當我們想訪問一些不被允許或受限的網(wǎng)絡(luò)資源的時候����,為了繞過公司網(wǎng)管的訪問限制�,我們可以將訪問請求發(fā)送給一臺非受限主機����,然后讓它代理我們?nèi)ピL問那些受限網(wǎng)絡(luò)資源,并將收到的響應(yīng)數(shù)據(jù)再傳送給我們�,這樣我們就能夠通過這臺代理主機間接訪問那些受限的網(wǎng)絡(luò)資源����,這就是我們常說的網(wǎng)絡(luò)代理�����。而這種代理我們(客戶端)訪問特定網(wǎng)絡(luò)資源的網(wǎng)絡(luò)代理稱為正向代理����;相對于正向代理�����,代理服務(wù)器響應(yīng)客戶端訪問請求的網(wǎng)絡(luò)代理稱為反向代理����,反向代理主要應(yīng)用于服務(wù)器集群架構(gòu)中����。我們平時說的網(wǎng)絡(luò)代理泛指正向代理�����,是日常上網(wǎng)較常見的�����。網(wǎng)絡(luò)代理本質(zhì)就是一種數(shù)據(jù)中繼技術(shù),它的實現(xiàn)通常涉及四個組件:
1) 應(yīng)用程序,安裝在用戶終端內(nèi)的提供某種特定服務(wù)的客戶端程序���,譬如瀏覽器。
2) 代理客戶端,安裝在用戶終端內(nèi)的負責(zé)監(jiān)聽和截獲應(yīng)用程序?qū)W(wǎng)絡(luò)資源的訪問,并將收到的請求資源交付給應(yīng)用程序����。
3) 代理服務(wù)器�����,一臺外部主機,負責(zé)與目標服務(wù)器建立通信連接,在代理客戶端和目標服務(wù)器之間轉(zhuǎn)發(fā)用戶數(shù)據(jù)����。
4) 目標服務(wù)器��,提供特定網(wǎng)絡(luò)資源的主機。
我們經(jīng)常說的SSL VPN的Clientless和Thin-Client模式本質(zhì)上也是一種網(wǎng)絡(luò)代理技術(shù)。很多人將網(wǎng)絡(luò)代理視為VPN,實際上他們的工作原理并不相同,網(wǎng)絡(luò)代理通過代理服務(wù)器充當中間人轉(zhuǎn)發(fā)用戶終端和目標服務(wù)器之間的數(shù)據(jù)流量�,從而繞過網(wǎng)絡(luò)限制訪問那些受限的網(wǎng)絡(luò)資源��。不僅如此,通過使用緩存機制網(wǎng)絡(luò)代理還能用于網(wǎng)絡(luò)加速�,提高網(wǎng)絡(luò)訪問速度���,其中一個典型的應(yīng)用就是基于HTTP代理的網(wǎng)絡(luò)加速器����。而VPN通常是通過在公共網(wǎng)絡(luò)基礎(chǔ)上利用加密/封裝技術(shù)構(gòu)建一個點到點的隧道�,用戶通過這條隧道實現(xiàn)對特定資源(大多數(shù)是企業(yè)內(nèi)網(wǎng)資源)的訪問,其中一個最為典型的應(yīng)用是IPSec VPN����。
二����、Socks5與Shadowsocks
1. Socks5協(xié)議
Socks5是Socks協(xié)議的第五個版本����,在Socks4的基礎(chǔ)上新增UDP轉(zhuǎn)發(fā)和認證功能,是互聯(lián)網(wǎng)上最典型的一個網(wǎng)絡(luò)代理協(xié)議,它的基本工作原理如下圖所示:
圖片來源網(wǎng)絡(luò)
1) 首先Socks5客戶端與Socks5服務(wù)器TCP三次握手建立一條TCP連接。
2) 然后執(zhí)行Socks5握手����,協(xié)商協(xié)議版本號���、支持的認證方法���,對Socks5客戶端進行認證(如果配置了驗證)����。
3) Socks5協(xié)商和認證成功后��,當用戶通過應(yīng)用程序訪問特定網(wǎng)絡(luò)資源時�����,Socks5客戶端監(jiān)聽并截獲到應(yīng)用程序的訪問請求,然后向Socks5服務(wù)器發(fā)起連接請求�。請求的內(nèi)容包括�,應(yīng)用程序要訪問的目標服務(wù)器ip地址或域名和端口等信息�。
4) 收到客戶端的連接請求后,Socks5服務(wù)器和目標服務(wù)器進行TCP三次握手建立TCP連接���。然后向Socks5客戶端發(fā)送一條Socks5響應(yīng)消息��,通知對方到目標服務(wù)器的連接已經(jīng)建立成功����。
