Shadowsocks / VMess / Trojan 怎么选?主流代理协议对比
Clash 内核同时支持多种代理协议,节点信息里的 type 字段就是协议类型。不同协议在加密方式、伪装能力、性能开销上各有取舍,了解一下能帮你更好地判断订阅节点的质量。
三种协议速览
| 协议 | 加密方式 | 流量特征 | 性能开销 | 典型场景 |
|---|---|---|---|---|
| Shadowsocks | 对称加密(AEAD) | 接近随机字节流,无明显协议特征 | 低 | 轻量、追求速度 |
| VMess | 自定义加密 + UUID 鉴权 | 可搭配 WebSocket / TLS 伪装成正常网页流量 | 中 | 需要伪装、穿透能力强 |
| Trojan | 标准 TLS | 与正常 HTTPS 网站流量几乎一致 | 中 | 抗封锁、伪装成普通网站 |
左右滑动查看完整表格
Shadowsocks:轻量、速度快
Shadowsocks 的设计思路很简单:用对称加密把流量包裹起来,除了加密开销外几乎没有额外协议层,因此速度快、资源占用低,是最省资源的选择。它的流量特征更像是随机数据,不刻意伪装成任何常见协议。
VMess:可搭配多种传输方式伪装
VMess 在加密之外增加了一层身份验证(UUID),并且可以搭配 WebSocket、HTTP/2、TLS 等多种传输层,把代理流量伪装成正常的网页请求,多一层伪装通常意味着多一点连接建立的开销,但抗干扰能力更强。
Trojan:直接用标准 TLS 伪装
Trojan 的思路是「不打造新协议,直接套用最常见的协议」——它的连接过程与访问普通 HTTPS 网站几乎没有区别,很难通过流量特征单独识别出来,代价是必须配合有效的 TLS 证书和域名使用。
该怎么选
- 如果订阅节点已经帮你配置好了,其实不需要自己纠结协议——直接用延迟低、连接稳定的节点即可。
- 如果是自建服务器,追求速度和简单部署,Shadowsocks 是最省心的起点。
- 如果所在网络环境对代理流量审查较严格,Trojan 或搭配 TLS 的 VMess 通常抗干扰能力更好。
- 同一个策略组里可以混用不同协议的节点,Clash 会按你设置的方式(手动/自动测速)在它们之间切换,协议差异对使用体感的影响远小于节点线路本身的质量。
除了协议,还应该看什么
很多人挑选订阅节点时只盯着「用了什么协议」,其实影响实际体验的因素里,协议往往不是权重最高的一项。以下几个维度同样重要,甚至更重要:
- 带宽与线路质量:同样是 Shadowsocks 协议,一台带宽充足、走优质国际出口的服务器和一台超卖严重的服务器,体验可能天差地别。
- 延迟:物理距离和中间经过的网络节点数量决定了延迟下限,协议本身的处理耗时通常只占极小一部分。
- 并发连接数限制:部分服务商会限制单个节点的并发连接数,多设备同时使用容易出现卡顿,这与协议类型无关。
- 抗干扰能力:如果所在网络环境审查较严格,流量特征是否容易被识别,会比理论加密强度更直接地影响能否稳定连接。
常见误区
误区一:协议越新越好
新协议通常是为了解决旧协议在某些场景下的短板(比如伪装能力更强),但这不代表旧协议就「不安全」或「不能用」。Shadowsocks 用了十几年依然是许多场景下最稳妥的选择,选协议应该看场景匹配度,而不是单纯追新。
误区二:加密强度等于连接质量
加密只保证传输内容不被中间网络设备窥探或篡改,不代表服务器本身的带宽、稳定性、限速策略也会更好。一个节点「快不快」,加密算法的影响远小于服务器本身的物理条件。
误区三:必须所有节点用同一种协议
Clash 的策略组可以自由混合不同协议的节点,测速、切换、故障转移等机制对协议类型是透明的,完全没有必要为了「协议统一」而放弃某些线路质量更好的节点。
节点信息里如何识别协议类型
订阅链接导入后,客户端会自动解析出每个节点的 type 字段,在节点列表或编辑详情里通常能直接看到 ss(Shadowsocks)、vmess、trojan 等标识。如果你是手动添加节点,服务商提供的分享链接前缀(例如 ss://、vmess://、trojan://)本身就已经说明了协议类型,不需要额外判断。