一����、什么是網(wǎng)絡(luò)代理�����?當(dāng)我們想訪問一些不被允許或受限的網(wǎng)絡(luò)資源的時(shí)候,為了繞過公司網(wǎng)管的訪問限制��,我們可以將訪問請求發(fā)送給一臺(tái)非受限主機(jī)��,然后讓它代理我們?nèi)ピL問那些受限網(wǎng)絡(luò)資源��,并將收到的響應(yīng)數(shù)據(jù)再傳送給我們���,這樣我們就能夠通過這臺(tái)代理主機(jī)間接訪問那些受限的網(wǎng)絡(luò)資源��,這就是我們常說的網(wǎng)絡(luò)代理。而這種代理我們(客戶端)訪問特定網(wǎng)絡(luò)資源的網(wǎng)絡(luò)代理稱為正向代理���;相對于正向代理,代理服務(wù)器響應(yīng)客戶端訪問請求的網(wǎng)絡(luò)代理稱為反向代理�,反向代理主要應(yīng)用于服務(wù)器集群架構(gòu)中。我們平時(shí)說的網(wǎng)絡(luò)代理泛指正向代理���,是日常上網(wǎng)較常見的�。網(wǎng)絡(luò)代理本質(zhì)就是一種數(shù)據(jù)中繼技術(shù),它的實(shí)現(xiàn)通常涉及四個(gè)組件:
1) 應(yīng)用程序��,安裝在用戶終端內(nèi)的提供某種特定服務(wù)的客戶端程序,譬如瀏覽器。
2) 代理客戶端,安裝在用戶終端內(nèi)的負(fù)責(zé)監(jiān)聽和截獲應(yīng)用程序?qū)W(wǎng)絡(luò)資源的訪問����,并將收到的請求資源交付給應(yīng)用程序。
3) 代理服務(wù)器,一臺(tái)外部主機(jī)����,負(fù)責(zé)與目標(biāo)服務(wù)器建立通信連接,在代理客戶端和目標(biāo)服務(wù)器之間轉(zhuǎn)發(fā)用戶數(shù)據(jù)。
4) 目標(biāo)服務(wù)器�,提供特定網(wǎng)絡(luò)資源的主機(jī)�����。
我們經(jīng)常說的SSL VPN的Clientless和Thin-Client模式本質(zhì)上也是一種網(wǎng)絡(luò)代理技術(shù)。很多人將網(wǎng)絡(luò)代理視為VPN���,實(shí)際上他們的工作原理并不相同�,網(wǎng)絡(luò)代理通過代理服務(wù)器充當(dāng)中間人轉(zhuǎn)發(fā)用戶終端和目標(biāo)服務(wù)器之間的數(shù)據(jù)流量��,從而繞過網(wǎng)絡(luò)限制訪問那些受限的網(wǎng)絡(luò)資源。不僅如此,通過使用緩存機(jī)制網(wǎng)絡(luò)代理還能用于網(wǎng)絡(luò)加速�,提高網(wǎng)絡(luò)訪問速度,其中一個(gè)典型的應(yīng)用就是基于HTTP代理的網(wǎng)絡(luò)加速器���。而VPN通常是通過在公共網(wǎng)絡(luò)基礎(chǔ)上利用加密/封裝技術(shù)構(gòu)建一個(gè)點(diǎn)到點(diǎn)的隧道�,用戶通過這條隧道實(shí)現(xiàn)對特定資源(大多數(shù)是企業(yè)內(nèi)網(wǎng)資源)的訪問�����,其中一個(gè)最為典型的應(yīng)用是IPSec VPN���。
二��、Socks5與Shadowsocks
1. Socks5協(xié)議
Socks5是Socks協(xié)議的第五個(gè)版本��,在Socks4的基礎(chǔ)上新增UDP轉(zhuǎn)發(fā)和認(rèn)證功能,是互聯(lián)網(wǎng)上最典型的一個(gè)網(wǎng)絡(luò)代理協(xié)議����,它的基本工作原理如下圖所示:
圖片來源網(wǎng)絡(luò)
1) 首先Socks5客戶端與Socks5服務(wù)器TCP三次握手建立一條TCP連接��。
2) 然后執(zhí)行Socks5握手�,協(xié)商協(xié)議版本號(hào)���、支持的認(rèn)證方法���,對Socks5客戶端進(jìn)行認(rèn)證(如果配置了驗(yàn)證)。
3) Socks5協(xié)商和認(rèn)證成功后,當(dāng)用戶通過應(yīng)用程序訪問特定網(wǎng)絡(luò)資源時(shí)�����,Socks5客戶端監(jiān)聽并截獲到應(yīng)用程序的訪問請求,然后向Socks5服務(wù)器發(fā)起連接請求�。請求的內(nèi)容包括���,應(yīng)用程序要訪問的目標(biāo)服務(wù)器ip地址或域名和端口等信息。
4) 收到客戶端的連接請求后���,Socks5服務(wù)器和目標(biāo)服務(wù)器進(jìn)行TCP三次握手建立TCP連接��。然后向Socks5客戶端發(fā)送一條Socks5響應(yīng)消息��,通知對方到目標(biāo)服務(wù)器的連接已經(jīng)建立成功。
