Contents
1 当稳定开始变得需要维护
写下这篇文章的直接原因,是我长期依赖的一个跨境中转服务提供商(在我心目中一直认为技术上是最专业的)在最近终于倒下了,导致原本稳定运行多年的访问架构瞬间失效。这一变化迫使我重新审视整套跨境访问方案的可靠性与可持续性,也让我逐渐意识到,真正发生动摇的,或许并不是某一个具体方案,而是整个博弈位置本身,正在发生结构性的变化。
说到访问外网这个问题,我也算经历了从放开到收紧的整个过程。国内互联网刚刚成形的那些年,“外网”并不是一个需要被反复讨论的话题。对很多人来说,访问国外网站和访问国内网站的差别,更多体现在速度和体验上,而不是“能不能打开”。那时的 Google、一些技术社区、国外媒体网站,基本都在书签里安安静静地躺着,用的时候点开就是了,很少有人会意识到这是一种“阶段性状态”。
变化并不是突然发生的,而是缓慢而持续的。最早的感受,并不是“被挡住了”,而是“不太稳定了”——某些时段可以访问,某些时段明显变慢,偶尔刷新几次还能成功。再往后,一些网站开始出现长期不可达的情况,“今天能不能打开”变成了一种需要试一试才知道的结果。
也是从那个阶段开始,需要跨境访问外网的个人用户开始意识到:原来保持外网访问,本身可能需要额外付出成本。
这些个人用户最初接触到的,多半还是传统意义上的 VPN,一部分爱折腾的人甚至会在路由器上动手脚,比如我那是就是刷 DD-WRT固件后通过配置VPN来实现的。当然,那时候的体验谈不上好:配置复杂、稳定性一般,出问题也很难判断是网络、设备,还是服务本身的问题。但在当时,它至少提供了一种“还能连出去”的方法。
随着使用的人越来越多,需求逐渐变得明确,方案也开始演进。后来出现的一些更轻量的工具,很快取代了早期笨重的方式。以 Shadowsocks 为代表的一类方案,在相当长的一段时间里,几乎成了个人用户的默认选择。它不再强调对整个网络环境的彻底接管,而是更偏向实用主义:够用、稳定、成本可控。
那也是很多人第一次产生一种错觉——仿佛这件事已经“解决了”。装好之后,很长时间都不用再管,连接是稳定的,体验是连贯的,访问外网重新变成了一种日常行为,而不是需要刻意折腾的技术问题。
但这种稳定并没有一直持续下去。再往后,变化开始重新显现:连接成功率下降、可用周期缩短,原本可以长期使用的方案,逐渐变成需要频繁调整和迁移的临时状态。到这个阶段,问题已经不再只是“选哪个工具”,而是让人隐约感觉到——这套逻辑本身,似乎正在失去支撑。
当时我还很难用一句话说清楚到底发生了什么,只是明显感觉到那条熟悉的路径正在变得越来越不可持续。可在没有其他参照系的情况下,又只能沿着原有思路继续向前,反复寻找一个“看起来更好一点”的方案。
2 稳定为何会成为一种错觉
在那段相对稳定的时期,很多人其实并没有意识到自己正处在一个特殊的窗口期。连接是可靠的,体验是连贯的,外网访问重新退回到“背景设施”的位置——它存在,但不需要被频繁思考。
这种状态很容易让人产生一种直觉判断:问题已经被解决了——至少在个人层面上,它不再显得紧迫,也不再值得投入额外精力。只要方案还能用,就没有理由去关心它为什么能用。但事后回看,这种“稳定感”本身,反而是一个值得警惕的信号。
稳定并不是突然消失的,而是先失去了可预测性。最早出现变化的,并不是彻底不可用,而是成功率开始变得不那么可靠——同样的环境、同样的使用方式,有时顺畅,有时却毫无征兆地失败。随后,方案的可用周期明显缩短,原本可以长期维持的状态,逐渐演变为需要定期调整、迁移,甚至整体替换的过程。
到这个阶段,技术本身已经不再是最大的变量。真正发生变化的,是个人与系统(文中‘系统’用来指代网络评估与管控机制)之间的相对位置。
你会发现,无论采用哪一类方案,它们的表现都呈现出一种高度一致的轨迹:初期可用,中期稳定,随后进入衰减期。不同方案之间的差异,更多体现在“衰减来得早还是晚”,而不是“是否会衰减”。
这时候,一个原本被忽略的问题开始浮现出来——如果每一代方案最终都会走向同样的结局,那么问题真的出在技术本身吗?
