VPN、Tor、代理的区别

网络

VPN、Tor、代理的区别

VPN、Tor、代理都是与通信路径可见方式有关的机制。

但是，它们不是同一种东西。只凭名称选择会相当危险。

VPN 是经由 VPN 服务器通信的机制。 Tor 是使用多个中继节点，让连接来源和连接目标不容易被直接连接起来的机制。代理是把特定通信经由中继服务器发送的机制。

它们都不是“用了就会完全匿名”的东西。各自的可见信息、信任对象、适用用途和限制都不同。

本文从匿名性的视角整理 VPN、Tor、代理的差异。我们不看“哪个最强”，而看“你不想让谁看到什么”。

首先要比较的视角

比较 VPN、Tor、代理时，重要的是不要只凭名称判断。

应该看的是，谁能看到什么。是不想让连接目标看到家用 IP。是不想让 ISP 直接看到连接目标。还是只想改变特定应用的路径。

目的改变，选择的工具也会改变。

视角	要看的内容
连接目标看到的 IP	是家用 IP，还是中继服务器的 IP
ISP 看到的信息	能看到连接目标，还是只能看到中继目标
中继者看到的信息	VPN 运营商或代理运营者能看到什么
保护范围	是整个设备、仅浏览器，还是按应用
匿名性的限制	、登录状态、浏览器信息、发帖内容是否会留下

在匿名性中，不仅要考虑通信路径，也要同时考虑账号和浏览器状态。如果把这里切开，就会发生“IP 变了，却因为 Cookie 被看出是同一个人”的失败。

什么是 VPN

VPN 是 Virtual Private Network 的缩写。

它会从使用者的设备到 VPN 服务器建立加密通信通道，并经由该 VPN 服务器向外通信。

从连接目标网站看，访问似乎来自 VPN 服务器的 IP 地址，而不是使用者家中或职场的 IP 地址。

VPN 也会用于在公共 Wi-Fi 或职场外保护通往公司内部网络的通信路径并进行连接。此外，当不想让连接目标直接看到家用 IP 时，也会使用 VPN。

具体例子包括 Proton VPN 和 Mullvad VPN 这样的商业 VPN 服务。

Proton VPN 是运营 Proton Mail 等隐私类服务的 Proton 提供的 VPN。介绍它的理由是，不仅能确认支持设备和服务器，还能通过官方信息确认无日志方针审计、开源应用和透明度报告。

Proton VPN 官方网站 URL : https://protonvpn.com/

Mullvad VPN 采用编号账号使用设计，特点是不要求电子邮件地址或密码。日志方针和支付方式也可以在官方网站确认。

Mullvad VPN 官方网站 URL : https://mullvad.net/

这里重要的是，VPN 不是“消除信任对象”的工具，而是“改变信任对象”的工具。

不过，使用 VPN 意味着要信任 VPN 运营商。 VPN 运营商会处理与使用者连接来源和连接目标有关的信息。因此，需要确认日志方针、运营主体、管辖地、应用行为和 DNS 的处理方式。

什么是 Tor

Tor 是通过多个中继节点进行通信，让连接来源和连接目标不容易被直接连接起来的机制。

使用 Tor Browser 访问网站时，连接目标网站通常看到的不是使用者本人的 IP 地址，而是 Tor 出口节点的 IP 地址。

Tor 不是把通信路径集中到单一 VPN 运营商，而是把角色分给多个节点。这是它与 VPN 的重大区别。

Tor 是现代匿名通信中最重要的机制之一。 Tor 的基础 onion routing 在 1990 年代由美国海军研究实验室研究。现在，Tor Project 正在推进 Tor Browser 和 Tor 网络的开发。

Tor Project 是开发并发布 Tor Browser 和 Tor 网络的官方项目。Tor 是让连接来源和连接目标不容易被直接连接起来的重要机制，与 VPN 的信任模型有很大不同。如果要使用，不只看第三方的简短解说，也要确认官方信息。 URL : https://www.torproject.org/

不过，Tor 也不是万能的。如果登录实名账号，行动会与账号连接起来。如果 Tor Browser 以外的应用通信从普通线路出去，信息会从另一条路径泄漏。此外，在某些环境中，ISP 或组织网络可以看到正在使用 Tor 这件事本身。

也就是说，Tor 一方面可以追求较强的匿名性，另一方面也对使用错误很敏感。如果像平常使用浏览器那样安装扩展功能，或登录实名服务，就会自己破坏好不容易建立起来的设计。

