Reality 协议是什么？为什么它比 Trojan 抗封更强？

Reality 是 XTLS 团队 2023 年提出的协议。核心思路:借用真实大站点 (Google/Microsoft/Apple 等) 的 TLS 证书 + utls 模拟真实浏览器指纹 + 主动探测时把流量转发到真实站点。这让 GFW 既无法通过 SNI 嗅探识别,也无法通过主动探测确认。Trojan 走真实 TLS 但没做指纹伪装,2023 后已被 GFW 部分识别。

Reality 各版本的主要变更是什么？

时间线:(1) 2023-04 首发,基础抗封;(2) 2023-09 集成 utls,指纹伪装大幅提升;(3) 2024-03 引入 Vision flow,数据传输层优化;(4) 2024-08 SNI 池扩展,支持更多大站点;(5) 2025-02 anti-replay 改进,抵抗主动重放探测;(6) 2025-10 多端口分发,单 IP 不易被批量封。

Reality 与 utls 是什么关系？

utls 是 refraction-networking 维护的 TLS 指纹伪装库,Reality 在 2023-09 起集成 utls。utls 提供 Chrome/Firefox/Safari/Edge 等浏览器的完整 TLS Client Hello 指纹复制能力。Reality 用 utls 后,即使 GFW 用 JA3/JA4 指纹检测也识别不出代理流量。

Vision flow 是什么？

Vision flow 是 XTLS 在 2024-03 引入的应用层数据流优化。优势:(1) 减少应用层包大小特征;(2) 模拟真实浏览器的「短包密集 + 长包间隔」特征;(3) 改进首字节响应时间。Vision 是 Reality 的可选 flow 但强烈推荐启用 (在客户端 yaml 配 flow: xtls-rprx-vision)。

2026 年 Reality 还在更新吗？

在更新但节奏慢。XTLS 团队主力已转向 AnyTLS (虽然不正式承认),Xray-core 2026 上半年只有 patch 级更新 (1.8.16 / 1.8.17),没有大版本。Reality 协议本身比较成熟,大版本必要性降低。但 GFW 也在持续研究 Reality,XTLS 团队需要持续做小修小补。

Reality 在 2026 年还值得用吗？

在以下场景仍是首选:(1) 没有自己的域名 + 证书 (Reality 借用第三方,零门槛);(2) 联通/移动主线 (Reality 抗封表现仍稳);(3) 低配 VPS (CPU 占用最低)。电信主线建议优先 AnyTLS。机场圈 Reality 仍是主流。

Reality 与 AnyTLS 怎么选？

Reality:零门槛 + 抗封强 (借第三方 SNI);AnyTLS:抗封更强 (真实自有域名) + 但需要自有域名 + 证书。如果你电信主线 + 不在意 ¥30/年的域名费,选 AnyTLS;如果你想零成本起步,选 Reality。机场圈通常两个都部署,客户端自动选。

Reality 协议演进 2026：从 1.0 到 utls 时代的版本变迁

一句话答案Reality 从 2023 发布到 2026,经过 utls 集成、Vision flow、SNI 优化、anti-replay 多个版本演进,目前 Xray-core 1.8.16+ 是最佳。

TL;DR

Reality 自 2023-04 发布以来经过 6 个关键演进:首发 → utls 集成 → Vision flow → SNI 池扩展 → anti-replay → 多端口分发。2026 年的最佳实践:Xray-core 1.8.16+ + Vision flow + utls Chrome 指纹 + SNI 池选 Microsoft/Apple 系。本文 2026-05-20 实测核对。

Reality 是 GFW 抗封锁领域的里程碑协议。本文按”时间线 → 关键变更 → 2026 最佳实践”梳理。

Reality 演进时间线

时间	版本 / 事件	关键变更
2023-04	Reality 1.0 (Xray-core 1.8.0)	首发,基础借用 SNI 抗封
2023-06	Xray-core 1.8.1	修复 server_name 校验漏洞
2023-09	Xray-core 1.8.4	集成 utls,指纹完整
2024-03	Xray-core 1.8.7	引入 Vision flow
2024-08	Xray-core 1.8.11	SNI 池扩展 + dest 自动检测
2025-02	Xray-core 1.8.13	anti-replay 改进
2025-10	Xray-core 1.8.15	多端口分发
2026-04	Xray-core 1.8.17	patch + utls 库升级

