在近期,由于使用微软网站作为 Xray REALITY 的回落域名的用户太多,微软工作人员直接发威,将官网的 TLS 设置更改,使其不支持作为 REALITY 的回落域名。通过微软事件,也让我们知道靠着大山是不太可取的。那么我们如何去寻找一些冷门的域名作为 Reality 协议的回落域名呢?这篇文章通过 XTLS 下的 RealiTLScanner 项目,来扫描 VPS 地区附近的 Reality 回落域名。
准备材料
- Linux / Windows 系统的电脑
扫描步骤
- 打开项目地址:https://github.com/XTLS/RealiTLScanner ,点击 Release 下的最新版本
- 选择适合自己电脑系统的版本进行下载
- 在程序目录打开命令行,输入以下命令
plaintext
1 |
.RealiTLScanner-windows-64.exe -addr 1.1.1.1 -port 443 -thread 100 -timeOut 5 |
提示:请将
.RealiTLScanner-windows-64.exe替换成实际的文件名,1.1.1.1替换成 VPS 的 IP 地址
- 可以看到程序已经帮助我们扫出了很多符合 Reality 回落域名条件的域名,如果觉得域名够多够合适的话,可以使用
Ctrl+C退出扫描工具
- 在工具的输出结果中,随便选一个域名,然后使用之前验证回落域名的方法再次验证,可以看到扫描出来的域名已经是符合当回落域名的条件了
Reality 回落域名扫描后的判断标准
RealiTLScanner 可以帮助寻找适合 Reality 的回落域名,但扫描结果不能直接等同于稳定可用。Reality 对目标域名的 TLS 握手、SNI、证书链、访问稳定性和地区可达性都有要求,选择时要结合客户端实际连接结果,而不是只看工具输出。
选择回落域名时重点看什么
- 域名应能正常完成 TLS 握手,证书链完整且访问行为自然。
- 优先选择长期稳定、常见且不会频繁变化的站点,不建议使用异常冷门域名。
- 客户端的 serverName、fingerprint、public key 和 short id 要和服务端配置一致。
- 扫描结果要在目标网络环境里复测,不同运营商和地区表现可能不同。
- 部署完成后仍要检查 DNS、出口 IP 和实际网页访问,不要只看连接成功。
Reality 的排查应按“域名选择、服务端参数、客户端参数、防火墙、实际访问”分层进行。若只是测试客户端是否正常,可以先用 免费节点测速页面 验证基础连接能力。




