WireGuard 之所以贏得現代通訊協定之爭,靠的是它精簡、快速,並且以最好的方式保持「無趣」。但它從來就不是為了隱藏而設計。在以深度封包檢測尋找 VPN 流量的網路上,原版 WireGuard 是最容易被辨識出來的通訊協定之一——而 AmneziaWG 這個專案,正是為了修正這一點而生,同時又不放棄 WireGuard 原本做得好的那些事。

簡短回答:AmneziaWG 是 WireGuard 的開源分支,保留了加密與速度,卻把這個通訊協定那組可被辨識的交握偽裝起來——透過垃圾封包、隨機填充與重寫過的標頭位元組——讓深度封包檢測無法把它比對到 WireGuard 的特徵上。底下是同一條隧道,在線路上呈現的卻是不同的輪廓。

重點摘要

  • AmneziaWG 就是 WireGuard 加上一層混淆。加密、金鑰模型與效能基本上維持不變。
  • 原版 WireGuard 有一組固定、可取指紋的交握——審查者正是靠這一點封鎖它,完全不需要解密任何東西。
  • AmneziaWG 打破了這個指紋:交握之前先送出垃圾封包、為交握加上隨機填充,並隨機化標頭數值。
  • 它並非萬靈丹。被封鎖的伺服器位址、UDP 禁令,以及白名單防火牆,照樣能擋住它。
  • 在一般網路上它幫不了你什麼。它真正派上用場,是在主動獵捕 VPN 通訊協定的網路上。

為什麼原版 WireGuard 容易被封鎖

審查者不需要破解加密就能封鎖 VPN。它只需要辨識出通訊協定,而 WireGuard 讓這件事變得很容易,因為它的交握每次看起來都一模一樣。每一個 WireGuard 工作階段的第一個封包,都是一則剛好 148 位元組的 UDP 訊息,其前四個位元組是一個訊息類型欄位,永遠讀作 1 後面跟著三個零。伺服器的回覆則剛好是 92 位元組、類型 2。每一種實作、每一條連線、無論在哪裡,都是如此。

這種規律性對工程師而言美妙無比,對身處國家級防火牆之後的任何人卻是一場折磨。檢測硬體會對這個形態進行模式比對——那些固定的大小、恆定的類型位元組、交握往來的節奏——並在隧道尚未建立完成之前就切斷連線。裡面的一切仍然加密;是外面洩了底。

這並非疏忽。WireGuard 專案明確把流量混淆列為非目標:這個通訊協定的設計宗旨是保持精簡、可稽核,偽裝則交給建構在它之上的各層去處理。多年來這留下了一道缺口,因為過濾力道最強的那些國家——我們在伊朗、俄羅斯、中國如何封鎖 VPN中逐一說明——很早就把 WireGuard 的特徵加進了它們的過濾器裡。

AmneziaWG 就是對這道缺口的其中一個回應。

AmneziaWG 改變了什麼

AmneziaWG 出自 Amnezia 團隊之手——Amnezia 是一套用於自架 VPN 的開源工具組——而理解它最簡單的方式,就是把它想成穿上戲服的 WireGuard。這個分支新增了一組設定參數,恰好在檢測系統盯著看的那些時刻,重塑連線呈現出來的樣貌:

  • 先送垃圾封包(Jc、Jmin、Jmax 參數)。在真正的交握之前,用戶端會先送出一陣大小不一、毫無意義的隨機封包。對話不再以一則整齊的 148 位元組訊息開場。
  • 隨機填充(S1、S2)。交握的發起與回應會被附加上隨機的額外位元組,於是封包大小不再吻合已知的特徵。
  • 重寫標頭(H1–H4)。那四個標記每一個 WireGuard 封包的固定訊息類型數值,會被替換成兩端事先約定好的數值。那組會洩底的 1、2、3、4 從此不再出現在線路上。

較新的版本把這個想法推得更遠。1.5 版加入了特製的開場封包,模仿其他通訊協定的起始位元組,而隨後在 2026 年推出的 2.0 系列也延續這個方向——目標從「不要看起來像 WireGuard」,轉向「看起來像某種無害的東西」。

實務上有兩個細節很重要。兩端必須共用相同的參數值:這是一套協調好的戲服,承載在設定檔裡,而不是用戶端臨場即興發揮的東西。而當每一個混淆參數都設為零時,AmneziaWG 講的就是原版 WireGuard——這也告訴你,它新增的那一層其實有多薄、多精準。

哪些部分維持不變

在戲服底下,這個通訊協定原封未動。交握的數學、現代的加密演算法、金鑰交換——全都直接繼承自 WireGuard,而非重新發明。這是正確的取捨:新的混淆出錯了,代價不高、也好修,而新的加密一旦出錯,後果是災難性的。一個只更動外包裝的分支,保留了 WireGuard 那個精簡、經過大量審查的核心。

效能也守得住。垃圾封包在連線開始時會增加一點額外資料,在那之後,隧道傳輸流量的方式就和 WireGuard 一樣。如果你在意幾個主要通訊協定在速度與電池上的比較,我們在WireGuard vs OpenVPN vs IKEv2中做過這個比較——而 AmneziaWG 屬於 WireGuard 那一欄,不在較舊、較笨重的那些選項裡。

AmneziaWG 依然會落敗的地方

混淆提高了封鎖你的成本。它並沒有讓封鎖變得不可能,而誠實的比較必須說清楚戲服在哪些地方幫不上忙:

