第一课:IP、IPv4、IPv6 到底是什么?

一、先整体理解:IP、IPv4、IPv6 三者是什么关系?

很多人第一次接触VPN、VPS、各种代理服务的时候,会把 IP、IPv4、IPv6 混在一起,下面就对它们进行细致的区分讲解:**IP(Internet Protocol) 是互联网通信使用的一套地址规则;IPv4 和 IPv6 是这套规则的两个版本。**可以初步理解为:

名称大白话解释示例
IP网络通信中的“地址系统”类似现实世界的地址规则
IPv4第 4 版 IP 地址规则,最常见的老格式192.168.1.1
IPv6第 6 版 IP 地址规则,新一代格式2001:db8::1

但是日常我们说“我的 IP 是多少”,其实通常是在问:**我现在访问互联网时,对外显示的 IP 地址是多少?**这个IP地址就不是IP,而是 IPv4 或者 IPv6。这是IPv4和IPv6的详细对比,下面会展开解释:

对比项IPv4IPv6
地址长度32 位128 位
显示方式点分十进制冒号分隔十六进制
常见样子192.168.1.12001:db8::1
分组方式4 段,每段 8 位8 组,每组 16 位
每段/每组范围每段 0 ~ 255每组 0000 ~ ffff
地址数量2^32,约 42.9 亿2^128,数量极大
回环地址127.0.0.1::1
未指定地址0.0.0.0::

二、IP 是什么?

1. IP 的核心作用

IP 的全称是 Internet Protocol,中文通常叫“互联网协议”。它的作用是让网络中的设备可以互相找到对方。你打开一个网站时,本质上是你的设备在向网站服务器发送请求:我要访问你,请把网页内容发回来。那网站服务器怎么知道数据要发回哪里?就需要靠 IP 地址。你可以把 IP 地址理解成网络世界里的“通信地址”:

现实世界网络世界
家庭地址IP 地址
快递包裹网络数据
快递路线网络路由
收件人地址目标 IP
发件人地址源 IP

所以,IP 地址最核心的作用就是:让网络数据知道从哪里来、要到哪里去。

2. IP 地址不是固定不变的

**IP地址是变化的,是你这次上网时使用的网络出口地址。**比如你在家里连 Wi-Fi,上网时网站看到的可能是你家宽带的公网 IP;你切换到手机流量,网站看到的 IP 可能就变成了移动运营商的 IP;你使用代理、VPN、VPS 时,网站看到的 IP 又可能变成代理服务器、VPN 节点或 VPS 的 IP。

3. 公网 IP、内网 IP、出口 IP

IP 地址还可以分成不同类型,最重要的是这三个:

类型含义
公网 IP互联网上对外可见的地址
内网 IP局域网内部使用的地址
出口 IP目标网站最终看到的那个 IP

比如你家里有电脑、手机、iPad,这些都是在你家局域网里面,所以IP是内网IP,分别是:

电脑:192.168.1.10
手机:192.168.1.11
iPad:192.168.1.12
路由器:192.168.1.1

但它们访问外部网站时,网站看到的可能都是同一个公网出口 IP:123.45.67.89。整个IP变化流程就是:

电脑 192.168.1.10
→ 路由器 192.168.1.1
→ 公网出口 IP 123.45.67.89
→ 目标网站

而目标网站看到的往往是你的公网IP。

三、IPv4 是什么?

1. IPv4 是最常见的 IP 地址格式

IPv4 是 Internet Protocol version 4,也就是第 4 版互联网协议。IPv4 地址通常长这样:

192.168.1.1
8.8.8.8
1.1.1.1
255.255.255.255

IPv4 的官方规范中,地址长度是 4 个 八位组(octet,八个二进制位),也就是 4 组 8 位,共 32 位。也就是说:IPv4 = 32 位二进制

2. IPv4 为什么只有 42.9 亿个?

因为 IPv4 本质上是一个 32 位二进制数字。每一位二进制只能是:0或1。所以 IPv4 的理论总数量是:2^32 = 4,294,967,296。也就是大约:42.9 亿个。这就是为什么经常听见有人说 IPv4 地址数量有限,42.9亿个确实比较少。。。而且这 42.9 亿个地址里,并不是全部都能作为公网 IP 使用。因为有一部分地址被保留给内网、回环、广播、文档示例等特殊用途。

3. IPv4 为什么用点分成 4 段?

IPv4 虽然本质是 32 位二进制,但人类不方便直接看这种形式:

11000000101010000000000100000001

所以人们把它拆成 4 段:

8 位 . 8 位 . 8 位 . 8 位

每一段 8 位二进制,转换成十进制后,就是我们看到的样子:

192.168.1.1

192.168.1.1 为例:

192       .168       .1         .1
11000000  .10101000  .00000001  .00000001

所以点号 . 不是小数点,只是分隔符。

4. 为什么每一段只能是 0 到 255?

因为每一段是 8 位二进制。8 位二进制最小是:00000000,换成十进制是:0。8 位二进制最大是:11111111,换成十进制是:255。所以 IPv4 每一段的范围只能是:0 ~ 255

5. 什么是内网 IPv4?

内网 IPv4 是只在局域网内部使用的地址。常见内网地址有三大段:

10.0.0.0 ~ 10.255.255.255
172.16.0.0 ~ 172.31.255.255
192.168.0.0 ~ 192.168.255.255

家用路由器最常见的是:

192.168.0.x
192.168.1.x

比如:

192.168.1.1     路由器
192.168.1.10    电脑
192.168.1.11    手机
192.168.1.12    iPad

这时候你会发现,很多设备只是最后一段不同,但这不是绝对的。在公司、学校、机房里,也可能出现:

10.20.3.15
10.20.3.16
10.20.4.88
10.21.1.20

6. 为什么很多人都有 192.168.1.1?

192.168.1.1 是一个私有内网地址。它不是公网地址,所以不需要在全球唯一。这就像酒店 A 有 101 房间,酒店 B 也有 101 房间,只要它们在不同酒店里,就不会冲突。

7. 什么是回环地址?

IPv4 里最常见的回环地址是:127.0.0.1。它通常也叫:localhost(经常vibe coding的朋友们肯定知道——localhost: 3000)回环地址的意思是:**自己访问自己。**比如你在浏览器输入:http://127.0.0.1:3000。意思是我这台电脑上的浏览器访问我这台电脑上运行的 3000 端口服务。它不会访问互联网,也不会访问路由器,而是在你本机内部完成通信。在你的电脑上,127.0.0.1 是你的电脑自己。在一台 VPS 上,127.0.0.1 是那台 VPS 自己。

四、IPv6 是什么?

IPv6 是 Internet Protocol version 6,也就是第 6 版互联网协议。它出现的一个重要原因,就是 IPv4 地址数量不够用。IPv4 只有 32 位,而 IPv6 是128 位。所以 IPv6 的地址数量是:2^128=340,282,366,920,938,463,463,374,607,431,768,211,456。这个数量非常巨大,可以简单理解为:**IPv6 的地址数量远远超过 IPv4。**IPv6 不再使用 IPv4 那种点分十进制格式,而是采用“十六进制 + 冒号分隔”。一个完整的 IPv6 地址长这样(分成8组):

2001 : 0db8 : 85a3 : 0000 : 0000 : 8a2e : 0370 : 7334

每一组是 4 个十六进制字符。十六进制字符包括:

0 1 2 3 4 5 6 7 8 9 a b c d e f

IPv6 的标准文本形式通常写成 x:x:x:x:x:x:x:x,也就是 8 组十六进制数,用冒号分隔。因为IPv6 太长了,所以允许简写。比如这个完整地址:2001:0db8:0000:0000:0000:0000:0000:0001。可以先省略每组前面的 0:2001:db8:0:0:0:0:0:1。如果中间有连续的 0000,还可以用 :: 省略:

2001:db8::1

这里的“::”表示中间省略了一串连续的 0。但是要注意:一个 IPv6 地址里,:: 最多只能出现一次。

第二课:客户端、服务器、网站到底是什么?

**互联网里到底是谁在和谁通信?**答案就是两个角色:客户端和服务器。互联网里最常见的通信模型,可以理解成:

客户端  →  请求  →  服务器
客户端  ←  响应  ←  服务器

你打开网页、刷视频、登录账号、发评论、调用 AI,本质上都可以放进这个模型里理解:你这边的软件向远方的服务器发请求,服务器处理后把结果返回给你。

一、客户端是什么?

客户端(Client):主动发起请求的一方。你平时用的浏览器、手机 App、电脑软件、小程序、游戏客户端、命令行工具、代码脚本,都可能是客户端。比如你用 Chrome 打开一个网站,Chrome 就是客户端。你用手机刷 X,X App 就是客户端。你用 Cursor 调用 AI 模型,Cursor 这个软件就是客户端。你写一段 Python 代码去请求某个 API,这段代码程序也可以是客户端。

这里有一个很容易混淆的点:**客户端不一定是你的电脑或手机本身,更准确地说,它通常是运行在设备上的某个软件。**比如你用 Mac 打开 Chrome 访问网站,Mac 是设备,Chrome 才是这次访问里的客户端。你用 iPhone 打开 YouTube,iPhone 是设备,YouTube App 是客户端。客户端主要负责三件事:接收你的操作,把你的操作变成网络请求,再把服务器返回的结果展示给你。比如你在一个 AI 网站里输入一句话,然后点击“发送”。你看到的是自己点了一个按钮,但背后其实是:浏览器这个客户端把你的输入内容发给服务器,服务器处理后返回结果,浏览器再把结果显示在页面上。

二、服务器是什么?

服务器(Server):等待别人来访问,并提供服务的一方。它可以提供网页、图片、视频、登录功能、搜索功能、评论功能、支付功能、文件下载、AI 生成结果等各种服务。比如你打开 YouTube,YouTube 的服务器会返回页面、视频、评论和推荐内容。你打开 X,X 的服务器会返回时间线、推文、图片、视频和互动数据。你打开 ChatGPT,OpenAI 的服务器会接收你的问题,处理后返回回答。所以服务器本质上就是:**一台或一组专门提供服务的机器,以及运行在这些机器上的程序。**这里还要注意,“服务器”这个词有两层意思:有时候我们说服务器,是指一台真实的机器,比如云服务器、VPS、机房里的物理服务器。这时候它更像是一台远程电脑。

但有时候我们说 Web 服务器、数据库服务器、代理服务器、邮件服务器,更多是在说某种服务程序或系统。比如一台 VPS 本身只是你租来的远程服务器,但你在上面安装了代理程序之后,它才会变成代理服务器。这个点对后面非常重要:VPS 不天然等于代理。VPS 是一台远程服务器;代理是运行在某台机器上的转发服务。

三、网站到底是什么?

很多人会以为网站就是一个网页。其实更准确地说,网站是一整套在线服务——你看到的页面只是网站的表层。一个网站背后通常包括前端、后端、数据库、服务器和网络环境。前端是你能看到和操作的部分,比如页面、按钮、输入框、图片、动画;后端是服务器上处理业务逻辑的部分,比如判断你有没有登录、检查会员权限、处理支付、保存评论、调用 AI 模型;数据库是专门存数据的地方,比如用户账号、文章内容、评论、订单、聊天记录、会员状态。举个例子,你打开一个 AI 工具网站,看到输入框和生成按钮,这是前端。你点击“生成”之后,后端会接收你的请求,检查你有没有权限,可能还会调用模型。你的账号信息、历史记录、剩余次数,通常存在数据库里。

所以网站不是单独一个页面,而是由前端、后端、数据库和服务器共同组成的一套服务。小网站可能一台服务器就能跑起来。大型平台就复杂得多。像 YouTube、X、TikTok、淘宝、OpenAI 这种平台,背后往往有很多服务器一起工作:网页服务器、登录服务器、数据库服务器、图片服务器、视频服务器、推荐系统、风控系统、缓存系统、CDN 节点等等。你表面上只是访问了一个网站,背后其实可能是一整套庞大的服务器系统在响应你。

四、请求和响应是什么?

客户端和服务器之间最核心的动作,就是请求和响应。请求,就是客户端对服务器说:“我需要某个东西”或者“请你帮我做某件事”。比如你打开首页,客户端是在请求首页内容。你点击登录,客户端是在请求服务器验证账号密码。你刷新时间线,客户端是在请求最新内容。你点赞一条推文,客户端是在请求服务器记录这次点赞。响应,就是服务器处理完以后返回的结果。比如服务器返回网页内容、登录成功、登录失败、评论列表、视频数据、AI 生成结果,或者告诉你没有权限、请求失败、服务器出错。

第三课:域名、URL、DNS 是什么?

一、三者的概念和关系

它们的概念如下:

概念大白话
域名网站好记的名字,比如 openai.com
URL一个完整的网址,比如 https://openai.com/chatgpt
DNS把域名翻译成 IP 的系统

IP 是机器真正使用的地址,但人类不喜欢记 IP。比如你不可能每天靠记一串数字访问网站,所以互联网引入了域名。域名就是给服务器起一个人类容易记的名字。你记 openai.com 就可以,不需要记它背后的服务器 IP。但计算机最终还是要靠 IP 通信,所以中间需要一个“翻译系统”,把 openai.com 翻译成服务器的 IP。这个翻译系统就是 DNS。关系:域名 → DNS 查询 → IP 地址 → 连接服务器

二、域名是分层的

域名不是随便一串字符,它是有层级结构的。比如 www.example.com 这个域名,可以拆成三层:

www.example.com
│   │       │
子域名 二级域名 顶级域名

.com 是顶级域名,也叫 TLD。常见的还有 .net、.org、.cn、.ai、.io 等。example 是二级域名,通常是你真正注册和拥有的部分。比如 openai.com 里面,openai 就是主体部分。www 是子域名。很多网站会用 www,也有的网站不用。比如 www.example.com 和 example.com 可以指向同一个网站,也可以被配置成不同的网站。

三、URL 是什么?

URL 就是我们平时说的“完整网址”。域名只是 URL 的一部分,URL 比域名更完整,它不仅说明你要访问哪个网站,还说明用什么协议、访问哪个页面、带什么参数。比如这个网址:

https://www.example.com/articles?id=123#comments

可以拆成几部分:

部分示例含义
协议https://用什么方式通信
域名www.example.com访问哪个网站
路径/articles访问网站里的哪个页面
参数?id=123给服务器的额外信息
锚点comments页面内的某个位置

四、DNS 是什么?

DNS 的全称是 Domain Name System,中文一般叫“域名系统”。它的核心作用只有一句话:**DNS 负责把域名翻译成 IP 地址。**因为人类输入的是域名,但网络通信最终要靠 IP。比如你输入 youtube.com,浏览器需要先知道 youtube.com 对应哪个 IP,这个查询过程就叫 DNS 解析。大概粗浅过程是:

你输入 youtube.com

浏览器询问 DNS:youtube.com 对应哪个 IP?

DNS 返回一个 IP

浏览器连接这个 IP 对应的服务器

五、真实 DNS 查询到底怎么走?

通过上面YouTube这个案例,我们已经知道,DNS 的核心作用是:把域名翻译成 IP 地址。比如你访问 www.example.com,浏览器最终需要知道它对应哪个 IP。但问题来了,这个“查询 IP”的过程不是每次都直接去问一个中央服务器,而是会先从近处找答案,找不到再往远处问。

1. 什么是缓存?

讲 DNS 查询前,必须先理解“缓存”。**缓存就是临时记住以前查过的结果,方便下次直接使用。**比如你刚访问过 www.example.com,系统已经查到它对应某个 IP。短时间内你再次访问这个网站时,浏览器或系统可能会直接使用之前查到的结果,而不是重新完整查一遍。这样做有两个好处:第一,访问更快;第二,减少 DNS 系统的压力。所以 DNS 查询的第一原则是:能从缓存里找到答案,就不重新查询。

2. 浏览器缓存是什么?

