👉 “它们在监控系统眼里长什么样”。
一、先给你一个总览结论
| 协议 | 在 DPI 眼里像什么 |
|---|---|
| REALITY | 「某个真实网站 + 某个真实浏览器」 |
| TUIC | 「正常的 HTTP/3 / QUIC 网站访问」 |
| Hysteria 2 | 「高随机、异常但难以归类的 UDP 流量」 |
一句话总结:
REALITY = 隐身
TUIC = 混在主流里
HY = 硬抗干扰
下面展开说 👇
二、REALITY:DPI 眼里的“完美伪装者”
🔍 DPI 看到的是什么?
-
标准 TLS ClientHello
-
正常的:
- SNI
- ALPN
- Cipher Suites
-
指纹与真实浏览器高度一致
-
访问的域名本身是真实存在的网站
👉 从统计、行为、语义上都“合理”
🧠 DPI 的判断结果
-
看起来就是:
「某个用户在访问某个正常 HTTPS 网站」
-
无法通过协议特征判断
-
主动探测风险极高(可能直接探测到真实网站)
🚨 封锁成本
- 封它 = 误伤真实网站
- 封它 = 误伤真实浏览器指纹
📌 这是目前 DPI 最不愿意碰的一类流量
三、TUIC:DPI 眼里的“QUIC 主流用户”
🔍 DPI 看到的是什么?
-
UDP
-
QUIC 握手
-
行为模式非常接近:
- HTTP/3
- Chrome / Edge 访问网站
但注意一点 👇
它不像 HTTPS 那么“完美”,而是:
「看起来像一个 QUIC 应用,但不一定是网页」
🧠 DPI 的判断结果
- 协议上:合法
- 行为上:偏重度
- 用途上:不完全确定
👉 DPI 会给它打一个标签:
“QUIC 高流量应用”
🚨 封锁成本
-
精准封 TUIC:困难
-
粗暴封 UDP / QUIC:
- 会影响 HTTP/3
- 会影响大量正常网站
📌 所以 TUIC 通常“混在一大堆正常 QUIC 流量里活着”
四、Hysteria 2:DPI 眼里的“异常但不好杀的东西”
🔍 DPI 看到的是什么?
-
UDP
-
高度随机化的数据包
-
包大小、发送间隔变化大
-
不像:
- TLS
- QUIC
- HTTP
- 任何主流应用
👉 在 DPI 眼里,它更像:
「某种自定义 UDP 协议」
🧠 DPI 的判断结果
-
识别为“异常流量”的概率很高
-
但:
- 没有稳定指纹
- 不好写规则精准识别
-
更像是:
游戏加速器 / P2P / 专有实时协议
🚨 封锁成本
-
精准封:难(变化太多)
-
粗暴封 UDP:
- 影响游戏、视频会议、实时通信
-
更常见的对策是:
- 限速
- 丢包
- 抖动
📌 HY 的策略不是“不被发现”,而是“发现了也不好处理”
五、把三者放在一起对比(核心差异)
| 维度 | REALITY | TUIC | Hysteria 2 |
|---|---|---|---|
| 是否像 HTTPS | ⭐⭐⭐⭐⭐ | ⭐⭐ | ❌ |
| 是否像主流应用 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐ |
| 是否异常 | ❌ | ⚠️ | ⭐⭐⭐⭐ |
| DPI 误伤风险 | 极高 | 高 | 中 |
| 对抗思路 | 隐身 | 混入 | 硬抗 |
六、非常重要的一句话(很多人没意识到)
DPI 不怕“加密”,怕的是“封不掉还会误伤”。
- REALITY → 不敢动
- TUIC → 不好动
- HY → 动了也不一定有用
这三者走的是完全不同的生存路线。