什麼是代理協定?
代理協定是 Clash 客戶端與代理伺服器之間的"通信語言"——它規定了數據如何被加密、封裝與傳輸.選擇正確的代理協定,直接決定了您的代理連接能否突破網路封鎖、速度是否流暢,以及隱私是否得到有效保護。
不同的代理協定在加密強度、流量偽裝能力、傳輸效率與抗 DPI 檢測(深度包檢測)等方面各有側重,適合不同的網路環境與使用場景.Clash.Meta(Mihomo)核心支援業界最廣泛的協定集,讓您在一個客戶端內自由切換任意協定。
加密與安全性
代理協定決定流量採用何種加密算法(AES-256-GCM、ChaCha20、TLS 1.3 等),防止流量被竊聽或篡改,保護您的上網隱私。
流量偽裝與抗封鎖
優秀的代理協定會將代理流量偽裝成普通 HTTPS 或其他正常流量,令防火牆的深度包檢測(DPI)難以識別和封鎖。
傳輸效能與延遲
不同協定在握手速度、多路復用、擁塞控制上差異顯著.新一代基於 QUIC 的協定(Hysteria 2、TUIC)在弱網環境下效能遠超傳統 TCP 協定。
SHADOWSOCKS / SSR
Shadowsocks(SS)是由 @clowwindy 於 2012 年創造的開源加密代理協定,至今仍是全域使用最廣泛的抗審查代理協定之一.其核心設計理念是"無特徵流量"——透過 AEAD 對稱加密算法(AES-256-GCM、ChaCha20-Poly1305 等)將流量混淆為隨機位元組序列,從外觀上難以與正常加密流量區分。
Clash 與 Clash.Meta 均完整支援 Shadowsocks 所有主流加密方式,並可搭配 simple-obfs(HTTP/TLS 混淆)或 v2ray-plugin(WebSocket/gRPC)等混淆外掛,進一步增強對 DPI 的抵抗能力.ShadowsocksR(SSR)在 SS 基礎上增加了協定層與混淆層,Clash.Meta 同樣支援。
初次配置機場訂閱的新手使用者、使用 AEAD 加密機場套裝行程、網路封鎖強度中等的日常上網場景,以及對協定複雜度要求低、希望開箱即用的使用者。
AEAD 認證加密
AES-256-GCM、ChaCha20-Poly1305 等現代認證加密算法,在加密的同時提供數據完整性驗證,防止中間人攻擊與流量篡改。
混淆外掛支援
透過 simple-obfs(HTTP/TLS 混淆)或 v2ray-plugin(WebSocket、gRPC)等外掛,將 Shadowsocks 流量深度偽裝,突破 DPI 封鎖。
輕量高效 · 極低開銷
協定頭部極簡,CPU 與記憶體佔用極低,千兆頻寬下效能損耗不足 1%,適合低配伺服器或路由器部署。
原生 UDP 支援
支援 UDP relay,可代理遊戲、視訊通話、DNS 等 UDP 流量,延遲表現良好,適合對 UDP 有需求的場景。
機場生態最廣相容
幾乎所有機場服務商均支援 Shadowsocks,是 Clash、Clash.Meta、Surge、Quantumult X 等所有主流客戶端相容最好的協定。
VMESS / VLESS
VMess 是 V2Ray 專案自研的加密傳輸協定,使用 UUID 進行身分認證,支援 AEAD 加密與時間戳校驗,可搭配 WebSocket、gRPC、HTTP/2 等多種傳輸層及 TLS 加密使用,在複雜防火牆環境下表現優異。
VLESS 是 VMess 的精簡繼任版,將資料加密職責完全委託給外層 TLS,自身不做額外加密,從而降低計算開銷、提升效能.Clash.Meta 支援 VLESS + XTLS Reality——借用真實網站的 TLS 憑證與流量指紋進行偽裝,是目前抗檢測能力最強的協定組合之一,廣泛用於高審查地區的自建代理。
複雜防火牆環境、需要透過 Cloudflare 等 CDN 中轉隱藏伺服器 IP、或使用 VLESS + Reality 極致抗審查的技術使用者與自建代理服務場景。