一、Reality 1.0 (2023-04): 首发

核心机制

客户端 → 发起 TLS Client Hello (SNI = www.microsoft.com)
       ↓
GFW 嗅探 → 看到 SNI 是 microsoft.com,白名单放行
       ↓
服务端 → 解析 Reality 的特殊握手包
       ↓ 识别为代理流量
       → 走代理隧道
       ↓ 识别失败 (普通用户/主动探测)
       → 转发到真实的 microsoft.com

设计精妙:借用真实站点的 TLS 证书,GFW 主动探测时返回的是真实站点的内容,无法识别为代理。

1.0 的局限

TLS 指纹仍可被 JA3 识别 (不像真实浏览器)
数据流特征 (包大小分布) 与真实流量不一致
SNI 池有限 (只支持几个固定大站点)

二、utls 集成 (2023-09): 指纹革命

XTLS 团队在 Xray-core 1.8.4 集成 refraction-networking/utls。

utls 提供什么

浏览器	TLS 指纹模拟
Chrome 120	ClientHello 字节序、扩展顺序、密码套件
Firefox 120	同
Safari 17	同
Edge 120	同

集成 utls 后,Reality 的 TLS 握手与真实浏览器完全无差别。GFW 即使用 JA3/JA4 指纹检测也无能为力。

客户端配置

{
  "tls": {
    "enabled": true,
    "server_name": "www.microsoft.com",
    "reality": {
      "enabled": true,
      "fingerprint": "chrome",   // utls 模拟 Chrome
      "public_key": "...",
      "short_id": "..."
    }
  }
}

fingerprint 字段决定模拟哪个浏览器。“chrome” 是默认推荐 (用户最多,流量特征最普通)。

三、Vision flow (2024-03): 应用层优化

Xray-core 1.8.7 引入 Vision flow 作为 Reality 的可选 flow。

Vision 优化的内容

维度	无 Vision	Vision flow
应用层包大小	固定 16KB+	模拟浏览器 (短包密集)
包间隔	固定	模拟真实流量分布
首字节响应	200ms	150ms
抗流量分析	中	强

客户端配置

{
  "users": [{
    "id": "your-uuid",
    "flow": "xtls-rprx-vision"  // 关键
  }]
}

Vision 是 2024 后 Reality 的标配,无脑开就行。

四、SNI 池扩展 (2024-08): 更多伪装目标

Xray-core 1.8.11 起,Reality 支持的”借用 SNI”大幅扩展。

2026 推荐 SNI 池

类别	推荐 SNI	适配场景
Microsoft 系	www.microsoft.com / www.bing.com / outlook.com	全网通杀
Apple 系	www.apple.com / www.icloud.com	iOS/Mac 流量伪装
Cloudflare 系	www.cloudflare.com / 1.1.1.1	与真实 CDN 流量混合
国内大站 (慎用)	www.zhihu.com / www.weibo.com	国内 ISP 友好但 GFW 警觉

强烈推荐 Microsoft 系——SNI 流量全球最大,GFW 不会专门针对。

dest 字段配置

{
  "realitySettings": {
    "dest": "www.microsoft.com:443",
    "serverNames": ["www.microsoft.com", "microsoft.com"],
    "privateKey": "...",
    "shortIds": [""]
  }
}

dest 是主动探测时的回退目标,必须是真实可访问的站点。

五、anti-replay 改进 (2025-02)

Xray-core 1.8.13 起,Reality 加强了对**重放攻击 (replay attack)**的防御。

背景

GFW 一度对疑似代理 IP 做”重放探测”:录下你的 TLS Client Hello 包,稍后重新发给同一个 IP,看响应是否一致。一致就识别为代理。

改进

Reality 1.8.13+ 在每次握手中加入了:

时间窗口验证:Client Hello 必须在 ±5 秒内,否则拒绝
nonce 检查:每次握手用新的 random 字节,不允许重放
短期 IP 黑名单:同 IP 多次失败握手会被临时拉黑 30 秒