浏览器缓存,就是浏览器自己临时记住的 DNS 查询结果。比如你用 Chrome 访问过 www.example.com,Chrome 可能会短时间记住:这个域名刚才解析到过哪个 IP。你下一次再访问时,Chrome 可能先看自己有没有记录。

3. 操作系统缓存是什么?

如果浏览器自己没有结果,它通常会去问操作系统。操作系统就是你的 Windows、macOS、iOS、Android 这一层。系统也可能保存 DNS 查询结果。比如你刚才不是用 Chrome,而是用另一个 App 访问过同一个域名。这个域名的解析结果可能已经被操作系统记住了。那 Chrome 再访问时,就可以从系统那里拿到结果。

4. 本地 DNS 是什么?

如果浏览器和操作系统都没有答案,设备就要去问一个 DNS 服务器。这个 DNS 服务器通常叫本地 DNS,也叫**递归 DNS 解析器:它是帮你真正出去查 DNS 的角色。**这个本地 DNS 可能来自你的宽带运营商(路由器接入运营商自动分配的),也可能是你自己手动设置的公共 DNS(公开的域名解析服务,为了更快更稳定),比如 Google DNS、Cloudflare DNS 等。

比如你连家里 Wi-Fi,路由器或运营商通常会自动告诉你的设备:“你查域名时,就去问这个 DNS 服务器。” 如果你手动把 DNS 改成 8.8.8.81.1.1.1,那你的设备就会去问这些公共 DNS。

5. 递归 DNS 是什么意思?

**递归DNS:你问它一个域名,它负责帮你一路查到底,最后把 IP 结果带回来。**比如你问本地 DNS:www.example.com 是哪个 IP?如果它自己缓存里有答案,它直接告诉你,如果它没有答案,它不会让你自己去问根 DNS、顶级域名 DNS、权威 DNS,而是它替你去问,这就叫递归查询。

6. 根 DNS 是什么?

如果递归 DNS 自己也不知道答案,它就要从 DNS 的最上层根 DNS 开始。根 DNS 不会直接告诉你 www.example.com 的最终 IP。它更像一个总目录,只告诉你下一步该去哪里问。比如你要查 www.example.com,根 DNS 会看最后的 .com,然后告诉递归 DNS:“你要查 .com 域名,去问负责 .com 的顶级域名 DNS。”

7. 顶级域名 DNS 是什么?

顶级域名就是域名最后那一段,比如 .com.cn.net.org.ai。负责这些顶级域名的 DNS,就叫顶级域名 DNS,也可以叫 TLD DNS。比如你查 www.example.com,递归 DNS 会去问 .com 的顶级域名 DNS。.com 的顶级域名 DNS 也通常不会直接告诉你最终 IP。它会告诉你:“example.com 这个域名的权威 DNS 在哪里,你去问它。”

8. 权威 DNS 是什么?

权威 DNS 是真正保存某个域名解析记录的地方。比如 example.com 的权威 DNS 里可能保存着:www.example.com 应该指向哪个 IPv4 地址,哪个 IPv6 地址。所以递归 DNS 最后会问权威 DNS:“www.example.com 到底对应哪个 IP?”权威 DNS 才会返回最终答案,然后递归 DNS 把这个答案带回给你的设备。你的浏览器拿到 IP 后,才可以真正连接服务器。

六、DNS 记录是什么?

域名要解析到哪里,不是凭空决定的,而是由 DNS 记录配置的。你买了一个域名之后,可以在域名服务商或 DNS 服务商那里配置解析记录。最常见的记录有几类:

记录类型作用
A 记录把域名指向一个 IPv4 地址
AAAA 记录把域名指向一个 IPv6 地址
CNAME 记录把一个域名指向另一个域名
MX 记录配置邮箱服务器
TXT 记录放验证信息,比如域名所有权、邮箱安全验证

比如你想让 example.com 指向某台服务器的 IPv4 地址,就配置 A 记录。如果你想让 www.example.com 指向 example.com,可以配置 CNAME。如果你要做企业邮箱,就会用到 MX 记录。如果你要验证域名所有权,比如接入 Google Search Console、邮件服务、某些 SaaS 平台,经常会让你添加 TXT 记录。

七、一个域名可以对应多个 IP 吗?

可以,而且非常常见。大型网站往往不会只有一台服务器。一个域名背后可能对应多个 IP,用来做负载均衡、容灾、CDN 加速和就近访问。比如你在美国访问某个网站,DNS 可能给你返回美国附近的服务器 IP;你在新加坡访问,DNS 可能给你返回新加坡附近的服务器 IP。所以同一个域名,在不同地区、不同网络、不同时间,解析出来的 IP 可能不一样。

八、一个 IP 可以对应多个域名吗?

也可以。一台服务器或者一个公网 IP 上,可能托管多个网站。比如 a.com、b.com、c.com 都可能指向同一个服务器 IP。服务器收到请求后,会根据你请求里带的域名,判断你到底要访问哪个网站。所以域名和 IP 不是绝对一对一关系:一个域名可以解析到多个 IP,一个 IP 也可以承载多个域名。

九、DNS 缓存和 TTL 是什么?

DNS 查询如果每次都从头查,会很慢,也会给 DNS 系统造成很大压力,所以 DNS 有缓存机制——比如你刚访问过 openai.com,浏览器或系统可能已经记住了它对应的 IP。下次再访问时,就不用重新完整查询,直接用缓存结果。但缓存不能永久有效。每条 DNS 记录通常会有一个 TTL,也就是缓存有效时间(这个解析结果可以被缓存多久)。如果 TTL 是 300 秒,那解析结果大概可以缓存 5 分钟,过期之后,系统需要重新查询。这也是为什么刚修改完域名解析的时候,不会立刻在全世界生效。因为很多地方还在使用旧缓存,等 TTL 过期后才会刷新。

第四课:协议、HTTP/HTTPS 和端口是什么?

一、协议是什么?

协议(Protocol)就是:**通信双方共同遵守的一套规则。**两个人交流,需要用同一种语言、同一种格式,如果一个人说中文,一个人说法语,就很难沟通。网络通信也是一样,客户端和服务器之间不能乱发一堆数据,它们必须约定好:请求怎么写、响应怎么回、错误怎么表示、数据怎么传。这个约定好的规则,就叫做协议。比如浏览器访问网站时,通常使用 HTTP 或 HTTPS。远程登录服务器时,常用 SSH;发送邮件、接收邮件,也有对应的邮件协议;代理也有自己的协议,比如 HTTP 代理、SOCKS5 代理。如果没有协议,客户端就算找到了服务器,也不知道应该怎么向服务器表达“我要这个页面”,服务器也不知道应该怎么把结果返回给客户端。

二、HTTP 是什么?

HTTP 是网页世界里最重要的协议之一,它的全称是 HyperText Transfer Protocol,可以简单理解成:**浏览器和网站服务器之间传输网页内容的规则。**你打开一个网页时,浏览器会按照 HTTP 的规则向服务器发请求;服务器收到请求后,也按照 HTTP 的规则返回响应。比如你打开一篇文章,浏览器会向服务器请求这篇文章页面,服务器返回页面内容。最基础的模型就是:

浏览器 → HTTP 请求 → 网站服务器
浏览器 ← HTTP 响应 ← 网站服务器

所以 HTTP 的核心其实就两个动作:**请求和响应。**请求就是客户端对服务器说:“我要什么”,响应就是服务器对客户端说:“这是结果”。HTTP 请求里可能包含你要访问的路径、你的浏览器信息、语言偏好、Cookie、登录状态等。HTTP 响应里可能包含网页内容、接口数据、图片地址、状态码等,比如你看到 404,意思通常是页面不存在;看到 403,意思通常是服务器拒绝访问;看到 500,意思通常是服务器内部出错。它们都是 HTTP 响应里的状态码。

三、HTTPS 是什么?

HTTPS 可以理解成 HTTP 的安全版本,因为普通 HTTP 本身不加密,如果有人在网络中间监听,理论上可能看到你和网站之间传输了什么内容,而HTTPS 在 HTTP 外面加了一层安全保护来解决这个问题。这层保护主要由 TLS(一个加密通道,负责加密、身份验证和防篡改) 完成;而且在传统网页访问里,HTTPS 通常运行在 TCP 连接(一个安全的网络连接,让客户端和服务器之间的数据传输更可靠、有顺序、不容易丢失)之上:

访问 HTTPS 网站时,浏览器通常会先和服务器建立 TCP 连接,然后进行 TLS 握手。TLS 握手可以理解为——浏览器和服务器在正式传输网页内容之前,先确认对方身份、协商加密方式,并生成后续通信要用的加密密钥。握手完成后,浏览器和服务器才会在这条加密通道里传输 HTTP 内容。HTTPS 主要多做了三件事:第一是加密。浏览器和服务器之间传输的内容会被加密,中间人即使截获数据,也很难直接看懂。第二是防篡改。数据在传输过程中不容易被别人偷偷修改。第三是身份验证。浏览器可以通过网站证书判断:你访问的网站大概率真的是它声称的那个网站,而不是别人伪装的。

现在绝大多数正式网站都会使用 HTTPS:比如登录账号、支付、发消息、使用 AI 工具、访问邮箱或网盘,基本都应该通过 HTTPS 进行。不过,HTTPS 不等于完全隐身——它主要保护的是你和网站之间传输的具体内容,而你的出口 IP、访问时间、连接到了哪个服务器、传输了多少数据等网络层信息,仍然可能被相关网络节点看到。所以你以后看到网址开头是 http://,说明它使用的是普通 HTTP;看到 https://,说明它使用的是 HTTPS,也就是加密保护后的 HTTP。

四、端口是什么?

**如果服务器上可能有很多服务,客户端要找哪个?**一台服务器可以同时提供很多服务——它可以提供网站服务,也可以提供远程登录服务,还可以运行数据库、邮件服务、代理服务、后台 API 服务。IP 只能帮你找到这台服务器,但不能告诉你要访问这台服务器上的哪个服务。这时候就需要端口——**一台机器上不同服务的入口编号。**你可以把服务器想象成一栋大楼,IP 是这栋楼的地址,端口是楼里的不同房间号,你只知道大楼地址还不够,还得知道你要去哪个房间。

五、端口号长什么样?

端口就是一个数字。比如网页服务、远程登录服务、数据库服务、代理服务,都可能监听不同的端口。监听端口就是指某个服务程序正在这个端口等别人来连接。常见端口可以先知道这些:

端口常见用途
80HTTP 网页服务
443HTTPS 网页服务
22SSH 远程登录服务器
3306MySQL 数据库
5432PostgreSQL 数据库
3000 / 5173 / 8080本地开发或测试服务常见端口

比如浏览器访问一个 HTTPS 网站时,通常就是在访问这个服务器上的 443 端口。你本地开发网页时,看到 localhost:3000,意思就是浏览器在访问你自己电脑上 3000 端口运行的服务。

六、为什么 URL 里经常看不到端口?

你平时访问 https://openai.com,并没有手动写端口,但浏览器其实知道该访问哪个端口。原因是:**常见协议有默认端口。**HTTP 默认使用 80 端口。HTTPS 默认使用 443 端口。所以你访问 http://example.com,浏览器默认理解为访问 example.com 的 80 端口。你访问 https://example.com,浏览器默认理解为访问 example.com 的 443 端口。因为是默认规则,所以 URL 里可以省略端口。但如果服务运行在非默认端口,就需要写出来。比如 https://example.com:8443,这里的 8443 就是明确告诉浏览器:不要用默认的 443 端口,而是访问 8443 端口。

本地开发也经常这样,经常一个端口被占用了,就要开其它端口,比如 localhost:3000localhost:5173localhost:8080,这些都表示访问本机上的某个端口。

七、协议、域名、IP、端口怎么组合起来?

假设你访问 https://example.com/articles。首先,https 告诉浏览器:我要用 HTTPS 这种协议访问;然后,example.com 是域名,浏览器会通过 DNS 查出它对应的服务器 IP;接着,因为 HTTPS 默认使用 443 端口,所以浏览器会连接这台服务器的 443 端口;最后,浏览器按照 HTTPS 的规则发送请求,告诉服务器自己要访问 /articles 这个路径。可以用一张小图表示:

https://example.com/articles
│       │           │
协议     域名         路径
 
域名 → DNS 解析成 IP → 找到服务器 → 通过端口找到服务 → 按照协议通信

八、打开一个网站时,到底发生了什么?

学完上面的内容后,就可以完整地理解「当我们打开一个网站,究竟经历了哪些不为人知的操作」。你在浏览器里输入一个网址,比如 https://example.com/articles,然后按下回车。表面上看,只是“打开网页”。但背后其实发生了一整套流程:

输入 URL
→ 解析 URL
→ DNS 查询 IP
→ 确定协议和端口
→ 建立TCP连接
→ 进行 TLS 握手建立加密通道
→ 发送 HTTP/HTTPS 请求
→ 服务器处理请求
→ 返回响应
→ 浏览器渲染页面

第五课:数据怎样从你的设备到达网站?

当浏览器已经知道目标服务器的 IP 了,数据究竟怎样离开你的电脑,经过家庭网络、运营商和互联网,最终到达服务器呢?

一、数据包和局域网

网络里的数据通常不会整块发送,而是会被拆成许多较小的部分,这些部分可以统称为数据包。比如你打开网页、发送消息、观看视频,背后的数据都会被拆开传输。每个数据包除了携带实际内容,还会带有一些用于传输的信息,例如源 IP、目标 IP、使用的协议等。如果使用的是 TCP 或 UDP(User Datagram Protocol,用户数据报协议,相比TCP更轻量,只负责把数据传出去,不会建立可靠连接),还会涉及源端口和目标端口。可以把数据包理解成快递包裹:

  • 包裹里面是实际内容;
  • 包裹外面写着从哪里来、要送到哪里;
  • 中间的网络设备根据地址决定下一步往哪里送。

你的电脑通常不是直接连接整个互联网,而是先处在一个小型网络里,这个网络叫局域网,英文是 LAN。比如你家里的电脑、手机、平板、智能电视和路由器,通常都在同一个家庭局域网中。它们可能分别使用这些内网 IP:路由器:192.168.1.1 ;电脑:192.168.1.10 ;手机:192.168.1.11 ;平板:192.168.1.12。当电脑准备发送数据时,会先判断目标 IP 是否在同一个局域网内。如果目标是家里的打印机,数据可能直接在局域网中传递;如果目标是 YouTube、OpenAI 或其他互联网网站,数据就必须离开当前局域网。

二、网关和路由器

设备想离开当前局域网,需要先把数据交给默认网关。网关可以理解成设备离开当前网络时使用的出口,在普通家庭网络里,默认网关通常就是家用路由器,例如你的电脑 IP 是 192.168.1.10,默认网关可能是 192.168.1.1。当电脑发现目标 IP 不在家庭局域网中时,就会把数据包先交给 192.168.1.1。

电脑 192.168.1.10
→ 默认网关 192.168.1.1
→ 外部网络

网关和路由器经常指向同一个设备,但概念并不完全相同——网关强调的是角色:它是当前网络的出口;路由器强调的是功能和设备:它往往还同时提供 Wi-Fi、分配内网 IP、执行 NAT(下面会讲)、充当防火墙和转发 DNS 请求。

三、路由和路由表

路由是指**根据数据包的目标 IP,决定下一步把它送到哪里。路由器内部有一张路由表,这张表可以理解成网络方向指引表,记录着某类目标地址应该从哪个出口发送;下一步应该交给哪台设备;如果没有更具体的规则,到底走哪条默认路线。路由器通常不需要知道从你家到网站的全部完整路线,只需要决定这个数据包的下一站,**下一台路由器收到以后,再做同样的判断,于是数据包就被一站一站地转发。

家用路由器
→ 运营商接入路由器
→ 运营商骨干网络
→ 其他网络
→ 网站所在网络
→ 目标服务器

数据每经过一个中间路由节点,通常可以称为一“跳”,英文叫 hop。所以你访问一个网站时,数据不是直接从你家瞬间飞到网站服务器,而是经过多个网络节点逐步传过去。

四、NAT 为什么存在?