靈活的多傳輸層
支援 WebSocket、gRPC、HTTP/2、XHTTP 等傳輸層,可搭配 Cloudflare CDN 或反向代理部署,隱藏伺服器真實 IP 地址。
VLESS + XTLS Reality
Reality 技術透過借用真實網站的 TLS 憑證指紋進行偽裝,流量從外部看與訪問真實 HTTPS 站點無異,抗檢測能力極強。
Mux 多路複用
h2mux / smux 多路複用將多個代理連接合併到單個 TCP 連接,減少握手次數,顯著改善高延遲網路下的相應速度與併發效能。
UUID 安全認證
使用全域唯一識別碼 UUID 代替明文密碼進行身分驗證,VMess 額外引入時間戳校驗機制,防止重放攻擊,安全性更高。
自建代理首選
V2Ray、Xray-core 等主流服務端軟體均支援,社群資源豐富,配置文件完善,是技術使用者自建代理伺服器的主流協定選擇。
TROJAN / TROJAN-GO
Trojan 的設計思路極其巧妙:它不去主動混淆代理流量,而是將代理伺服器偽裝成一個真實執行的 HTTPS Web 伺服器.Trojan 服務端監聽標準 443 連接埠,持有有效的 TLS 憑證.當訪問者不是 Trojan 客戶端時,伺服器會返回真實的網頁內容——從防火牆視角看,這就是一個普通的 HTTPS 網站,幾乎無法區分代理流量與正常 Web 流量。
Trojan-Go 是 Trojan 的 Go 語言增強版本,新增了 WebSocket 傳輸支援(可透過 Cloudflare CDN 中轉)、AEAD 額外加密層與多路複用,進一步提升了協定的靈活性、抗封鎖能力與效能表現。
網路審查極為嚴格、IP 被針對性封鎖的使用者;自建伺服器且追求最高流量隱蔽性;對 TLS 特徵校驗敏感的高審查地區使用場景。
TLS 443 連接埠 HTTPS 偽裝
完整偽裝為 HTTPS 流量,監聽標準 443 連接埠,使用真實 TLS 憑證,防火牆無法從連接埠或協定特徵上識別代理行為。
錯誤回落(Fallback)機制
非 Trojan 連接自動回落到真實 Web 服務(Nginx/Caddy),伺服器在外部掃描時表現為正常網站,降低被針對性封鎖的風險。
WebSocket + CDN 中轉(Trojan-Go)
Trojan-Go 支援 WebSocket 傳輸,可透過 Cloudflare 等 CDN 中轉請求,隱藏伺服器真實 IP,進一步規避 IP 封鎖。
TLS 1.3 高性能加密
預設使用 TLS 1.3 加密,無額外協定層加密開銷,握手速度快,在高速線路上效能接近原生 HTTPS 連接速度。
密碼雜湊認證
使用 SHA-224 對密碼進行雜湊後驗證身分,配置簡單,無需生成複雜的 UUID,適合快速部署自建代理服務。
TUIC V5 / HYSTERIA 2
TUIC v5 和 Hysteria 2 是近年來發展最迅速的新生代代理協定,兩者均基於 QUIC 傳輸層(RFC 9000),專為弱網與高延遲環境設計.TUIC v5(Tiny UDP-based IP tunneling Codec)實現了 0-RTT 快速握手與 UDP over QUIC,適合需要大量短連接的瀏覽場景。
Hysteria 2 則更進一步,採用魔改版 BBR Brutal 擁塞控制演算法,在 20% 以上丟包率的極差網路下仍可激進佔滿頻寬,傳輸效率遠超同類協定.無論是衛星網際網路、跨洋鏈路,還是高噪聲 4G/5G 網路,Hysteria 2 都能提供令人驚艷的速度體驗。
網路品質差(高延遲 / 高丟包 / 弱 4G 訊號);需要極致下載速度(視訊、大檔案);對延遲敏感的遊戲加速與視訊通話;頻繁在 WiFi 與行動網路間切換的行動裝置使用者。
QUIC 基礎傳輸層
