Surge 教程 | 入门篇

[scode type="green"]2020/03/11更新：TF4.1.0(Build1475)已加入对Trojan协议的支持[/scode]

1. 简介

Surge 是基于 iOS 9 的新特性 Network Extension 开发的一款网络调试工具，工作原理是使用 Packet Tunnel Provider 给系统套上一个代理，Surge 有两个主要组件：Surge 代理服务器和 Surge TUN 接口。程序运行之后，Surge 会将自身设置为默认的 HTTP/HTTPS 代理服务器来处理所有的 HTTP/HTTPS 流量。针对一些不服从系统代理设置（如 Mail.app ）的应用程序 ，将由 Surge 的 TUN 接口来进行处理。
Surge 会接管全局的（几乎）所有通信，所以所有网络方面的电量消耗都会被算在 Surge 头上，实际上 Surge 的运行功耗很少，使用中也不会感到 Surge 对电量有明显影响。

2. 特点

• 高性能、高稳定性和高效率：Surge可以使用最少的系统资源以工业级的稳定性平稳地处理所有网络流量。
• 灵活的规则系统：您可以基于域名，IP CIDR，GeoIP等编写转发规则。Surge可以使用HTTP / HTTPS / SOCKS5 / SOCKS5-TLS / Shadowosocks协议自动将请求代理到其他服务器。
• HTTPS解密：通过中间人攻击来解密HTTPS流量。证书生成器将帮助您生成操作系统信任的CA证书，以进行调试。
• 本地DNS映射：Surge支持本地定制的DNS映射。它的多个功能模块，包括通配符，别名和自定义DNS服务器，将能够满足各种需求。
• 代理组：您可以将多个代理分类为一个组，并且将根据该组采用策略。代理组可以配置为自动速度测试（基于基准URL访问速度的选择策略），SSID（基于Wi-Fi SSID的选择策略）和手动选择。
• HTTP重写：您可以使用自定义规则将HTTP / HTTPS请求重写为另一个URL，也可以阻止请求。
• 远程仪表板：Surge仪表板可以通过USB或网络连接到远程Surge iOS或Surge Mac实例。
• 全面的IPv6支持：所有功能都可以在IPv6环境中使用。

3. Surge iOS/iPadOS 独家功能

• 所有功能都在蜂窝网络上运行。
• 捕获来自设备上任何应用程序的所有HTTP / HTTPS / TCP通信，并遵循高度可配置的规则重定向到HTTP / HTTPS / SOCKS5 / Shadowosocks代理服务器，即使该应用程序不遵循系统代理设置。
• 即使在蜂窝网络上，也可以覆盖系统DNS设置，并通过同时查询所有DNS服务器来提高性能。
• 通过通过Wi-Fi或USB电缆将Surge仪表板连接到Surge iOS，可以监视和分析iOS设备上的网络请求。通过USB电缆连接时，您甚至可以检查蜂窝网络请求。

[scode type="lblue"]看到这里，吓到了吗？其实不必担心，不懂网络原理一样不影响使用翻墙功能。
请接着向下看。[/scode]

4. 下载与安装

Surge 目前最新版本为 Surge 4，可直接在非中国大陆区的 AppStore 搜到，免费下载安装。
Surge 的网络代理功能需要解锁 Pro 授权，可通过 AppStore 内购或访问其官网进行购买。
iOS 3个设备的授权价格49.99美元。
[scode type="yellow"]免费版无法进行科学上网，无购买意愿的朋友可以关闭此页面。[/scode]
[scode type="lblue"]此教程初次编写时的系统环境
iPad 2018 (国行),128G / iPadOS 13.3 beta3 (17C5032d)
Surge 4, Build 1419[/scode]
[scode type="yellow"]文档中的某些内容可能随时间变化而失效。[/scode]

5. 快速设置

5.1 有订阅/托管链接的情况下：

请先在节点服务商的官网或其他渠道复制您的订阅/托管链接。

打开 Surge 4 软件，点击左上角下拉菜单。

在弹出的窗口中选择 “从 URL 下载配置”。

将复制好的订阅/托管链接粘贴到文本框内。

等待若干秒，可以看到刚下载的配置文件。（此处图片仅作为演示，请以实际情况为准）

点击策略组可以确认是否成功加载。

回到软件首页，点击左上角的 开始。首次启动时会提示是否创建 VPN 隧道，请点击 允许。

此时你的设备将默认连接节点列表中的第一个节点。

如何切换节点：

点击下边的策略组，然后点击展开想要更换节点的策略组。此处演示默认节点策略组 Proxy 。

点击 Proxy ，然后点击测试延迟。

想使用哪条线路，直接点击节点名字即可。一般选择延迟较低的。

关于 Surge 的延迟测试：

Q：为什么Surge/Shadowrocket/Quantumult 测延迟差距这么大？
A：测试方式不同。
Surge 测试的是从目标 policy 返回 http response header 数据包的时间。
Shadowrocket 支持两种测速方式（ICMP/TCP），默认为 ICMP 模式（即 Ping）。
Quantumult 采用 SSH 测速模式（22 端口）。

