【更新：给自建酸酸/酸酸乳的同学们的一些建议与忠告】

由于总是有人问我酸酸乳怎么用，我干脆直接写个说明书一了百了。

本篇说明仅供交流与学习使用，请勿作出任何违反国家法律的行为。

本教程包含 Windows、Android、iOS、MacOS 端的酸酸乳客户端的功能介绍和使用方法的详细介绍以及常见问题解决。
教程比较长，很长，长的不行，因此请按需查看，灵活运用右侧目录跳转至相应章节，否则可能会引起包括但不限于头晕眼花、心烦意乱、精神恍惚、直接点击右上角等不适现象。

实际上本文的定位大概并不是教程，而是说明书……
建议萌新们先自己摸索着用用，有不懂的地方再按照目录查阅相关功能的说明解释。

如果还是有不懂的问题可以在评论中提出。

给自建酸酸/酸酸乳的同学们的一些建议与忠告

最近大家也都知道的，各种形式都很严峻，大批VPS被Q，vu、瓦工、良心cc的 IP 都被Q的差不多了，而且也有很多人在评论询问我为什么自己的 VPS 总是被Q

觉得很有必要在这里说一些自建酸酸/酸酸乳所需要注意的事情、能提升VPS存活率的建议，为此，即使我电脑去世了正在厂子里抢救，我还是借了舍友的电脑写下了这段文章

1. 不要认为加密/协议/混淆什么的随便都行

酸酸

1. 加密请使用 AEAD 加密，包括以下几个：

   aes-128-gcm
   aes-192-gcm
   aes-256-gcm
   chacha20-ietf-poly1305
   xchacha20-ietf-poly1305

对于移动设备来说，ARM v8 以后的 CPU 使用aes-gcm的效率要高于chacha20，因此更推荐使用aes-256-gcm

2. 混淆请使用plain，即不使用混淆插件，或者使用http_simple

酸酸乳

1. 加密请使用none
2. 协议请使用chain_a
3. 混淆请使用plain或者http_simple

能用plain没问题就用plain，当在plain情况下你察觉到网络有异样*，且你了解http_simple混淆参数的用途，再酌情使用http_simple

2. （科普）这些参数的意义是什么

有很多萌新同学直接拿一键脚本搭建的，脚本要求设置参数的时候也许萌新们就直接一路回车默认过去或者随便选了，殊不知这可能就正是VPS被Q的原因

混淆为什么不选tls

这是有可能导致被Q的一个首要原因，因此我也放到第一位来讲，也许细心的同学们也发现了上述推荐配置中的混淆这一行都加粗了，是的，这非常重要

前段时间我与其他人讨论的时候，就发现了一个共同点，那就是被Q的人大多数都使用了tls1.2_ticket_auth混淆；而一些混淆plain的人，即使还在使用老旧甚至过时的协议，却安然无恙

很有理由猜测 GFW 已经掌握了 tls 混淆的特征

让我更确信了我的猜测的是，后来询问我被Q相关问题的人，大多数都用的是搬瓦工后台自带酸酸乳，因为我从没有用过搬瓦工，我询问了他们后才知道，搬瓦工的酸酸乳是强制tls1.2_ticket_auth混淆，嗯，真不愧是 GFW 最佳合作伙伴（而且搬瓦工自带酸酸居然没有 AEAD 加密）

后来，推特上也有人指出

酸酸乳的tls凭据复用已经成为安全问题 不要用了

而且，就 tls 混淆原本的用途来说，tls 混淆只是为了突破部分地区的网络环境才有的 QoS 限制，一般情况下根本不需要使用
破娃酱也在文档里说的很明白，一切因使用混淆而产生的看似是网络加速了的效果都是因为绕过了限制，混淆实际上会减慢你的网络速度

并且，如果你并不明白http(s)协议的具体细节，没有这方面的计算机网络知识，那么也不要轻易使用http_simple之类的混淆；如果没有必要，也不要使用80和443端口；这些在 GFW 眼里很可能会成为一种明显的特征，会成为“为什么我的VPS好好的就被Q了”的直接原因