5) Socks5客戶端將收到的來自應(yīng)用程序的數(shù)據(jù)(可能是應(yīng)用層的數(shù)據(jù)��,也可能是傳輸層之上的數(shù)據(jù)���,譬如SSL協(xié)議報文)通過1)所建立的TCP連接原樣發(fā)送給Socks5服務(wù)器�;Socks5服務(wù)器再將數(shù)據(jù)通過4)建立的TCP連接原樣發(fā)送給目標服務(wù)器�;目標服務(wù)器收到應(yīng)用程序的數(shù)據(jù)后,反向?qū)㈨憫?yīng)數(shù)據(jù)發(fā)送給用戶端的應(yīng)用程序����。
通過Socks5的工作過程不難發(fā)現(xiàn)����,Socks5網(wǎng)絡(luò)代理明文原樣轉(zhuǎn)發(fā)應(yīng)用程序和服務(wù)器之間交互的數(shù)據(jù)����,它自身沒有數(shù)據(jù)加密功能,為了保障傳輸過程中數(shù)據(jù)的機密性和完整性�����,通常需要依賴代理的上層應(yīng)用自身對數(shù)據(jù)進行加密/完整性校驗等處理����。談到這里,想必大家最關(guān)心的問題是���,通過Socks5能夠繞過網(wǎng)管限制訪問那些受限網(wǎng)絡(luò)資源嗎?答案是當然不能��。因為Socks5明文傳輸數(shù)據(jù)���,數(shù)據(jù)內(nèi)容一目了然�����,當訪問那些受限網(wǎng)絡(luò)資源時�����,很容易被過濾掉,而且像Socks5/IPSec VPN這類協(xié)議協(xié)議特性明顯�����,因為他們的通信報文格式�,協(xié)商過程等都是明文規(guī)范好的很容易識別,在沒有獲得公司網(wǎng)管授權(quán)的情況下���,通常不會允許這種代理/VPN報文通過。
2. Shadowsocks協(xié)議
為了繞過公司網(wǎng)管的網(wǎng)絡(luò)限制����,訪問那些受限的網(wǎng)絡(luò)資源��,需要解決網(wǎng)絡(luò)代理明文傳輸數(shù)據(jù)、協(xié)議特性明顯等問題,避開公司網(wǎng)管的火眼金睛。因此����,有大神就在Socks5的基礎(chǔ)上開發(fā)出了大名鼎鼎Shadowsocks協(xié)議也就是影梭���。
首先看一下Shadowsocks網(wǎng)絡(luò)代理結(jié)構(gòu)和組件:
1) Socks5客戶端�,安裝在用戶終端內(nèi)����,作為代理客戶端負責(zé)監(jiān)聽和截獲應(yīng)用程序的訪問請求���,與Ss-local執(zhí)行Socks5握手協(xié)商����、交互用戶數(shù)據(jù)。
2) Ss-local,同樣安裝在用戶終端內(nèi)���,沖當Socks5服務(wù)器,負責(zé)與Socks5客戶端執(zhí)行握手、用戶數(shù)據(jù)交互,將用戶數(shù)據(jù)加密后發(fā)送給Ss-server。
3) Ss-server,一臺外部代理服務(wù)器�����,負責(zé)與目標服務(wù)器建立通信連接�����,接收Ss-local加密的用戶數(shù)據(jù)���,解密后轉(zhuǎn)發(fā)給目標服務(wù)器�����,同時將收到的目標服務(wù)器的響應(yīng)數(shù)據(jù)加密后發(fā)送給Ss-local。
4) 目標服務(wù)器,提供特定網(wǎng)絡(luò)資源的主機��。
從Shadowsocks代理結(jié)構(gòu)可以看出��,Shadowsocks將Socks5服務(wù)器功能拆分成兩部分:
Ss-local作為Socks5服務(wù)器端���,負責(zé)監(jiān)聽Socks5 客戶端請求�,與Socks5客戶端進行 Socks5 協(xié)議相關(guān)的握手協(xié)商��、處理連接請求、接收用戶數(shù)據(jù)�����。但它并不將用戶數(shù)據(jù)直接發(fā)送給目標服務(wù)器��,而是發(fā)送給Ss-server���。Ss-server作為代理服務(wù)器���,負責(zé)與目標服務(wù)器建立通信連接���,將用戶數(shù)據(jù)轉(zhuǎn)發(fā)給目標服務(wù)器���。
