為什麼還要討論這三種協定?
在 Clash Verge Rev、Mihomo Party 或 Clash for Android 裡匯入訂閱後,節點列表往往混雜 Shadowsocks(SS)、Trojan、VLESS,甚至還有 VMess、Hysteria 等名稱。許多使用者直覺認為「越新越好」,或聽說某協定「完全無法封鎖」,結果在策略組裡亂點一氣,反而遇到速度慢、握手失敗、特定 App 斷線等問題。
事實上,協定沒有絕對冠軍,只有是否匹配你的網路環境、服務商配置品質與客戶端能力。本文聚焦 Clash 生態最常見的三種,從原理到實戰選型,協助你在 2025 年及之後的審查環境中做出可複製的判斷。
Shadowsocks:輕量、普及、但「裸奔」風險較高
Shadowsocks 誕生較早,設計目標是在客戶端與伺服器之間建立一條加密的 SOCKS 通道,實作簡潔、CPU 占用低,因此在廉價 VPS 與舊訂閱中仍極為常見。Clash 配置中常見 type: ss,並搭配 aes-128-gcm、chacha20-ietf-poly1305 等加密方式。
主要優點:
- 協定開銷小,在相同硬體上往往延遲更低、吞吐更穩。
- 教學資源與節點存量大,舊訂閱幾乎一定包含 SS 線路。
- Mihomo 對 SS 及插件(如 simple-obfs、v2ray-plugin)支援成熟,適合當備援節點池。
主要劣勢:
- 流量特徵相對明顯;在強 DPI 環境下,未加 TLS 外殼的 SS 較易被干擾。
- 依賴外掛混淆時,維運複雜度上升,且外掛本身也可能成為新特徵。
- 部分 SS2022 部署尚未普及,訂閱裡仍多為傳統 SS,安全邊界需由服務商更新節奏決定。
Trojan:偽裝成 HTTPS 的「保守穩健派」
Trojan 的核心理念很直接:讓代理流量在 TLS 握手與應用層行為上盡量像訪問一個正常的 HTTPS 網站。未通過密碼驗證的連線可被導向真實的靜態頁面(如 Nginx 上的假站),從外部看更像普通 Web 服務。Clash 中對應 type: trojan,通常需要有效網域、證書與 SNI 配置。
主要優點:
- 與主流 CDN、443 連接埠場景契合,在「只看 TLS」的檢測模型下表現穩定。
- 協定語意簡單,除密碼外參數較少,服務商批量開線成本可控。
- Clash/Mihomo 原生支援良好,與規則分流、TUN 模式搭配無額外門檻。
主要劣勢:
- 依賴證書與網域品質;自簽或頻繁換域會降低可用性。
- 在極端主動探測下,仍可能因指紋、回應時序等被標記——沒有任何協定能保證「永遠不被針對」。
- 部分 UDP 場景需額外開啟 Trojan-Go 等變體,訂閱是否支援要看服務商實作。
對多數「需要穩定瀏覽、串流、日常代理」的使用者,Trojan 往往是訂閱裡最省心的主力協定,尤其當節點已掛在可信 CDN 或優質 TLS 終端之後。
VLESS:Xray 生態下的高彈性選項
VLESS 是 Project X(常與 Xray-core 一併提及)體系中的輕量傳輸協定,本身幾乎不內建複雜加密,而把安全與混淆交給外層 TLS、REALITY、WebSocket、gRPC、XHTTP 等傳輸組合。Clash Meta/Mihomo 對 VLESS 的支援已相當完整,訂閱中 type: vless 節點愈來愈常見。
主要優點:
- 傳輸層組合豐富,服務商可快速試驗 REALITY、Vision 等新特性以應對特徵庫更新。
- 與 Xray 路由、多入口、鏈式代理等進階玩法銜接順暢,適合技術向訂閱。
- 在正確配置 TLS 或 REALITY 時,對外觀感接近正常加密 Web 流量。
主要劣勢:
- 配置參數多(flow、fp、packet-encoding 等),訂閱品質參差大,新手不易排錯。
- 舊版 Clash Premium 或過時核心可能不支援新傳輸,需確認客戶端為 Mihomo 系。
- 錯誤的 CDN 或證書設定會導致「能 ping 但無法載入頁面」的假象,問題常出在傳輸層而非 VLESS 本身。
一表看懂:加密、抗檢測與效能
下表為一般訂閱實務下的概括,具體仍取決於服務商是否啟用 TLS、CDN、REALITY 等外層保護。
| 維度 | Shadowsocks | Trojan | VLESS |
|---|---|---|---|
| 設計重點 | 輕量加密隧道 | TLS 偽裝 HTTPS | 輕量協定 + 可選傳輸層 |
| 典型加密 | AEAD(如 chacha20-poly1305) | TLS 1.2/1.3 | 多由 TLS / REALITY 承擔 |
| 抗主動探測 | 中等(無 TLS 時偏弱) | 較好(假站回應) | 視傳輸而定,REALITY 表現突出 |
| 資源占用 | 低 | 中 | 中至高(視傳輸) |
| Clash 相容 | 極佳 | 極佳 | 需 Mihomo 新核心 |
| 適合角色 | 備援 / 低延遲線路 | 日常主力 | 進階 / 新特性試驗 |
在 Clash/Mihomo 裡誰更好用?