加密这块到底是怎么回事

简单的来说，我们若干年前使用的非 AEAD 加密，都存在被主动探测到的风险（这一块如果感兴趣想了解，可以自行谷歌 AEAD 加密的相关科普博文）

因此，如果是酸酸，强烈推荐使用之前提到的那5种 AEAD 加密，为了防止今后（可能的）来自 GFW 的主动探测

而酸酸乳，虽然目前并没有使用到 AEAD 加密，但是破娃酱在设计协议的时候已经考虑到了主动探测问题并且针对这块进行了设计，因此目前来说还是相对安全的，前提是你使用的是chain_a或auth_aes128_md5或auth_aes128_sha1协议

对于酸酸乳，chain_a是目前最佳的协议；chain_b虽然说更难以被识别，但是仍是一个测试版协议，并且实际使用发现丢包现象莫名十分严重，并不能用；至于酸酸乳乳那些chain_c/d/e/f，可以看看这里

之前提到的推荐配置中，酸酸乳的加密为none的原因是，auth_chain系列协议已经自带了RC4加密，针对 UDP
部分也有加密及长度混淆，因此一般情况下不需要再进行额外的加密；如果你觉得RC4加密有安全隐患，再套一层其他加密也可

一、Windows

1.功能、设置说明

右击小飞机，你能看到 SSR 所有的功能选项，以下是各项功能及设置的介绍。

（1）系统代理模式

系统代理模式有四种模式可以选择：

• 直连模式

会关闭系统HTTP代理，你的所有HTTP上网流量都不会通过 SSR 代理，在此模式下你只能使用Socks5代理方式连接 SSR代理（详见后续的进阶使用）。

• PAC模式

会修改系统IE代理，使用PAC文件控制代理。PAC文件包含了规则列表，可以控制哪些流量走 SSR，哪些不走（例如国内流量直连，国外走代理），做到智能代理。但是实际上此功能已经可以被“代理规则”设置完全代替（除非你一定要用gfwlist），因此一般不用这一模式。

PAC文件为 SSR 根目录下的pac.txt。

• 全局模式

会开启系统HTTP代理，你的所有HTTP上网流量将会通过 SSR 代理。

注意：仅能代理HTTP流量，即浏览网页的流量——例如浏览器浏览网页，或者某些应用程序的应用内网页（比如QQ的群文件、群公告这些就是），或者某些比较奇葩的使用HTTP方式进行通信的程序（比如Steam版的影之诗）。

如果要代理应用程序，请详见Windows -SSTap教程。

• 保持当前状态不修改

顾名思义，不会对你目前的系统HTTP代理状态进行任何的修改。

当你退出 SSR 后，系统HTTP代理会自动被恢复至原有状态；开启 SSR
后，同样的，系统HTTP代理会被设置成你所设定的系统代理模式状态。

（2）PAC

此菜单中的选项均为对 SSR 的PAC文件进行操作的选项，如果你不使用“PAC模式”代理，那么这一节你可以直接跳过。

不过实际上也没什么好讲的，每个选项会执行什么操作、有什么效果，都在菜单中写的清清楚楚。

（3）代理规则

代理规则指的是，对于所有通过系统HTTP代理或者SOCKS5代理被发送至 SSR 的流量，按照你设置的规则进行代理，即智能代理。

实际上这个设置项也没有什么可以说明的内容，每个选项也写的很清楚。这里稍微解释下某些名词及选项：

• 绕过xxx

顾名思义，绕过就是不走代理，例如选择项中的“绕过局域网“就是当你浏览局域网网页的时候不会走 SSR 代理（最常见的例如学校、公司的内部网网页），”绕过大陆“就是所有国内大陆的流量都不会通过 SSR 代理。

