第20章 科学上网生态的技术原理（技术中立）

本章定位：从纯技术/工程视角，讲清 Shadowsocks、V2Ray/Xray、Trojan、Clash/mihomo、sing-box 这类工具背后的代理技术——加密代理、流量混淆、智能分流、多路复用。这些技术与企业出网代理、CDN、Service Mesh 在工程上同源，理解它们能补全你对"代理灵活性"的认知，也是网络抗审查（censorship resistance）这一学术领域的研究对象。

本章只讲技术原理与协议工程，不提供针对任何特定网络的规避操作指南或服务搭建步骤。

学习目标

• 看清这一类工具的技术共性：本质都是"加密的 SOCKS/HTTP 代理 + 伪装 + 分流"
• 理解流量混淆/伪装如何对抗 DPI（深度包检测）与 SNI 审查
• 理解 Clash/sing-box 的"规则分流"如何工作，及它与 DNS 泄漏的关系
• 把这些技术与前面章节（SOCKS/TLS/QUIC/DNS）连成一条线

前置知识

• 第06章 SOCKS、第05章 TLS/SNI/ECH、第03章 DNS 泄漏、第07章 QUIC/WebSocket

原理

技术共性：剥开看其实都很熟悉

这些工具名字花哨，但从前 19 章的视角看，技术骨架高度一致：

   本地客户端                      远端服务器
  ┌──────────────┐  加密+混淆隧道  ┌──────────────┐
  │ 本地 SOCKS5/  │═══════════════▶│ 解密 → 转发到 │──▶ 目标网站
  │ HTTP 代理入口 │  伪装成正常流量 │ 真实目标      │
  └──────────────┘                └──────────────┘
        ↑                                 
   应用按系统代理/分流规则把流量送进来

一句话：它们 = 本地一个标准代理入口（第06章 SOCKS5）+ 一条加密混淆的隧道 + 远端出口 + 智能分流规则。 每一块你前面都学过。

演进脉络：从简单加密到深度伪装

关键技术维度（这才是本章重点）

① 加密：AEAD

用对称 AEAD（认证加密）算法加密整条隧道，保证机密性 + 完整性。流量在网络上是一团不可读、不可篡改的密文。这和 第05章 的 TLS 是同类思想，只是这里是代理协议自带的加密层。

② 混淆 / 伪装：对抗 DPI

DPI（Deep Packet Inspection，深度包检测） 会分析流量特征来识别"这是不是代理流量"。混淆/伪装就是让代理流量在网络观察者眼里和正常流量难以区分：

• TLS 伪装（Trojan、VLESS+TLS）：让代理流量就是真正的 TLS，SNI 填一个正常域名，外观与访问普通 HTTPS 网站无异
• WebSocket + TLS + CDN：把代理流量包成 WebSocket over HTTPS，再经 CDN 中转——观察者看到的是"在访问某个 CDN 上的网站"（这用到了 第07章 的 WS/h2）
• gRPC / HTTP2 传输：借多路复用的 h2 流承载，混在正常 gRPC 流量里
• 与 第05章 的 SNI 审查 / ECH 直接相关：审查方看 SNI 判断目标，伪装方用正常 SNI 或 ECH 隐藏真实目标——这是一场持续的攻防

学术上这叫可插拔传输（Pluggable Transports），是 Tor 等抗审查项目的研究方向；域前置（domain fronting） 曾是一种经典手法（外层 SNI 是大厂域名，内层 Host 才是真实目标），后被主要云厂商封堵。

③ 传输层叠加：分层组合

现代工具把"代理协议"与"传输/伪装层"解耦，可自由组合：

   代理协议（VLESS/Trojan/SS）
        ├─ over TLS                （加密+伪装成 HTTPS）
        ├─ over WebSocket over TLS （再套一层，便于过 CDN）
        ├─ over gRPC               （借 h2 多路复用）
        └─ over QUIC               （UDP、抗丢包，第07章）

