SS客户端将所有http应用层请求(TCP 80端口)数据包(应该至少到IP层,将源和目的IP地址包进去)加密(加密算法可自己设定),再使用socks5协议(默认使用TCP 1080端口,可更改)将数据包传输到SS服务器端,ss服务器端解密出http请求,再将数据包发送给目标IP。(看原理貌似socks只适用于TCP,未改变传输层,UDP可穿透不是很理解;ss IP容易被墙,因此需要为IP添加域名,使用域名访问,使用cloudflare中转,墙不知道背后的IP是多少,可以保护IP)

VPN翻墙将IP层数据包(含实际源IP地址,实际目的IP地址)进行加密,添加新的IP首部(源和目的IP地址设为两个端点的路由器接口)组成新的数据包,到达目的路由器后再解析出原IP数据包并处理。(在公网上真实数据包都是加密过的,因此保护了目的IP地址,在网络层进行操作,貌似比ss更安全?除非封路由器)