• 绕过非大陆

带有这个的一项实际上是给从国外翻回来的人用的，我们这些翻出去的并用不到。

• 用户自定义

萌新可以直接无视这一项。自定义文件为 SSR 根目录下的user-rule.txt，你可以在这一文件中自己定义代理规则，格式详见：https://adblockplus.org/en/filter-cheatsheet

• 全局

顾名思义，所有被发送至 SSR 的流量都会走代理。

日常使用我推荐使用“绕过局域网和大陆”的选项

（4）服务器

在这里你可以切换你已有的服务器配置，在你第一次使用的时候别忘了先切换至你自己添加的服务器配置。

• 编辑服务器

直接双击小飞机也可以打开编辑窗口。

• 从文件导入服务器

可以导入 SSR 服务商提供的服务器配置文件。

• 服务器连接统计

直接鼠标中键单机小飞机也可以打开这一窗口，会显示你目前 SSR 的所有服务器的统计信息。

![1.jpg][2]
在这一界面，双击某个条目的服务器可以直接切换至该服务器；
单击某一条目的“连接”可以断开当前条目的所有连接；
双击某一条目的“开关”可以指定你在设置“服务器负载均衡”时是否使用这一服务器，而双击某一个“组”(Group)可以批量开关这一组；
双击某一条目其他的列可以清零这一统计信息。

（5）服务器订阅

此处可以设置服务器订阅，初次使用请先删掉自带的服务器订阅（已经失效）。

如果你没有从 SSR 提供商处获得 SSR 服务器订阅地址，那么可以直接跳过本节。

• SSR 服务器订阅设置

点击“ADD”，然后在右侧填入你的 SSR 服务器订阅地址，即可添加一条服务器订阅，然后直接点击确定即可。如果你勾选了左下角的“自动更新”，在每次 SSR 启动的时候都会自动更新订阅，一般情况下无需选择。

• 更新服务器订阅

将会从已经设置的订阅地址中获取配置信息自动添加/更新至服务器配置中，并且此操作会通过你当前的 SSR 代理进行！如果你目前的 SSR 代理不是可用的代理，那么将会更新失败！因此建议选择“更新服务器订阅（不通过代理）”。一般只有 SSR 服务器订阅地址不能在墙内访问而你有可以使用的 SSR 代理配置的时候才需要使用 SSR 代理更新订阅。

（6）服务器负载均衡

这是个基本不会用到的功能。选中以后，在每次有流量通过 SSR 代理时，会自动在没有被“关掉”的代理中选择一个来使用（怎么叫“关掉”？请看服务器-服务器连接统计）。

如果想只在某一组服务器中切换，或者依据一定的条件来切换服务器，请右击小飞机-选项设置，然后看“负载均衡”的设置。

（7）选项设置

• 二级（前置）代理

使用代理来连接代理，就像盗梦空间那样。没有特殊需求就不用管这一项。

• 负载均衡

没什么好说的，每个设置有什么用都写的简单明了。

• 本地代理

这是个很重要的设置项。

本地代理实际上就是在本机(127.0.0.1)开启一个SOCKS5代理端口，端口为“本地端口”设置项中的端口号。
这一功能有什么用？请见后续进阶使用。
如果勾选了“允许来自局域网的连接”，则与你在同一局域网的其他设备一可以通过这一SOCKS5代理来连接，服务器地址为你的局域网IP地址。
用户名和密码选填，如果你设置了，那么当你使用SOCKS5代理的时候就需要这一用户名密码了。

