什么是 REALITY?
传统的 TLS 代理(如 Trojan 或 VLESS+TLS)需要你购买域名、申请 SSL 证书。这存在两个致命弱点:
- 证书关联性: 审查者可以扫描全球 IP,发现某个 IP 挂载了莫名其妙的证书,从而精准定位。
- 指纹特征: 自签或免费证书的握手指纹往往与普通大型网站不同。
REALITY 的思路是“偷天换日”: 它直接“借用”一个真实、大厂网站(如 www.microsoft.com、www.apple.com)的 TLS 握手过程。
- 当有人访问你的服务器时,你的服务器会像“中间人”一样,把请求转发给微软。
- 微软返回真实的、合法的证书和握手包。
- 你的服务器再把这些原封不动传回给用户。
结果: 在任何外部观察者看来,你就是在访问微软的服务器,指纹 1:1 还原,毫无破绽。
REALITY 的特性
1. 零成本、零维护
这是 REALITY 最受欢迎的一点。你不需要购买域名,也不需要申请和续签 SSL 证书。你只需要在配置里填上一个你心仪的“目标网站”(SNI),它就能自动完成伪装。
2. 完美防主动探测
防火墙有时会主动给你的 IP 发送奇怪的包来试探你是否是代理。REALITY 具备极强的身份校验机制:
- 如果是带正确密钥的客户端请求,它会作为代理正常工作。
- 如果是防火墙的探测请求,它会表现得像一个完全透明的转发器,将流量直接导向目标网站(如 Google)。探测者只会觉得:“哦,这确实就是 Google 的一台服务器。”
3. 消灭 TLS in TLS
配合 VLESS 使用时,REALITY 优化了数据流结构,消除了传统嵌套 TLS 带来的额外包头特征,使流量在统计学分析(流量指纹)下也极难被识别。
REALITY vs. 传统 TLS 方案
| 维度 | 传统 TLS (Trojan/VLESS) | REALITY |
| 域名/证书 | 必须购买并维护。 | 无需购买,直接“借用”。 |
| 指纹特征 | 容易出现非主流浏览器指纹。 | 完美复刻目标网站指纹。 |
| 抗探测能力 | 较弱,容易被指纹识别。 | 极强,完美伪装成合法站。 |
| 部署难度 | 中(需配置解析、申请证书)。 | 极低(填入目标域名即可)。 |
| 安全性 | 依赖证书机构和域名安全。 | 最高(目前公认的终极方案)。 |
REALITY 典型配置要素
要跑通一个 VLESS + REALITY 节点,你只需要关注几个核心参数:
- dest: 目标网站(如
www.yahoo.com:443),你的流量将伪装成发往这里。 - serverNames: 伪装域名列表。
- privateKey / publicKey: 一对用于身份验证的密钥。
- shortIds: 用于防止重放攻击的简短标识符。
在 REALITY 之前,代理技术一直在加密和混淆上做文章。而 REALITY 开启了直接复用合法基础设施的新路径。只要互联网上还存在大型 HTTPS 网站,REALITY 就能一直存在。它让封锁的成本变得极高——如果你要封锁 REALITY,你可能得顺便封掉半个互联网(比如整个微软或苹果的服务)。REALITY 是目前代理技术当之无愧的天花板。 如果你还在犹豫使用哪种协议,直接选择 VLESS + REALITY 绝对不会出错。