知识库
MD 状态:评估中 更新:2026/5/13
工具库 Go 代理工具 网络工具 ⭐⭐⭐⭐

Hysteria

基于定制 QUIC 协议的高性能、抗审查代理工具,伪装为标准 HTTP/3 流量。

🎯 为什么需要它

传统代理(如 V2Ray/Clash)基于 TCP,在高丢包、高延迟的网络环境下性能急剧下降。Hysteria 基于 QUIC(UDP),通过自定义的 Brutal 拥塞控制算法,在丢包率高达 50% 的恶劣网络中仍能保持可观的传输速度。同时协议伪装为 HTTP/3,使审查设备难以在不造成大量附带损害的情况下封锁。

✅ 核心优势

  • Brutal 拥塞控制:自研算法,即使在高丢包环境下也能维持接近满速的带宽利用率,这是 TCP 类代理无法做到的
  • HTTP/3 伪装:协议流量与正常 HTTP/3 网站无异,审查设备难以区分,封锁代价极高
  • 功能全面:SOCKS5、HTTP 代理、TCP/UDP 转发、Linux TProxy、TUN 模式一应俱全
  • 配置简单:服务端和客户端各一个 YAML 文件即可启动,上手门槛低于 V2Ray/Xray
  • 跨平台:支持 Windows、macOS、Linux、Android、FreeBSD 等所有主流平台,包括 ARM、RISC-V 等架构

⚡ 性能表现

官方无公开 benchmark 数据,但社区和协议设计角度有以下参考:

场景表现说明
低丢包网络与 TCP 代理持平QUIC 本身无明显优势
高丢包网络(>10%)明显优于 TCP 代理Brutal 算法核心优势所在
高延迟网络优于 TCP(多路复用无队头阻塞)QUIC 天然优势
CPU 开销高于 TCP 代理QUIC 在用户态实现,比内核 TCP 更吃 CPU

性能优化要点(官方文档):

  • 系统缓冲区:Linux 设置 net.core.rmem_maxnet.core.wmem_max 为 16MB
  • 流控窗口:默认 stream 8MB / connection 20MB,可根据带宽调整
  • 进程优先级:低配 VPS 建议用 chrt -r 99 提升进程优先级
  • 不要在低配 VPS(如树莓派、超廉价 CPU 限制型 VPS)上跑高速需求——QUIC 用户态实现比内核 TCP 吃更多 CPU

🚀 快速上手

安装

# Linux 一键部署脚本(推荐)
bash <(curl -fsSL https://get.hy2.sh/)

# Docker
docker pull tobyxdd/hysteria

# 或直接下载二进制:https://download.hysteria.network/app/latest/

服务端配置(config.yaml)

listen: :443

tls:
  cert: /path/to/cert.crt
  key: /path/to/key.key

auth:
  type: password
  password: YourStrongPassword

masquerade:
  type: proxy
  proxy:
    url: https://example.com/
    rewriteHost: true

如果使用 ACME 自动证书:

listen: :443

acme:
  domains:
    - your.domain.com
  email: your@email.com

auth:
  type: password
  password: YourStrongPassword

masquerade:
  type: proxy
  proxy:
    url: https://example.com/
    rewriteHost: true

客户端配置(config.yaml)

server: your.domain.com:443

auth: YourStrongPassword

bandwidth:
  up: 20 mbps
  down: 100 mbps

socks5:
  listen: 127.0.0.1:1080

http:
  listen: 127.0.0.1:8080

运行

# 服务端(需 root 或 cap_net_bind_service)
sudo setcap cap_net_bind_service=+ep ./hysteria
./hysteria server

# 客户端(默认就是 client 模式)
./hysteria

配置要点

  • bandwidth:设置实际带宽上限,不设则使用 BBR 而非 Brutal。不要虚高设置,否则会适得其反导致网络拥堵
  • masquerade:伪装配置,抗审查关键。proxy 模式会反代真实网站内容。不需要抗审查可删除此节
  • auth:支持 password(单密码)和 userpass(用户名:密码)两种方式
  • tls:支持 ACME 自动证书或自签证书(配合 pinSHA256 指纹验证)