基於 UDP 的 QUIC 協定,內建 TLS 1.3 加密、流量多路複用與連接遷移(IP 切換不斷流),比傳統 TCP 更適應行動網路環境。
0-RTT 極速握手
支援 0-RTT 連接恢復,重連延遲極低,適合頻繁切換網路(WiFi ↔ 4G 切換)的行動裝置,有效降低首次連接延遲。
BBR Brutal 擁塞控制(Hysteria 2)
自定義魔改 BBR 演算法,在 20%+ 丟包率環境下仍可滿速傳輸,適合衛星網路和極差行動網路,速度是普通協定的數倍。
原生 UDP over QUIC
無需 fakeTCP 封裝,原生代理 UDP 流量,遊戲、P2P、DNS、VOIP 等 UDP 場景延遲更低,體驗更流暢。
連接遷移 · 不斷線切換
QUIC 協定內建連接遷移能力,網路切換(如 WiFi 切 4G)時現有連接不中斷,行動使用者體驗顯著優於 TCP 協定。
WIREGUARD / SNELL
WireGuard 是由 Jason Donenfeld 開發的現代 VPN 協定,以極簡程式碼庫(不足 4000 行)、卓越性能與強大安全性著稱,已被合併進 Linux 核心(5.6+).Clash.Meta 原生整合 WireGuard 協定,您可直接在 Clash 設定檔中宣告 WireGuard 節點,無需額外安裝 VPN 客戶端,並享受完整的 Clash 規則分流與策略組能力。
Snell v4 是 Surge(iOS/macOS 知名代理工具)專有的私有高性能協定,支援多路複用(Multiplexing)、UDP over TCP 等特性,在延遲與吞吐量方面表現優異,適合同時使用 Surge 與 Clash 的進階使用者。
有自建 VPS 且追求穩定高速隧道的技術使用者;Linux 伺服器與路由器部署場景;同時使用 Surge 與 Clash 且需要 Snell 協定互通的高階使用者。
現代密碼學設計
Curve25519 金鑰交換、ChaCha20-Poly1305 資料加密、BLAKE2s 雜湊,密碼學方案現代且審計友好,安全性極高。
Linux 核心級效能
WireGuard 已合併進 Linux 5.6+ 核心,在 Linux/Android 上享有核心級效能,大流量場景下 CPU 佔用遠低於 OpenVPN 和 IPSec。
無狀態握手 · 漫遊無感
無需維護會話狀態,空閒時零開銷.網路切換(IP 變化)時自動漫遊,無需重新握手,行動裝置體驗極佳。
Clash.Meta 原生整合
無需外部 WireGuard 客戶端,直接在 Clash.Meta(Mihomo)設定檔中宣告 WireGuard 節點,享受完整的規則分流與策略組管理。
Snell 多路複用(v4)
Snell v4 使用連接多路複用技術,減少 TCP 握手次數,在高延遲鏈路上顯著降低首位元組時間(TTFB),頁面載入體驗更流暢。
HTTP / SOCKS5
HTTP 代理和 SOCKS5 是最古老也最通用的代理協定,幾乎所有支援網路請求的軟體和作業系統都相容這兩種協定.Clash 可作為上游節點接入 HTTP/SOCKS5 類型的代理伺服器,同時也會在在地開放 HTTP(預設 7890 連接埠)與 SOCKS5(預設 7891 連接埠)連接埠,供瀏覽器及其他應用程式直接使用。
HTTP 代理僅支援 TCP 流量,原生不支援 UDP,且在網路中容易被識別,不適合對抗防火牆審查.SOCKS5 協定更為通用,同時支援 TCP 和 UDP 流量,是在 TUN 全域代理出現前實現"全域代理"的主要手段,至今仍廣泛用於需要最大軟體相容性的場景。
區域網路內多裝置代理共享;需要與 Proxifier、命令列工具(curl、git)或開發工具鏈對接;為特定應用程式單獨配置代理的開發除錯場景。
最大軟體相容性
幾乎所有作業系統、瀏覽器和應用程式均原生支援 HTTP 與 SOCKS5,無需額外驅動或外掛,隨插即用。
