X-Tunnel

下一代安全隧道传输技术

2025 · 基于 Cloudflare CDN 的隐蔽通信方案

wss://your-domain.com/tunnel → 0-RTT 安全连接
查看架构 协议规范

核心技术特性

突破性的隧道传输技术,专为高安全性与低延迟设计

0-RTT 长连接

预建立的 WebSocket 连接池,避免每次请求的 TLS 握手延迟。多通道并行设计,实现毫秒级响应。

ECH 加密支持

Encrypted Client Hello 技术,通过 DoH 查询 ECH 公钥,隐藏 SNI 信息,防止 DPI 深度包检测。

竞选低延迟机制

多通道竞争响应,首个成功建立的通道自动成为数据链路,确保最优路径选择。

上下行链路分离

智能识别上行(Uplink)与下行(Downlink)通道,支持非对称路由,最大化传输效率。

UDP 端口封锁

可配置 UDP 端口黑名单,拦截 QUIC/HTTP3 等流量(默认封锁 443 端口),防止流量泄露。

IP 策略控制

灵活的 IP 版本策略:仅 IPv4/IPv6、IPv4 优先、IPv6 优先,适配各种网络环境。

系统架构

基于 Cloudflare CDN 的多通道隧道传输架构

客户端 X-Tunnel Client SOCKS5 Proxy HTTP Proxy TCP Forward UDP Associate ECH 连接池 WebSocket Channel Pool 通道 1 (IP: 104.16.x.x) 通道 2 (IP: 104.16.x.x) 通道 3 (IP: 172.64.x.x) 通道 4 (IP: 172.64.x.x) Cloudflare CDN Edge Network TLS 1.3 + ECH WebSocket 代理 服务端 X-Tunnel Server 会话管理 连接复用 SOCKS5 出口 IP 策略路由 目标 私有 TLV 协议封装 WSS 长连接 TCP/UDP 转发 ↑ Uplink ↓ Downlink

竞选低延迟机制

多通道竞争,最快响应者获胜

客户端 通道 1 通道 2 通道 3 ★ 通道 4 服务端 目标服务器 ① 广播 MsgTCPConnect 所有通道同时发起连接 ② 首个响应者获胜 通道3 最先收到 MsgUplink ③ 锁定上下行链路 后续数据走固定通道
N×M
N个IP × M条连接
全覆盖并行探测
<50ms
典型连接延迟
0-RTT 技术加持
自动
上下行链路分离
智能路由选择

私有协议规范

TLV (Type-Length-Value) 二进制封装格式

消息帧结构 (8字节头部)

Type
1 byte
IDLen
1 byte
MetaLen
2 bytes
PayloadLen
4 bytes
ConnID
IDLen bytes
Meta
MetaLen bytes
Payload
PayloadLen bytes
// 示例: TCP 连接请求
[0x01][0x24][0x00 0x10][0x00 0x00 0x00 0x00][uuid-36bytes][target:port][empty]

消息类型定义

Code Type 描述
0x01TCPConnectTCP连接请求
0x02TCPDataTCP数据传输
0x03TCPCloseTCP连接关闭
0x04UDPConnectUDP关联请求
0x05UDPDataUDP数据传输
0x06UDPCloseUDP关联关闭
0x07ConnStatus连接状态响应
0x08Uplink上行链路确认
0x09SelectDownlink下行链路选择

IP 策略代码

Code 策略 说明
0x00Default系统默认
0x01IPv4 Only仅使用IPv4
0x02IPv6 Only仅使用IPv6
0x03IPv4 FirstIPv4优先
0x04IPv6 FirstIPv6优先

Meta 字段格式

TCPConnect/UDPConnect:
[IPStrategy:1byte][TargetAddr:string]

安全特性

多层加密与隐蔽通信技术

ECH (Encrypted Client Hello)

  • 通过 DoH 查询目标域名的 HTTPS 记录获取 ECH 公钥
  • 使用 ECHConfigList 加密 TLS Client Hello 中的 SNI
  • 防止 DPI 深度包检测识别目标域名
  • 支持 fallback 模式回退到标准 TLS 1.3
DoH Query: cloudflare-ech.com → HTTPS RR → ECH Key

长连接优势

  • 避免频繁 TLS 握手导致的 GFW 特征识别
  • WebSocket 连接复用,减少 RTT 开销
  • 心跳保活机制 (Ping/Pong) 维持连接状态
  • 断线自动重连,无缝恢复会话
Ping Interval: 3s | Reconnect: 1s delay

Cloudflare CDN 集成

  • 通过 CF CDN 接入点连接,隐藏真实服务器 IP
  • 支持多 IP 轮询,提高可用性和负载均衡
  • 利用 CDN 的 WebSocket 代理能力
  • Token 认证防止未授权访问

流量控制

  • 可配置 UDP 端口黑名单 (默认: 443)
  • 阻止 QUIC/HTTP3 流量泄露真实目标
  • CIDR 白名单限制客户端来源 IP
  • IP 策略控制服务端出口路由
-block 443,8443 | -cidr 192.168.0.0/16

命令行使用示例

🖥️ 服务端启动

# WSS 服务端 (自动生成证书)
$ x-tunnel -l wss://0.0.0.0:443/tunnel -token your-secret-token

# 带 SOCKS5 出口代理
$ x-tunnel -l wss://0.0.0.0:443/tunnel -f socks5://user:pass@127.0.0.1:1080

💻 客户端启动

# 启动 SOCKS5 + HTTP 代理
$ x-tunnel -l socks5://127.0.0.1:1080,http://127.0.0.1:8080 \
    -f wss://your-domain.com/tunnel -token your-secret-token \
    -ip 104.16.1.1,172.64.1.1 -n 4 -ips 4,6

# TCP 端口转发
$ x-tunnel -l tcp://127.0.0.1:2222/target.com:22 -f wss://...