网络访问行为。
PROTOCOL
COMPARISON
各主流代理协议核心指标横向对比——加密强度、抗封锁能力、速度性能与 UDP 支持一览。
| 协议 | 传输基础 | 加密强度 | 抗封锁 | 速度性能 | UDP 支持 | 适合新手 | 最佳场景 |
|---|---|---|---|---|---|---|---|
| Shadowsocks | TCP + UDP | 高 | 中 | 快 | ✓ | ✓ | 机场通用 · 日常使用 |
| VMess | TCP / WS / gRPC | 高 | 高 | 中等 | ✓ | △ | CDN 中转 · 防 DPI |
| VLESS + Reality | TCP / WS / gRPC | 极高 | 极高 | 快 | ✓ | ✗ | 严苛审查环境 · 自建 |
| Trojan | TCP / WebSocket | 高 | 极高 | 快 | △ | △ | 高审查地区 · 自建 |
| TUIC v5 | QUIC(UDP) | 高 | 中 | 极快 | ✓ | △ | 弱网 · 短连接场景 |
| Hysteria 2 | QUIC(UDP) | 高 | 中 | 极快 | ✓ | △ | 丢包网络 · 高速下载 |
| WireGuard | UDP | 极高 | 低 | 极快 | ✓ | ✗ | 自建 VPS · 技术用户 |
| HTTP / SOCKS5 | TCP(+UDP) | 低 | 极低 | 快 | △ | ✓ | 内网共享 · 开发调试 |
HOW TO
CHOOSE
根据您的实际使用场景,快速定位最适合的代理协议方案,无需深度了解技术细节。
刚购买机场
订阅,新手入门
机场订阅导入后直接使用,无需手动配置协议细节。大多数机场支持 Shadowsocks 和 VMess,Clash 自动解析订阅文件,选择延迟最低的节点即可。
IP 被封 / 审查
极为严格的地区
当普通协议频繁被封锁、IP 被针对性屏蔽时,需要选择具备极高流量隐蔽性的协议。Trojan 和 VLESS + Reality 是目前抗封锁能力最强的两种选择,需自建服务器。
网络质量差 /
追求极致速度
在高延迟、高丢包、弱 4G 信号或卫星互联网环境下,传统 TCP 协议表现糟糕。基于 QUIC 的 Hysteria 2 和 TUIC v5 专为这类场景设计,可将速度提升数倍。
自建 VPS /
追求极致控制
有自建服务器能力、追求最高性能与完整技术控制权的用户,可选择 WireGuard 或 VLESS + Reality。两者都需要手动配置服务端,但性能和安全性代表业界最高水平。
立即下载 Clash 客户端
Clash.Meta(Mihomo)支持本页所有代理协议,一个客户端覆盖 Windows / macOS / Android / iOS / Linux 全平台。
免费下载客户端常见问题
PROTOCOLS FAQ
Clash 和 Clash.Meta 分别支持哪些代理协议?
原版 Clash Core 支持 Shadowsocks、VMess、Trojan、SOCKS5、HTTP 等基础协议。Clash.Meta(Mihomo)在此基础上大幅扩展,额外支持 VLESS + XTLS Reality、TUIC v5、Hysteria 2、WireGuard、Snell v4、VLESS(非 Reality)、SSR 等协议,是目前协议支持最全面的 Clash 内核版本,官方推荐优先使用 Clash.Meta。
VMess 和 VLESS 有什么区别?该用哪个?
VMess 是 V2Ray 早期自研协议,自带 AEAD 数据加密与 UUID 认证;VLESS 是其精简继任版,去除了内置加密层(将加密全部委托给 TLS),减少了计算开销,性能略优。如果您的服务端支持 XTLS Reality,强烈推荐选择 VLESS + Reality,因为其抗封锁能力和安全性显著优于 VMess。对于不支持 Reality 的服务端,VMess + TLS + WebSocket 仍是稳定可靠的选择。
Hysteria 2 速度真的比其他协议快吗?
在网络质量良好(低延迟、低丢包)的场景下,Hysteria 2 与 Shadowsocks、Trojan 等传统协议速度差距不大。Hysteria 2 的优势在于弱网环境——当网络存在较高丢包率(5%~30%)时,其 BBR Brutal 拥塞控制算法可以激进地占满可用带宽,速度可达同等条件下传统 TCP 协议的 3~10 倍。如果您使用国内稳定机房节点,Shadowsocks 或 Trojan 可能已经足够;若节点质量差或使用弱 4G 网络,Hysteria 2 的优势会非常明显。
我的机场订阅使用的是什么协议?如何查看?
在 Clash 客户端(Clash Verge Rev、FlClash 等)中,进入「代理」或「Proxies」界面,点击任意节点可查看该节点详情,其中会显示协议类型(如 ss、vmess、trojan、tuic 等)。此外,部分客户端在节点名称旁会有协议标签。如果您想提前了解,可联系机场客服询问其支持的协议类型,或查看机场官网的套餐说明页面。
Shadowsocks 现在还安全吗?会不会被封?
Shadowsocks 的加密算法本身安全可靠(现代 AEAD 算法),但其流量特征在某些网络环境下可能被防火墙识别。不使用混淆插件的 Shadowsocks 在封锁严格的地区可能被针对性屏蔽。建议:①使用 AES-256-GCM 或 ChaCha20-Poly1305 等 AEAD 算法;②搭配 v2ray-plugin(WebSocket + TLS 模式)混淆插件显著提升抗封锁能力;③如果所在地区封锁非常严格,可考虑切换至 Trojan 或 VLESS + Reality 协议。
如何在 Clash 配置文件中手动添加不同协议的代理节点?
Clash 使用 YAML 格式的配置文件,在 proxies: 字段下声明节点,不同协议有不同的字段参数。例如 Shadowsocks 节点需填写 type: ss、服务器地址、端口、密码与加密方式;VMess 节点需填写 type: vmess、UUID、传输层配置等。详细的配置语法示例请参考配置指南页面,或访问 Clash.Meta 官方文档获取完整的协议配置参数说明。