NAT 的全称是 Network Address Translation,中文叫网络地址转换。因为你家里的设备使用的是内网 IP,但内网 IP 不能直接作为全球互联网中的唯一地址使用。比如你的电脑 IP 是 192.168.1.10,这个地址在你家里可以使用,但世界上可能有无数台设备的IP也是 192.168.1.10,那么网站就无法根据这个地址判断,数据究竟应该返回到哪一个家庭,所以当数据离开你家时,路由器会把源 IP 从内网地址转换成公网出口地址。假设你家的公网 IP 是 123.45.67.89:

转换前:
源 IP:192.168.1.10
目标 IP:网站服务器 IP
 
经过 NAT 后:
源 IP:123.45.67.89
目标 IP:网站服务器 IP

网站最终看到的是 123.45.67.89,而不是 192.168.1.10。所以 NAT 的核心作用是把家庭内网中的地址,转换成外部网络能够识别的出口地址。

五、多台设备怎样共用一个公网 IP?

你家里可能有电脑、手机、平板和电视,但它们访问网站时,网站看到的可能都是同一个公网 IP。

电脑 192.168.1.10 ┐
手机 192.168.1.11 ├→ 路由器/NAT → 公网 IP → 网站
平板 192.168.1.12 ┘

这时候就有一个问题:**网站返回数据时,路由器怎么知道应该交给电脑,还是手机?**答案是:路由器会记录每一条连接的对应关系。它不仅看内网 IP,还会结合端口来区分不同连接。家庭网络里常见的这种方式,更具体地可以叫 PAT,也就是端口地址转换,但日常通常也归到 NAT 里面。例如路由器内部可能记录:

内网设备内网连接对外连接
电脑192.168.1.10:50001123.45.67.89:61001
手机192.168.1.11:50002123.45.67.89:61002
平板192.168.1.12:50003123.45.67.89:61003

网站把数据返回到 123.45.67.89:61002 时,路由器查看记录,就知道这份数据属于手机。

六、运营商网络和 CGNAT

家用路由器并没有直接连接世界上所有网站,它首先接入的是宽带运营商网络。提供互联网接入的公司通常叫 ISP,也就是互联网服务提供商,例如电信、联通、移动,或者其他国家和地区的宽带运营商。大致路径是:

你的设备
→ 家用路由器
→ 运营商接入网络
→ 运营商骨干网络
→ 其他运营商或云服务商网络
→ 目标服务器

互联网并不是一台巨大的中央机器,而是许多运营商、云服务商、数据中心、企业和机构的网络互相连接后形成的“网络之网”。有时,运营商还会再做一次 NAT,这叫 CGNAT,也就是运营商级 NAT。原因还是 IPv4 地址不足,运营商让很多家庭用户进一步共享少量公网 IPv4。这时可能出现两层转换:

电脑内网 IP
→ 家用路由器 NAT
→ 运营商内部地址
→ 运营商 CGNAT
→ 真正的公网出口 IP
→ 网站

这种情况下,你在路由器后台看到的 WAN 地址(Wide Area Network,广域网,指路由器连接外部网络时使用的 IP 地址)可能并不是真正的公网 IP,因为网站最终看到的是运营商做完 CGNAT 后的出口 IP。CGNAT 还可能导致一些现象,比如:

  • 从公网主动连接家里的设备更困难;
  • 路由器端口映射可能无法直接生效;
  • 多个家庭用户可能共享同一个公网 IPv4;
  • 路由器显示的地址和查询 IP 网站显示的地址不一样。

七、返回路径、延迟和丢包

网站收到请求后,会把响应发回你的公网出口 IP。返回路径大致是:

网站服务器
→ 网站所在网络
→ 多个互联网路由节点
→ 你的宽带运营商
→ 家用路由器
→ 你的电脑

数据到达你家路由器后,路由器会查看之前保存的 NAT 连接记录,再把数据转回正确的内网设备。需要注意,数据回来的路线不一定和出去时完全一样,也就是非对称路由,去程走一条路线,回程走另一条路线。网络访问还会产生延迟,延迟通常来自几个方面:

物理距离:服务器越远,信号传播通常越慢。 中间节点:经过的路由器越多,处理和排队时间可能越长。 网络拥堵:线路繁忙时,数据包可能需要等待。 路由质量:地理距离近,不代表网络路线一定短,有时会绕路。 丢包重传:数据丢失后,TCP 可能需要重新发送。

第六课:网站到底能看到你哪些信息?

当上面从客户端发送的请求到达服务器后,网站能知道些什么?很多人会以为网站只能看到 IP,但实际上,网站看到的是一组信息,包括:网络信息+浏览器和设备环境+Cookie与账号状态+访问行为。平台通常不会只根据其中一个因素判断你,而是把这些信息组合起来分析。

一、网站首先能看到你的出口 IP

当你直接访问网站时,服务器通常能看到你的公网出口 IP——如果你使用代理,网站通常看到代理服务器的 IP;如果你使用 VPN,网站通常看到 VPN 服务器的 IP;如果你通过 VPS 访问,网站通常看到 VPS 的 IP。网站拿到 IP 后,还可以查询这个 IP 的相关属性,例如国家、地区、城市、运营商、网络类型,以及是否有异常使用记录。不过,IP 定位不是 GPS。一个 IP 显示在洛杉矶,不代表用户一定坐在洛杉矶;它可能只是运营商或服务器的出口位于那里。

二、运营商、ASN 和 IP 类型是什么?

网站不仅会看 IP 数字本身,还会看这个 IP 属于什么网络。这里会遇到一个概念:ASN (Autonomous System Number),可以理解成一个大型网络组织的编号。互联网并不是一张由单一公司管理的网络,而是很多运营商、云厂商、大学、企业和数据中心的网络互相连接形成的,每个大型独立网络通常会有自己的 ASN。

因此,平台查到一个 IP 后,可能会知道:这个 IP 属于哪个网络组织 ;它更像家庭宽带、移动网络,还是数据中心; 这个 IP 所属网络是否经常被代理、爬虫或自动化程序使用。

这就是为什么两个都显示美国的 IP,一个属于普通家庭宽带运营商,另一个属于大型云计算数据中心,但是平台对它们的信任程度可能完全不同。

三、网站能从请求里看到什么?

浏览器向网站发送 HTTP 请求时,请求中会附带一些信息,帮助服务器理解你的环境和需求,这些信息常被放在 HTTP 请求头中。

例如,请求可能表达:我使用的浏览器类型;我的语言偏好;我可以接收哪些内容格式;我从哪个页面跳转过来 我是否带有登录 Cookie。

一个简化后的请求可能类似:

GET /articles HTTP/1.1
Host: example.com
User-Agent: Chrome
Accept-Language: zh-CN
Cookie: session=xxxxx

网站可能从中知道:浏览器和系统的大概类型(例如 Chrome、Safari、Firefox,Windows、macOS、Android 或 iOS);语言偏好(例如简体中文、英语、日语);来源页面(例如你是从 Google 搜索进入,还是从另一个网站点击链接进入);Cookie 和登录状态(比如你是否已经登录,以及服务器给你分配了哪个会话)。不过,现代浏览器为了减少隐私泄露,可能会缩减或模糊部分信息,所以网站得到的不一定是非常精确的设备型号和系统版本。

四、Cookie 和本地存储怎样识别你?

Cookie 是网站保存在浏览器中的一小段数据,网站第一次被访问时,可能给浏览器一个随机编号:“以后你再来时,把这个编号带给我。”浏览器下次访问时,会把 Cookie 一起发送给网站。这样即使你的 IP 发生变化,网站仍可能认出这是同一个浏览器。Cookie 经常用于:保持登录状态;记住语言和设置;统计用户访问;风控和安全验证。所以网站识别你,并不只依赖 IP。例如你昨天用家庭宽带登录账号,今天切换到手机流量。虽然 IP 变了,但浏览器仍带着原来的登录 Cookie,网站通常知道这仍是同一个账号和浏览器。

浏览器还提供 Local Storage、Session Storage、IndexedDB 等本地存储方式,它们和 Cookie 有相似之处,都是网站保存在浏览器里的数据,但用途和发送方式不同。Cookie 通常会随相关网络请求自动发送给服务器;Local Storage 等数据不会自动随每次请求发送,但网站的JavaScript可以读取后再使用。因此,单纯换 IP,并不会自动清除 Cookie、本地存储和登录状态。

五、网站还能读取哪些浏览器和设备环境?

网页中的 JavaScript 可以读取许多浏览器环境信息,例如:屏幕分辨率和可用区域;浏览器窗口大小;系统时区;浏览器语言;是否支持触摸;设备内存和处理器线程数的大概值;显卡渲染特征;浏览器支持的功能;安装或可用字体的部分特征;音频和图形渲染结果。单独看其中一个信息,通常无法确定你是谁。比如屏幕分辨率是 1920×1080 的人很多,使用 Chrome 的人也很多。但如果把许多特征组合起来,就可能形成一个相对独特的环境特征,这就是浏览器指纹。例如,一个环境可能表现为:美国出口 IP+中国时区+浏览器首选语言是简体中文+macOS 系统+特定屏幕尺寸+特定显卡渲染结果+曾经保存过某个站点数据。平台会分析这些信息是否自然、是否稳定,以及前后是否发生异常变化。

但需要注意,浏览器指纹通常不是一个永久且绝对唯一的身份证。浏览器更新、系统变化、窗口变化、隐私保护机制,都可能让指纹发生变化。

六、TLS 指纹和 WebRTC 是什么?

访问 HTTPS 网站时,浏览器在正式传输 HTTP 内容前,会进行 TLS 握手。在握手过程中,客户端会表达自己支持哪些加密算法、TLS 版本和扩展功能。这些选项的组合和排列方式,在不同浏览器、应用程序和网络工具之间可能不同。网站可以根据这种握手特征生成所谓的 TLS 指纹。TLS 指纹可能帮助网站判断请求是否像正常 Chrome 发出的;是否来自某种脚本或爬虫工具;浏览器声明的身份和底层握手特征是否一致。例如,一个请求头声称自己是最新版 Chrome,但 TLS 握手方式却明显像某个自动化程序,平台就可能认为环境存在异常。

WebRTC 是浏览器中用于实时音视频、语音通话和点对点通信的一套技术。在某些网络和浏览器环境下,WebRTC 可能暴露额外的网络地址信息,这就是常说的“WebRTC 泄露”。不过现代浏览器已经增加了许多隐私保护措施——例如,局域网地址有时会被隐藏或替换为随机名称,具体能看到什么取决于浏览器、系统、权限和网络配置。

七、网站能知道你使用了哪个 DNS 吗?

普通情况下,网站收到的 HTTP 或 HTTPS 请求里,并不会直接写着“这个用户使用的是哪台 DNS 服务器”。因此,网站通常不能只看一次普通网页请求,就直接知道你的电脑把 DNS 设置成了运营商 DNS、Google DNS,还是 Cloudflare DNS。但网站可以通过一种间接方式进行判断,假设一个网站让你的浏览器访问一个临时生成的特殊域名,例如:abc123.test.example.com 。这个域名以前没有被查询过,所以浏览器、操作系统和递归 DNS 中通常都没有缓存。为了找到它对应的 IP,你的设备必须向递归 DNS 发起查询。

递归 DNS随后会去询问这个域名的权威 DNS。如果这个权威 DNS 也由网站控制,网站就可以在权威 DNS 的记录中看到:“是哪台递归 DNS 来查询了这个特殊域名?”过程大致是:

浏览器访问特殊域名
→ 设备询问递归 DNS
→ 递归 DNS 询问网站控制的权威 DNS
→ 权威 DNS 记录这次查询

需要注意,权威 DNS 看到的通常是递归 DNS 服务器的地址,不一定是用户设备的真实公网 IP。比如你的设备使用运营商提供的递归 DNS,那么权威 DNS 看到的可能是运营商 DNS 服务器;如果使用公共 DNS,看到的可能是公共 DNS 服务的某个解析节点。

八、平台怎样综合这些信息做风控?

成熟的平台通常不会因为某一个信号就立即判断异常,而是综合分析,常见信号可以分成四类:1.网络环境:包括出口 IP、国家和城市、ASN、运营商、IP 类型、代理特征、历史滥用记录、连接速度和网络变化频率。2.设备与浏览器环境:包括浏览器、系统、时区、语言、屏幕尺寸、字体、图形渲染、TLS 指纹和其他浏览器特征。3.账号状态:包括 Cookie、登录令牌、账号注册地区、绑定手机号、支付方式、历史登录设备和以往使用地点。4.行为特征:包括登录时间、点击速度、访问频率、操作顺序、内容偏好、是否短时间大量请求,以及行为是否像真人。

第七课:代理、VPN 和 VPS 到底有什么区别?

前面我们已经知道,正常访问网站时,数据大致会从你的设备出发,经过路由器和运营商网络,最后到达目标网站。但是如果不让设备直接访问网站,而是在中间加入另一台服务器,网络路径会发生什么变化?在开始之前,先解释两个接下来会反复出现的词:**网络流量:**设备在网络中发送和接收的数据的总称,包括网页请求、图片、视频、DNS 查询等。**中转:**数据不直接发给目标网站,而是先交给另一台服务器,再由它继续发送。正常访问的路径是:你的设备 → 目标网站。然而加入中转服务器后,路径变成:你的设备 → 中转服务器 → 目标网站。代理和 VPN 都会在中间加入服务器,但它们工作的方式不同。VPS 则不是一种转发方式,而是一台可以被你使用的远程服务器。

一、代理是什么?

这里所说的“代理”,指的是替用户访问外部网站的代理服务,它的工作方式是:你的设备不直接把请求发给目标网站,而是先把请求交给代理服务器,代理服务器收到后,再替你访问网站,并把网站返回的内容转交给你。对于目标网站来说,真正连接它的是代理服务器,因此网站通常看到的是代理服务器的出口 IP,而不是你原本家庭宽带或手机网络的出口 IP。代理通常只处理被指定给它的流量,而不会天然接管整台设备的全部网络流量——你如果只在浏览器里设置代理,那么通常只有这个浏览器的流量经过代理,其他软件仍然直接访问互联网;你也可以在操作系统中设置代理,让更多支持系统代理的软件使用它;但某些软件可能不遵循系统代理设置,仍然直接连接网站。

代理不一定会加密,因为它的核心功能是转发流量。你的设备与代理服务器之间是否加密,要看使用的代理类型和具体配置——如果你访问的是 HTTPS 网站,浏览器和网站之间的网页内容通常仍然受到 HTTPS 保护。

二、VPN 是什么?

VPN 的全称是 Virtual Private Network,中文叫“虚拟专用网络”。它原本的作用,是让一台不在内部网络里的设备,通过互联网安全地接入另一个网络,比如员工在家里,通过 VPN 接入公司的内部系统。现在日常所说的消费级 VPN,通常是指设备先连接一台 VPN 服务器,然后让网络流量通过这台服务器访问互联网。在解释 VPN 之前,要先理解“隧道”。这里的隧道不是真实存在的物理管道,而是一种网络上的逻辑通道。设备会把准备发送的数据进行封装和加密,再发给 VPN 服务器。普通中间网络只能看到设备正在与 VPN 服务器通信,难以直接读取隧道中的具体内容。

路径大致是:你的设备→ 加密的 VPN 隧道→ VPN 服务器→ 目标网站。VPN 服务器收到数据后,再把它转发给目标网站,所以目标网站通常看到的是 VPN 服务器的 IP。VPN 常见两种工作方式:全部流量经过 VPN:设备的大部分网络访问都进入 VPN 通道。部分流量经过 VPN:只有指定网站、指定程序或指定网络经过 VPN,其他流量仍直接访问。这种做法叫分流。因此,不能简单地说“代理只管一个程序,VPN一定管全部程序”。更准确的说法是代理通常由具体应用或系统代理设置决定;VPN通常从设备的网络路由层面处理更大范围的流量,但也可以配置成只处理一部分流量。

概括一下:代理是在帮应用转发请求;VPN 是在设备与 VPN 服务器之间建立一个虚拟网络连接

三、VPN 的加密发生在哪里?

