概述
Reality 是 XTLS / Xray 项目于 2023 年初推出的 TLS 伪装技术,核心目标是让流量在主动探测时完全像访问正常网站。从根本上解决了 SNI 白名单封锁、TLS in TLS 特征、Server Hello 指纹等问题。当前与 VLESS 搭配使用(VLESS + TCP + Reality + Vision)是直连环境下的首选方案。

工作原理
- 客户端发送真实的 TLS ClientHello(SNI 指向伪装网站,如 www.microsoft.com)
- 服务端不使用自己的证书,而是主动去目标伪装网站抓取真实的 ServerHello + 证书链
- 服务端将抓到的真实 ServerHello 原封不动返回给客户端
- 后续握手和服务端密钥由 Reality 使用 X25519 密钥交换完成(shortId 用于区分客户端)
- 探测方看到的是完全真实的 TLS 流量(指纹、证书、ALPN 全部来自真实网站)
加密方式
使用 X25519 密钥交换完成握手,数据传输依赖配合的协议(通常为 VLESS + XTLS Vision)。客户端通过 uTLS 模拟真实浏览器的 TLS 指纹(推荐 chrome),服务端借用真实网站的证书和 TLS 响应。
特点
- 无需自备域名和证书:直接借用目标站的真实证书,部署门槛大幅降低
- 主动探测几乎无法区分:流量指纹完全来自真实网站
- 使用 shortId(0-16 位十六进制)区分多客户端
- 配合 Vision 流控实现高性能
- 解决 SNI 白名单封锁、TLS in TLS 特征、Server Hello 指纹等多类问题
优势
- 抗主动探测能力当前最强:流量指纹完全来自真实网站,探测方无法区分
- 无需自备域名和证书:不像传统 TLS 方案需要申请证书
- 极致性能:配合 Vision 流控,兼具高性能与隐蔽性
- 部署门槛低:无需域名和证书,只需一个 VPS 即可运行
- 直连环境首选:2026 年仍是最高级别隐蔽性方案之一
劣势
- 不支持 CDN 中转:VLESS + TCP + Reality + Vision 无法通过 CDN
- 多路复用受限:Vision 流控不支持 gRPC / WebSocket 等多路复用传输
- 依赖伪装网站可用性:如果伪装目标站被墙或异常,服务将不可用
- 配置相对复杂:需选择合适的伪装网站和 uTLS 指纹
- 伪装网站选择有限:避免使用国内站点、已知被滥用的站点
关键参数
- dest
- 目标伪装网站(格式 domain:443),Xray 会拨这个地址获取 TLS 响应。推荐:www.microsoft.com、www.apple.com、www.nvidia.com
- serverNames
- 服务端允许的 SNI 列表,客户端必须填其中之一
- shortIds
- 短 ID(0-16 位十六进制),用于多客户端区分和封禁
- privateKey / publicKey
- X25519 密钥对,服务端持有私钥,客户端使用公钥
- fingerprint
- uTLS 模拟的浏览器指纹,推荐 chrome
适用场景
- 直连主力节点:VLESS + TCP + Reality + Vision(当前首选组合)
- 游戏 / 实时通信:TCP 低延迟 + 高隐蔽性
- 高审查环境:抗主动探测能力最强
- 无域名用户:无需申请域名和证书即可部署
- 需 CDN 中转时:改用 VLESS + WebSocket + TLS + CDN(牺牲部分隐蔽性)