• 右下角的设置

没啥好说的（。

（8）端口设置

可以设置端口转发以及对于不同的服务器配置开启不同的本地代理SOCKS5端口等等。萌新直接不用管。

（9）二维码扫描

可以扫描屏幕上的 SSR 配置信息二维码并导入服务器配置中。二维码通常由你的 SSR 供应商提供。

（10）剪贴板批量导入ssr://链接

没啥好讲的，如果你的 SSR 供应商有提供批量 SSR 服务器配置链接，你就可以复制之后通过这里导入。

（11）帮助

由于众所周知的原因，破娃酱已经删除了 Github 上的所有 SSR 项目，并且停止了对 SSR 的开发及维护，因此这里的什么“检查更新”啊“打开 Wiki 文档”啊都是已经没用了的选项。

https://github.com/shadowsocksr-backup/shadowsocks-rss/wiki
以上是 Wiki 文档备份

• 显示日志

显示 SSR 通信日志。

• 自定义生成二维码

这就是一个生成二维码的小工具而已。

• 设置客户端密码

为你的 SSR 客户端设置密码保护。

常见问题

（1）使用了代理之后查询自己的 IP 发现还是国内的

你大概是直接去百度“IP”或者使用了国内的查询IP的服务，而且你的 SSR 代理模式设置的是“绕过大陆”。

请将代理模式改为“全局”后再试，或者访问国外IP查询服务网站例如 https://whatismyipaddress.com

（2）连上了代理但是无法上谷歌、推特等

1. 按下键盘组合键“Win + R”调出运行窗口
2. 输入cmd然后回车，这时会打开“命令提示符”
3. 输入ipconfig /flushdns然后回车
4. 好了，现在应该可以正常上了

这是 DNS 污染所致，想更详细的了解有关于 DNS 污染的知识请看：DNS污染是什么

（3）打开 SSR 提示xxxx端口已被占用

你的 SSR 的 SOCKS5 端口被系统中的其他程序占用了，去更改 SSR选项设置 中的本地端口吧。推荐改为 1025~65535 之间的端口（1024之前的端口有系统保留端口，防止误占用）。

（4）无法更新 SSR 服务器订阅

在关闭代理的情况下，直接把你的订阅网址扔到浏览器里，看看是否能正常访问，正常情况下会直接显示一串毫无规律的英文数字或者弹出一个文件下载框。

• 能√

解决方法：选择“更新 SSR 服务器订阅（不通过代理）”

问题分析：你可能是在还没有添加有效服务器配置的时候直接选择了“更新 SSR 服务器订阅”。
如果不选含有“（不通过代理）”的那一项，那么 SSR 默认将会通过代理来更新订阅，然而你并没有有效的服务器配置，因此自然就无法更新了。

• 不能×

那么检查一下你是不是手打打错了或者复制少了一部分网址……

如果你很确信订阅地址没有错，如果你有可用的代理配置的话，就尝试通过代理更新订阅。
如果还是不行，请找到你的 SSR 代理商询问原因。

（5）正确添加了配置，但无法正常使用代理上网

逐步排查问题：

1. 你可能根本就连不上你的ss代理服务器

打开命令提示符（Win+R打开“运行”，输入cmd然后回车），接着输入

 ping 你的SSR服务器地址

2. 你的SSR配置可能不正确

如果你是手动填写的配置而不是通过SSR提供商的一键配置来添加，那可能会出现这种情况，请检查一下你的配置是否正确。

3. SSR的系统代理模式和代理规则是否正确

通常来讲推荐萌新的设置是，系统代理模式选择“全局模式”，代理规则选择“绕过局域网和大陆”。

4. 浏览器可能没有使用系统代理

如果你使用了“SwitchyOmega”并且确定你配置正确了并且启用了情景模式，那么可以跳过此项。

如果你是比如360极速这种国产双核/多核浏览器，那么应该会有个“代理服务器”的设置项：

检查一下这项，选择“使用IE代理”或者“使用系统代理”。

5. 会不会是你的SSR代理到期了或者没流量了

6. 你买的可能是个假代理

Windows - SSTap

SSTap 全称 SOCKSTap, 是一款利用虚拟网卡技术在网络层实现的代理工具。
SSTap 能在网络层拦截所有连接并转发给 HTTP,SOCKS4/5, SHADOWSOCKS(R) 代理。
而无需对被代理的应用程序做任何修改或设置。
它能同时转发 TCP, UDP数据包。
它非常适合于游戏玩家使用。