Clash 在地代理連接埠
Clash 在在地開放 HTTP(7890)和 SOCKS5(7891)連接埠,瀏覽器可直接填寫 127.0.0.1:7890 使用,無需 TUN 驅動。
HTTP CONNECT 隧道
HTTP 代理透過 CONNECT 方法支援 HTTPS 加密隧道建立,常用於企業代理閘道及瀏覽器擴充功能(如 SwitchyOmega)的配置。
SOCKS5 UDP 代理
SOCKS5 原生支援 UDP 流量轉發,適用於需要 UDP 協定的遊戲工具、視訊通話軟體或 DNS 查詢代理場景。
開發除錯友好
協定結構簡單,易於抓包分析(Wireshark、mitmproxy 等),適合開發者排查代理問題、除錯 API 請求或測試網路訪問行為。
PROTOCOL
COMPARISON
各主流代理協定核心指標橫向對比——加密強度、抗封鎖能力、速度效能與 UDP 支援一覽。
| 協定 | 傳輸基礎 | 加密強度 | 抗封鎖 | 速度效能 | UDP 支援 | 適合新手 | 最佳場景 |
|---|---|---|---|---|---|---|---|
| Shadowsocks | TCP + UDP | 高 | 中 | 快 | ✓ | ✓ | 機場通用 · 日常使用 |
| VMess | TCP / WS / gRPC | 高 | 高 | 中等 | ✓ | △ | CDN 中轉 · 防 DPI |
| VLESS + Reality | TCP / WS / gRPC | 極高 | 極高 | 快 | ✓ | ✗ | 嚴苛審查環境 · 自建 |
| Trojan | TCP / WebSocket | 高 | 極高 | 快 | △ | △ | 高審查地區 · 自建 |
| TUIC v5 | QUIC(UDP) | 高 | 中 | 極快 | ✓ | △ | 弱網 · 短連接場景 |
| Hysteria 2 | QUIC(UDP) | 高 | 中 | 極快 | ✓ | △ | 丟包網路 · 高速下載 |
| WireGuard | UDP | 極高 | 低 | 極快 | ✓ | ✗ | 自建 VPS · 技術使用者 |
| HTTP / SOCKS5 | TCP(+UDP) | 低 | 極低 | 快 | △ | ✓ | 內網共享 · 開發除錯 |
HOW TO
CHOOSE
根據您的實際使用場景,快速定位最適合的代理協定方案,無需深度了解技術細節。
剛購買機場
訂閱,新手入門
機場訂閱匯入後直接使用,無需手動配置協定細節.大多數機場支援 Shadowsocks 和 VMess,Clash 自動解析訂閱文件,選擇延遲最低的節點即可。
IP 被封 / 審查
極為嚴格的地區
當普通協定頻繁被封鎖、IP 被針對性屏蔽時,需要選擇具備極高流量隱蔽性的協定.Trojan 和 VLESS + Reality 是目前抗封鎖能力最強的兩種選擇,需自建伺服器。
網路品質差 /
追求極致速度
在高延遲、高丟包、弱 4G 訊號或衛星網際網路環境下,傳統 TCP 協定表現糟糕.基於 QUIC 的 Hysteria 2 和 TUIC v5 專為這類場景設計,可將速度提升數倍。
自建 VPS /
追求極致控制
有自建伺服器能力、追求最高效能與完整技術控制權的使用者,可選擇 WireGuard 或 VLESS + Reality.兩者都需要手動配置服務端,但效能和安全性代表業界最高水準。
立即下載 Clash 客戶端
Clash.Meta(Mihomo)支援本頁所有代理協定,一個客戶端覆蓋 Windows / macOS / Android / iOS / Linux 全平台。
免費下載客戶端常見問題
PROTOCOLS FAQ
Clash 和 Clash.Meta 分別支援哪些代理協定?
