概述
sucaddy 是一个 Go 实现的轻量级代理隧道网络,基于 NaiveProxy TLS 伪装 + 手动配置 pipeline,覆盖 5 节点跨区域拓扑。当前版本 v12.4(2026-05-31)。
架构 (v12.4)
公网 (TLS :443)
┌───────────┼───────────┐
│ │ │
┌────▼────┐ ┌───▼────┐ ┌───▼────┐
│ 🇰🇷 韩国 │ │ 🇭🇰 香港 │ │ 🇺🇸 Blog │
│ 伪装站 │ │ 伪装站 │ │ 伪装站 │
│ Hub │ │ Hub │ │ Hub │
└────┬────┘ └────────┘ └────────┘
│
┌─────────▼──────────┐
│ 🇨🇳 成都 (Relay) │
│ SS × 4 多路转发 │
└────────────────────┘
┌────────────────────┐
│ 🐧 Armbian (Proxy) │
│ SOCKS5 + HTTP 入口 │
└────────────────────┘
全量出境流量经过 443/TLS NaiveProxy,运营商侧呈现为 HTTPS。无裸 TCP 出口。
节点
| 节点 | 角色 | 伪装域名 |
|---|---|---|
| 🇰🇷 韩国 | Hub · 伪装站 | [伪装域名] |
| 🇭🇰 香港 | Landing + Hub · 伪装站 | [伪装域名] |
| 🇨🇳 成都 | Relay (SS × 4) | — |
| 🇺🇸 Blog | Edge · Hub · 伪装站 | [伪装域名] |
| 🐧 Armbian | Proxy (SOCKS5 + HTTP) | — |
核心特性
- TLS 流量伪装: NaiveProxy 将代理流量伪装为标准 HTTPS,抗 DPI 检测
- 三 Hub 架构: 韩国/香港/美国三 Hub,互为 fallback
- 硬编码 Pipeline: 链式路由,精确控制每跳出口
- 多入口: SOCKS5 + HTTP + SS + Naive + 反向隧道,统一出口选择
- uTLS Chrome 133 指纹: JA3 指纹伪装为真实浏览器
- 连接池轮转: 自动复用 + 随机 maxAge 5–15min 防固定模式识别
- 内置证书管理: 自动申请续签 Let’s Encrypt 证书(acme.sh)
- ALPN http/1.1 only: 拒绝 h2 二进制帧,兼容 TLS 1.2
- 主动探测防御: auth 失败 → 返回伪装 200/400,绝不出 407
- 反向隧道: 成都 → Armbian 回内网,SS 加密
链路图
你
├─ 🐧 Armbian SOCKS5 :[端口] → kr-direct → 🇰🇷 → 公网
│ SOCKS5 :[端口] → hk-via-kr → 🇰🇷 → 🇭🇰 香港
│ HTTP :[端口] → kr-direct → 🇰🇷
│
├─ 🇨🇳 成都 SS
│ :[端口] → to-korea-hk → 🇰🇷→🇭🇰
│ :[端口] → to-korea-direct → 🇰🇷
│ :[端口] → to-hk-direct → 🇭🇰
│ :[端口] → to-korea-blog → 🇰🇷→🇺🇸
│
├─ 🇰🇷 韩国 Naive :443
│ usera → direct
│ userb → hk-chain → 🇭🇰 香港
│ userg → to-blog-naive → 🇺🇸 Blog
│
├─ 🇭🇰 香港 Naive :443
│ userj → direct
│
└─ 🇺🇸 Blog Naive :443
blogd → direct
Pipeline
| Pipeline | 起点 | 跳数 | 路径 |
|---|---|---|---|
| kr-direct | 🐧 Armbian | 1 | Naive → 🇰🇷 |
| hk-via-kr | 🐧 Armbian | 2 | Naive → 🇰🇷 → Naive → 🇭🇰 |
| to-korea-direct | 🇨🇳 成都 | 1 | Naive → 🇰🇷 |
| to-korea-hk | 🇨🇳 成都 | 2 | Naive → 🇰🇷 → Naive → 🇭🇰 |
| to-hk-direct | 🇨🇳 成都 | 1 | Naive → 🇭🇰 |
| to-korea-blog | 🇨🇳 成都 | 2 | Naive → 🇰🇷 → Naive → 🇺🇸 Blog |
| hk-chain | 🇰🇷 韩国 | 1 | Naive → 🇭🇰 |
| to-blog-naive | 🇰🇷 韩国 | 1 | Naive → 🇺🇸 Blog |
客户端配置
Shadowrocket / PassWall (SOCKS5 → Armbian)
韩国直出:
类型: SOCKS5 地址: [IP] 端口: [端口] 认证: [用户] / [密码]
经韩国→香港:
类型: SOCKS5 地址: [IP] 端口: [端口] 认证: [用户] / [密码]
SS 客户端(成都 · 2022-blake3-aes-256-gcm)
地址: [IP] 加密: 2022-blake3-aes-256-gcm PSK: [密码]
端口 出口
[端口] →韩国→香港
[端口] →韩国直出
[端口] →香港直连
[端口] →韩国→美国
NaiveProxy
韩国: [伪装域名] [用户]:[密码]
香港: [伪装域名] [用户]:[密码]
Blog: [伪装域名] [用户]:[密码]
反向隧道
成都部署 reverse-server,Armbian 部署 reverse-client,SS 加密回内网:
客户端 → 🇨🇳 成都 (:[端口]) → reverse-server (:[端口])
→ 🐧 Armbian reverse-client (:[端口]/SS)
→ SS → Naive → 公网
- 控制连接池: 2 条预建
- 5s 写超时检测僵尸连接
- TCP_NODELAY + 64KB buffers
时间同步
全节点 chrony 时间同步,SS 2022 时间戳容差 [-15s, +45s]。
版本历史
| 版本 | 日期 | 变更 |
|---|---|---|
| v12.4 | 2026-05-31 | 全节点 chrony · 时钟偏移校验 · 配置 MD5 校验 |
| v12.2 | 2026-05-15 | Pool fill 退避修复 · HK→Blog 链路新增 |
| v12.0 | 2026-05-09 | 正式版,三 Hub 稳定 |
| v11.5 | 2026-05-08 | 内置证书管理 · uTLS Chrome 133 · 审计修复 |
| v11.4 | 2026-05-08 | 减法重构 (-406行) · TLS 1.2 + http/1.1 only |
| v11.2 | 2026-05-08 | 连接池轮转 · 主动探测防御 |
| v10.6 | 2026-05-07 | camouflage_dir 本地覆盖 |
| v10.5 | 2026-05-07 | P0/P1 修复 · 优雅重启 |
| v10.0 | 2026-05-07 | SS 2022-blake3 · 反向隧道 |
Go 实现 · ~2,600 行 · 0 外部依赖 · 5 节点 · 三 Hub · TLS 抗审查