SSTap 是一个为代理游戏而生的工具，能代理辣鸡 Profixier 代理不到的应用，并且简单易用，不像 Profixier 或者 Super Socks5Cap 那样使用复杂或者需要付费。

它的性质与 L2TP 这类系统全局代理很像，但是可以自定义路由以绕过大陆IP（应用自带有这些规则），这点是十分赞的。

这是一个免费的工具，仅有应用内常驻非弹出式广告，并不会影响使用体验。

1.安装

https://www.sockscap64.com/sstap/
去上方的这个官网下载安装即可。
第一次安装的话会弹出提示安装一个虚拟网卡驱动，同意即可。

2.使用

（1）添加代理

和 SSR 的添加方式基本相同，点击主界面那个原谅色的“+”，会有三种添加方式：

• SOCKS5

如果你是使用 SS/SSR 代理，那么建议直接使用下面的 SS/SSR 代理添加，不推荐使用 SOCKS5 去连接 SS/SSR 的 SOCKS5 本地端口，因为这样的话你还需要额外将 SS/SSR 的服务器 IP 添加到代理排除列表中，十分麻烦。

如果你是在路由器里挂的仅 ss-local 那么就当然可以这样做。

• SS/SSR

手动输入你的 SS/SSR 服务器的参数。

SSR 支持目前最新的chain_a和chain_b协议。

• 通过 SS/SSR 链接批量添加（推荐）

十分懒人，复制链接进去一键添加。

![1.png][7]
SS/SSR 链接一般由你的 SS/SSR 商提供；或者你也可以直接在 SS/SSR 客户端中查看配置，然后复制配置中的 SS/SSR 链接。
![1.png][8]

• 通过 SS/SSR 订阅添加（强烈推荐）

详见设置-SSR订阅

“+”右边的三个按钮依次是删除代理、编辑代理、测试延迟。

2.模式

这是 SSTap 的一个核心功能之一。
内置了数种规则，以上图中的规则除了正在选中的那条是我自己加的以外都是内置含有的规则。

3.校园网用户注意！！！

由于校园网大多数是采用程序认证的方式上网，如果局域网流量也被代理，那么你的认证将会断开而导致无法上网！

下面是如何修改规则让 SSTap 绕过局域网 IP 进行代理的步骤：

1. 右击另存为 这个文件
2. 右击 SSTap 快捷方式，属性，打开文件所在位置

实际上就是打开 SSTap 程序所在目录……

3. 进入rules文件夹，将压缩包里的文件放进去
4. 退出 SSTap 并重新进入，这时候应该就能看到多出了一个“不代理中国和局域网IP”的模式了，使用这个模式连接代理即可。

