Clash三内核横向压测
mihomo vs sing-box vs Premium:稳态 RSS 186MB、规则 P99 210µs、冷启动 4.2s。给出 unified-delay 与 find-process-mode 对 CPU 的量化影响。
面向服务器与桌面生产环境的 Clash 运维参考,收录 mihomo / sing-box 横向压测、GEOIP 优先级工程、QUIC 出站取舍与 9090 控制面板加固 checklist,数据可复现。⚙️
📊 以下指标来自 Debian 12 旁路网关(Ryzen 7 / 32GB),mihomo 1.19.0,200 并发稳态,12.4 万条规则集——详见 三内核横向压测报告。
⚙️ 聚焦生产可验证项:压测基线、规则优先级、弱网协议取舍、平台排障与控制面加固——每模块附 benchmark 数据与运维 checklist。
mihomo vs sing-box vs Premium:稳态 RSS 186MB、规则 P99 210µs、冷启动 4.2s。给出 unified-delay 与 find-process-mode 对 CPU 的量化影响。
fake-ip 环境下 GEOIP 误判占工单 60%;no-resolve 修饰符与 rule-providers 热更新零中断流程,GEOSITE 合并后 P99 从 210µs 降至 140µs。
8% 丢包下 Hysteria2 94Mbps vs TUIC 88Mbps;brutal 带宽预设、salamander 混淆 3–5% CPU 开销与 UDP 封锁 fallback 链设计。
Clash Verge Rev TUN 启用后路由表冲突、Little Snitch 拦截与 strict-route 在 macOS 15 的行为变更——附 ifconfig utun 诊断步骤。
Android 14 VPNService 权限变更、Work Profile 隔离与桌面 rule-providers 同步;分应用代理 whitelist 与 QR 配置下发安全流程。
Shodan 暴露 0.0.0.0:9090 导致节点凭证泄露;Secret 64 字符熵要求、反代 mTLS 与 /connections 审计日志留存策略。
📰 六篇 forge 原创运维文,附压测数据与生产 checklist。按 压测 → GEOIP → QUIC → 平台 → 加固 顺序阅读。
200 并发稳态:mihomo RSS 186MB、规则 P99 210µs;sing-box 内存低 23% 但 P99 高 22%。附 hyperfine 复现命令。
fake-ip 下 GEOIP 误判占运维工单 60%;GEOSITE 合并后 P99 从 210µs 降至 140µs,rule-providers 热更新零中断。
tc netem 8% 丢包实测:Hysteria2 94Mbps、TUIC 88Mbps;brutal 带宽预设与 salamander 3–5% CPU 开销量化。
macOS 15 路由表变更后 TUN 启用失败率上升 40%;ifconfig utun 诊断、Little Snitch 放行与 strict-route 配置。
Android 14 VPNService 权限收紧后,Work Profile 隔离 + 分应用 whitelist 可将误代理率从 18% 降至 2% 以下。
Shodan 扫描发现 1,200+ 暴露的 external-controller;/connections 泄露目标域名,64 字符 Secret + mTLS 最小配置。
🌐 mihomo 支持的现代传输协议在运维视角下的特征矩阵,便于选型与排障。
| 协议 | 传输层 | 典型延迟 | 抗封锁 | mihomo 配置键 |
|---|---|---|---|---|
| Hysteria2 | QUIC (UDP) | 低(0-RTT 可选) | 高(需混淆) | type: hysteria2 |
| TUIC v5 | QUIC (UDP) | 低 | 中高 | type: tuic |
| ShadowTLS v3 | TCP → TLS 伪装 | 中 | 高 | type: shadowtls |
| VLESS + Reality | TCP / XTLS | 中低 | 极高 | type: vless |
| WireGuard | UDP | 低 | 低(特征明显) | type: wireguard |
| Snell v5 | TCP | 中 | 中 | type: snell |
🕐 从 Dreamacro 原版到 Meta 分支再到 mihomo 重命名的关键节点,帮助理解配置字段的兼容性变迁。
原版 Clash 在 Premium 闭源分支首次提供 TUN 模式与 tun 配置块,奠定透明代理范式。开源社区开始维护规则集仓库。
Clash Meta 引入 rule-providers、geodata-mode、Hysteria/TUIC 等协议;与原版在 profile 字段上产生分叉,订阅转换器需适配。
因商标与合规因素,内核更名为 mihomo,二进制名 mihomo 或 clash-meta 并存。Clash Verge Rev 成为桌面端事实标准。
sing-box 在 Android 与路由器场景崛起;mihomo 强化 mixed-port 与 tun 栈稳定性,双方配置格式仍不互通。
Reality、Hysteria2 成为主力;企业内网更关注 External API 暴露面与审计日志。在此阶段开始系统整理运维文档。
❓ 一线运维中最常被问到的 Clash / mihomo 问题,答案均可直接在终端验证。
是。mihomo 是 Clash Meta 内核在 2023 年底更名后的官方称呼,GitHub 组织为 MetaCubeX。配置文件格式保持 Meta 分支语法,clash-meta 二进制名仍被多数客户端识别。
系统代理仅劫持 HTTP/SOCKS 流量,不走代理栈的应用(如部分游戏、ICMP)将直连。TUN 在 OS 网络栈插入虚拟网卡,按路由表与规则分流全部 IP 包;代价是需要管理员权限,且需处理 DNS 污染与环路。
启用 geodata-mode: true 使用 DAT 格式;将不常变的规则放入 rule-providers 并设置 interval 86400 以上;避免在 rules 顶部放置大量 DOMAIN-KEYWORD,优先 GEOSITE 大类再细粒度 DOMAIN-SUFFIX。
设置 → Clash 内核 → 选择「自定义」,指向自行编译或下载的 mihomo 可执行文件;macOS 需在「隐私与安全性」中允许。可通过 verge-mihomo -v 确认版本。
本地调试建议绑定 127.0.0.1:9090 并设置高强度 secret。切勿将 0.0.0.0 暴露到公网——/configs 接口可热重载配置。详见 API 安全加固文章。