这种"协议 × 传输"的矩阵式组合，正是"代理灵活性"的极致体现——也是本书 第30章 "软件定义代理"的一种民间演绎。

④ 智能分流：Clash 规则引擎

Clash/mihomo/sing-box 的核心价值不在协议，而在分流：按规则决定每个连接"直连 / 走代理 / 拒绝"，避免"全量走代理"的低效与不必要：

# Clash 配置结构（讲解分流机制，非可用节点）
proxies:                      # 多个代理出口（各种协议）
  - { name: "out-a", type: ss, ... }
proxy-groups:                 # 出口分组（手动选/自动测速/故障转移）
  - { name: "PROXY", type: select, proxies: ["out-a", "DIRECT"] }
rules:                        # 分流规则：自上而下匹配
  - DOMAIN-SUFFIX,internal.corp,DIRECT     # 内网直连
  - GEOIP,CN,DIRECT                        # 国内 IP 直连
  - MATCH,PROXY                            # 其余走代理

• 规则类型：DOMAIN/DOMAIN-SUFFIX/IP-CIDR/GEOIP/MATCH
• 与 DNS 泄漏的关系（第03章）：分流要先知道域名/IP，所以这类客户端通常自带 fake-ip / DNS 重定向机制，确保 DNS 解析也按规则走，不泄漏给本地 DNS
• 多路复用（mux）：多个请求复用一条隧道连接，减少握手开销（第07章 h2 思想）

与企业代理/CDN/Mesh 的技术同源

把民间工具和企业技术并排，你会发现是同一套工程：

这正是把本章放进本书的理由：它不是"另一个世界"，而是你已学的代理技术（SOCKS+TLS+混淆+分流+复用）的高强度组合应用。

️ 概念验证（不涉及规避，仅演示技术等价性）

演示一：Shadowsocks 本质 = 加密的本地 SOCKS5

用本机自连演示"SS 客户端 = 一个本地 SOCKS5 入口"这一技术事实（服务端也指向本机，仅说明结构）：

# ss-local 在本地 1080 起一个 SOCKS5 入口（与第06/21章的 SOCKS5 完全同构）
# 应用把它当普通 SOCKS5 用：
curl --socks5-hostname 127.0.0.1:1080 https://example.com/ -s -o /dev/null -w "%{http_code}\n"
# 技术上：应用 → 本地SOCKS5(加密) → 远端解密 → 目标，与第06章的 SOCKS5 流程一致，只是隧道加了密

演示二：理解 TLS 伪装为何难被识别

# Trojan 类伪装的核心：它就是真正的 TLS，SNI 是正常域名
openssl s_client -connect <host>:443 -servername www.example.com </dev/null 2>/dev/null \
  | openssl x509 -noout -subject
# 观察者只看到一次到 www.example.com 的正常 TLS 握手——这就是"看起来像正常网站"的含义

演示三：分流规则的判定逻辑

请求 github.com  → 命中 MATCH,PROXY → 走代理
请求 10.0.0.5    → 命中 IP-CIDR,10.0.0.0/8,DIRECT → 直连
请求 内网域名     → 命中 DOMAIN-SUFFIX,...,DIRECT → 直连（避免内网流量走代理）

这套"按目标决定走向"的逻辑，与 第08章 的 PAC FindProxyForURL 在工程上是一回事。

技术要点 / 排错（工程视角）

本章小结

• 这类工具的技术骨架 = 本地标准代理入口（SOCKS5）+ 加密混淆隧道 + 远端出口 + 智能分流，每块都是前面学过的技术。
• 演进主线：SS（加密 SOCKS）→ V2Ray/Xray（多协议平台）→ Trojan（TLS 伪装）→ Clash/sing-box（多协议 + 规则分流）。
• 四大技术维度：AEAD 加密、对抗 DPI 的混淆/伪装、协议×传输的分层组合、规则分流（含防 DNS 泄漏）。
• 它与企业代理、CDN、Service Mesh 技术同源——理解它就是理解"代理灵活性"的极限组合。

组件横评篇至此完整收官（13-20，从云原生反代到正向/调试/穿透/混淆全覆盖）。下一篇回到 第五篇·多语言手写：用 Rust/Python/C 重新实现代理，对照 第21章 的 Go，理解不同语言写代理的取舍。