5) Socks5客戶端將收到的來自應(yīng)用程序的數(shù)據(jù)(可能是應(yīng)用層的數(shù)據(jù),也可能是傳輸層之上的數(shù)據(jù)�����,譬如SSL協(xié)議報(bào)文)通過1)所建立的TCP連接原樣發(fā)送給Socks5服務(wù)器��;Socks5服務(wù)器再將數(shù)據(jù)通過4)建立的TCP連接原樣發(fā)送給目標(biāo)服務(wù)器�����;目標(biāo)服務(wù)器收到應(yīng)用程序的數(shù)據(jù)后���,反向?qū)㈨憫?yīng)數(shù)據(jù)發(fā)送給用戶端的應(yīng)用程序���。
通過Socks5的工作過程不難發(fā)現(xiàn),Socks5網(wǎng)絡(luò)代理明文原樣轉(zhuǎn)發(fā)應(yīng)用程序和服務(wù)器之間交互的數(shù)據(jù)��,它自身沒有數(shù)據(jù)加密功能�,為了保障傳輸過程中數(shù)據(jù)的機(jī)密性和完整性,通常需要依賴代理的上層應(yīng)用自身對數(shù)據(jù)進(jìn)行加密/完整性校驗(yàn)等處理�。談到這里�����,想必大家最關(guān)心的問題是�,通過Socks5能夠繞過網(wǎng)管限制訪問那些受限網(wǎng)絡(luò)資源嗎��?答案是當(dāng)然不能����。因?yàn)镾ocks5明文傳輸數(shù)據(jù),數(shù)據(jù)內(nèi)容一目了然�����,當(dāng)訪問那些受限網(wǎng)絡(luò)資源時(shí)��,很容易被過濾掉,而且像Socks5/IPSec VPN這類協(xié)議協(xié)議特性明顯�,因?yàn)樗麄兊耐ㄐ艌?bào)文格式,協(xié)商過程等都是明文規(guī)范好的很容易識(shí)別��,在沒有獲得公司網(wǎng)管授權(quán)的情況下��,通常不會(huì)允許這種代理/VPN報(bào)文通過���。
2. Shadowsocks協(xié)議
為了繞過公司網(wǎng)管的網(wǎng)絡(luò)限制�,訪問那些受限的網(wǎng)絡(luò)資源����,需要解決網(wǎng)絡(luò)代理明文傳輸數(shù)據(jù)�、協(xié)議特性明顯等問題�,避開公司網(wǎng)管的火眼金睛�。因此��,有大神就在Socks5的基礎(chǔ)上開發(fā)出了大名鼎鼎Shadowsocks協(xié)議也就是影梭。
首先看一下Shadowsocks網(wǎng)絡(luò)代理結(jié)構(gòu)和組件:
1) Socks5客戶端���,安裝在用戶終端內(nèi),作為代理客戶端負(fù)責(zé)監(jiān)聽和截獲應(yīng)用程序的訪問請求��,與Ss-local執(zhí)行Socks5握手協(xié)商、交互用戶數(shù)據(jù)����。
2) Ss-local�,同樣安裝在用戶終端內(nèi)�����,沖當(dāng)Socks5服務(wù)器��,負(fù)責(zé)與Socks5客戶端執(zhí)行握手、用戶數(shù)據(jù)交互,將用戶數(shù)據(jù)加密后發(fā)送給Ss-server��。
3) Ss-server�����,一臺(tái)外部代理服務(wù)器��,負(fù)責(zé)與目標(biāo)服務(wù)器建立通信連接,接收Ss-local加密的用戶數(shù)據(jù)����,解密后轉(zhuǎn)發(fā)給目標(biāo)服務(wù)器�,同時(shí)將收到的目標(biāo)服務(wù)器的響應(yīng)數(shù)據(jù)加密后發(fā)送給Ss-local����。
4) 目標(biāo)服務(wù)器,提供特定網(wǎng)絡(luò)資源的主機(jī)���。
從Shadowsocks代理結(jié)構(gòu)可以看出�,Shadowsocks將Socks5服務(wù)器功能拆分成兩部分:
Ss-local作為Socks5服務(wù)器端,負(fù)責(zé)監(jiān)聽Socks5 客戶端請求�����,與Socks5客戶端進(jìn)行 Socks5 協(xié)議相關(guān)的握手協(xié)商���、處理連接請求��、接收用戶數(shù)據(jù)����。但它并不將用戶數(shù)據(jù)直接發(fā)送給目標(biāo)服務(wù)器��,而是發(fā)送給Ss-server����。Ss-server作為代理服務(wù)器�����,負(fù)責(zé)與目標(biāo)服務(wù)器建立通信連接,將用戶數(shù)據(jù)轉(zhuǎn)發(fā)給目標(biāo)服務(wù)器����。