Tor 的详细用法、网桥、出口节点和操作注意事项会在另一篇文章中讨论。

什么是代理

代理是代替使用者访问连接目标的中继服务器。

在浏览器或应用中设置代理后，该通信会经由代理服务器发送。连接目标网站看到的是代理服务器的 IP 地址。

不过，代理种类很多，保护范围也参差不齐。

有的代理只对浏览器生效，也有的只对特定应用生效。通信内容如何受到保护，也会因代理种类和连接目标的 HTTPS 而改变。

为了匿名性而使用代理时，需要信任代理运营者。此外，设置错误可能导致一部分通信仍从普通线路出去。

代理作为改变通信路径的部件是方便的。但是，如果把它放在匿名性的中心，就必须确认保护范围和对运营者的信任。把来路不明的免费代理当作“匿名化工具”使用是危险的。

VPN、Tor、代理的比较

VPN、Tor、代理都是改变通信路径可见方式的机制，但设计思想不同。

项目	VPN	Tor	代理
基本结构	经由 VPN 服务器	经由多个 Tor 节点	经由中继服务器
连接目标看到的 IP	VPN 服务器	Tor 出口节点	代理服务器
信任对象	VPN 运营商	Tor 的设计和使用环境	代理运营者
保护范围	取决于设置，很多情况下作用于整个设备	主要是 Tor Browser 内的通信	多数情况下按浏览器或应用
适用用途	公共 Wi-Fi 对策、让家用 IP 不容易被看见	较强匿名性、绕过审查、调查	中继特定通信、简易改变路径
主要限制	需要信任 VPN 运营商	速度、使用注意、登录关联	种类多，保护范围容易不明确

这张表是一般性整理。实际可见方式会因设置、应用、DNS、浏览器和连接目标服务而改变。

连接目标能看到什么

普通连接中，连接目标网站会看到使用者线路的 IP 地址。

使用 VPN、Tor、代理后，连接目标看到的 IP 地址会变成中继目标的 IP 地址。

不过，除了 IP 地址之外，其他信息也会到达连接目标网站。

Cookie
登录状态
User-Agent
浏览器和设备特征
访问时间
URL 和请求内容
发帖内容

也就是说，即使改变连接目标看到的 IP，只要登录同一账号，行动就会与账号连接起来。如果发送同一个 Cookie，就会被判断为同一个浏览器。

这一点会在“隐藏 IP 并不等于匿名”的文章中详细讨论。

ISP 能看到什么

使用 VPN 或 Tor 后，ISP 能看到的信息也会改变。

普通连接中，ISP 可以观测连接目标 IP 地址、通信时间、通信量等。使用 VPN 后，ISP 会看到正在连接 VPN 服务器。使用 Tor 后，ISP 会看到正在连接 Tor 网络。

不过，即使使用 VPN 或 Tor，通信量和通信时序也会留下。也就是“内容不容易看见，但正在通信这一事实可见”的状态。

方法	ISP 能看到的信息
普通连接	连接目标 IP、通信量、通信时间
VPN	到 VPN 服务器的连接、通信量、通信时间
Tor	到 Tor 网络的连接、通信量、通信时间
代理	到代理的连接，或与普通连接混在一起

应该选择哪种手段，会因你想向哪个对象隐藏什么而改变。

注意 DNS 和泄漏

使用 VPN、Tor、代理时，DNS 的处理也很重要。

DNS 是把域名对应到 IP 地址的机制。即使改变了通信路径，如果只有 DNS 查询走向普通 ISP 一侧，想访问哪个域名也会从另一条路径可见。

这称为 DNS 泄漏。

此外，浏览器的 WebRTC 功能和各应用的通信设置，可能让信息从非预期路径出去。

使用改变路径的工具时，不仅要确认 IP 地址，也需要确认 DNS、WebRTC、按应用的通信以及浏览器登录状态。

应该选择哪一个

VPN、Tor、代理并不存在始终正确的选项。

适合的东西会因目的而改变。

目的	适合的东西	注意点
想在公共 Wi-Fi 中保护通信内容	VPN、HTTPS	需要信任 VPN 运营商
不想让连接目标看到家用 IP	VPN、Tor、代理	Cookie 和登录状态是另一类问题
需要较强匿名性	Tor	Tor Browser 的使用方式和操作很重要
只想改变特定应用的路径	代理、VPN 设置	需要确认是否有泄漏的通信
想避开审查或封锁	Tor、VPN	根据环境，使用本身可能显眼