Reality

· 75 次阅读

概述

Reality 是 XTLS / Xray 项目于 2023 年初推出的 TLS 伪装技术,核心目标是让流量在主动探测时完全像访问正常网站。从根本上解决了 SNI 白名单封锁、TLS in TLS 特征、Server Hello 指纹等问题。当前与 VLESS 搭配使用(VLESS + TCP + Reality + Vision)是直连环境下的首选方案。

Reality
Reality

工作原理

  1. 客户端发送真实的 TLS ClientHello(SNI 指向伪装网站,如 www.microsoft.com)
  2. 服务端不使用自己的证书,而是主动去目标伪装网站抓取真实的 ServerHello + 证书链
  3. 服务端将抓到的真实 ServerHello 原封不动返回给客户端
  4. 后续握手和服务端密钥由 Reality 使用 X25519 密钥交换完成(shortId 用于区分客户端)
  5. 探测方看到的是完全真实的 TLS 流量(指纹、证书、ALPN 全部来自真实网站)

加密方式

使用 X25519 密钥交换完成握手,数据传输依赖配合的协议(通常为 VLESS + XTLS Vision)。客户端通过 uTLS 模拟真实浏览器的 TLS 指纹(推荐 chrome),服务端借用真实网站的证书和 TLS 响应。

特点

  • 无需自备域名和证书:直接借用目标站的真实证书,部署门槛大幅降低
  • 主动探测几乎无法区分:流量指纹完全来自真实网站
  • 使用 shortId(0-16 位十六进制)区分多客户端
  • 配合 Vision 流控实现高性能
  • 解决 SNI 白名单封锁、TLS in TLS 特征、Server Hello 指纹等多类问题

优势

  • 抗主动探测能力当前最强:流量指纹完全来自真实网站,探测方无法区分
  • 无需自备域名和证书:不像传统 TLS 方案需要申请证书
  • 极致性能:配合 Vision 流控,兼具高性能与隐蔽性
  • 部署门槛低:无需域名和证书,只需一个 VPS 即可运行
  • 直连环境首选:2026 年仍是最高级别隐蔽性方案之一

劣势

  • 不支持 CDN 中转:VLESS + TCP + Reality + Vision 无法通过 CDN
  • 多路复用受限:Vision 流控不支持 gRPC / WebSocket 等多路复用传输
  • 依赖伪装网站可用性:如果伪装目标站被墙或异常,服务将不可用
  • 配置相对复杂:需选择合适的伪装网站和 uTLS 指纹
  • 伪装网站选择有限:避免使用国内站点、已知被滥用的站点

关键参数

dest
目标伪装网站(格式 domain:443),Xray 会拨这个地址获取 TLS 响应。推荐:www.microsoft.com、www.apple.com、www.nvidia.com
serverNames
服务端允许的 SNI 列表,客户端必须填其中之一
shortIds
短 ID(0-16 位十六进制),用于多客户端区分和封禁
privateKey / publicKey
X25519 密钥对,服务端持有私钥,客户端使用公钥
fingerprint
uTLS 模拟的浏览器指纹,推荐 chrome

适用场景

  • 直连主力节点:VLESS + TCP + Reality + Vision(当前首选组合)
  • 游戏 / 实时通信:TCP 低延迟 + 高隐蔽性
  • 高审查环境:抗主动探测能力最强
  • 无域名用户:无需申请域名和证书即可部署
  • 需 CDN 中转时:改用 VLESS + WebSocket + TLS + CDN(牺牲部分隐蔽性)
0.0 / 5 · 0 人评分

点击星星为本文评分

相关推荐