名詞速查表

快速查詢 VPN 代理、中國戶外直播 Bonding、MediaMTX 安全架構與應用層端對端加密 系統的專有名詞、協議、引擎與底層技術。

名詞 類型 說明
Xray 引擎 伺服器端代理核心程式,XTLS 團隊開發,VLESS+Reality 最佳實作。
Sing-box 引擎 通用代理工具鏈,SagerNet 團隊開發,客戶端廣泛採用,支援協議最廣。
Hysteria2 官方 引擎 Hysteria2 協議的官方實作(apernet),基於 QUIC,可獨立部署。
WireGuard 官方 引擎 現代 VPN 協議官方實作,內建於 Linux kernel,因無混淆在中國科學上網不適用。
VLESS 協議 輕量代理協議,無官方獨立引擎,必須搭配 Xray / Sing-box 與 Reality 使用。
Reality 偽裝技術 把流量偽裝成真實 TLS 1.3 網站流量,抗 GFW 主動探測與識別。
Vision 流量優化 搭配 VLESS+Reality 使用的流量優化模式(xtls-rprx-vision),消除內層 TLS 特徵。
Hysteria2 協議 / 引擎 基於 UDP/QUIC 的高速代理協議,內建 BBR 擁塞控制,適合弱網與推流。
WireGuard 協議 / 引擎 現代 VPN 協議,效能極佳但 UDP 特徵明顯,中國科學上網會被 GFW 秒封。
3x-ui 面板 Xray 的網頁管理介面,支援多用戶、流量統計與 QR Code 生成。
s-ui 面板 Sing-box 的網頁管理介面,適合需要使用 Sing-box 特有協議的進階用戶。
Shadowrocket 客戶端 iOS 付費科學上網 App,支援 VLESS+Reality、Hysteria2,掃 QR Code 即可連線。
v2rayN 客戶端 Windows 免費開源科學上網軟體,支援 Xray/Sing-box 雙引擎與訂閱連結。
Hiddify 客戶端 跨平台免費科學上網 App,底層為 Sing-box,支援 TUN 全局代理。
MPTCP 技術 / 協議 Multipath TCP,允許單一 TCP 連線同時使用多條網路路徑(如多張 SIM 卡)。
OpenMPTCProuter 軟體 基於 OpenWrt 的路由器系統,專為多 WAN 頻寬合併(Bonding)與 VPS 聚合設計。
RTMP 協議 Real-Time Messaging Protocol,LiveU 與 OBS 常用的直播推流協議,基於 TCP。
CAKE QoS 技術 Linux 上的佇列管理演算法,用於解決 Bufferbloat,確保 ACK 封包不被大流量阻塞。
MSS Clamp 技術 強制調整 TCP 最大分段大小(MSS),避免多層封裝導致封包超過 MTU 而被靜默丟棄。
Bonding 技術 頻寬合併技術,將多條獨立網路連線(如 3 張 4G SIM 卡)聚合成單一高頻寬通道。
GFW 名詞 Great Firewall(防火長城),中國的網路審查與封鎖系統,會進行 DPI 深度封包檢測。
DPI 技術 Deep Packet Inspection(深度封包檢測),GFW 用來識別並封鎖特定協議的技術。
Bufferbloat 名詞 路由器佇列過大導致的延遲飆升現象,會使直播推流的 TCP ACK 延遲,觸發降碼率。
CGNAT 名詞 Carrier-Grade NAT,電信商級的 NAT,導致用戶無法取得真實公網 IP,無法做 Port Forwarding。
HOL Blocking 名詞 Head-of-Line Blocking,TCP in TCP 架構下,外層 TCP 重傳阻塞內層 ACK 的現象。
MediaMTX 軟體 開源串流媒體伺服器,支援 RTMP / RTSP / SRT / WebRTC 多協議互轉;核心在偵測到設定檔變更時具備熱加載(Hot Reload)能力,更新過程不中斷現有播放中的串流。
SRT 協議 Secure Reliable Transport,基於 UDP 的低延遲可靠傳輸協議,內建錯誤修正與加密;握手特徵明顯,容易被 DPI 識別,適合弱網直播推流但不利於科學上網隱蔽。
RTSP 協議 Real Time Streaming Protocol,用於控制串流媒體播放的協議,常搭配 GStreamer / VLC 等播放端拉流使用。
Cloudflare Tunnel 技術 透過本地常駐程式(cloudflared)主動建立出站連線,將服務收斂至主機內部的環回網絡介面(Loopback),無需對外開放防火牆通聯埠即可安全暴露到公網。
ECDH 技術 Elliptic Curve Diffie-Hellman,橢圓曲線密鑰交換演算法,讓雙方在不安全通道上協商出僅雙方知道的共享密鑰,具備前向安全性(Forward Secrecy)。
P-256 名詞 NIST 定義的橢圓曲線參數集(secp256r1),常搭配 ECDH / ECDSA 使用,兼顧安全性與運算效能,瀏覽器 Web Crypto API 原生支援。
AES-256-GCM 技術 256 位元 AES 對稱加密搭配 GCM 認證模式,同時提供資料機密性與完整性驗證,可偵測封包是否遭竄改。
Web Crypto API 技術 瀏覽器原生加密函式庫,讓前端 JavaScript 可直接執行 ECDH、AES-GCM 等加密運算,無需額外載入第三方加密套件。
端對端加密 (E2EE) 技術 End-to-End Encryption,資料只有發送端與接收端能解密,中間任何節點(含伺服器本身)都無法讀取明文內容。
零信任 (Zero Trust) 名詞 一種安全模型,預設不信任任何內部或外部節點,每一次存取都必須重新驗證身份與權限,而非僅信任邊界防火牆。
縱深防禦 (Defense in Depth) 名詞 不依賴單一防線,透過網絡邊界收斂、動態白名單、強認證、自動阻斷等多層獨立機制疊加構建的安全體系,即使單一層被突破仍能持續阻擋攻擊。
IP 白名單 Hot Reload 技術 動態更新防火牆或服務允許連線的 IP 清單,變更後不需重啟服務即可即時生效,降低維運中斷風險。
Fail2Ban 軟體 自動阻斷守護進程,即時審查日誌,偵測到連續認證失敗時直接執行黑名單封鎖,屬於縱深防禦體系中的最後一道自動化防線。
TLS Termination 技術 TLS 解密截斷:邊界節點(如 Cloudflare Edge)代理客戶端 HTTPS 連線時,會先將流量解密為明文以進行檢查與轉發,此時邊界節點本身可看見明文內容。
TOFU (Trust On First Use) 名詞 初次信任風險:若客戶端在首次取得伺服器靜態公鑰時遭遇精準中間人攻擊,後續建立的端對端加密鏈路即存在被破解的理論可能。