📦 适用场景

适合:

  • 高丢包、高延迟的跨境网络环境(核心场景)
  • 需要抗审查能力的代理部署
  • 需要 UDP 转发的场景(如游戏加速)
  • 已有域名和服务器,想快速搭建高性能代理

不适合:

  • UDP 被完全封锁的网络环境(QUIC 依赖 UDP)
  • 服务器 CPU 资源极低(QUIC 用户态实现开销大)
  • 需要与仅支持 TCP 的中间件/负载均衡器配合的场景
  • 企业级 VPN 场景(缺少企业特性如 LDAP、审计等)

⚠️ 已知坑 & 注意事项

  • UDP 被封:部分网络环境完全封锁 UDP,此时 Hysteria 完全无法使用。这是 QUIC 协议的先天限制,无解
  • bandwidth 设置过高:最常见的问题。设置超过实际可用带宽会导致网络拥堵、速度反而下降。建议从实际带宽的 80% 开始测试
  • 自签证书 + insecure:单独使用 insecure: true 存在 MITM 风险,务必配合 pinSHA256 使用
  • 端口占用:默认监听 443,需 root 权限或 cap_net_bind_service capability
  • IPv6 地址解析:YAML 中 [2001:db8::1]:443 格式会解析失败,需用引号包裹:"[2001:db8::1]:443"
  • QUIC 与部分 CDN/防火墙不兼容:某些企业防火墙或 CDN 会干扰 QUIC 流量

🆚 竞品对比

维度Hysteria 2V2Ray/Xray (VLESS+WS+TLS)sing-boxClash
传输协议QUIC (UDP)TCP多协议支持多协议支持
高丢包性能⭐⭐⭐⭐⭐⭐⭐取决于协议取决于协议
抗审查⭐⭐⭐⭐⭐ (HTTP/3 伪装)⭐⭐⭐⭐ (WS+TLS)取决于协议⭐⭐⭐
配置难度简单中等中等简单
CPU 开销较高中等
UDP 支持原生需额外配置
生态/客户端一般丰富丰富非常丰富
维护状态活跃活跃活跃停滞(Clash.Meta 分支活跃)

选择建议

  • 网络丢包严重、需要极致速度 → 选 Hysteria 2
  • 网络环境正常、追求兼容性和生态 → 选 V2Ray/Xray (VLESS+WS+TLS)
  • 需要统一管理多协议 → 选 sing-box(已原生支持 Hysteria 2 协议)
  • 需要 GUI 客户端和规则管理 → 用 Clash 系客户端 + Hysteria 2 后端

🌍 生态 & 社区

  • 维护状态:非常活跃。最新 release app/v2.9.1(2026-05-10),1310+ commits,最近几天持续更新
  • 文档质量:优秀。官方文档 v2.hysteria.network 覆盖完整,有中文版
  • 周边生态
    • sing-box 已内置 Hysteria 2 协议支持
    • 第三方客户端众多(iOS/Android/Windows/Mac)
    • 提供 URI 分享格式,便于导入导出
  • 社区活跃度:Telegram 群组活跃,GitHub Discussions 响应较快,26 位贡献者

💡 引入评估

维度评分(/5)备注
上手难度⭐⭐⭐⭐配置简单,两个 YAML 即可启动
文档完善度⭐⭐⭐⭐⭐中英文文档齐全,有完整配置参考
社区活跃⭐⭐⭐⭐Telegram + GitHub 活跃,核心开发者持续维护
性能⭐⭐⭐⭐⭐高丢包环境下优势明显
稳定性⭐⭐⭐⭐v2 已趋于成熟,但 QUIC 用户态实现偶有兼容问题
综合⭐⭐⭐⭐特定场景下是最佳选择

结论推荐 — 在高丢包、高延迟的跨境网络场景下,Hysteria 2 是目前性能最优的代理方案之一。HTTP/3 伪装提供了优秀的抗审查能力。但需注意 UDP 可用性和 CPU 开销。如果网络环境支持 UDP,强烈推荐作为主力或备用方案。

推荐引入版本app/v2.9.1

🔗 相关链接

📝 个人备注

(待补充实际使用心得)