VPN 的加密主要发生在**你的设备与 VPN 服务器之间。**设备先把数据加密,再通过运营商网络发送给 VPN 服务器。VPN 服务器收到后,解除 VPN 这一层保护,然后继续把数据发送给目标网站。如果目标网站本身使用 HTTPS,还会同时存在 HTTPS 的加密。具体网页数据发送核心流程:HTTP 原始内容 → 浏览器用 TLS 加密 → VPN 软件再加密 → VPN 服务器解除 VPN 加密 → 目标网站解除 TLS 加密 → 读取 HTTP 内容。假设你通过 VPN 访问一个 HTTPS 网站:

  • 运营商通常能看到你连接了某台 VPN 服务器,但难以直接看到隧道里的具体网页内容(因为有VPN加密,先连接VPN再发送请求);
  • VPN 服务的运营者可能知道你连接了哪些网站或服务器,但正常情况下不能直接读取 HTTPS 加密的网页正文(因为有TLS加密);
  • 目标网站看到的是 VPN 服务器的出口 IP;
  • 但是目标网站仍然可以通过 Cookie、账号和浏览器环境认出你。

所以 VPN 不等于完全匿名。它主要改变网络路径并保护设备到 VPN 服务器这一段通信。

四、VPS 是什么?

VPS 的全称是 Virtual Private Server,中文通常叫“虚拟专用服务器”,大白话说,VPS 就是**你租用的一台远程电脑。**云服务商会有性能很强的物理服务器,通过虚拟化技术,可以把一台物理服务器分成多台相对独立的虚拟服务器。每台虚拟服务器可以拥有自己的操作系统、CPU 和内存配额、存储空间以及网络地址。你购买 VPS 后,通常会得到:一台远程服务器;一个操作系统;一定数量的 CPU(Central Processing Unit,中央处理器,电脑真正负责执行指令和进行计算的部分,VPS中常见1 vCPU、2 vCPU、4 vCPU就是指虚拟CPU,影响电脑处理能力和处理速度);

一定数量的内存(RAM,**随机存取存储器,负责临时保存当前正在运行的程序和正在使用的数据,当内存快用完时,系统可能会尝试把部分暂时不用的数据放到硬盘上的交换空间中,这通常叫 Swap);**一定数量的硬盘(硬盘负责长期保存内容,即使设备关机或重启,数据通常仍然存在。HDD 是传统机械硬盘,内部有机械结构,容量通常较大、价格较低,但速度较慢。SSD 是固态硬盘,没有传统机械转盘,读写速度和响应速度通常更快。现在电脑和 VPS 中更常见的是 SSD,部分服务商还会提供性能更高的 NVMe SSD;一个可以连接它的 IP;用来登录服务器的账号或密钥。你可以远程登录这台 VPS,在上面部署网站、运行程序、存储文件,也可以安装代理或 VPN 服务。

五、VPS 怎样成为代理或 VPN 服务器?

假设你购买了一台美国 VPS,如果仅仅只是购买,你本地浏览器的访问路径仍然是:你的设备 → 本地运营商 → 目标网站。但如果你在 VPS 上安装代理程序,并在本地浏览器中配置这个代理,路径就会变成:你的设备→ VPS 上运行的代理服务→ 目标网站。网站看到的通常就是这台 VPS 的 IP。如果你在 VPS 上安装 VPN 服务,再让设备通过 VPN 软件连接它,路径则可能变成:你的设备→ 加密隧道→ VPS 上运行的 VPN 服务→ 目标网站。

同一台 VPS 可以被用来搭代理,也可以被用来搭 VPN,甚至可以同时运行其他服务。但需要注意:VPS 的 IP 通常属于云服务商或专门放置服务器的数据中心,而不是普通家庭宽带网络。网站可以通过 IP 所属网络判断它更像服务器 IP,而不是家庭用户 IP。

六、代理、VPN 和 VPS 的核心区别

对比项代理VPNVPS
本质转发网络请求的服务建立网络通道并转发流量的系统一台租用的远程服务器
是否是一台机器不是,本质是服务不是,本质是一套网络服务是远程计算资源
是否改变出口 IP经过代理的流量会改变经过 VPN 的流量会改变本身不会
影响流量范围由应用或系统代理设置决定可覆盖更多设备流量,也可分流取决于你在上面部署什么
是否一定加密不一定设备到 VPN 服务器的链路由具体 VPN 协议决定本身不代表加密
能否相互组合可以运行在服务器上可以运行在服务器上可以承载代理或 VPN

七、商业 VPN、VPS 自建 VPN和VPS 自建代理怎么选?

前面已经讲清楚,代理、VPN 和 VPS 并不是同一种东西。但在实际使用中,我们通常会面对三种方案:第一种是直接购买商业 VPN;第二种是租用 VPS 后自己搭建 VPN;第三种是租用 VPS 后自己搭建代理。它们最终都可能改变目标网站看到的出口 IP,但使用方式、影响范围、维护成本和适用场景并不相同。

1.购买商业 VPN

商业 VPN 是由服务商统一提供服务器、客户端和网络配置。用户通常只需要安装软件、登录账号、选择地区并连接,连接后,设备的相关流量会先经过 VPN 服务器,再访问目标网站,网站通常看到的是 VPN 服务器的出口 IP。这种方案最大的优点是方便——服务商负责维护服务器、更新软件和处理故障,用户不需要掌握 Linux、服务器配置和防火墙知识。商业 VPN 通常还提供多个国家和地区的服务器,适合经常切换地区、同时在手机和电脑上使用的人。

但它也有几个缺点。首先,商业 VPN 的服务器通常由很多用户共享,同一个出口 IP 可能同时被大量用户使用。如果其中一些用户进行过异常操作,这个 IP 可能更容易遇到验证码、限速或网站限制。其次,虽然 VPN 可以保护设备到 VPN 服务器之间的数据,但 VPN 服务商处在你的网络出口位置,仍可能知道你的来源 IP、连接时间、流量大小以及访问的目标服务器。因此,商业 VPN 更适合日常上网、多设备使用、临时切换地区,以及不希望自己维护服务器的人。

2.使用 VPS 自建 VPN

VPS 自建 VPN,是先租用一台远程服务器,再在服务器上安装 VPN 服务,你的设备连接这台服务器后,网络流量通过它访问互联网。与商业 VPN 相比,自建 VPN 的服务器通常主要由你自己使用,因此出口 IP 相对固定,也不会频繁与大量陌生用户共享。这种方案适合长期使用同一个地区和同一个出口 IP。例如,你长期使用一台位于美国的 VPS,那么目标网站通常会持续看到这台 VPS 的 IP。它的优点是控制权更高。你可以决定服务器所在地区、使用什么 VPN 软件、哪些设备可以连接,以及哪些流量经过 VPN。但代价是需要自己维护,你需要负责安装软件、配置密钥、防火墙、系统更新和故障处理,如果服务器宕机、IP 被限制或者线路质量变差,也需要自己解决。

VPS 的 IP 通常属于数据中心或云服务商,它虽然可能是独立、固定的 IP,但并不等于住宅 IP,也不一定比商业 VPN 的 IP 更受网站信任。因此,VPS 自建 VPN 更适合需要固定出口、希望掌握服务器控制权,并且愿意承担维护成本的人。如果从技术层面上来说,原本可能还需要好几个小时配置,现在可以直接让Codex一键配置。

3.使用 VPS 自建代理

VPS 自建代理,同样需要先租一台服务器,但在服务器上运行的是代理服务,而不是 VPN 服务。你的浏览器、代码程序或者其他指定软件,会把请求交给代理服务器,再由代理服务器访问目标网站。它与自建 VPN 最大的区别,在于流量控制方式。自建 VPN 通常从设备网络层面处理更多流量,而自建代理通常由具体程序决定是否使用。例如,你可以只让 Chrome 使用代理,而让其他软件继续通过原来的家庭网络访问互联网。这种方案更加灵活,也很适合程序开发、API 调用、爬虫测试或只需要某个浏览器使用固定出口的场景。但它也更容易出现配置不完整的问题。例如,浏览器走了代理,其他软件没有走;网页流量走了代理,但部分 DNS 查询仍然走本地网络。

另外,代理的核心是转发流量,并不天然代表加密。是否加密,要看代理使用的具体方式和配置。因此,VPS 自建代理更适合明确知道哪些程序需要中转、哪些程序不需要中转的人。

4.三种方案怎么选?

使用需求更适合的方案
希望安装后直接使用商业 VPN
手机、电脑和平板都要使用商业 VPN
经常切换多个国家或地区商业 VPN
长期使用一个固定地区VPS 自建 VPN
希望获得相对固定、独立的出口 IPVPS 自建 VPN
只让浏览器或某个软件使用中转VPS 自建代理
需要给代码、API 或测试程序单独设置出口VPS 自建代理
不会维护服务器商业 VPN
想学习 Linux、服务器和网络配置VPS 自建 VPN 或代理

**追求方便和多地区,选择商业 VPN。****追求固定出口(稳定性)和更高控制权,选择 VPS 自建 VPN。****只需要让特定程序使用中转,选择 VPS 自建代理。**还要注意,三种方案解决的主要都是“流量从哪里中转、网站看到哪个出口 IP”的问题。它们不会自动改变浏览器 Cookie、账号记录、系统时区、语言、设备环境和使用行为。因此,无论选择哪一种方案,都不能简单理解成“换了 IP,整套网络身份就完全变了”。所以大家被Claude封号也就解释得通了。

第九课:机房 IP、住宅 IP、ISP IP、移动 IP到底有什么区别?

同样是一个美国 IP,网站对它的判断可能完全不同,有的 IP 来自 AWS、Google Cloud 或某个 VPS 机房;有的来自普通家庭宽带;有的来自手机 4G、5G 网络;还有一些商家称为“ISP IP”“静态住宅 IP”“原生 IP”。先记住最重要的分类关系:

按网络来源分类:
机房 IP / 住宅 IP / 移动 IP / ISP 类 IP
 
按是否变化分类:
动态 IP / 静态 IP
 
按使用人数分类:
独享 IP / 共享 IP
 
按代理切换方式分类:
固定 IP / 粘性 IP / 轮换 IP

一、机房 IP是什么?

机房 IP,也常被叫作数据中心 IP,英文是 Datacenter IP。它是分配给数据中心、云服务器、VPS、托管服务器等计算基础设施使用的 IP。比如你购买一台 VPS,服务商给你一个公网 IPv4,这个 IP 通常属于该云服务商、服务器托管商或数据中心所在的网络,因此一般会被识别为机房 IP。常见来源包括:云服务器、VPS、独立服务器、数据中心;云计算平台;托管机房。

数据中心 / 机房
├── 放置大量物理服务器
├── 物理服务器整台出租 → 独立服务器
├── 物理服务器切分成虚拟资源 → 云服务器、VPS
└── 由云厂商统一管理 → 云计算平台数据中心 / 机房

网站怎么知道你的是不是机房 IP?网站不只看 IP 的数字,还要查看这个 IP 属于哪个网络组织——如果一个 IP 的 ASN 属于云服务商、服务器托管商或数据中心,平台就可能判断出这个请求更像是从服务器或代理节点发出的,而不是普通家庭宽带用户。机房 IP通常价格较低、速度快、线路稳定,而且容易获得固定 IP。你租一台 VPS 后,这个 IP往往可以长期保持不变,机房还通常拥有较好的网络带宽和持续在线能力。因此,它很适合自建 VPN 或代理、部署网站和 API、远程办公。

但它最明显的缺点是网站通常比较容易识别出它来自数据中心。一些面向普通消费者的平台,可能会对机房 IP进行更严格的检查。尤其是银行、支付、票务、流媒体、社交平台等,对服务器网络、共享 VPN 节点或高风险 IP可能更敏感。不过,不能简单认为机房 IP一定不好。一个长期独享、没有滥用记录、使用行为正常的机房 IP(自己独享VPS分配的IP),会比一个被大量用户使用、历史记录混乱的住宅代理 IP更稳定。

二、住宅 IP是什么?

住宅 IP,英文叫 Residential IP。它一般指由家庭宽带运营商分配给普通家庭用户网络的 IP。比如一个普通家庭安装宽带,路由器通过运营商网络获得一个地址,这个家庭访问网站时,网站看到的公网出口 IP,通常就属于住宅网络。为什么住宅 IP通常更像普通用户?因为大多数普通人日常上网,本来就是通过家庭宽带访问互联网,当网站看到一个 IP来自本地家庭宽带运营商时,这种网络来源与普通消费者的使用方式比较一致。相反,如果一个普通个人账号突然从云服务器 ASN 登录,平台可能会认为这个网络环境更像服务器、自动化工具或代理节点。

但“更像普通用户”不等于“绝对可信”。住宅 IP同样可能存在:被大量代理用户共享;被爬虫或批量注册使用;曾经产生垃圾邮件或异常登录;地理定位不准确;短时间内频繁切换;同一 IP出现大量账号。住宅 IP通常是动态的吗?家庭宽带的 IP经常是动态分配的,这意味着运营商可能在你重新拨号、重启光猫或经过一段时间后,为你分配另一个公网 IP。但“住宅”与“动态”是两个不同概念——住宅 IP说的是网络来源;动态 IP说的是地址会不会变化。现实中,普通家宽更常见动态 IP,而 VPS更常见静态 IP。住宅代理的 IP从哪里来?市面上的住宅代理服务,需要获得真实住宅网络的出口资源。常见形式包括:第一种是服务商与网络提供方合作,合法获得住宅或消费者网络资源。

第二种是用户主动安装带有带宽共享功能的软件,并明确同意把部分网络资源提供给代理网络。第三种则可能来源不透明,例如某些软件把用户设备悄悄变成代理节点,这种方式存在明显的隐私、安全和合规风险。所以购买住宅代理时,不仅要看 IP效果,还要关注 IP资源是怎样获得的,来源不透明的廉价住宅代理,风险可能远高于普通机房代理。

三、移动 IP是什么?

移动 IP通常指来自手机运营商网络的公网出口 IP,例如 4G、5G 蜂窝移动网络。当你的手机关闭 Wi-Fi,使用手机流量访问网站时,数据会经过基站和移动运营商网络,再从运营商的公网出口访问网站。大致路径是:

手机
→ 4G/5G 基站
→ 移动运营商网络
→ 运营商公网出口
→ 网站

移动运营商的公网 IPv4资源也很有限,因此通常会使用大规模 CGNAT,这意味着许多手机用户可能共享同一个公网出口 IP,运营商通过内部地址、端口和连接记录,区分不同用户的流量。所以网站看到某个移动 IP时,可能知道它属于某家移动运营商,但很难仅凭该 IP对应到某一台具体手机。移动 IP还可能经常变化。例如:手机重新连接网络;飞行模式打开后再关闭;网络会话重新建立。不过,也不是每次切换基站都一定会更换公网 IP,具体取决于运营商网络。

为什么移动 IP有时信任度较高?因为手机网络本来就有大量真实用户,而且多个用户共享同一公网 IP很常见,如果平台因为一个移动出口中的某个用户出现异常,就直接封禁整个 IP,可能误伤大量正常用户,因此部分平台对普通移动网络中的 IP共享现象会有更高容忍度。但这并不意味着移动 IP不会被风控。如果同一出口、同一设备或同一账号表现出明显异常行为,平台仍然可以结合 Cookie、设备信息、账号历史和行为特征判断风险。

移动代理是什么?移动代理是把移动运营商的4G或5G出口提供给其他用户使用(可能是电脑或手机)——通过插入 SIM 卡的手机、路由器或专门的蜂窝设备建立移动网络,再把这个网络出口作为代理节点,网站最终看到的通常是移动运营商 IP。这种服务通常价格较高,因为需要 SIM 卡、流量套餐、蜂窝设备和运营维护。

四、ISP IP是什么?