這樣做的好處是�,Socks5客戶端和Ss-local都是安裝在用戶終端內(nèi),Socks5協(xié)議握手協(xié)商是在本地完成的���,降低了網(wǎng)絡(luò)延時,加快Socks5協(xié)商過程�����,并且隱藏了Socks5握手過程中的協(xié)議特征�。
注:Ss-local和Ss-server之間并不運行Socks5握手協(xié)商。
Ss-local與Ss-server之間運行自定義的Shadowsocks協(xié)議,它定義了數(shù)據(jù)傳輸規(guī)則���、數(shù)據(jù)加解密算法(AEAD加密/流加密)、預(yù)共享密鑰方式的身份驗證�����、數(shù)據(jù)混淆插件等�����,對傳輸?shù)挠脩魯?shù)據(jù)進行加密處理,這樣就保證了數(shù)據(jù)的機密性���。同時可以使用數(shù)據(jù)混淆插件(simple-obfs)對加密后的數(shù)據(jù)進行混淆去掉流量特征,把Ss-local和Ss-server之間的流量偽裝成普通的TCP或UDP流量���。
注:Ss-local與Ss-server之間它們之間并不進行密鑰協(xié)商和交換。加密密鑰通過什么算法產(chǎn)生的�����,本人并沒有深入了解��,有興趣的朋友可以查看一些相關(guān)文章����。
Ss-local發(fā)送給Ss-server加密前的數(shù)據(jù)格式為:
target address:目標服務(wù)器的IP地址或域名以及端口號�,它的格式為:
[1-byte type][variable-length host][2-byte port]
type:地址類型
1. 0x01: host是一個4-byte的IPV4地址。2. 0x03: host是一個變長字符串。第一個byte是一個變長字符串長度, 接下來是一個最長255byte的域名�����。
3. 0x04: host是一個IPV6地址����。
port:端口號
payload:用戶數(shù)據(jù)
注:Ss-server發(fā)送給Ss-local加密前的數(shù)據(jù)格式不含target字段。
Ss-local和Ss-server之間傳輸?shù)募用芎蟮臄?shù)據(jù)格式為:
?
| 使用AEAD加密后的數(shù)據(jù)格式����,只有數(shù)據(jù)流的首包攜帶salt����,用于計算解密KEY��。 [salt][encrypted length][length tag][encrypted payload][payload tag]
|
最后我們看一下Shadowsocks的基本工作過程:
1) Socks5客戶端與Ss-local建立TCP連接,進行Socks5握手協(xié)商。
2) Socks5客戶端截獲應(yīng)用程序的網(wǎng)絡(luò)訪問請求后�����,向Ss-local發(fā)送連接請求�����。
3) Ss-local收到客戶端的連接請求后����,向Ss-server發(fā)起TCP三次握手,建立TCP連接。然后向Socks5客戶端發(fā)送一條Socks5響應(yīng)消息,通知對方連接成功��。
4) Socks5客戶端將用戶數(shù)據(jù)發(fā)送給Ss-local��,Ss-local對用戶數(shù)據(jù)進行加密和混淆(可選)處理后���,發(fā)送給Ss-server�。
5) Ss-server解密收到的用戶數(shù)據(jù)�����,并根據(jù)target字段解析出目標服務(wù)器的IP地址/域名以及端口號�����。然后向目標服務(wù)器發(fā)起TCP三次握手,建立TCP連接���,將用戶數(shù)據(jù)轉(zhuǎn)發(fā)給目標服務(wù)器。目標服務(wù)器將響應(yīng)數(shù)據(jù)再反向發(fā)送給應(yīng)用程序���。
正所謂道高一尺魔高一丈���,隨著網(wǎng)絡(luò)監(jiān)管技術(shù)的不斷發(fā)展和提高�,Shadowsocks也在不斷地演變和進化,以滿足一些人科學(xué)上網(wǎng)的需求�。
閱讀原文:原文鏈接
該文章在 2025/7/14 18:42:04 編輯過
400 186 1886