對終端使用者而言,「好不好用」往往等於:訂閱能否一鍵匯入、節點能否測速、規則分流是否生效、TUN 能否接管遊戲 UDP。在這四點上,三種協定在 Mihomo 裡都只需在 YAML 的 proxies 區塊正確宣告,客戶端 GUI 通常不會讓你手動切換協定類型。
實務建議如下:
- 匯入訂閱後,在「代理」頁對同一地區的 SS、Trojan、VLESS 節點各測一次延遲與實際下載。
- 建立
url-test策略組時,可只放入延遲穩定的節點,無需按協定分組——除非你想刻意隔離某類線路。 - 需要 TUN 或遊戲加速時,請參考 Clash 遊戲加速與 TUN 配置教學;協定選擇應服從於「該節點是否支援 UDP 且延遲低」。
- 若 VLESS 節點全部逾時而 Trojan 正常,多半是訂閱核心參數與你客戶端版本不匹配,優先更新 Mihomo 核心而非換協定信仰。
# Example: three proxy types in one Clash/Mihomo profile
proxies:
- { name: "HK-SS", type: ss, server: a.example.com, port: 8388, cipher: chacha20-ietf-poly1305, password: "***" }
- { name: "HK-Trojan", type: trojan, server: b.example.com, port: 443, password: "***", sni: b.example.com }
- { name: "HK-VLESS", type: vless, server: c.example.com, port: 443, uuid: "***", tls: true, network: tcp }依場景選擇:2025 年怎麼選才不踩坑
日常瀏覽、社群與串流
優先使用訂閱中延遲最低的 Trojan 或帶 TLS 的 VLESS 節點;若兩者表現接近,選維護更穩、不易頻繁換域的那條線即可。
高敏感網路環境
避免長期依賴無 TLS 外殼的純 SS。可向服務商確認是否提供 REALITY、WebSocket+TLS 等 VLESS 變體,或 Trojan over 443 搭配可信證書。
遊戲與即時通訊
協定次要,延遲、丟包率、UDP 支援才是關鍵。用策略組鎖定低 ping 節點,並在桌面端開啟 TUN;不必迷信某一協定名稱。
路由器 / OpenWrt 全屋代理
路由器 CPU 較弱時,過重的 VLESS 傳輸可能拉高負載;可優先 Trojan 或精簡 SS,並在 OpenClash 中關閉不必要的日誌與測速間隔。若需全屋 TUN,請在路由器上確認 OpenClash/Mihomo 核心版本與記憶體占用後再啟用透明代理。
技術玩家與自架
VLESS + Xray 彈性最高,適合快速試驗新傳輸;Trojan 適合「少折騰、長期穩定」;SS 適合邊際節點或內網實驗,不建議作為唯一對外方案。
常見問題
訂閱裡還有 VMess,要不要淘汰?
VMess 仍被大量訂閱使用,Mihomo 同樣支援。與 VLESS 相比,VMess 參數較重且社群新特性多轉向 Xray 系;若服務商同時提供兩者,可優先測 VLESS/Trojan,VMess 作相容備援即可。
能否在規則裡「只走 Trojan」?
可以透過策略組篩選:建立只包含 Trojan 節點的 proxy-groups,再在規則中指向該組。多數使用者更推薦按地區 + url-test 自動選線,避免協定偏執導致錯過更快的 SS 備援。
協定越新是否代表越安全?
安全是系統工程:密鑰管理、證書輪換、日誌策略、入口隱藏與客戶端更新同樣重要。單純把 SS 換成 VLESS 而服務商仍用弱密碼或共用 IP,改善有限。
相較於只能連線、無法查看節點協定與分流邏輯的封閉 App,Clash/Mihomo 開源客戶端讓你在同一訂閱內並行使用 SS、Trojan、VLESS,並用規則與策略組按場景切換;相較手動改系統代理或逐 App 填 SOCKS,透過 TUN + 規則 能更一致地覆蓋瀏覽器、遊戲與終端工具。若你尚未安裝客戶端,可從站內下載頁取得 Windows、macOS 與 Android 的 Verge Rev、Mihomo Party 等版本,匯入訂閱後依本文表格實測,比盲選協定名稱更可靠。