5.2 在无订阅/托管链接情况下：

请参考进阶教程：https://merlinblog.xyz/wiki/surge1.html

6. Surge DNS 配置指南

[scode type="yellow"]DNS 服务器的作用：
在 IP 网络上（日常所使用的网络基本都是 IP 网络，包含 IPv4 网络和 IPv6 网络），必须使用 IP 地址才能访问另一个主机，但是由于 IP 地址难以记忆，且 IP 地址通常和地理位置相关不容易进行修改，所以一般我们使用域名去访问另一个主机，在访问的过程中通过 DNS 服务器将域名解析成 IP 地址。[/scode]

配置 Surge DNS 服务器的一些要点：

• 速度与稳定性：DNS 服务器需要保证稳定性和速度，所以应尽量使用地理位置靠近的 DNS 服务器。
• edns-client-subnet 支持：对于巨型网站（如 apple.com），一般在全世界都配置有 CDN 服务器，有 ECS 支持的 DNS 服务器可以根据访问源 IP 地址，返回最合适的服务器 IP 地址。（但这种设计会有隐私泄露的可能，所以 1.1.1.1 并不支持。）
• 无需考虑使用代理策略的主机：如果请求使用了代理策略，那么并不会在本地执行 DNS 查询，所以不需要为该类网络考虑 DNS 问题。（且只有代理服务器在远端执行 DNS 查询，才能确保得到一个最适合该代理服务器的 CDN 节点服务器地址。）

综上，对于中国用户，推荐的 DNS 配置如下

• 如果经常使用的网络没有 DNS 劫持问题：配置为使用系统 DNS 配置并追加 223.5.5.5 和 114.114.114.114 作为冗余。
• 如果经常使用的网络存在 DNS 劫持问题：配置为仅使用 223.5.5.5 和 114.114.114.114。

8.8.8.8 和 1.1.1.1 在国内连通性不稳定，速度慢，且对国内网站的 CDN 支持不佳，不推荐使用。

7. 关于规则匹配过程的进阶说明

除了在使用 DIRECT 策略时需要使用 DNS 查询外，在进行规则匹配时也可能触发 DNS 查询，Surge 会按照规则顺序从上至下依次测试规则，如果一个使用域名的请求遇到了一个 IP 类型规则（IP-CIDR/IP-CIDR6/GEOIP）且该规则不带有 no-resolve 选项，那么将触发 DNS 查询。

所以应将所有非 IP 类规则置于规则的顶部，将 IP 类规则置于尾部，避免并不需要进行本地 DNS 查询的请求产生额外的 DNS 查询。

8. 关于部分APP提示代理的说明

部分应用在启动时会检查是否配置了代理，如果检查到代理就会停止工作（如浦发银行）。这是一种不专业的做法，代理不会既不会降低安全性，也是在公司网络下一种常见的配置。

Surge 在启动时，为了实现多种复杂功能，会同时配置虚拟代理设置和虚拟 VPN，从而引发上述应用的反代理检查。（部分同类应用没有此问题是因为只配置了虚拟 VPN）

该问题可通过开启 Surge 的兼容性模式 VIF Only 解决，但是开启后会导致 HTTP 相关高级功能失效，不推荐。

9. 拓展阅读

《Surge 官方中文指引：理解 Surge 原理》
Official Guidance：Understanding Surge

• ① Surge 原理与实现
• ② Surge 2.0 是如何实现在 iOS 上反盗版的
• ③ Surge MitM
• ④ 各种加密代理协议的简单对比
• ⑤ Surge 对网络体验的优化
• ⑥ Surge 中文白皮书 （草稿第一部分，接管）
• ⑦ Surge 中文白皮书 （草稿第二部分，连接类型与处理）
• ⑧ Surge 中文白皮书 （草稿第四部分，TLS，HTTPS 与 MITM）