当你需要不断投入时间去维持一种“原本应当稳定的状态”时,这件事就已经不再是单纯的技术选择,而是一种持续性的博弈。对个人用户来说,这种博弈的成本,并不只是金钱,还包括精力、判断力,以及对未来不确定性的承受能力。
也是在这个过程中,我逐渐意识到:与其反复比较哪种方案“更先进”、“更隐蔽”,不如换一个角度去看——这些方案,究竟被放在了”与系统博弈”的哪一个位置上。
当问题开始从“我还能不能连上”,转变为“我需要付出多少额外代价才能维持这种连接”,答案本身其实已经在发生变化。真正值得思考的,不再是下一种技术会不会更好,而是:个人用户在这场博弈中,究竟还有多少可持续的空间。
也正是从这里开始,我尝试用一种更抽象的方式重新理解这个问题——不再纠结具体方案,而是去观察它们所处的博弈层级,以及这些层级本身,正在如何发生变化。
3 博弈是如何一层层上移的
3.1 从连接到主体:三层博弈模型
如果只看表面,过去十几年的变化很容易被理解为一轮又一轮的“技术升级”:一种方案逐渐失效,另一种方案出现,看起来就像工具在不断更新换代。但拉长时间线来看,这种解释就显得不足。
真正发生变化的,并不是某项技术突然变得聪明或脆弱,而是系统判断“异常”的位置在不断上移。判断的焦点不再局限于“这一条连接像不像正常流量”,而是扩展到“某个承载主体在时间维度上是否持续承担异常用途”。换句话说,过去十多年的演进,本质上不是“协议失效越来越快”,而是三层博弈中的重心在不断上移。
为了让读者更直观地理解这一层级关系,下面用一个简单的示意图来表示三层博弈模型:

有了三层博弈模型的整体视角,我们可以逐层深入,看看每一层的博弈特点和变化轨迹。
3.2 协议层博弈:当判断标准是“像不像”
最早的阶段,科学博弈几乎全部发生在协议层。无论是早期的传统 VPN,如 IPsec、PPTP、Openvpn、SSH Tunnel,还是后来以 Shadowsocks、SSR 为代表的一系列方案,核心目标都高度一致:让跨境通信在形式上看起来不像一条“特殊通道”。
在这一时期,个人用户跨境通信的结构本身非常直接——用户侧与境外服务节点一对一建立连接。只要系统尚未封堵该境外节点,个人用户就可以通过它完成几乎所有跨境访问需求。
也正因为结构足够简单,系统对“是否异常”的判断,几乎完全聚焦于这条连接本身:协议形态是否过于固定;握手流程是否具备明显指纹;加密后数据分布是否偏离常见应用;流量节奏是否与主流业务存在显著差异。一旦这些特征在统计意义上显得不够“自然”,整条通信就很容易被单独识别出来。
这一阶段的识别逻辑,本质上是规则驱动的:只要能够避开这些已知、明确的规则,就很难被直接命中。这也是为什么,Shadowsocks 这一类协议,曾经可以在相当长的一段时间内稳定使用,甚至以“年”为单位计算生命周期。
一个许多早期用户都有过的直观体验是:只要更换一种“看起来更自然”的协议,原本无法建立的连接,往往就能重新变得顺畅。 这种体验,正是协议层博弈有效性的真实写照——判断标准关注的,是“像不像”,而不是“是谁在用”。
但协议层博弈存在一个无法回避的上限——只要特征是稳定存在的,就一定可以被总结出来。 当识别方式不再主要依赖人工维护的规则,而是开始借助统计方法和模型,从大量样本中提取“异常模式”时,判断逻辑便发生了根本变化。
换一种更容易理解的说法:早期更像是在“查规则”,而后期则是在问——在大量正常通信中,哪一小撮行为显得不那么自然。即便单次连接在形式上完全合理,只要它在时间分布、连接节奏、数据交换比例等维度上,长期呈现出稳定却罕见的模式。
到这一步,协议层“伪装得像不像”,已经不再是决定性因素。也因此,任何在直连结构下,依赖协议伪装来完成跨境通信的方式,都不可避免地会触及协议层博弈的上限。
