@PigeonAdultman 尝试一下大白话：
我直接访问谷歌：被墙❌
我↔️ 美国服务器A↔️ 谷歌 ✔️
问题在于，我↔️ 服务器A这一段，要经过墙。如果我的流量明晃晃写着：“在用谷歌搜索”。那指定不行。所以要伪装一下，这就诞生了各类伪装协议。

这里涉及到一点网络知识，就是我们发出去的流量类似于，我有一箱苹果要快递，我的浏览器给出这箱苹果（应用层），电脑打包📦发出去（传输层），他是一层层打包的。到了墙手里，它要反过来一层层去拆开看下里面是什么。就需要知道是怎么打包的，但我对苹果是一种打包方式，对香蕉是另一种，墙要成功拆开，需要从外表判断出打包方式（协议）才能逆向拆包。拆包完就能看出来这包里装了些啥，要发到哪里去。从而决定要不要阻拦。

最早期的Shadowsocks，翻墙原理就是用一种协议把你的数据变成一串看起来完全随机的0101。

在当时，墙看到一串随机的，也不知道这📦咋拆，感觉好像也不重要的样子，就放过了。但后来墙学聪明了，遇到这种随机流量，有了一些检测的办法（比如重放攻击，就是我发现这个数据包可疑，我抓住，然后过一会儿我重新发送这个包，甚至我稍微修改一点数据，看看你的反应，来判断你是不是翻墙用的服务器）

这是最开始的翻墙思路，把自己的存在感降到最低。但后来的trojan就是另外一种思路，采用特征非常明显的tls。来一个大隐隐于市。

tls是不对称加密，可以理解成一把锁一把钥匙。我本地用一把锁把我的流量锁起来了，只有我的翻墙服务器，才有钥匙可以把锁打开。到了墙手里，发现这个📦上锁了，打不开，无从判断。那墙可不可以看到上锁的就拦截呢？当然不可以，全世界https网站都用了tls加密，墙自然分不清哪个是正常的网页浏览哪个是翻墙。

当然其中还是有很多技术细节被略过了。

发展到现在，墙确实不太能单纯从某个📦中分辨是不是翻墙了，但翻墙不可能只发一个📦，我们上YouTube看个视频，就意味着有很多📦不停地来回，正常看个网页，不会这样长时间大流量📦，这算是可疑的一个点吧。

反正总能找到一些特征是可疑的。把这些可疑流量进行截断、丢包之类的，甚至直接对ip进行拦截，就达到了墙的目的。

但缺点也很明显，对墙来说成本高负载大，且非常容易误杀。

对墙内用户有啥区别：
普通用户翻墙都是花钱买服务，本来就不需要知道技术细节，所以区别不大。但对于机场来说，要花时间精力去维护节点，成本变高，不负责的机场就不去维护，用户体验变差。这个成本最终还是会转移到用户。反正我用的一个机场就涨价了。。。
还有一部分人是自建。这部分人里有技术的，由于自用流量小，运气不太差就可以躲过封锁。这部分人里没技术的，被封ip封端口很正常。对这部分人区别很大。