3.程序菜单

右击 SSTap 的任务栏图标或者点击主界面右下方的齿轮图标即可出现程序菜单。

（1）设置

此处可以设置关闭 UDP 转发，自定义 DNS 以及设置开机启动等。

配置智能 DNS

当设置里的 DNS 为“智能分流DNS”时，点击右侧的齿轮图标可以进入这个设置。

你可以分别设置国内域名使用哪个 DNS 来解析，国外的域名使用哪个 DNS 来解析以防止 DNS 污染，效果类似于 ChinaDNS。

（2）事件管理

也不需要做什么说明了，一看就知道是做什么的了。

（3）附加路由管理

可以设置指定 IP 的连接是直连还是走代理。
只能单个单个 IP 设置，不能使用 CIDR 格式。

挺希望能支持 CIDR 格式，这样的话绕过局域网就可以直接在这里实现了，不需要改规则那么麻烦……（其实也不麻烦）

（4）SSR 订阅

和 Windows 客户端的 SSR 订阅一个用法。

• 频率

即订阅更新频率，“每次”指的是每次打开 SSTap 都更新。

实际上正常使用的话根本不需要这么高的更新频率……要是有不自动更新的选项就好了。

• OBFS默认参数

在更新订阅后自动帮你把每个配置的混淆参数改成这个。

如果你不知道混淆以及混淆参数是什么那就无视掉这个设置项。

• 代理

选择一个代理，并通过这个代理来更新订阅。

如果你要设置此项，那么你必须已经至少添加了一个可用的代理配置。

4.常见问题

Win10 开启代理后 CPU 占用很高

这是由一个 Win10 的一个网络检测服务所致，SSTap 虚拟网卡创建的连接被误认为是受限网络从而触发了检测。（大概）

无需理会，数分钟以后会恢复正常。

Android

准备工作不用多说，下载安卓的SSR客户端即可。

1.配置管理界面

打开程序以后，点击上方的“shadowsocks R ▼”字样即可进入配置管理界面。

（1）添加配置

点击右下角的“+”之后就会出现图中所示的5种配置添加方式，根据情况自己选择即可，这部分就不需要过多解释了，基础配置之类的与Windows版无异。

（2）删除配置

能加当然就能删，左滑或者右滑一条配置即可删除该配置。

误删了怎么办？别担心，你删除之后下方会提示你可以点击“撤销”来撤销刚才的删除操作。

（3）每条配置下方的文字以及右侧的按钮

• 下方的文字

从左到右依次表示 累积上行流量、累积下载流量、节点延迟、服务器组名（如果有）。

• 闪电图标

点击即可以检测此节点的延迟（ping）。

• 分享按钮

能干什么我就不用说了，点进去一看就懂。

（4）右上角的三个图标

• 一个闪电加上一个A

ping列表中的所有服务器。

• 三道杠

基于ping自动由低到高排序。

• 那个看上去像是复制的按钮

对，就是复制来的。点一下就会把你目前所有配置的ssr链接复制到剪贴板中，然后你可以发给其他设备或者朋友什么的。

2.主界面

点击右上角的小飞机图标即可开启代理。第一次连接会弹出一个请求V*N连接权 限的窗口，允许即可。

（1）服务器设置

你可以改当前配置的配置（听起来有点怪怪的）。

（2）功能设置

• 路由

参见Windows版的代理规则。

• 自定义ACL文件（少用）

类似于Windows版中的PAC代理模式，能根据文件中的规则智能翻*。如果需要使用此模式，选中后会让你填写ACL文件地址，这个地址通常由SSR供应商给出。

• IPv6 路由

如果代理服务器支持IPv6，那么开启此选项之后你可以访问IPv6网站（即使你在IPv4环境下）。

• 分应用代理

开启后可以指定某几个应用的流量走代理。

• UDP 转发

在手机上很少需要使用。如果你要代理的外服手游有使用到UDP通信那么就需要开启（例如BangDream的多人联机）。

• China DNS

若你路由选了含有“绕过大陆”的选项，那么将使用 China DNS 来解析大陆域名。

• DNS

默认解析所使用的DNS。

（3）其他

• 自动连接

开机就会自动连。

• TCP Fast Open

几乎不会用到的功能。

• NAT 模式

使用旧的、需要ROOT的代理模式。用于安卓4.0以下的系统，或者当你使用V*N模式无法正常连接时再考虑使用。

• 重置

就是重置。当不小心玩坏了的时候可以试一下。

• ACL 文件更新

当你的“路由”选的是“自定义ACL文件时”，点击此项可以更新ACL文件。

• 前置代理

参见Windows版的前置代理。

3.常见问题

（1）连上了代理但是无法上谷歌、推特等

如果你确定你的代理是可用的，那么开关一次飞行模式即可解决99%的这类问题。

这是 DNS 污染所致，想更详细的了解有关于 DNS 污染的知识请看：DNS污染是什么

（2）网络正常但是无法正常使用代理

具体表现为，能 Ping 通代理服务器，但是连上以后就是无法通过代理上网。

请依次尝试以下步骤看看是否能解决你的问题：

• 如果你开启了 UDP 转发，那么尝试关掉它
• 尝试使用 NAT 模式（需要 Root 权限）

本文出处：https://lolico.moe/tutorial/shadowsocksr.html