AnyTLS 是一种高度灵活的 TLS 隧道封装协议,旨在将任何形式的原始流量(如 TCP/UDP)打包进标准的 TLS 加密流中。它的核心优势在于通用性和伪装深度,支持自定义各种加密参数和伪造主机名。通过模拟合规的 HTTPS 流量,AnyTLS 能轻松穿透大多数只允许 web 流量通过的防火墙。对于希望利用 TLS 强大生态来保护自定义服务的开发者,AnyTLS 提供了一个标准化的封装模板。
什么是 AnyTLS?
AnyTLS 是由 sing-box 及相关核心社区推行的一种传输层配置方案。严格来说,它不是一种独立的代理协议,而是一套传输层框架。它的作用是将底层的原始流量(如 Shadowsocks、SOCKS5 甚至纯 TCP)封装进一个标准的、高度仿真的 TLS (Transport Layer Security) 隧道中。
| 特性 | AnyTLS 1.0 (2024) | AnyTLS 2.0 (2025) |
| 认证方式 | SHA-256 密码验证 | 增强型认证 + 协商机制 |
| 稳定性 | 基础 TCP 转发 | 增加心跳检测与死锁恢复机制 |
| 主流支持 | 独立 Client/Server | sing-box, Mihomo 原生支持 |
AnyTLS 的核心工作原理
AnyTLS 的强大之处在于它对 TLS 协议的“像素级复刻”:
- 指纹模拟 (Fingerprinting): 它能够模拟现代浏览器(如 Chrome 或 Firefox)的 uTLS 指纹。这让流量在握手阶段看起来完全像是一个普通的网民在浏览网页。
- 协议无关性: 它可以包装“任何”协议。无论是老牌的 Shadowsocks,还是轻量级的 Vlite,只要套上 AnyTLS,它们就会瞬间获得抗探测能力。
- 灵活的 SNI 策略: 支持自定义服务器名称指示(SNI),允许你将流量引导至合法的 CDN 或前端 Web 服务器,实现完美的业务分流。
AnyTLS 的优势
- 极高的兼容性: 不同于 Reality 需要特定的服务端配合,AnyTLS 可以与 Nginx、Caddy 或 HAProxy 等标准 Web 工具无缝集成。
- 解耦协议与加密: 它让开发者可以专注于协议的转发逻辑,而将复杂的加密和隐匿工作交给成熟的 AnyTLS 层处理。
- 支持 UoT (UDP over TCP): 在处理游戏或语音流量时,AnyTLS 能够高效地将 UDP 包封装进加密的 TCP/TLS 隧道,有效解决了部分地区运营商对 UDP 的恶意限速(QoS)。
AnyTLS vs. Reality vs. 标准 TLS
| 特性 | AnyTLS | Reality | 标准 TLS (Trojan) |
| 证书需求 | 必须 (或自签名) | 不需要 (偷取) | 必须拥有 |
| 隐匿逻辑 | 模拟/伪装 | 身份窃取 | 原生 HTTPS 模拟 |
| 配置自由度 | 极高 | 中等 | 一般 |
| 抗探测能力 | 强 | 极强 | 强 |
| 适用核心 | Sing-box (原生) | Xray / Sing-box | 全平台 |
AnyTLS 部署指南
如果你正在配置 sing-box 节点,有以下几点建议:
- 配合 CDN 隐藏 IP: AnyTLS 非常适合配合 Cloudflare 等 CDN 使用。通过开启 WebSocket 或 gRPC,你的真实服务器 IP 将永远隐藏在 CDN 背后。
- 启用 ALPN 协商: 务必在配置中正确设置 ALPN(如
h2,http/1.1),这能显著降低被防火墙进行协议降级攻击的风险。 - 多路径分流: 利用 AnyTLS 的路径(Path)功能,可以将代理流量隐藏在网站的某个深度子目录(如
/api/v1/update)下。
AnyTLS 的出现,标志着代理技术从“创造新协议”向“优化传输层”的演进。它像是一个万能转换头,让那些原本容易被识别的老旧协议依然能够焕发生机。对于追求极致定制化和多业务融合的用户来说,AnyTLS 是目前最稳健的技术底座。