ISP 的全称是 Internet Service Provider,也就是互联网服务提供商。从宽泛意义上说,家庭宽带 IP和移动运营商 IP本来就都是 ISP提供的 IP。但在代理市场里,“ISP 代理”或“静态 ISP IP”通常有更具体的商业含义:IP 的登记或网络归属看起来属于互联网运营商,但服务器实际运行在数据中心或托管机房中。也就是说,它试图结合两种特点:网络归属更像运营商;使用方式更像机房服务器;IP可以长期固定;服务器可以全天在线;延迟和稳定性通常比轮换住宅代理更好。

因此,市场上常说的 ISP IP,也经常被叫作:静态住宅代理;静态住宅 IP;ISP 代理;ISP residential proxy。但这些名称并没有完全统一的严格标准,不同服务商可能用同一个词描述不同产品。ISP IP和真实住宅 IP有什么区别?真实住宅 IP通常来自实际家庭宽带连接,市场上的静态 ISP IP可能只是地址资源属于或显示为某个运营商,服务器却实际放在数据中心,并没有真实家庭用户在这个网络后面上网。ISP代理通常比轮换住宅代理稳定,也更适合长期固定出口;但网站是否把它识别为住宅网络,取决于 ASN、IP数据库、路由信息和平台自己的识别系统。因此,不能只看商家写“ISP”或“静态住宅”,就直接认定平台一定会把它当成真实家宽。

五、动态、静态、独享和共享分别是什么意思?

动态 IP与静态 IP

动态 IP指地址可能被重新分配和改变,家庭宽带和手机网络经常使用动态 IP。今天看到一个地址,重新拨号或经过一段时间后,可能变成另一个地址。静态 IP指地址长期固定,不会轻易改变,VPS、服务器、企业专线和某些付费家宽套餐经常提供静态 IP。

独享 IP与共享 IP

独享 IP表示在服务商层面,这个 IP主要分配给一个客户使用。共享 IP表示多个用户同时或轮流使用同一个出口 IP。商业 VPN经常使用共享 IP,很多用户连接同一个节点后,从同一个公网 IP访问互联网。共享 IP的优点是成本低,而且单个用户混在大量用户中。缺点是其他人的行为可能影响这个 IP的声誉。独享 IP的优点是你对使用历史更可控。缺点是成本较高,而且“独享”不等于“匿名”。因为长期只有你使用,平台反而更容易把这个 IP与某个账号或环境建立稳定关联。

固定、粘性和轮换 IP

固定 IP:长期使用同一个地址,除非你主动更换或服务终止。粘性 IP:在一段时间或一个会话内保持同一个地址,超过时间或重新连接后可能更换。英文常叫 Sticky Session。轮换 IP:每隔一段时间、每次连接或每次请求,自动切换到不同地址。英文常叫 Rotating IP。长期登录同一个账号时,频繁轮换就不太自然;大量公开网页抓取时,轮换 IP则可能更符合技术需求,但仍需遵守网站条款和法律规则。

六、原生 IP和广播 IP是什么意思?

原生 IP

商家说“原生 IP”时,通常想表达IP登记的国家或地区、实际路由出口所在地,以及主要 IP数据库中的定位结果大致一致。比如一个 IP的登记信息、网络路由和常用数据库都显示美国,商家可能把它称为“美国原生 IP”。不过,“原生”没有全球统一的技术认证。不同商家可能用它表示:IP首次分配就在当地;WHOIS 注册地区在当地;多个定位数据库显示当地;流媒体平台识别为当地;IP所属 ASN是当地公司;实际服务器物理位置在当地。

广播 IP

中文 VPS 市场中的广播 IP,这里的“广播”是在说一种 IP地址跨地区发布或路由的现象。例如,一段 IP地址原本登记在某个地区,但服务商通过网络路由技术,让它从另一个国家或城市的数据中心对外提供服务。商家可能称它为“广播 IP”或“广播到某地的 IP”。结果可能是IP注册信息显示地区 A,但是实际服务器位于地区 B。因此,市场意义上的“广播 IP”不等于不能用,但它可能存在平台定位不一致、DNS和 IP数据库判断不同、地区识别漂移等问题

七、不同场景应该怎么选?

日常访问和多设备使用

如果只是正常浏览网页、查资料、多设备使用,正规商业 VPN通常更方便。它一般提供多个地区和成熟客户端,但出口多为共享的机房 IP,是否适合某个平台,要看节点质量、IP历史和平台政策。

长期固定工作出口

如果需要一个固定地区、固定 IP,并且愿意维护服务器,可以考虑 VPS 自建 VPN。优点是 IP相对稳定、使用历史更可控;缺点是它通常属于机房网络。

只让某个程序走特定出口

如果只有浏览器、代码程序或 API工具需要中转,可以使用代理。出口可以是机房 IP、住宅 IP、ISP IP或移动 IP,代理只是传输方式,不决定 IP类型。

远程办公和服务器白名单

如果公司的系统只允许某个固定 IP访问,更适合使用固定机房 IP或静态 ISP类 IP。这里最重要的是稳定和独享,而不是一定要住宅。

普通个人账号长期使用

更重要的是网络环境稳定、地区变化合理、设备和行为一致。住宅或 ISP类 IP可能更接近普通用户网络,但不应该频繁更换。一个稳定使用的普通机房 IP,有时也比不断轮换的住宅 IP更自然。

大量公开数据访问

轮换住宅或移动代理可以提供大量不同出口。

类型典型来源
机房 IPVPS、云服务器、数据中心
住宅 IP普通家庭宽带
移动 IP4G、5G 运营商
ISP 类 IP运营商地址资源、机房托管
商业 VPN IPVPN 服务商服务器
VPS 自建出口自己租用的 VPS

第十课:怎样判断一个 IP 的质量?

同一种类型IP,质量可能差很多。比如两个都是美国住宅 IP,一个可能长期稳定、定位一致、历史正常;另一个可能被多人反复使用、经常切换地区,还留下过大量异常记录。所以判断 IP 的质量的时候不能只问:“这是住宅 IP 还是机房 IP?”还要继续问:“它属于谁、在哪里、以前被怎么使用、现在有多少人共用、网络表现怎么样、是否适合我的用途?”遵循一个原则:**IP 质量不是一个绝对分数,而是这个 IP 是否适合某个具体用途。**一个很适合部署网站的机房 IP,不一定适合某些只服务普通消费者的平台;一个住宅 IP 看起来像普通用户网络,但速度和稳定性可能不适合运行服务器。

一、先看 IP 的真实归属

拿到一个 IP 后,第一步是确认它到底属于谁,这里主要看三个信息:IP 所属组织、运营商名称和 ASN。运营商、云服务商、大学、大型企业和数据中心,通常会用 ASN 标识自己的网络。如果商家说这是住宅 IP,但查询结果显示它属于某家云计算公司或服务器托管商,那就要谨慎。它更可能是机房 IP,或者至少不像商家宣传得那么明确。不过,只看 ASN 也不能得出全部结论。有些运营商既经营家庭宽带,也经营企业专线和数据中心业务;有些 IP 地址可能被转租、重新分配,或者实际使用方式已经变化。因此,ASN 是重要证据,但不是唯一证据。判断归属时要看的是:商家宣传的类型,是否和实际网络归属大致一致。

二、再看地理位置是否一致

IP 地址本身没有直接写着国家和城市。我们平时看到的 IP 定位,是数据库根据注册地址、运营商信息、网络路由和历史数据推测出来的。所以 IP 定位不像 GPS 那样精确,同一个 IP,在不同数据库里可能显示:数据库 A:美国洛杉矶;数据库 B:美国圣何塞;数据库 C:美国加利福尼亚州,但城市未知;。这不一定意味着 IP 正在移动,也可能只是数据库更新速度和判断方式不同。判断地理位置时,可以分三层看:第一层是国家是否一致。如果主要数据库都显示同一个国家,通常问题不大。第二层是州、省或大区是否一致。城市定位有误差很常见,但如果连国家和大区都频繁冲突,就要注意。

第三层是实际网络表现是否符合位置。例如一个号称美国洛杉矶的 IP,你从美国西海岸访问延迟很低,这比较合理;如果它的网络路线明显先绕到欧洲或亚洲,再回到美国,就可能存在广播、路由绕行或定位不一致。

三、看 IP 的历史和信誉

IP 不是第一次被你使用时才出现,它在到你手里之前,可能已经被很多人使用过,如果以前有人用这个 IP 发送垃圾邮件、批量注册账号、进行攻击、频繁爬取网站,相关平台或安全公司可能已经记录了它。这就是常说的 IP 历史或 IP 信誉。市场上经常说“干净 IP”“污染 IP”,这两个不是严格技术术语,可以这样理解:

干净 IP:近期没有明显异常记录,未被大量网站限制。 污染 IP:曾被滥用,容易遇到验证码、限流、拒绝访问或安全验证。

但要注意,“干净”不是绝对的。一个 IP 可能没有进入邮件垃圾黑名单,但已经被某个社交平台限制;也可能能正常访问网站,却无法使用某个流媒体服务。不同平台有自己的内部数据库,外部工具不可能完全知道。为什么新买的 VPS IP 也可能有历史问题?因为服务商会循环使用 IP,上一个客户停止使用后,这个 IP 可能被重新分配给你,如果上一个用户曾经滥用,它留下的记录不会因为换了客户就立刻消失。因此,刚拿到一个 IP 时,不要默认它是“全新 IP”,它大概率是已经被用过的。

四、看它是独享还是共享

独享 IP,是服务商把这个地址主要分配给你使用。 共享 IP,是许多用户同时或轮流通过同一个地址访问互联网。

商业 VPN 节点常常是共享 IP,几十、几百甚至更多用户可能从同一个出口访问网站。共享 IP 不一定差。它有几个优点:成本更低;单个用户不容易只凭 IP 被单独识别;普通移动网络本身也经常存在多人共享出口。但共享 IP 的主要问题是你无法控制其他用户做什么,如果其他人频繁注册账号、发送垃圾请求或者触发平台限制,你也可能受到影响。独享 IP 的好处是:使用历史更可控;不容易被陌生用户连累;适合固定白名单;更容易保持稳定。 但“独享”也不等于一定高质量,如果一个独享 IP 如果本身历史很差、线路不稳定,仍然不好用。

另外,商家说“独享”时要注意具体含义。有时只是独享一个代理端口,不一定真正独享公网 IP。多个客户仍然可能通过不同端口,共用同一个出口 IP。所以购买相关产品的时候最好确认是独享账号、独享代理端口,还是独享公网 IP。

五、看网络性能:延迟、丢包、抖动、带宽

IP 的归属和信誉正常,还要看实际网络质量。

1.延迟

延迟是数据从你的设备到服务器,再返回所需要的时间,通常以毫秒表示。延迟越低,操作响应通常越快。例如打开网页、远程操作 VPS、进行实时通话时,低延迟会更舒服。延迟主要受到物理距离、网络路线、中间节点和拥堵情况影响。但延迟不是越低越代表 IP“更干净”。它只是反映网络速度和路线质量,不直接反映平台信誉。

2.丢包

丢包是指发送出去的数据包,有一部分没有成功到达。轻微丢包可能导致网页加载变慢、视频卡顿、远程连接不稳定;丢包严重时,连接可能频繁断开。如果使用 TCP,丢失的数据通常会被重传,但重传会增加等待时间。所以一个测速看起来很快,但经常丢包的节点,实际使用体验可能很差。

3.抖动

抖动是延迟的波动程度。比如连续发送几个数据包,延迟分别是:30 毫秒、32 毫秒、31 毫秒、29 毫秒,这说明比较稳定。但如果是:30 毫秒、160 毫秒、45 毫秒、300 毫秒,说明抖动很大。抖动对语音、视频通话、在线游戏和远程桌面影响尤其明显。因为这些场景不仅要求平均延迟低,还要求数据持续稳定到达。

4.带宽

带宽表示单位时间内最多能够传输多少数据。例如 100 Mbps、1 Gbps,描述的是网络传输能力。带宽大,通常更适合下载文件、观看高清视频和多人同时使用。但要区分带宽和流量:带宽是水管粗细;流量是一段时间内总共用了多少水。一台 VPS 可能写着 1 Gbps 带宽,但每月只允许使用 1 TB 流量。也可能写着无限流量,但速度只有 10 Mbps。

5.线路

线路是你的本地运营商到目标服务器之间的实际网络路径。即使两台 VPS 都在美国洛杉矶,它们的线路也可能差很多。一台从你的本地网络过去比较直接,另一台可能绕路、拥堵或丢包。因此选择代理或 VPS 时,“国家和城市”只是一部分,还要实际测试从你的网络到它的线路。

面向中国大陆的去程、回程与线路优化

如果主要在中国大陆使用海外 VPS、代理或自建 VPN,仅仅知道服务器位于美国、日本、新加坡或中国香港还不够,还需要关注它和中国大陆运营商之间的网络路线。假设用户位于中国大陆,连接一台美国 VPS,数据通常会经历两个方向。去程是数据从用户设备发送到海外 VPS,也就是:

用户设备
→ 中国大陆运营商
→ 国际网络
→ 海外机房
→ VPS

回程是 VPS 返回数据给用户,也就是:

VPS
→ 海外机房网络
→ 国际网络
→ 中国大陆运营商
→ 用户设备

去程和回程不一定使用相同路线——数据出去时可能经过一组运营商和路由节点,回来时可能经过另一组节点,这叫非对称路由。因此,即使两台 VPS 都位于美国洛杉矶,它们的实际体验也可能完全不同。一台可能较早进入中国大陆运营商网络,路径比较直接;另一台则可能经过其他国家或地区绕行,高峰期还可能出现明显拥堵和丢包。所谓“回国线路优化”或“中国大陆方向优化”,通常是指服务商针对海外服务器与中国大陆之间的通信,选择更直接、容量更充足或高峰期更稳定的网络路径。还需要区分中国电信、中国联通和中国移动。三个运营商拥有不同的骨干网络和国际互联资源,所以同一台海外 VPS,在不同运营商网络下的表现可能不同。

一条对中国电信表现良好的线路,对中国移动不一定同样稳定。因此,商家常会使用“电信优化”“联通优化”“移动优化”或“三网优化”等描述。市场上还会出现 CN2、联通 9929、CMI 等线路名称——CN2通常与中国电信方向的优化网络有关;联通 9929通常用于描述中国联通方向的高质量国际网络;CMI则与中国移动国际网络有关。但这些名称不能只看商品宣传。服务商所说的“接入某条线路”,可能只发生在去程、回程或其中一小段,不代表整条路径都使用这条网络。

因此,判断线路质量时,不能只看“CN2”“三网优化”“精品线路”这些标签,还要结合自己的宽带运营商进行实际测试。测试时应重点关注:平均延迟;丢包率;延迟波动;实际上传和下载速度;晚间高峰期表现;长时间连接是否稳定;去程和回程是否存在明显绕路。所以,服务器所在地只是判断网络体验的第一步,真正决定中国大陆用户使用体验的,是本地运营商、国际出口、海外机房以及去程和回程路由共同形成的完整线路。

六、看 IP 是否稳定

这里的稳定不仅是“网速快”,还包括:

  • IP 会不会突然变化;
  • 连接会不会频繁断开;
  • 高峰期速度是否明显下降。

不同类型 IP 的稳定方式不同——VPS 机房 IP 通常容易长期固定,服务器也能持续在线;普通住宅代理可能依赖家庭设备,节点可能因为断网、关机或重新拨号而消失;移动 IP 本来就可能因为运营商网络分配而变化,因此不能简单用“是否永远固定”判断它的质量。所以判断稳定性时,要结合产品类型。如果商家卖的是固定 ISP IP,却频繁自动换地址,那就是明显不符合宣传。如果商家卖的是轮换住宅代理,IP 变化反而是产品设计的一部分。

七、看网络环境是否一致

平台判断风险时,通常不会只看 IP,而会把 IP 与其他环境信息一起看。例如:

  • IP 显示在哪个国家;
  • 系统时区是什么;
  • 浏览器语言是什么;
  • Cookie 和账号历史是否连续。

这里所说的“一致”,不是要求所有信息必须完全相同,而是看整体是否合理。比如一个中国人在美国使用中文浏览器,这很正常;一个美国 IP 使用中文语言,也不代表异常。真正容易引起注意的是剧烈、频繁、不合常理的变化。例如同一账号十分钟内从美国、德国、日本连续登录,或者长期稳定的环境突然同时更换设备、IP、时区和浏览器。

八、拿到一个 IP 后,怎样实际检查?

