名詞速查表
快速查詢 VPN 代理、中國戶外直播 Bonding、MediaMTX 安全架構與應用層端對端加密 系統的專有名詞、協議、引擎與底層技術。
| 名詞 | 類型 | 說明 |
|---|---|---|
| Xray | 引擎 | 伺服器端代理核心程式,XTLS 團隊開發,VLESS+Reality 最佳實作。 |
| Sing-box | 引擎 | 通用代理工具鏈,SagerNet 團隊開發,客戶端廣泛採用,支援協議最廣。 |
| Hysteria2 官方 | 引擎 | Hysteria2 協議的官方實作(apernet),基於 QUIC,可獨立部署。 |
| WireGuard 官方 | 引擎 | 現代 VPN 協議官方實作,內建於 Linux kernel,因無混淆在中國科學上網不適用。 |
| VLESS | 協議 | 輕量代理協議,無官方獨立引擎,必須搭配 Xray / Sing-box 與 Reality 使用。 |
| Reality | 偽裝技術 | 把流量偽裝成真實 TLS 1.3 網站流量,抗 GFW 主動探測與識別。 |
| Vision | 流量優化 | 搭配 VLESS+Reality 使用的流量優化模式(xtls-rprx-vision),消除內層 TLS 特徵。 |
| Hysteria2 | 協議 / 引擎 | 基於 UDP/QUIC 的高速代理協議,內建 BBR 擁塞控制,適合弱網與推流。 |
| WireGuard | 協議 / 引擎 | 現代 VPN 協議,效能極佳但 UDP 特徵明顯,中國科學上網會被 GFW 秒封。 |
| 3x-ui | 面板 | Xray 的網頁管理介面,支援多用戶、流量統計與 QR Code 生成。 |
| s-ui | 面板 | Sing-box 的網頁管理介面,適合需要使用 Sing-box 特有協議的進階用戶。 |
| Shadowrocket | 客戶端 | iOS 付費科學上網 App,支援 VLESS+Reality、Hysteria2,掃 QR Code 即可連線。 |
| v2rayN | 客戶端 | Windows 免費開源科學上網軟體,支援 Xray/Sing-box 雙引擎與訂閱連結。 |
| Hiddify | 客戶端 | 跨平台免費科學上網 App,底層為 Sing-box,支援 TUN 全局代理。 |
| MPTCP | 技術 / 協議 | Multipath TCP,允許單一 TCP 連線同時使用多條網路路徑(如多張 SIM 卡)。 |
| OpenMPTCProuter | 軟體 | 基於 OpenWrt 的路由器系統,專為多 WAN 頻寬合併(Bonding)與 VPS 聚合設計。 |
| RTMP | 協議 | Real-Time Messaging Protocol,LiveU 與 OBS 常用的直播推流協議,基於 TCP。 |
| CAKE QoS | 技術 | Linux 上的佇列管理演算法,用於解決 Bufferbloat,確保 ACK 封包不被大流量阻塞。 |
| MSS Clamp | 技術 | 強制調整 TCP 最大分段大小(MSS),避免多層封裝導致封包超過 MTU 而被靜默丟棄。 |
| Bonding | 技術 | 頻寬合併技術,將多條獨立網路連線(如 3 張 4G SIM 卡)聚合成單一高頻寬通道。 |
| GFW | 名詞 | Great Firewall(防火長城),中國的網路審查與封鎖系統,會進行 DPI 深度封包檢測。 |
| DPI | 技術 | Deep Packet Inspection(深度封包檢測),GFW 用來識別並封鎖特定協議的技術。 |
| Bufferbloat | 名詞 | 路由器佇列過大導致的延遲飆升現象,會使直播推流的 TCP ACK 延遲,觸發降碼率。 |
| CGNAT | 名詞 | Carrier-Grade NAT,電信商級的 NAT,導致用戶無法取得真實公網 IP,無法做 Port Forwarding。 |
| HOL Blocking | 名詞 | Head-of-Line Blocking,TCP in TCP 架構下,外層 TCP 重傳阻塞內層 ACK 的現象。 |
| MediaMTX | 軟體 | 開源串流媒體伺服器,支援 RTMP / RTSP / SRT / WebRTC 多協議互轉;核心在偵測到設定檔變更時具備熱加載(Hot Reload)能力,更新過程不中斷現有播放中的串流。 |
| SRT | 協議 | Secure Reliable Transport,基於 UDP 的低延遲可靠傳輸協議,內建錯誤修正與加密;握手特徵明顯,容易被 DPI 識別,適合弱網直播推流但不利於科學上網隱蔽。 |
| RTSP | 協議 | Real Time Streaming Protocol,用於控制串流媒體播放的協議,常搭配 GStreamer / VLC 等播放端拉流使用。 |
| Cloudflare Tunnel | 技術 | 透過本地常駐程式(cloudflared)主動建立出站連線,將服務收斂至主機內部的環回網絡介面(Loopback),無需對外開放防火牆通聯埠即可安全暴露到公網。 |
| ECDH | 技術 | Elliptic Curve Diffie-Hellman,橢圓曲線密鑰交換演算法,讓雙方在不安全通道上協商出僅雙方知道的共享密鑰,具備前向安全性(Forward Secrecy)。 |
| P-256 | 名詞 | NIST 定義的橢圓曲線參數集(secp256r1),常搭配 ECDH / ECDSA 使用,兼顧安全性與運算效能,瀏覽器 Web Crypto API 原生支援。 |
| AES-256-GCM | 技術 | 256 位元 AES 對稱加密搭配 GCM 認證模式,同時提供資料機密性與完整性驗證,可偵測封包是否遭竄改。 |
| Web Crypto API | 技術 | 瀏覽器原生加密函式庫,讓前端 JavaScript 可直接執行 ECDH、AES-GCM 等加密運算,無需額外載入第三方加密套件。 |
| 端對端加密 (E2EE) | 技術 | End-to-End Encryption,資料只有發送端與接收端能解密,中間任何節點(含伺服器本身)都無法讀取明文內容。 |
| 零信任 (Zero Trust) | 名詞 | 一種安全模型,預設不信任任何內部或外部節點,每一次存取都必須重新驗證身份與權限,而非僅信任邊界防火牆。 |
| 縱深防禦 (Defense in Depth) | 名詞 | 不依賴單一防線,透過網絡邊界收斂、動態白名單、強認證、自動阻斷等多層獨立機制疊加構建的安全體系,即使單一層被突破仍能持續阻擋攻擊。 |
| IP 白名單 Hot Reload | 技術 | 動態更新防火牆或服務允許連線的 IP 清單,變更後不需重啟服務即可即時生效,降低維運中斷風險。 |
| Fail2Ban | 軟體 | 自動阻斷守護進程,即時審查日誌,偵測到連續認證失敗時直接執行黑名單封鎖,屬於縱深防禦體系中的最後一道自動化防線。 |
| TLS Termination | 技術 | TLS 解密截斷:邊界節點(如 Cloudflare Edge)代理客戶端 HTTPS 連線時,會先將流量解密為明文以進行檢查與轉發,此時邊界節點本身可看見明文內容。 |
| TOFU (Trust On First Use) | 名詞 | 初次信任風險:若客戶端在首次取得伺服器靜態公鑰時遭遇精準中間人攻擊,後續建立的端對端加密鏈路即存在被破解的理論可能。 |