這樣做的好處是���,Socks5客戶端和Ss-local都是安裝在用戶終端內(nèi)�����,Socks5協(xié)議握手協(xié)商是在本地完成的���,降低了網(wǎng)絡(luò)延時(shí)����,加快Socks5協(xié)商過程���,并且隱藏了Socks5握手過程中的協(xié)議特征�。
注:Ss-local和Ss-server之間并不運(yùn)行Socks5握手協(xié)商�����。
Ss-local與Ss-server之間運(yùn)行自定義的Shadowsocks協(xié)議���,它定義了數(shù)據(jù)傳輸規(guī)則、數(shù)據(jù)加解密算法(AEAD加密/流加密)���、預(yù)共享密鑰方式的身份驗(yàn)證、數(shù)據(jù)混淆插件等,對傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行加密處理���,這樣就保證了數(shù)據(jù)的機(jī)密性。同時(shí)可以使用數(shù)據(jù)混淆插件(simple-obfs)對加密后的數(shù)據(jù)進(jìn)行混淆去掉流量特征��,把Ss-local和Ss-server之間的流量偽裝成普通的TCP或UDP流量。
注:Ss-local與Ss-server之間它們之間并不進(jìn)行密鑰協(xié)商和交換�����。加密密鑰通過什么算法產(chǎn)生的�����,本人并沒有深入了解����,有興趣的朋友可以查看一些相關(guān)文章。
Ss-local發(fā)送給Ss-server加密前的數(shù)據(jù)格式為:
target address:目標(biāo)服務(wù)器的IP地址或域名以及端口號(hào),它的格式為:
[1-byte type][variable-length host][2-byte port]
type:地址類型
1. 0x01: host是一個(gè)4-byte的IPV4地址����。2. 0x03: host是一個(gè)變長字符串���。第一個(gè)byte是一個(gè)變長字符串長度�, 接下來是一個(gè)最長255byte的域名���。
3. 0x04: host是一個(gè)IPV6地址�。
port:端口號(hào)
payload:用戶數(shù)據(jù)
注:Ss-server發(fā)送給Ss-local加密前的數(shù)據(jù)格式不含target字段�����。
Ss-local和Ss-server之間傳輸?shù)募用芎蟮臄?shù)據(jù)格式為:
?
| 使用AEAD加密后的數(shù)據(jù)格式��,只有數(shù)據(jù)流的首包攜帶salt�����,用于計(jì)算解密KEY。 [salt][encrypted length][length tag][encrypted payload][payload tag]
|
最后我們看一下Shadowsocks的基本工作過程:
1) Socks5客戶端與Ss-local建立TCP連接,進(jìn)行Socks5握手協(xié)商�����。
2) Socks5客戶端截獲應(yīng)用程序的網(wǎng)絡(luò)訪問請求后,向Ss-local發(fā)送連接請求���。
3) Ss-local收到客戶端的連接請求后,向Ss-server發(fā)起TCP三次握手��,建立TCP連接����。然后向Socks5客戶端發(fā)送一條Socks5響應(yīng)消息,通知對方連接成功���。
4) Socks5客戶端將用戶數(shù)據(jù)發(fā)送給Ss-local���,Ss-local對用戶數(shù)據(jù)進(jìn)行加密和混淆(可選)處理后�����,發(fā)送給Ss-server�����。
5) Ss-server解密收到的用戶數(shù)據(jù),并根據(jù)target字段解析出目標(biāo)服務(wù)器的IP地址/域名以及端口號(hào)����。然后向目標(biāo)服務(wù)器發(fā)起TCP三次握手���,建立TCP連接���,將用戶數(shù)據(jù)轉(zhuǎn)發(fā)給目標(biāo)服務(wù)器。目標(biāo)服務(wù)器將響應(yīng)數(shù)據(jù)再反向發(fā)送給應(yīng)用程序����。
正所謂道高一尺魔高一丈�,隨著網(wǎng)絡(luò)監(jiān)管技術(shù)的不斷發(fā)展和提高,Shadowsocks也在不斷地演變和進(jìn)化���,以滿足一些人科學(xué)上網(wǎng)的需求。
閱讀原文:原文鏈接
該文章在 2025/7/14 18:42:04 編輯過
400 186 1886