可以按照下面的顺序检查:第一步:确认当前出口 IP。第二步:检查归属和 ASN。第三步:对比多个地理数据库。第四步:检查公开历史记录。第五步:测试网络性能。第六步:观察一段时间。第七步:根据用途做决定

第十一课:代理协议、代理模式和代理配置是什么?

前面已经知道,代理的基本作用是:**你的设备不直接访问目标网站,而是先把请求交给代理服务器,再由代理服务器替你访问。**但实际使用代理时,经常会看到一堆新词,比如 HTTP代理、SOCKS5、系统代理、全局模式、规则模式、代理地址、代理端口,这一课就把这些概念按顺序串起来。

一、一个代理服务由哪些部分组成?

先看最基础的结构:你的应用程序→ 本机的代理设置或代理软件→ 代理服务器→ 目标网站。这里通常涉及五个要素。

1.代理客户端

代理客户端是你设备上负责使用代理的一方。它可以是一款代理软件,也可以是浏览器、操作系统或代码程序里的代理设置。例如,你在 Chrome 里填写代理地址和端口,那么 Chrome 就承担了代理客户端的角色。

2.代理服务器

代理服务器是真正接收你的请求,并替你访问目标网站的服务器,它可能运行在一台 VPS上、云服务器上、家庭宽带设备上,网站通常看到的是代理服务器的出口 IP。

3.代理地址

代理地址会告诉你的设备代理服务器在哪里,它可以是一个 IP,例如203.0.113.10;也可以是一个域名,例如 proxy.example.com

4.代理端口

一台服务器上可能同时运行多个服务,所以还要用端口确定具体连接哪个代理服务。例如:203.0.113.10:1080,其中 203.0.113.10是服务器地址,1080 是代理服务监听的端口。

5.认证信息

有些代理不允许任何人直接使用,需要用户名和密码。所以一份完整的代理配置可能包含:代理协议、服务器地址、端口、用户名、密码

二、什么是代理协议?

代理协议解决的是**应用程序应该用什么规则,把请求交给代理服务器?**这里要区分两个容易混淆的概念:网站协议是浏览器和目标网站之间使用的规则,例如 HTTP、HTTPS。代理协议是你的应用程序和代理服务器之间使用的规则,例如 HTTP 代理、SOCKS5 代理。它们可能同时存在。比如你通过 SOCKS5 代理访问一个 HTTPS 网站:

浏览器
→ 使用 SOCKS5 规则连接代理服务器
→ 代理服务器连接 HTTPS 网站

在这里,SOCKS5 是你和代理服务器之间的代理规则,而HTTPS 是浏览器和目标网站之间的网页通信规则。所以 SOCKS5 和 HTTPS 不是互相替代的关系。

三、HTTP 代理是什么?

HTTP 代理是专门按照 HTTP 相关规则接收和转发请求的代理。假设你使用 HTTP 代理访问普通 HTTP 网站,浏览器会把网页请求交给代理服务器,代理服务器再替你请求目标网站。代理服务器可能看到你请求的完整网页地址和内容,因为普通 HTTP 本身不加密。HTTP 代理并不是只能访问HTTP网站,还能访问 HTTPS 网站。浏览器通过 HTTP 代理访问 HTTPS 网站时,通常会先对代理服务器说:请帮我建立一条到目标网站 443 端口的连接。这个过程常使用一种叫 CONNECT 的方法。CONNECT 可以理解为:浏览器让代理服务器建立一条中转通道。通道建立后,浏览器再通过这条通道,与目标网站完成 TLS 握手和 HTTPS 通信。

在正常情况下,HTTP 代理主要负责转发加密数据,不能直接读取 HTTPS 网页正文。

四、SOCKS5 代理是什么?

SOCKS5 是一种比 HTTP 代理更通用的代理协议,它会按照你提供的目标地址和端口,帮你建立网络连接并转发数据。所以 SOCKS5 不只可以服务浏览器,也可以被其他软件使用,例如聊天软件、下载工具、开发程序或其他支持 SOCKS5 的应用。路径大致是:应用程序→ SOCKS5 代理服务器→ 目标服务器。为什么 SOCKS5 更通用?因为它不是专门围绕网页格式设计的。应用程序只需要告诉 SOCKS5 代理:要连接哪个目标 IP 或域名、要连接哪个端口、使用哪种传输方式,代理服务器就负责帮它建立连接。SOCKS5 常见支持 TCP 连接,也可以设计为转发 UDP 数据,但是否真正支持 UDP,取决于代理服务器和客户端的具体实现。

SOCKS5 本身会加密吗?不会,SOCKS5 的核心是转发,不是加密。如果你通过 SOCKS5 访问 HTTPS 网站,网页内容仍然有 HTTPS 加密;但你的设备到 SOCKS5 代理服务器这一段,并不会仅仅因为使用 SOCKS5 就自动获得额外加密。

五、应用代理、系统代理和设备级接管

代理协议决定怎么把请求交给代理,但还要决定哪些程序使用代理。

1.应用代理

应用代理是在某个具体软件中配置代理。例如,只在浏览器里设置 HTTP 或 SOCKS5 代理。这时可能是:

Chrome → 代理服务器 → 网站
微信 → 原始网络 → 微信服务器

只有配置了代理的 Chrome 使用代理,其他软件不受影响。这种方式控制比较明确,但需要软件本身支持代理设置。

2.系统代理

系统代理是由 Windows、macOS 等操作系统提供的统一代理设置。打开系统代理后,支持系统代理的软件会读取这些设置,并把请求交给代理。但并不是所有软件都会遵循系统代理,有的软件自己管理网络连接,有的软件只支持特定协议,还有的软件会直接连接目标服务器。因此:设置了系统代理,不等于整台电脑所有流量都一定经过代理。

3.设备级流量接管

有些代理软件为了接管更多程序的流量,会在系统中创建一个虚拟网络接口。可以把它理解成操作系统里模拟出来的一张网卡。软件让系统先把流量交给这张虚拟网卡,再决定如何转发。这类方式经常被称为 TUN 模式。TUN 不是一种代理服务器协议,而是一种在本机接管网络流量的方法。它可以让原本不支持系统代理的软件,也有机会被代理软件接管。路径变成:各个应用程序→ 系统虚拟网卡→ 代理软件→ 代理服务器→ 目标网站。但即使使用 TUN 模式,也要看软件的规则和配置,并不能仅凭名称保证绝对没有直连流量。

六、全局模式、规则模式和分流是什么?

代理软件接管流量后,还要决定哪些流量走代理,哪些流量直接访问,这个决定过程叫分流

1.全局模式

全局模式通常表示:被代理软件接管到的流量,原则上全部交给代理服务器。但这里要特别注意:“全局模式”通常只是指所有被软件接管的流量都走代理,不一定等于设备中每一个数据包都被成功接管,如果某个程序完全绕过代理软件,它仍可能直连。

2.规则模式

规则模式是根据预先设置的规则判断如何处理流量。例如:

指定网站 → 代理
本地网站 → 直接访问
局域网设备 → 直接访问
广告或恶意域名 → 拒绝连接

规则可以根据域名、IP、应用程序等条件进行判断,这种方式的优点是效率更高——例如访问本地服务时不必绕到海外代理服务器,访问指定网站时才走代理。缺点是规则需要维护——如果规则过期或匹配错误,某些网站可能走错路线。

3.直连和拒绝

代理软件中还经常看到两个名词:直连表示不经过代理服务器,直接用当前网络访问。拒绝表示不允许建立连接,常用于阻止广告、恶意网站或某些不希望联网的程序。

七、代理中的 DNS 怎样处理?

当你输入域名时,必须先通过 DNS 查到 IP,使用代理后,就会出现一个新问题:域名到底由你的本地设备解析,还是由代理服务器解析?本地解析是指你的设备先通过本地 DNS 查出目标 IP,然后把这个 IP 交给代理服务器。这种方式下,DNS 查询通常发生在你本地网络中。代理端解析是指你的设备直接把域名交给代理服务器,由代理服务器所在地的 DNS 系统完成查询。这种方式有时更适合依赖地区返回不同服务器地址的网站。例如,同一个域名在中国和美国查询时,可能返回不同的 CDN 节点,使用代理端解析,可以让查询结果更接近代理服务器所在地区。关于SOCKS5 中的本地和远程解析,有些软件会区分两种写法或设置:

  • SOCKS5:可能由本地设备先解析域名;
  • SOCKS5 hostname 或远程 DNS:把域名交给代理服务器解析。

不同软件的名称不完全相同,因此不能只看“用了 SOCKS5”,还要确认域名解析发生在哪里。如果网页流量经过代理,但 DNS 查询仍然走本地网络,不意味着代理就失效了,但只能说明 DNS 和网页流量走的是不同路径。

八、显式代理和透明代理是什么?

显式代理是指应用程序明确知道自己正在使用代理。例如你在浏览器里手动填写:代理地址、端口、协议、用户名和密码,然后浏览器就会主动按照代理协议连接代理服务器。透明代理是指应用程序本身没有明确配置代理,但流量在经过某个设备或软件时,被自动转发到了代理服务。例如,公司网关可能统一处理内部设备的流量;本机代理软件也可能通过虚拟网络接口拦截和转发应用流量。对应用程序(Chrome、微信等)来说,它可能以为自己正在直接访问网站,但实际上流量中间被转发了。这里的“透明”是指应用程序可能不知道代理存在,但也不代表网站一定无法检测代理、通信一定加密。

九、怎样判断代理是否真的生效?

第一步是检查出口 IP。使用代理前后,目标网站看到的公网 IP 应该发生预期变化。第二步是分别测试不同程序。例如浏览器 IP 已经变化,不代表其他软件也走了代理。第三步是检查 DNS 解析路径。确认域名是由本地网络解析,还是由代理端解析,这是否符合你的需求。第四步是测试断开代理后的行为。代理断开时,程序是停止联网,还是自动恢复原始网络直连?如果自动直连,原始出口 IP 就会重新出现。第五步是观察 IPv4 和 IPv6。有时 IPv4 流量经过代理,但 IPv6 流量仍然直接访问,导致网站看到不同的网络出口。

第十二课:节点、订阅、机场和代理软件分别是什么?

一、代理软件是什么?

代理软件是安装在电脑或手机上的客户端程序,它主要负责四件事:第一,读取代理服务器的连接信息。 第二,接收浏览器、App 或操作系统交来的流量。 第三,根据规则决定流量走代理、直连还是拒绝。 第四,把需要代理的流量发送给远端代理服务器。假设你选择了一个美国节点,完整路径可能是:Chrome→ 电脑上的代理软件→ 美国代理服务器→ 目标网站。目标网站看到的通常是美国代理服务器的 IP,而不是你电脑上代理软件的地址。代理软件启动后,通常会在你的电脑内部创建一个代理入口,例如:127.0.0.1:7890,127.0.0.1表示当前这台设备自己,7890是代理软件监听的端口,意思是代理软件正在你自己电脑的 7890 端口等待其他程序把流量交给它。

例如:Chrome→ 127.0.0.1:7890→ 本地代理软件→ 远程代理节点→ 网站。这里的127.0.0.1:7890不是美国服务器,也不是你的最终出口 IP,它只是电脑内部把流量交给代理软件的本地入口。代理软件可能同时创建多个本地端口。例如一个端口接收 HTTP 代理流量,另一个端口接收 SOCKS5 流量。

二、节点是什么?

“节点”在代理软件中,通常指一份可以连接到某台远程代理服务器的配置。一份节点配置通常包含:

  • 使用什么代理协议(代理连接规则);
  • 服务器地址(某个 IP 或域名);
  • 服务器端口(某个数字);
  • 用户名、密码、密钥或其他认证信息(证明你有权使用该服务器);
  • 加密或连接相关参数;
  • 显示名称和地区标签。

当你在代理软件中点击这个节点时,软件就知道应该把流量发送到哪台远程服务器,以及怎样连接它。节点不等于一个 IP。一个节点通常对应一组连接配置,但不一定永久对应一个固定 IP。例如,节点地址可能是一个域名。这个域名背后可能解析到不同服务器 IP。服务商更换服务器后,节点名称不变,但实际出口可能已经变化。反过来,多个节点名称也可能最终使用同一个出口 IP。例如软件中显示:

  • 美国高速 01;
  • 美国高速 02;
  • 美国流媒体 01。

它们可能是三台不同服务器,也可能只是三个不同入口,最后汇聚到同一个出口。所以节点名称是服务商给用户看的标签,不一定能准确代表底层服务器数量和出口 IP 数量。

三、配置文件是什么?

代理软件需要知道节点在哪里、如何连接,以及哪些流量应该走哪个节点。这些信息通常保存在配置文件里。配置文件可以理解成代理软件的“说明书”,它可能包含:节点列表;节点协议和认证信息;本地监听端口;DNS 设置;分流规则;哪些域名走代理;哪些域名直连;哪些连接需要拒绝。例如,配置文件可能告诉软件:

本地网站 → 直接访问
指定海外网站 → 美国节点
局域网地址 → 直接访问
广告域名 → 拒绝

配置文件可以由用户自己编写,也可以由代理服务商通过订阅提供。配置文件也不是代理服务器本身,它只是告诉代理软件“应该怎样工作”。类比一下:

  • 代理服务器是实际运输车辆;
  • 节点是某辆车的联系方式和使用方式;
  • 配置文件是完整的车辆清单和调度规则;
  • 代理软件是负责执行调度的程序。

四、订阅是什么?

代理领域里的“订阅”,通常不是单纯指按月付费,而是指一个用于获取代理配置的网络地址。这个地址通常被称为订阅链接。代理软件访问订阅链接后,服务商会返回一份配置数据,其中可能包含多个节点、节点名称和部分规则。过程是:代理软件访问订阅链接→ 服务商返回节点配置→ 代理软件生成节点列表→ 用户选择节点。例如,你购买一个代理服务后,服务商可能给你一个订阅链接。你把它导入代理软件,软件中就会出现:美国节点、日本节点、新加坡节点、中国香港节点。以后服务商新增、删除或修改节点时,你在代理软件里点击“更新订阅”,软件就会重新读取订阅内容。订阅链接不是代理节点,订阅链接只是用来下载配置的地址。你正常访问网站时,流量不会一直经过订阅链接。真正转发流量的是订阅中记录的代理服务器。

两条路径要区分:

更新配置:
代理软件 → 订阅服务器 → 获取节点列表
 
实际上网:
应用程序 → 代理软件 → 所选代理节点 → 网站

为什么订阅链接不能公开?订阅链接通常包含一个能够识别账号或套餐的随机标识。拿到这个链接的人,可能可以导入你的全部节点并消耗你的流量额度。因此,订阅链接应当被当作密码一样保护。如果订阅链接泄露,通常应该在服务商后台重置订阅地址,或者重新生成访问标识。更新订阅后,可能发生这些变化:增加新节点;删除失效节点;修改服务器地址;修改端口和认证信息;整节点名称;更新流量信息;更新服务商提供的规则。但你自己在本地添加的规则或配置,是否会被覆盖,要看代理软件和订阅格式。

五、“机场”是什么?