原版 Clash 核心支援 Shadowsocks、VMess、Trojan、SOCKS5、HTTP 等基礎協定.Clash.Meta(Mihomo)在此基礎上大幅擴展,額外支援 VLESS + XTLS Reality、TUIC v5、Hysteria 2、WireGuard、Snell v4、VLESS(非 Reality)、SSR 等協定,是目前協定支援最全面的 Clash 核心版本,官方推薦優先使用 Clash.Meta。
VMess 和 VLESS 有什麼區別?該用哪個?
VMess 是 V2Ray 早期自研協定,自帶 AEAD 資料加密與 UUID 認證;VLESS 是其精簡繼任版,去除了內建加密層(將加密全部委託給 TLS),減少了計算開銷,效能略優.如果您的服務端支援 XTLS Reality,強烈推薦選擇 VLESS + Reality,因為其抗封鎖能力和安全性顯著優於 VMess.對於不支援 Reality 的服務端,VMess + TLS + WebSocket 仍是穩定可靠選擇。
Hysteria 2 速度真的比其他協定快嗎?
在網路品質良好(低延遲、低丟包)的場景下,Hysteria 2 與 Shadowsocks、Trojan 等傳統協定速度差距不大.Hysteria 2 的優勢在於弱網環境——當網路存在較高丟包率(5%~30%)時,其 BBR Brutal 擁塞控制演算法可以激進地佔滿可用頻寬,速度可達同等條件下傳統 TCP 協定的 3~10 倍.如果您使用國內穩定機房節點,Shadowsocks 或 Trojan 可能已經足夠;若節點品質差或使用弱 4G 網路,Hysteria 2 的優勢會非常明顯。
我的機場訂閱使用的是什麼協定?如何查看?
在 Clash 客戶端(Clash Verge Rev、FlClash 等)中,進入「代理」或「Proxies」介面,點擊任意節點可查看該節點詳情,其中會顯示協定類型(如 ss、vmess、trojan、tuic 等).此外,部分客戶端在節點名稱旁會有協定標籤.如果您想提前了解,可聯繫機場客服詢問其支援的協定類型,或查看機場官網的套裝行程說明頁面。
Shadowsocks 現在還安全嗎?會不會被封?
Shadowsocks 的加密演算法本身安全可靠(現代 AEAD 演算法),但其流量特徵在某些網路環境下可能被防火牆識別.不使用混淆外掛的 Shadowsocks 在封鎖嚴格的地區可能被針對性屏蔽.建議:①使用 AES-256-GCM 或 ChaCha20-Poly1305 等 AEAD 演算法;②搭配 v2ray-plugin(WebSocket + TLS 模式)混淆外掛顯著提升抗封鎖能力;③如果所在地區封鎖非常嚴格,可考慮切換至 Trojan 或 VLESS + Reality 協定。
如何在 Clash 設定檔中手動添加不同協定的代理節點?
Clash 使用 YAML 格式的設定檔,在 proxies: 欄位下宣告節點,不同協定有不同的欄位參數.例如 Shadowsocks 節點需填寫 type: ss、伺服器地址、連接埠、密碼與加密方式;VMess 節點需填寫 type: vmess、UUID、傳輸層配置等.詳細的配置語法範例請參考配置指南頁面,或訪問 Clash.Meta 官方文件獲取完整的協定配置參數說明。