--- title: "Xray Reality 协议:消除 TLS 指纹的现代代理方案" date: 2023-04-11 lastmod: 2026-05-03 slug: xray-reality tags: ["TLS", "Xray", "VLESS", "Reality", "X25519", "代理协议"] categories: ["网络协议"] description: "REALITY 协议通过 TLS 1.3 key_share 字段嵌入身份标记 + 主动探测时透明回放真站,从协议层消除 TLS 指纹特征。本文从协议设计到服务端 / 客户端完整搭建。" draft: false --- > 整理自 [bandwh.com](https://www.bandwh.com/net/994.html)(原文 2023-04-11),本文于 2026-05 重新整理发布。 > 适用系统:Debian 11 | Xray 版本:>= 1.8.0 > 文中所有 UUID / X25519 密钥均为示例值,实际部署务必使用 `xray uuid` / `xray x25519` 重新生成。 --- ## 一、背景与原理 ### 1.1 为什么需要 Reality? 传统 v2ray 方案需要购买域名并生成 TLS 证书,通过各种流量伪装来规避检测。然而随着 DPI 检测能力的升级,**v2ray 的 TLS/XTLS 协议特征已可被精准识别**,导致 VPS 的 443 端口频繁被封锁或阻断。 Xray 1.8.0 版本推出了全新的 **REALITY 协议**,配合此前的 **Vision 流控**,组成了当前最新的协议组合: ``` VLESS + Vision + uTLS + REALITY ``` ### 1.2 REALITY 的核心优势 | 特性 | 说明 | |------|------| | 消除 TLS 指纹 | 消除服务端 TLS 指纹特征,令流量与真实网站无异 | | 前向保密 | 仍保有 TLS 前向保密性,历史流量无法被解密 | | 抗证书链攻击 | 证书链攻击无效,安全性超越常规 TLS | | 无需域名 | 指向他人网站的 SNI,无需自己购买域名或配置 TLS | | 中间人防御 | 即使客户端配置泄露,审查方也无法进行有效中间人攻击 | | SNI 阻断消失 | 据实测,使用 Reality 后 SNI 阻断现象消失 | ### 1.3 使用前提 - 一台可访问的 VPS(无需域名) - 服务端与客户端 **Xray 均需 >= 1.8.0 版本** - 443 端口不被 Nginx、Caddy 等其他程序占用 - **不支持 CDN 代理**(如 Cloudflare 橙云,会终止 TLS 让 Reality 的端到端伪装失效)。CF **灰云(DNS only)** 只做 DNS 解析、不接管流量,等价于直连 VPS,可正常使用 官方 GitHub:https://github.com/XTLS/REALITY --- ## 二、服务端搭建 ### 2.1 安装 Xray 通过官方脚本安装指定版本: ```bash bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install --version 1.8.0 ``` > `--version 1.8.0` 可按需替换为更新版本号。 > 安装完成后,Xray 可执行文件位于 `/usr/local/bin/xray`,配置文件位于 `/usr/local/etc/xray/config.json`。 ### 2.2 生成 UUID UUID 用于客户端身份认证: ```bash cd /usr/local/bin/ ./xray uuid > uuid cat uuid # 查看生成的 UUID ``` ### 2.3 生成 X25519 公私钥对 REALITY 使用非对称密钥替代传统 UUID 认证,安全性更高: ```bash cd /usr/local/bin/ ./xray x25519 > key cat key # 查看生成的公钥(PublicKey)和私钥(PrivateKey) ``` > - **PrivateKey(私钥)**:填入服务端配置,务必保密 > - **PublicKey(公钥)**:填入客户端配置,可多端共享 ### 2.4 编写服务端配置文件 **关键要求:** 回落目标网站(`dest`)必须支持 TLSv1.3,建议使用国外知名大站,本例使用 `www.amazon.com`。 配置文件参数说明: | 参数 | 必填 | 说明 | |------|------|------| | `id` | ✅ | 客户端 UUID,由 `xray uuid` 生成 | | `flow` | ❌ | 使用 TCP 时填 `xtls-rprx-vision`;H2 协议留空 | | `dest` | ✅ | 回落的真实境外网站,格式 `域名:443` | | `serverNames` | ✅ | 客户端可用的 SNI 列表,需与 dest 匹配 | | `privateKey` | ✅ | 服务端私钥(Private key) | | `shortIds` | ✅ | 客户端 ID 列表,十六进制,长度为 2 的倍数,上限 16 位 | | `maxTimeDiff` | ❌ | 允许的最大时间差(ms),`0` 为不限,建议设 10000~60000 | | `show` | ❌ | 是否输出调试信息,默认 `false`,排查问题时改为 `true` | 完整配置示例: ```json { "inbounds": [ { "listen": "0.0.0.0", "port": 443, "protocol": "vless", "settings": { "clients": [ { "id": "94b60beb-a0fd-4aff-9c7c-9a36f74022db", "flow": "xtls-rprx-vision" } ], "decryption": "none" }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "show": false, "dest": "www.amazon.com:443", "xver": 0, "serverNames": [ "amazon.com", "www.amazon.com" ], "privateKey": "UCWnsGnHIqsCgb10JzaL7TaC9pZKJSSax9vW-QbaVkM", "minClientVer": "", "maxClientVer": "", "maxTimeDiff": 0, "shortIds": [ "88", "888888" ] } } } ], "outbounds": [ { "protocol": "freedom", "tag": "direct" }, { "protocol": "blackhole", "tag": "blocked" } ] } ``` ### 2.5 写入配置并启动 **写入配置文件:** ```bash nano /usr/local/etc/xray/config.json # 粘贴上方配置,Ctrl+X 退出,按 Y 确认保存 ``` **服务管理命令:** ```bash service xray start # 启动 Xray service xray stop # 停止 Xray service xray restart # 重启 Xray service xray status # 查看运行状态 ``` ### 2.6 排错方法 若服务启动报错,可将配置中 `"show": false` 改为 `"show": true`,然后手动运行查看详细日志: ```bash /usr/local/bin/xray -c /usr/local/etc/xray/config.json ``` 常见问题排查: - 检查 443 端口是否被其他程序占用:`ss -tlnp | grep 443` - 检查配置文件 JSON 格式是否有误(注释需删除) - 确认 `dest` 目标网站支持 TLSv1.3:`curl -v --tlsv1.3 https://www.amazon.com` --- ## 三、可选:BBR 加速 VPS 到国内线路较差时,可安装 BBR 拥塞控制算法提升 TCP 吞吐量: ```bash wget --no-check-certificate https://github.com/teddysun/across/raw/master/bbr.sh \ && chmod +x bbr.sh \ && ./bbr.sh ``` 安装完成后按提示重启 VPS 即可生效。 --- ## 四、客户端配置 ### 4.1 客户端通用参数 连接服务端时需填写以下关键参数: | 参数 | 说明 | |------|------| | 地址(Address) | VPS 的 IP 地址 | | 端口(Port) | `443` | | 用户 ID | 服务端配置中的 UUID | | 流控(Flow) | `xtls-rprx-vision` | | 加密(Encryption) | `none` | | 传输协议(Network) | `tcp` | | 安全类型(Security) | `reality` | | SNI | 与服务端 `serverNames` 一致,如 `www.amazon.com` | | 公钥(PublicKey) | 服务端生成的 Public key | | ShortId | 服务端 `shortIds` 中的任意一项,如 `88` | | uTLS 指纹(Fingerprint) | 建议填 `chrome` 或 `firefox` | ### 4.2 Windows 客户端(V2rayN) - 下载地址:https://github.com/2dust/v2rayN/releases - 需使用最新版本,确保内置 Xray-Core >= 1.8.0 - 若版本不足,进入「设置」→ 勾选「检查 Pre-Release 版本更新」后更新核心 - 操作路径:「服务器」→「添加 [VLESS] 服务器」→ 按上表填写各参数 ### 4.3 Android 客户端(V2rayNG) - 下载地址:https://github.com/2dust/v2rayNG/releases - 同样需使用支持 Reality 的最新版本 ### 4.4 路由器端(OpenWrt) - 适用于 2023 年 4 月后编译的含 ShadowSocksR Plus+ 的固件 - 在插件设置界面中选择 VLESS 协议,填写对应的 Reality 参数 --- ## 五、安全性深度解析 ### 5.1 为什么使用公私钥而非仅 UUID? 传统方案若使用对称密钥(UUID),攻击者一旦获取客户端配置,即可实施中间人攻击。 REALITY 使用 **X25519 非对称密钥 + TLSv1.3 key_share** 机制: - 即使攻击者获取到客户端公钥,也**无法验证某条连接是否属于 REALITY** - 更无法进行有效的中间人攻击 > REALITY 的设计原则是:**默认假设客户端配置已泄露**,将安全边界收敛至服务端私钥。只要服务端私钥不泄露,流量就是安全的。即使私钥泄露,攻击者也无法直接解密历史流量(前向保密),只能尝试中间人攻击,但中间人需要持有 Reality 私钥才能伪装服务端,这做不到。 建议:**定期更换公私钥对**,公钥可在多个客户端间安全共享。 ### 5.2 如何解决 TLS in TLS 问题? "TLS in TLS" 指内层 TLS 握手特征暴露的问题(即加密套娃特征)。 REALITY 本身就是 TLS,可直接复用 **XTLS Vision** 的成熟解决方案:Vision 会对内层 TLS 握手包进行**填充处理(不加密,直接发送)**,从而消除 TLS 套 TLS 的可识别特征。 此外,HTTP/2 与 gRPC 自带多路复用,也可配合 REALITY 使用,进一步优化网络性能。 --- ## 六、注意事项 - Reality **不支持 CDN 代理**(如 Cloudflare 橙云),请勿将域名套 CDN 代理使用;CF **灰云(DNS only)**仅做 DNS 解析不接管流量,等同直连 VPS,可以用(CF 在链路里只起 DNS 提供商作用) - `dest` 目标网站必须支持 TLSv1.3,建议选用 `www.amazon.com`、`www.microsoft.com` 等国际知名站点 - 服务端 443 端口在使用期间不能被其他程序(Nginx、Caddy 等)占用 - 80 端口无特殊要求 - 技术持续更新,请关注 Xray 官方仓库获取最新版本信息 --- *本文整理自 [bandwh.com](https://www.bandwh.com/net/994.html),如有更新请以原文为准。*