“机场”不是正式的网络技术术语,而是中文互联网中对一类代理服务商的俗称。这类服务商通常会:

  • 维护多台代理服务器;
  • 提供不同国家或地区的节点;
  • 按月、按季度或按流量出售套餐;
  • 给用户提供订阅链接;
  • 提供账号后台和流量统计;
  • 负责节点维护和更新。

用户购买套餐后,通常不是直接获得一台完整 VPS,而是获得使用服务商代理网络的权限。“机场”的基本业务关系可以理解为:

服务商维护代理服务器
→ 把服务器整理成节点
→ 通过订阅发给用户
→ 用户在代理软件中连接

因此,机场不是代理软件。代理软件安装在你的设备上,负责读取和使用节点;机场则是提供远程节点和订阅的服务商。也不是所有商业 VPN 都叫机场。商业 VPN 通常提供自己的官方 App 和 VPN 服务;机场常见的形式是提供订阅,让用户使用第三方代理客户端导入。

六、节点中的“直连、中转和专线”是什么意思?

服务商介绍节点时,常出现“直连节点”“中转节点”“专线节点”等说法。这些名称并没有完全统一的市场标准,所以要先理解基本路径。

1.直连节点

直连节点通常表示,你的设备直接连接最终的代理服务器。

你的设备
→ 海外代理服务器
→ 目标网站

这种结构比较简单,但体验很依赖你本地运营商到海外服务器的国际线路。如果国际线路高峰期拥堵,节点就可能出现延迟升高、丢包或速度下降。这里的“直连”不是说完全不经过任何路由器,而是说中间没有服务商额外安排的一台代理中转服务器。

2.中转节点

中转节点会先让你的设备连接一台距离较近或线路较好的中转服务器,再由中转服务器连接海外出口。

你的设备
→ 中转服务器
→ 海外出口服务器
→ 目标网站

中转服务器的作用,是改善你的设备到海外出口之间的网络路径。例如,本地直接连接美国服务器质量很差,但连接国内某台入口服务器比较稳定。服务商可能先把流量收进这个入口,再通过自己的网络线路送往美国出口。这时,入口服务器和出口服务器不是同一台机器,目标网站最终看到的通常是海外出口服务器的 IP,而不是中转入口的 IP。

3.专线节点

“专线”通常表示服务商在部分网络路径中使用了相对独立、受管理或质量更稳定的连接,而不是完全依赖普通公网随机路由。(因为入口服务器收到你的流量后,再把流量送进服务商控制的专线,传到海外出口,所以是需要中转的)

七、套餐中的流量和倍率是什么?

服务商出售的套餐通常会限制每月可用流量。例如一个套餐包含每月 100 GB 流量,表示你的上传和下载数据累计达到套餐规则中的 100 GB 后,可能会被暂停、限速或要求购买额外流量。这里的流量一般包括上传和下载,但具体计算方式要看服务商规则。什么是倍率?倍率表示使用这个节点时,套餐流量按照什么比例扣除。例如你的实际使用量是 1 GB:

  • 0.5 倍节点,可能扣除 0.5 GB;
  • 1 倍节点,扣除 1 GB;
  • 2 倍节点,扣除 2 GB。

高倍率节点通常可能对应成本更高的线路、特殊地区或更昂贵的出口资源,但高倍率不等于速度一定更快。倍率只是服务商的计费规则,不是网络性能指标。

八、把整个过程完整串起来

假设你购买了一个代理服务套餐,并使用某款代理软件。第一步,服务商给你一个订阅链接。第二步,你把订阅链接导入代理软件。第三步,代理软件访问订阅地址,下载节点列表和相关配置。第四步,你在软件里选择“美国节点”。第五步,代理软件在本机创建代理入口,例如127.0.0.1:7890,并通过系统代理或虚拟网络接口接收流量。第六步,浏览器把需要访问网站的流量交给本地代理软件。第七步,代理软件按照节点配置,连接远程美国代理服务器。第八步,美国代理服务器替你访问目标网站。第九步,目标网站看到的通常是美国代理服务器的出口 IP。

第十三课:怎样真正看懂 SOCKS5、VLESS、Trojan 等代理节点配置?

前面几课已经讲过代理软件、系统代理、TUN、节点、订阅和代理服务器。本课不再把这些概念从头讲一遍,而是解决一个更具体的问题:

当节点名称写着 “VLESS + WebSocket + TLS” 或 “Hysteria 2 + QUIC + UDP” 时,每个词到底站在哪一段路上,分别负责什么?

这类名称让人发晕,不是因为某个词特别难,而是因为它们来自不同层级。把它们全叫“代理协议”,就像把快递公司、会员卡、纸箱、保险柜、公路和门牌号全叫成“快递”,会越学越乱。本课先搭一张总地图,再依次把每个词放回自己的位置。

一、先看总地图:一次代理访问有三段路

假设 Chrome 通过一个美国节点访问 YouTube,实际参与者是:

  • Chrome:发起网站请求的应用;
  • 本地代理软件:安装在你设备上的代理客户端;
  • 远程代理服务器:节点背后的服务器;
  • YouTube:最终要访问的网站。

整条路可以拆成三段:

第一段:应用把流量交给本地代理软件
Chrome
→ HTTP 代理 / SOCKS5 / 系统代理 / TUN
→ 本地代理软件
 
第二段:本地代理软件连接远程代理服务器
本地代理软件
→ VLESS / VMess / Trojan / Shadowsocks / Hysteria 2
→ 远程代理服务器
 
第三段:远程代理服务器替你访问网站
远程代理服务器
→ YouTube

如果访问的是 HTTPS 网站,还存在一条贯穿代理链路的关系:

Chrome ⇄ 网站 HTTPS ⇄ YouTube

网站 HTTPS 的数据会经过本地代理软件和远程代理服务器,但网站 HTTPS 的通信双方仍然是 Chrome 和 YouTube。后面会专门解释这条线为什么不会和节点 TLS 混在一起。先把本课中的所有名词放进总表:

位置或岗位它回答的问题本课涉及的名词
本地流量入口应用怎样把流量交给本地代理软件?HTTP 代理、SOCKS5、系统代理、TUN
远程代理规则本地代理软件怎样和远程服务器“说代理语言”?VLESS、VMess、Trojan、Shadowsocks、Hysteria 2
用户认证服务器怎样确认你有使用权限?UUID、密码、预共享密钥
承载方式代理数据以什么形式放进连接?RAW、WebSocket、gRPC
节点安全本地代理软件到远程服务器这一段怎样保护?TLS、REALITY、协议自身加密、VLESS Encryption
基础运输数据最底层怎样传输?TCP、UDP、QUIC
网络寻址数据送到哪台服务器?IP、域名、端口
网站通信浏览器怎样与目标网站交换网页内容?HTTP、HTTPS

这里说的“节点协议”是代理软件和服务商常用的教学说法,不是一个由 IETF (互联网工程任务组)统一定义的正式分类名。本课用“远程代理规则”指代 VLESS、Trojan 等核心连接规则,是为了和 SOCKS5 本地入口、TLS 安全层、TCP/UDP 基础运输区分开。

二、第一段路:SOCKS5 到底在哪里发挥作用?

本地代理软件启动后,会在本机开一个入口,例如 127.0.0.1:1080。127.0.0.1 代表当前设备自己,1080 是本地代理软件监听的端口。当 Chrome 被设置为使用这个 SOCKS5 入口时,路径是:

Chrome
→ 127.0.0.1:1080
→ 本地代理软件

这一步发生在同一台设备内部。数据还没有到美国节点。本地代理软件收到数据后,再按照你选择的节点配置连接远程服务器:

Chrome
→ 本地 SOCKS5 入口
→ 本地代理软件
→ VLESS 节点连接
→ 美国代理服务器
→ YouTube

所以在这条具体链路里:

  • SOCKS5 负责 Chrome 怎样把请求交给本地代理软件;
  • VLESS 负责本地代理软件怎样把请求交给远程服务器。

SOCKS5 也能直接作为远程代理协议

SOCKS5 并不只允许在本机使用。当应用直接连接一台远程 SOCKS5 服务器时,路径是:

Chrome
→ 远程 SOCKS5 服务器
→ 目标网站

因此要根据服务器地址判断它的位置:

  • 地址是 127.0.0.1 或 ::1:SOCKS5 服务运行在当前设备;
  • 地址是局域网 IP:SOCKS5 服务运行在局域网中的另一台设备;
  • 地址是公网 IP 或公网域名:应用直接连接远程 SOCKS5 服务器。

SOCKS5 请求里可以填写 IPv4、IPv6,也可以直接填写域名。它的主要作用是告诉 SOCKS5 服务端“请替我连接这个目标”,并转发 TCP 或 UDP 数据。SOCKS5 本身没有给整条代理连接提供通用加密;用户名和密码只相当于检查通行证,不能阻止网络中间的人读取未加密的数据。

SOCKS5 遇到域名时,谁来查 DNS?

假设 Chrome 要访问 youtube.com。SOCKS5 不能只听到“我要访问网站”,它还必须知道具体目标。Chrome 可以把已经查好的 IP 交给 SOCKS5,也可以直接把 youtube.com 这个域名交给 SOCKS5。这两种做法的区别,就是 DNS 在哪一侧处理。

第一种:本机先查 DNS,再把 IP 交给 SOCKS5。 Chrome 或操作系统先查询 youtube.com,得到一个服务器 IP,再把这个 IP 交给 SOCKS5。此时 SOCKS5 收到的是 IP,不需要再把 youtube.com 解析成 IP。

Chrome 或操作系统查询 youtube.com
→ 得到目标 IP
→ 把目标 IP 交给 SOCKS5
→ SOCKS5 连接该 IP

第二种:应用不提前查 IP,直接把域名交给 SOCKS5。 Chrome 在 SOCKS5 请求里直接写入 youtube.com,后面的 SOCKS5 服务端或代理链路再处理这个域名,并建立目标连接。

Chrome 把 youtube.com 交给 SOCKS5
→ SOCKS5 服务端或后续代理链路处理域名
→ 连接目标 IP
SOCKS5 收到的目标DNS 在哪一侧处理
已经查好的 IPChrome、操作系统或本机代理软件一侧
youtube.com 这样的域名SOCKS5 服务端或后续代理链路

这里还有一个容易误解的地方:把域名交给 SOCKS5,不等于域名一定会在海外解析。如果 SOCKS5 地址是 127.0.0.1:1080,这个 SOCKS5 服务端其实就是你电脑上的本地代理软件。本地代理软件收到域名后,是在本机解析,还是继续把域名交给远程节点,要看代理软件的 DNS 和节点配置。

所以判断 DNS 走向时,不能只看“使用了 SOCKS5”,还要继续看两件事:应用交给 SOCKS5 的是域名还是 IP,以及本地代理软件收到域名后怎样处理它。

HTTP 代理、系统代理和 TUN 放在哪里?

它们也属于第一段路,但角色不同:

  • HTTP 代理:应用按照 HTTP 代理规则把请求交给代理入口;
  • 系统代理:操作系统公布“代理入口的地址和端口”,遵守系统设置的应用会读取它;
  • TUN:代理软件创建虚拟网卡,操作系统根据路由表把匹配流量交给它。

它们解决的是“流量怎样进入本地代理软件”,不决定本地代理软件使用 VLESS、Trojan 还是 Hysteria 2 连接远程节点。

三、一条节点配置,其实在填写五个岗位

“美国 01”“美国02”这种只是给人看的节点名称。代理软件真正需要的是一份完整连接说明书。这份说明书至少要回答五个问题。

1. 用什么远程代理规则?

它规定客户端和服务器怎样组织代理请求、怎样携带目标地址、怎样识别用户。答案包括 VLESS、VMess、Trojan、Shadowsocks、Hysteria 2。

2. 用什么证明身份?

它告诉服务器:“我是被允许使用这个节点的人。”答案包括 UUID、密码和预共享密钥。认证解决权限问题(不是代表加密)。

3. 代理数据怎样承载?

它说明代理数据是直接进入数据流,还是先装进另一种通信格式。答案包括 RAW、WebSocket 和 gRPC。

4. 节点连接怎样保护?

它说明本地代理软件到远程服务器之间如何加密、校验完整性和验证服务器身份。答案包括 TLS、REALITY、Shadowsocks 自身的 AEAD 加密、VMess 的协议级保护和 VLESS Encryption。

5. 最底层靠什么运输?

它说明数据最终依靠哪一种传输基础在网络中移动。答案包括 TCP、UDP,以及运行在 UDP 之上的 QUIC。可以用寄快递来记:

网络概念快递类比
VLESS、Trojan 等远程代理规则快递单的填写规则
UUID、密码、密钥会员凭证或取件码
RAW、WebSocket、gRPC包裹采用的包装和装载形式
TLS、REALITY、协议自身加密上锁、防拆和验明运输方身份
TCP、UDP、QUIC实际运输体系
IP、域名和端口目的地地址和服务入口

四、五种常见远程代理规则

1. Shadowsocks 到底是什么?

Shadowsocks 经常简称为 SS。它不是一个 IP,也不是某一台固定的服务器,而是本地代理程序和远程代理程序共同遵守的一套加密通信规则。这套规则会告诉双方:目标网站的地址怎样写、数据怎样加密、远程服务器收到后怎样解密并转发。

Shadowsocks 的名字里虽然带有 “Socks”,但它不等于 SOCKS5。两者在常见 Shadowsocks 结构中负责不同的路段:SOCKS5 负责把浏览器的请求交给本地 Shadowsocks 程序,Shadowsocks 协议再负责把请求安全地送到远程 Shadowsocks 服务器。

Shadowsocks 由两个部分组成:运行在你设备上的本地程序叫 ss-local,运行在远程服务器上的程序叫 ss-remote。这里的 ss 就是 Shadowsocks 的缩写。完整过程是:

应用
→ 本地 SOCKS5 入口
→ ss-local
→ Shadowsocks 加密连接
→ ss-remote
→ 目标网站

假设 Chrome 要访问 YouTube。Chrome 先把请求交给本机的 SOCKS5 入口;ss-local 读取“访问 YouTube”这个目标,用双方事先配置好的密钥加密目标地址和数据,再发送给 ss-remotess-remote 解密后替你连接 YouTube。YouTube 返回的数据会沿着相反方向传回 Chrome。

所以这里有两个不能混淆的角色:

  • SOCKS5 是应用交付请求给 ss-local 的本地入口;
  • Shadowsocks 是 ss-local 与 ss-remote 之间的加密代理协议。

节点配置里的服务器地址和端口告诉 ss-local 去哪里找 ss-remote,密钥用于加密和解密。两端的协议版本、加密方式和密钥必须匹配,否则无法正常通信。

Shadowsocks 2022 使用预共享密钥和 AEAD 加密保护 TCP、UDP 代理数据。“预共享密钥”是指客户端和服务器提前配置同一把密钥;“AEAD”可以先理解成一种既能隐藏数据内容,又能检查数据是否被修改的加密方式。

Shadowsocks 不需要再套一层 VLESS 或 VMess,因为它自己已经规定了目标地址、加密和远程转发格式。它也不等于网站 HTTPS:Shadowsocks 保护本地程序到远程代理服务器这一段,网站 HTTPS 保护浏览器到目标网站这一段。