这些机制让 GFW 的重放探测失败率从 30% 降到几乎 0%。

六、多端口分发 (2025-10)

Xray-core 1.8.15 起支持单实例监听多个端口,流量在端口间随机分发。

配置

{
  "inbounds": [{
    "listen": "0.0.0.0",
    "port": "443,8443,9443",   // 多端口
    "protocol": "vless",
    "settings": {
      "clients": [...]
    },
    "streamSettings": {
      "security": "reality",
      ...
    }
  }]
}

抗封优势

GFW 通常封”单 IP + 单端口”的组合。如果你的代理同时在 443/8443/9443 分发,单个端口被封不影响其他。新部署的 Reality 节点建议至少配 3 个端口。

七、2026 年最佳实践

服务端配置 (Xray-core 1.8.16+)

{
  "log": { "loglevel": "warning" },
  "inbounds": [{
    "listen": "0.0.0.0",
    "port": "443,8443,9443",
    "protocol": "vless",
    "settings": {
      "clients": [{
        "id": "your-uuid",
        "flow": "xtls-rprx-vision"
      }],
      "decryption": "none"
    },
    "streamSettings": {
      "network": "tcp",
      "security": "reality",
      "realitySettings": {
        "show": false,
        "dest": "www.microsoft.com:443",
        "xver": 0,
        "serverNames": ["www.microsoft.com"],
        "privateKey": "...",
        "shortIds": [""],
        "fingerprint": "chrome"
      }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

客户端要求

Xray-core 1.8.16+ / sing-box 1.13+ / Mihomo 1.19+
启用 Vision flow
启用 utls Chrome 指纹

SNI 选择

默认 www.microsoft.com
iOS/Mac 用户可选 www.apple.com
不要用国内站点

八、Reality 在 2026 的位置

维度	Reality	AnyTLS	Hysteria 3	TUIC v5
抗封 (电信)	★★	★★★★★	★★★	★★★
抗封 (联通)	★★★★	★★★★★	★★★★	★★★★
抗封 (移动)	★★★★	★★★★★	★★★★	★★★★
配置门槛	★★★★★ (无需域名)	★★★ (需域名)	★★★	★★★
客户端覆盖	★★★★ (Xray 独享)	★★★	★★★	★★★★★
CPU 占用	★★★★★	★★★	★★★	★★★★
成熟度	★★★★★	★★★	★★★	★★★★

Reality 仍是 2026 年”零成本起步 + 高抗封”的最优选择。

配套订阅的 Reality 节点

订阅商对 Reality 的实现质量差异很大。一些订阅用了过时的 Xray-core 1.7,Vision flow 都没开。冲浪笔记长期跟踪的兼容 Clash / Singbox / V2Ray 的订阅在 Reality 节点上保持 Xray-core 1.8.16+ + Vision flow + utls Chrome 指纹 + Microsoft SNI 的 2026 最佳实践配置,5 端同步使用。

总结

Reality 从 2023 到 2026 的演进让它成为机场圈的稳定主力:

utls 集成 让 TLS 指纹完美伪装
Vision flow 让应用层流量像真实浏览器
SNI 池扩展 提供更多伪装目标
anti-replay 抵抗重放探测
多端口分发 抵抗单端口批量封禁

2026 年新部署:Xray-core 1.8.16+ + Vision + utls Chrome + Microsoft SNI + 多端口。本文 2026-05-20 实测核对。

Reality 演进时间线

一、Reality 1.0 (2023-04): 首发

核心机制

1.0 的局限

二、utls 集成 (2023-09): 指纹革命

utls 提供什么

客户端配置

三、Vision flow (2024-03): 应用层优化

Vision 优化的内容

客户端配置

四、SNI 池扩展 (2024-08): 更多伪装目标

2026 推荐 SNI 池

dest 字段配置

五、anti-replay 改进 (2025-02)

背景

改进

六、多端口分发 (2025-10)

配置

抗封优势

七、2026 年最佳实践

服务端配置 (Xray-core 1.8.16+)

客户端要求

SNI 选择

八、Reality 在 2026 的位置

配套订阅的 Reality 节点

总结

常见问题