最终的结果,自然是境外服务节点被识别并封堵。
除了 Shadowsocks/SSR/Trojan,像 reality 这样的方案目的也是提供不同的协议特征组合尝试,目的都是试图通过改变通信形式,降低被规则化识别的风险。不过,它们的命运最终是相同的,因为:单靠协议本身,无法决定长期生存能力。
3.3 路径层博弈:把异常埋进更大的结构里
当协议层的博弈空间逐渐被压缩时,个人用户跨境通信的“科学”解决方案也随之发生变化——变化并不体现在“换一个更新的协议”,而是整个连接结构开始被重新设计。博弈的重心,开始从协议层向上转移,进入路径层。
在前一阶段,跨境通信的形态其实非常直白:客户端直接连接境外节点。协议既是通信方式,也是系统主要的评估对象;一旦这种通信形式在统计意义上显得不够自然,就很容易受到限制。
而进入路径层之后,博弈的关注点明显上移——解决方案不再执着于让单条连接“像不像正常流量”,而是尝试把跨境行为嵌入到更大的网络结构中。最典型的变化,便是引入中转节点:例如个人用户可将国内大型云供应商的 VPS 作为跨境流量的发起点,发起跨境访问时,先将需要跨境的流量发送至 VPS(这一段是国内访问),再由该节点转发至境外服务节点。
通过拆分入口与出口,原本“一眼就能看清”的家宽直连跨境行为,被分散成多段(家宽–>国内VPS,国内VPS–>境外服务节点,甚至是国内VPS1–>国内VPS2–>…..–>境外服务节点)看起来更合理的链路。
在这种结构下,相比家宽直接发起跨境连接,经由 VPS 中转的流量更接近云服务的常见使用模式,也因此显得更常规、更不容易被单独拎出来审视(以前系统对云供应商VPS发起的跨境访问的容忍度比家宽用户直接发起的高多了)。
我当时试过用国内 VPS 做跳板再连接境外自建网站,结果是,这条线路比家宽直连节点更稳定:即便原直连节点频繁失败,这条中转线路还能维持数天不掉线。这让我第一次直观感受到,跨境连接的可持续性,不仅取决于协议本身,还取决于你把它嵌入到怎样的网络结构里。
需要强调的是,这一阶段并不意味着直连模式时依赖的”协议”本身失去了作用。相反,原本用于直连境外节点的那些协议,并没有消失,而是被“下沉”到了连接国内中转入口这一段,成为了整个通信结构里的一个组成部分。
路径层方案之所以能够在相当长一段时间内存活,并不在于技术有多么“先进”,而在于它触及了系统必须考虑的一个现实约束——误伤成本。当跨境流量只是大型网络结构中的一部分时,简单地切断某一节点或某一链路,可能会影响大量本应被允许的正常业务(云供应商本来就有很多正常的跨境流量)。正因如此,这类方案在实践中,比单纯依赖协议伪装的直连方式,拥有更大的生存空间(后来被广泛使用的中转机场,本质上正是这一思路的具体体现。)。
在这一思路下,也逐渐出现了一些更加“非直连化”的实践方式:跨境通信不再以“访问某个境外服务”为显性目标,而是被嵌入到更通用、更难区分用途的网络结构中。例如,借助国际大型内容分发网络(CDN)或代理型基础设施,将真实的通信出口隐藏在高度通用、被广泛使用的服务背后。在这种模式下,跨境行为几乎不再呈现为一个具有明确指向的“独立对象”,而更像是某种合理的网络服务的一部分。
这里不得不提一个特殊的例子——WARP。在相当长的一段时间里(当然现在已经挂了),WARP 承载了大量个人跨境流量,但它并不只是一个单纯的 VPN 工具。它的通信被嵌入到 Cloudflare(全球知名的域名解析、CDN服务、安全服务供应商) 广泛使用的基础设施中,与大量正常流量混杂,使得单独识别其跨境行为几乎不可能。对于系统来说,这类流量既普遍又合理——它既不显眼,也难以用传统规则进行区分。