2. VMess:把认证和数据保护写进协议内部

VMess 是 V2Ray 原生的加密通信协议。它的协议头包含用户认证、目标连接信息和传输参数,用户 ID 使用 16 字节 UUID 形式。当前 VMess 文档保留 AEAD 认证;旧式 MD5 认证已经被官方标记为弃用。教程或旧节点中出现 MD5 认证时,应按旧配置理解,不能当作当前推荐方案。VMess 自身承担认证和数据保护;节点仍然能在外层选择 RAW、WebSocket、gRPC、TLS 等传输配置。出现这些组合时,各层的职责仍然分开:

VMess:远程代理规则、认证和协议级保护
WebSocket / gRPC:承载方式
TLS:额外的传输安全
TCP:基础运输

3. VLESS:轻量代理规则,安全方式由配置明确决定

VLESS 是 Xray 的无状态轻量传输协议。它负责识别用户、携带目标地址和组织代理数据。VLESS 用户 ID 可以是 UUID,也可以是符合当前 Xray 配置要求的短字符串。服务器根据该 ID 识别用户。关于 VLESS 加密,必须按当前配置分支判断:

  • encryption 不为 none:启用了 VLESS Encryption;
  • encryption 为 none,连接公共网络节点:必须配置 TLS 或 REALITY;
  • encryption 为 none,security 也为 none:只允许对端位于可信私有网络。

因此,“VLESS 永远不加密”和“VLESS 自己已经完整加密”都不是准确说法。正确结论是:

VLESS 的安全保护由 encryption 与 streamSettings.security 两处配置共同决定。

常见组合包括:

  • VLESS + RAW + TLS;
  • VLESS + WebSocket + TLS;
  • VLESS + gRPC + TLS;
  • VLESS + RAW + REALITY。

无论外层怎样组合,VLESS 本身仍负责代理请求和用户识别。

4. Trojan:先建立 TLS,再发送 Trojan 认证和代理请求

原始 Trojan 协议的连接顺序是确定的:

建立 TCP 连接
→ 完成 TLS 握手
→ 客户端发送密码摘要、目标地址和负载
→ 服务器验证
→ 服务器连接目标地址
→ 双向转发数据

Trojan 客户端能在本地接收 SOCKS5 请求,再把它转换成 Trojan 协议:

Chrome
→ 本地 SOCKS5
→ Trojan 客户端
→ TLS 保护的 Trojan 连接
→ Trojan 服务器
→ 目标网站

这里:

  • SOCKS5 是本地入口;
  • Trojan 是远程代理规则;
  • TLS 保护 Trojan 客户端与 Trojan 服务器之间的连接;
  • Trojan 密码用于用户认证。

Trojan 使用 TLS,但 Trojan 不是普通网页 HTTPS。两者的通信双方不同:

Trojan 的 TLS:
本地代理软件 ⇄ Trojan 服务器
 
网站 HTTPS:
浏览器 ⇄ 目标网站

5. Hysteria 2:使用 QUIC 的 TCP、UDP 代理协议

本课讲的是 Hysteria 2,不把旧版 Hysteria 1 的配置规则混入其中。Hysteria 2 建立在标准 QUIC 之上,QUIC 运行在 UDP 之上:

Hysteria 2
→ QUIC
→ UDP
→ IP

这不是三个并列的代理协议,而是上下层关系:

  • Hysteria 2 规定代理功能和认证;
  • QUIC 提供安全连接、数据流、确认、丢包恢复和拥塞控制;
  • UDP 承载 QUIC 数据包;
  • IP 把数据送到远程服务器。

Hysteria 2 对两类被代理流量采用不同承载:

  • TCP 代理请求进入 QUIC 双向流;
  • UDP 代理数据进入 QUIC 数据报。

所以“Hysteria 2 使用 UDP”等于“数据丢失后不处理”是错误理解。被代理的 TCP 数据运行在 QUIC 的可靠数据流中;被代理的 UDP 数据按 UDP 数据报语义处理。

五、RAW、WebSocket、gRPC:代理数据怎样装进连接

这三个词不负责选择目标网站,也不负责识别订阅账号。它们回答的是:代理数据采用什么承载形式。

1. RAW:不再套 WebSocket 或 gRPC

Xray 当前把旧称“TCP 传输”的方式改名为 RAW,因为“TCP 传输”容易让人误以为它和 WebSocket、gRPC 完全同级。RAW 的含义是:代理协议包装后的数据直接进入配置的底层连接,不再额外套 XHTTP、WebSocket 或 gRPC。因此,在旧界面看到 “VLESS + TCP + TLS”,在当前 Xray 术语中应读作:

VLESS + RAW + TLS
底层使用 TCP

数据层级是:

VLESS 数据
→ TLS 保护
→ TCP 运输
→ IP 寻址

2. WebSocket:把代理数据装进 WebSocket 帧

WebSocket 是持续双向通信协议。Xray 的 WebSocket 传输使用标准 WebSocket 承载代理数据。以 VLESS + WebSocket + TLS 为例:

VLESS 数据
→ WebSocket 帧
→ TLS 保护
→ TCP 运输
→ IP 寻址

WebSocket 不负责 VLESS 用户认证,也不负责加密。TLS 开启后,WebSocket 数据才获得这一层传输安全。节点名称没有写 TCP,不代表 TCP 消失。Xray 的标准 WebSocket 传输建立在底层 TCP 连接上。

3. gRPC:把代理数据放进 gRPC / HTTP/2

Xray 的 gRPC 传输基于 HTTP/2,用 gRPC 数据流承载 VLESS、VMess 等代理数据。以 VLESS + gRPC + TLS 为例:

VLESS 数据
→ gRPC / HTTP/2
→ TLS 保护
→ TCP 运输
→ IP 寻址

gRPC 不负责 VLESS 认证,也不等于 TLS。它占的是“承载方式”这一格。

六、TLS、REALITY、协议自身加密:节点连接怎样保护

1. TLS

TLS 是通用的传输安全机制,负责加密、完整性校验和服务器身份验证。在节点配置里,TLS 保护的是:

本地代理软件 ⇄ 远程代理服务器

在网站 HTTPS 里,TLS 保护的是:

浏览器 ⇄ 目标网站

同一种安全协议能被两组不同通信双方分别使用,这就是后面“双层 TLS”的来源。

2. REALITY

REALITY 是 Xray 的传输安全机制。Xray 当前文档把它定义为修改后的 TLS 形式,并把它与 TLS 并列放在 transport security 位置。以 VLESS + RAW + REALITY 为例:

  • VLESS:代理规则和用户识别;
  • RAW:代理数据不再套 WebSocket 或 gRPC;
  • REALITY:节点连接安全;
  • TCP:基础运输;
  • IP:寻址。

REALITY 与普通网站 HTTPS 不是同一条连接。它保护本地代理软件到远程代理服务器这一段。

3. 协议自身加密

Shadowsocks、VMess 和启用 VLESS Encryption 的 VLESS,把数据保护能力放在协议内部。这类加密仍然属于节点链路,不属于浏览器和网站之间的 HTTPS。远程代理服务器必须解除节点协议这一层,才能读取目标地址并完成转发。

4. 认证不等于加密

这一点必须单独记住:

  • UUID、密码、密钥回答“你有没有权限”;
  • TLS、REALITY、AEAD 回答“链路内容怎样保护”;
  • RAW、WebSocket、gRPC 回答“数据怎样承载”;
  • TCP、UDP、QUIC 回答“数据怎样运输”。

同一串字符被同时用于密钥派生和用户识别时,具体功能由该协议标准定义,不能只看配置界面把它笼统叫成“密码”。

七、TCP、UDP、QUIC:最底层运输关系

前面的课程已经讲过 TCP 和 UDP,这里只把它们放回节点结构。

TCP → 直接运行在 IP 之上
UDP → 直接运行在 IP 之上
QUIC → 运行在 UDP 之上 → UDP 运行在 IP 之上
  • TCP 提供有序、可靠的字节流;
  • UDP 提供数据报传输,不承诺送达、顺序和去重;
  • QUIC 使用 UDP 传包,同时在 QUIC 层实现安全连接、数据流、确认、丢包恢复和拥塞控制。

因此:

  • WebSocket 节点使用 TCP 作为底层连接;
  • Xray gRPC 传输使用 HTTP/2,底层使用 TCP;
  • Hysteria 2 使用 QUIC,QUIC 的基础是 UDP。

“运行在 UDP 上”只说明下层承载,不等于上层协议没有可靠传输能力。

八、为什么节点 TLS 和网站 HTTPS 会同时存在?

假设你使用 VLESS + RAW + TLS 访问 https://youtube.com。这里有两条 TLS 连接:

节点 TLS:
本地代理软件 ⇄ VLESS 远程服务器
 
网站 HTTPS:
Chrome ⇄ YouTube

可以把它想成双层带锁包裹。第一步,Chrome 与 YouTube 建立网站 TLS。Chrome 发出的 HTTP 网页内容被网站 TLS 加密,形成网站 HTTPS 密文。第二步,本地代理软件把这份已经加密的网站数据,连同代理所需的信息,放进节点 TLS 连接。从你的设备到远程代理服务器这一段,数据关系是:

最外层:节点 TLS
里面:网站 HTTPS 密文
最里面:HTTP 网页内容

远程代理服务器收到后,只终止节点 TLS。它得到的仍然是网站 HTTPS 密文,然后把这份密文转发给 YouTube。最终由 YouTube 终止网站 TLS,读取 HTTP 请求。

远程代理服务器:解除节点 TLS
YouTube:解除网站 TLS

当以下三个条件同时成立时,远程代理服务器不能直接读取网站 HTTPS 内部的网页正文、Cookie 和表单内容:

  1. 浏览器正确验证目标网站证书;
  2. 设备没有安装并信任代理控制的 TLS 检查根证书;
  3. 浏览器实际连接的目标证书属于目标网站,而不是中间代理重新签发的证书。

当访问普通 HTTP 网站时,不存在网站 HTTPS 这一内层保护。远程代理服务器解除节点层后,能够读取 HTTP 明文。

九、连接建立顺序和数据包裹顺序不是一回事

这是节点教程里最容易把人绕晕的地方。以 VLESS + RAW + TLS 为例。连接建立的时间顺序是:

先建立 TCP
→ 再完成 TLS 握手
→ 再发送 VLESS 认证、目标请求和数据

数据被装进网络的层级是:

VLESS 数据
→ TLS 记录
→ TCP 段
→ IP 包

一个是在回答“先做哪一步”,另一个是在回答“数据外面套着什么”。再看 VLESS + WebSocket + TLS。连接建立顺序:

TCP 连接
→ TLS 握手
→ WebSocket 握手
→ 传输 VLESS 数据

数据层级:

VLESS 数据
→ WebSocket 帧
→ TLS 记录
→ TCP 段
→ IP 包

只要把“时间顺序”和“包裹层级”分开,就不会再纠结为什么列表有时写 TCP 在前、有时写 VLESS 在前。

十、固定模板:怎样读懂一条节点名称

以后看到节点名称,不要从左到右硬背。按下面六步查配置。

第一步:流量怎样进入本地代理软件?

查看软件是否使用:

  • HTTP 代理;
  • SOCKS5;
  • 系统代理;
  • TUN。

这项经常不写在节点名称中,而写在软件设置里。

第二步:远程代理规则是什么?

查看 outbound 或节点类型:

  • VLESS;
  • VMess;
  • Trojan;
  • Shadowsocks;
  • Hysteria 2;
  • 远程 HTTP / SOCKS5。

第三步:用户怎样认证?

查看:

  • VLESS、VMess 的 ID / UUID;
  • Trojan 的密码;
  • Shadowsocks 的预共享密钥;
  • Hysteria 2 的认证配置。

第四步:承载方式是什么?

查看:

  • RAW;
  • WebSocket;
  • gRPC。

Hysteria 2 使用自己的 QUIC 协议结构,不套用 VLESS 的 RAW、WebSocket、gRPC 组合。

第五步:安全方式是什么?

查看:

  • TLS;
  • REALITY;
  • Shadowsocks 自身加密;
  • VMess 协议级保护;
  • VLESS Encryption;
  • QUIC 整合的 TLS 安全。

第六步:基础运输是什么?

查看:

  • TCP;
  • UDP;
  • QUIC over UDP。

六个具体例子

节点显示远程代理规则认证承载节点安全基础运输
VLESS + TCP + TLSVLESSID / UUIDRAW(旧界面写 TCP)TLSTCP
VLESS + WebSocket + TLSVLESSID / UUIDWebSocketTLSTCP
VLESS + gRPC + TLSVLESSID / UUIDgRPC / HTTP/2TLSTCP
VLESS + TCP + REALITYVLESSID / UUID 与 REALITY 参数RAWREALITYTCP
TrojanTrojan密码摘要原始 Trojan 数据流TLSTCP
Shadowsocks 2022Shadowsocks预共享密钥Shadowsocks 数据格式AEADTCP / UDP
Hysteria 2Hysteria 2Hysteria 2 认证QUIC 流 / 数据报QUIC 整合 TLSUDP

节点名称是服务商给人看的标签,真实结果必须回到配置核验。名称写“TCP”时,要查看软件是否实际配置为 Xray RAW;名称写“TLS”时,要查看证书验证和 serverName;名称写“全局”时,要查看 IPv4、IPv6 和 UDP 是否都被本地软件接管。

十一、怎样验证,而不是靠节点名称猜

要确认一条具体节点的真实行为,按下面顺序检查:

  1. 查看本地入口:系统代理、HTTP、SOCKS5 还是 TUN;
  2. 查看远程协议:VLESS、Trojan、Shadowsocks 或其他;
  3. 查看承载字段:RAW、WebSocket、gRPC;
  4. 查看安全字段:none、tls、reality 或协议内部 encryption;
  5. 查看服务器地址、端口和用户认证字段;
  6. 分别测试公网 IPv4 和公网 IPv6;
  7. 分别测试 DNS 解析位置;
  8. 单独测试 UDP 是否经过节点;
  9. 检查目标网站实际观察到的出口 IP;
  10. 对照代理软件和协议项目的当前官方文档。

只有配置和实测结果一致,才能下结论。例如:

  • IPv4 变为节点出口、IPv6 保持本地运营商地址:IPv6 没有经过同一出口;
  • 应用提交域名给远程 SOCKS5:目标域名由 SOCKS5 服务器侧处理;
  • VLESS encryption 为 none 且 security 为 tls:节点安全由外层 TLS 提供;
  • Hysteria 2 连接已建立:节点基础运输是 QUIC over UDP。

十二、本课最后只记住这张图

应用进入本地代理软件
HTTP 代理 / SOCKS5 / 系统代理 / TUN

本地代理软件连接远程服务器
VLESS / VMess / Trojan / Shadowsocks / Hysteria 2

代理数据的承载方式
RAW / WebSocket / gRPC / QUIC 体系

节点连接的安全保护
TLS / REALITY / 协议自身加密

基础运输与寻址
TCP / UDP / QUIC → IP

远程代理服务器访问目标网站
HTTP / HTTPS

最核心的六句话是:

  1. HTTP 代理、SOCKS5、系统代理和 TUN,先解决流量怎样进入本地代理软件。
  2. VLESS、VMess、Trojan、Shadowsocks 和 Hysteria 2,解决本地代理软件怎样与远程服务器交流。
  3. RAW、WebSocket 和 gRPC,说明代理数据采用什么承载形式。
  4. TLS、REALITY 和协议自身加密,说明节点连接怎样获得安全保护。
  5. TCP、UDP、QUIC,说明数据底层怎样运输。
  6. 网站 HTTPS 是浏览器与目标网站之间的另一条安全关系,不等于节点 TLS。

看到一条节点名称时,只要把每个词放回这六个位置,整条链路就不会再乱。

核验依据