  • 被封鎖的位址。如果審查者已經把你伺服器的 IP 列入黑名單,你的封包看起來是什麼樣子都無所謂。偽裝打敗的是通訊協定過濾器,不是位址清單。
  • UDP 禁令與限速。有些網路會整批丟棄或扼制不熟悉的 UDP 流量。AmneziaWG 仍然是 UDP;在那些網路上,主導局面的會是那些把自己打扮成透過 TCP 傳輸的一般網頁流量的隧道。
  • 白名單防火牆。最嚴格的網路會把邏輯反轉過來:只有被辨識出來的通訊協定才能通過。在那裡,看起來像什麼都不是的流量本身就可疑,而無法辨識的高熵流量會基於原則被丟棄。看起來像雜訊,對付黑名單有幫助,對付白名單卻有害。
  • 軍備競賽。審查者還會量測流量時序、一段時間內的封包大小模式,以及一個被懷疑的伺服器在受到試探時如何回應。每一種混淆方案都是移動標靶,這也是為什麼認真的專案會持續推出新版本。

務實的說法是:AmneziaWG 讓你在那些以通訊協定特徵進行過濾的網路上變得「封鎖成本高昂」。而在封鎖靠位址、靠傳輸層、或靠白名單運作的地方,你需要不同的招數——我們在VPN 如何突破網路審查中描繪了這整片地貌。

你真的需要 VPN 混淆嗎?

在伸手去拿任何一款混淆 VPN 之前,有個問題值得先問:你的問題真的是通訊協定封鎖嗎?在大多數國家的家用連線上,原版 WireGuard 連得好好的,而混淆只是增加了會動的零件,並沒有增加隱私——加密反正都一樣。誠實的測試很簡單:如果一款標準 VPN 在你的網路上連得穩定可靠,你就不需要那件戲服。

混淆在特定情境下才物有所值:對 VPN 通訊協定取指紋的國家級防火牆、對被辨識出的 VPN 流量限速的 ISP,以及某些把封鎖隧道當作政策的企業、校園或飯店網路。如果其中某一項正好是你這週的寫照,這篇比較的其餘部分就是為你而寫。如果不是,那麼通訊協定的選擇——我們在主要比較裡談過——比偽裝更重要。

在 iPhone 上使用 AmneziaWG

有官方的 AmneziaWG App,其中包括一個 iOS 用戶端。如果你租一台伺服器,並用 Amnezia 工具把它設定好,就可以匯入一份帶有混淆參數的設定檔,搞定收工。對於樂於管理伺服器、並讓參數保持同步的人來說,這是一條確實不錯的路——而我們的 Shadowsocks vs VPN 比較,則以同樣的自架精神涵蓋了那些代理形態的替代方案。

大多數人並不想為了上網讀點東西而去經營一套基礎設施,也不該被迫如此。實際可行的替代方案,是一款由 App 替你套用混淆、且兩端都由同一家服務商管理的 VPN。

Snap VPN 就是這樣打造的。隧道本身是 WireGuard,而在它之上,我們套用了自有的混淆技術,將連線加以塑形,使它不會向檢測系統呈現出一個教科書般的 VPN 特徵。我們刻意不把線路層級的細節寫進說明文件——已公開的偽裝,會是最先被加進過濾器的那一批——但其中的原則,正是 AmneziaWG 所印證的那一條:保留 WireGuard 的工程,改變網路所看到的東西。沒有任何東西需要設定,也不需要建立帳號。

常見問題

AmneziaWG 和 WireGuard 是同一個東西嗎?它是一個分支。加密與隧道行為都是 WireGuard 的;改變的是封包在線路上的樣子——垃圾封包、填充與隨機化的標頭,取代了那組可被辨識的特徵。把那些參數歸零之後,它的行為就和標準 WireGuard 一樣。

AmneziaWG 比 WireGuard 慢嗎?沒有明顯差異。混淆在連線建立時增加少量資料,而穩定狀態下的速度與原版 WireGuard 相當——真正在做事的那部分加密是一模一樣的。

DPI 還是能偵測到 AmneziaWG 嗎?它可以試,而且有時會成功。混淆移除了那個容易比對的特徵,但審查者仍然可以封鎖伺服器位址、為 UDP 限速,或標記那些它根本無法歸類的流量。把它當作一場持續軍備競賽中的有力一招,而不是免疫。

AmneziaWG 能在 iPhone 上運作嗎?可以——有一個官方 iOS App,而你設定檔裡的混淆參數必須和伺服器的完全吻合。如果你寧可不要自己管這些,替代方案就是一款內建混淆的 VPN App。

結論

  • WireGuard 之所以容易被封鎖,是因為它的交握在哪裡看起來都一模一樣;加密隱藏的是內容,不是這個通訊協定的輪廓。
  • AmneziaWG 保留了 WireGuard 的加密與速度,並且只隨機化檢測系統用來比對的那幾個部分。
  • 它在面對通訊協定過濾器時佔上風;它打不過 IP 黑名單、UDP 禁令,或白名單防火牆。
  • 在 iPhone 上自架它,可以透過官方 App 達成。省事的那條路,是一款把混淆當作產品一部分一併提供的 VPN。

如果你想要 WireGuard 的速度,又希望混淆已經幫你處理好了——沒有伺服器要租、沒有參數要同步、沒有帳號、也沒有流量紀錄——Snap VPN 已上架 App Store。