这种模式恰好体现了路径层博弈的极致策略:不是靠技术本身去“隐藏”,而是通过将行为融入大规模、被认可的网络结构中,从根本上降低被识别的风险。在个人体验上,这意味着使用者无需频繁切换协议或节点,连接更加稳定,生命周期也更长;而对于系统评估者来说,判断难度则被大幅提高。
只要这些基础设施本身仍然承载着大量正常、不可替代的业务,路径层方案就依然具备现实意义上的生存空间。
不过,很多朋友也应该已经注意到:即便协议层仍在不断更新,从 SS、SSR、Trojan、VLESS 到 SS2022,路径层所承受的压力也在持续增加。例如,中转机场国内入口的可用周期,从过去可以按“月”、”季度”来计算,逐渐缩短到最近需要频繁更换(“周”甚至”天”)的程度,并不是因为协议突然“不够隐蔽”,而是因为路径层本身的博弈空间,也正在被快速压缩。
当越来越多的跨境行为长期、稳定地依附在同一类入口结构之上,系统所面对的判断问题,已经不再只是“这条路径是否异常”,而是开始指向更高层次的评估对象。这一变化,也正是下一阶段博弈得以出现的前提。
3.4 从路径到主体:当评估对象不再只是基于“链路”
当路径层方案被大量、长期、稳定地使用之后,系统的关注重点开始再次发生变化。
一开始,被判断的是“这条路径是否异常”;但当越来越多的跨境行为被成功嵌入到合理的网络结构中,单纯从路径本身入手,已经很难再区分异常与正常。于是,系统判断视角开始上移——不再只看路径像不像正常流量,而是开始关注:是哪些主体,在持续地使用这些路径(需要说明的是,在这一阶段,被评估的对象并不是具体的个人用户,而是那些提供接入能力的主体。例如,长期集中使用境内资源、对国内提供稳定跨境入口的节点、网络环境或基础设施使用者(比如大家耳熟的”中转”服务提供者)。
系统开始在时间维度上观察这些主体的整体行为:它们是否长期承载高度同质化的跨境流量;使用模式是否过于集中、稳定,却又难以用常见业务逻辑解释;是否呈现出明显“服务于特定用途”的统计特征;以及,这样的使用方式,是否还能被合理归类为某种可接受的基础设施使用形态。
当判断对象从“单次连接”转移到“持续存在的行为主体”时,前两层博弈的意义便开始迅速下降。
一个典型的误区,是仍然试图通过构造“代理链”,来延续路径层的博弈空间。例如,在上一节中提到的做法:将国内 VPS 作为代理链的第一跳,家宽跨境流量先发送至 VPS,再由该节点发起跨境连接,试图以此降低直接暴露的风险。
但在主体层的视角下,这种结构中的 VPS 并未真正起到掩饰家宽用户的作用。相反,国内 VPS 本身反而成为一个身份清晰、用途单一、行为高度集中,且误伤成本极低的主体。系统也不再需要分析某一条具体链路是否“像不像正常流量”,而只需回答一个更简单的问题:这个 VPS,在时间维度上,是否被稳定地用于提供特定用途的跨境接入能力。
在这种判断逻辑下,无论代理链的下一跳是中转机场入口,还是自控的境外节点,都无法从根本上改变结论——路径被拆分了,但主体并未发生变化。
因此,在主体层的博弈中,国内 VPS 作为代理链入口,已经不一定比家宽直连具备更高的结构优势了。
在这个阶段,协议是否先进,已经不再是决定性因素;是否引入中转,也不再构成充分条件。真正被评估的,是作为入口提供者,其整体行为在时间维度上的可解释性。
这也正是近年来一个非常典型、但又容易被误解的现象的根源:协议并没有“全面失效”(至少现在还剩了个SS2022~~),但中转机场所依赖的入口资源,却在被更加快速的消耗。
入口生命周期的急剧缩短,并不是因为技术突然“不够隐蔽”,而是因为这些入口在长期运行中,已经呈现出足够清晰、足够集中的行为特征,使其能够被系统稳定识别和归类。
问题因此发生了根本性的变化——它不再是“这条连接像不像正常流量”,而是变成了:这一类持续存在的接入行为,是否还能被视为一种合理、可接受的基础设施使用方式?
