代理如何工作？

请求路径：你 → 代理 → 目标

未使用代理时，你的设备直接与目标服务器建立 TCP 连接，发送 HTTP 或其他应用层请求。使用代理后，你的设备只与代理服务器建立连接，把本应发往目标的请求发往代理；代理再以自己的出口 IP 与目标建立新连接，转发你的请求，并把目标的响应沿原路返回给你。目标服务器看到的连接来自代理的 IP，而不是你的真实 IP。

代理在协议栈中的位置

代理工作在应用层（如 HTTP 代理）或应用层与传输层之间（如 SOCKS）。它不负责端到端加密的密钥协商——在 HTTPS 场景下，浏览器与目标站建立 TLS 的是「浏览器–目标」或「浏览器–代理」再「代理–目标」，取决于代理类型（正向代理通常用 CONNECT 隧道，代理只转发加密流）。因此代理可以更换出口 IP、改写部分头部，但若为 HTTPS，内容对代理不可见。

与直连的差异

出口 IP 不同：目标只看到代理的 IP，适合需要多地区、多 IP 或隐藏本机 IP 的场景。

多一跳：延迟通常略高于直连，且依赖代理的可用性与带宽。

可改写请求：代理可添加、删除或修改头部（如 X-Forwarded-For、User-Agent），从而影响目标对「谁在访问」的判断，这也是匿名级别（透明 / 匿名 / 高匿）的实现基础。

小结

代理的本质是「请求转发 + 出口替换」：不改变应用协议内容（在 HTTPS 下也看不到内容），只改变请求的发起方和路径。理解这一点后，可以更好地选择协议类型（HTTP/SOCKS）、匿名级别，以及后续的代理基础设施（住宅、机房、移动等）与应用场景。

继续阅读代理 vs VPN、代理 vs Tor，或返回代理基础。