当博弈走到这一层时,个人用户并不是直接的评估对象,但也不可避免地受到影响——因为一旦入口侧被重新定义,所有依附其上的使用者,都会被一并纳入结果之中。
3.5 一个清晰,但不乐观的轨迹
回望过去十几年,整个过程并非杂乱,也不是某代技术简单取代另一代。更准确地说,它呈现出一条清晰且高度一致的轨迹——判断标准在不断上移,从最底层的单次协议识别,到路径层的长期流量评估,再到主体层的行为整体认定。
最初,博弈集中在协议层,关注的是“能不能连上”。在那时,只要通信形式足够隐蔽,单次连接不显异常,问题似乎就可以被解决。随后,判断开始上移到路径层,重点不再只是单条连接,而是观察流量在网络中长期经过的路径,以及跨境行为如何嵌入更复杂的结构。通过引入中转、拆分入口与出口,可以延缓被发现的时间,换取一段相对稳定的窗口期。
当博弈进一步上移到主体层,性质发生根本变化。系统不再只是问“像不像正常流量”,也不再只是观察“从哪里走”,而是开始评估:这种持续存在的接入行为,是否本身就被允许长期存在。在这一层,任何单纯依赖技术复杂度的策略,其边际收益都在迅速下降。即便协议不断更新,路径不断重构,如果整体行为足够清晰、集中,结局通常只是时间问题。
更值得注意的是,这条轨迹不仅仅是技术层面的演进,更反映了系统判断逻辑的演化趋势:随着判断重点上移,个体操作空间逐渐收窄,系统对“合理性”和“可解释性”的要求越来越高。换句话说,个人用户的策略选择,越来越受限于行为模式的整体认知,而不仅仅是协议或路径本身。
因此,真正值得思考的,并不再是技术还能走多远,而是:在判断标准不断上移的系统博弈中,个人用户究竟还剩下多少可持续空间,以及如何在有限空间内做出合理决策。理解这一点,本身就是一种能力——它让我们能够更清晰地识别边界,合理规划资源与投入,避免陷入无休止的短期调整和追逐。
4 当白名单成为常态:个人能力的边界正在被重新定义
回顾前几章,我们看到协议层、路径层和主体层的博弈轨迹清晰可见,每一次变化都不是孤立的技术升级,而是系统判断位置不断上移的必然结果。到现在,整个生态的逻辑已经发生根本转变:不再是单次连接是否异常,也不再是路径能否隐藏,而是某类行为是否能够被允许长期存在。
白名单机制的普及,就是是这一趋势的外在体现。
很多人一听到“白名单”,会下意识理解为有一份明确的清单,写着谁能访问谁不能访问。但现实中的白名单,往往并不以这种形式存在。它更像是一种默认规则的反转:不再是“所有连接都可以,只拦异常”,而是逐渐变成——只有被长期识别为“合理存在”的行为模式,才被默认放行。在这种模式下,是否“像不像正常流量”的重要性下降,而是否“属于某种被接受的角色”,权重上升。你不一定会看到明确的禁止提示,但会明显感觉到:某些能力正在自然地变得难以维持、难以长期稳定存在。
需要特别强调的是,白名单机制的真正对象并不是个人用户。系统评估的始终是可被归类、可被解释的行为主体,例如企业网络、跨境业务系统、国际化服务或大型基础设施调用者。这些主体之所以“被允许长期存在”,并不是因为它们技术更隐蔽,而是因为它们的存在符合系统所理解的“合理用途”。而个人用户恰恰处在一个非常尴尬的位置:技术上可能具备能力,但在角色层面却缺乏一个可以被长期认可的身份解释。这也解释了为什么,当博弈进入主体层之后,个人几乎不再是直接对抗的一方,却仍然不断受到波及。
技术并没有消失,也没有停止进化。协议仍在更新,路径仍在变化,工具仍在发展。只是它们所能决定的事情,已经发生了改变。在早期阶段,技术决定的是能不能连上;在中期阶段,技术影响的是能维持多久。而当白名单逻辑逐渐成形之后,技术更多只是决定你会以多“平滑”的方式被纳入或排除,但很难再决定“是否被允许长期存在”这个核心问题。这个转变,本身并不戏剧化,却非常彻底。
对于高度依赖跨境通信的使用者来说,这一变化的影响尤其明显。入口资源的生命周期变得极短,维护成本快速上升。任何依赖短期技术优势的尝试,都难以从根本上改变这一态势。系统的判断逻辑已超越了技术本身,转向对长期行为、集中模式和基础设施使用结构的整体评估。这不仅让过去有效的路径层方案持续受到压力,也让主体层的博弈空间被进一步压缩。换句话说,技术复杂度的继续堆叠,已无法显著改变个人用户的边界。真正的核心变量,是用户所处的系统位置。
如果必须用一句话概括未来趋势,结果可能并不令人愉快:个人用户不会被单独针对,但个人身份本身正在逐渐失去承载长期跨境能力的结构位置。这并不是某一方案的问题,也不是某一次技术升级的结果,而是一个持续多年、位置不断上移之后几乎必然出现的结论。当系统越来越习惯用“角色”和“主体”来理解世界时,个人恰恰是最难被归类、也最难被长期容纳的那一类对象。
在这场长期博弈中,我们无法左右系统规则,也无法改变判断逻辑,但可以选择如何分配自己的精力和投入。识别局限、承认不确定性、合理安排策略——这是个人能够在不确定环境中保持可持续性的唯一手段。技术会继续迭代,路径会继续变化,而真正属于你的,永远是对自身行为和选择的掌控。