Author: Ying-DaLee
PrincipalMember Technical Staff
NEC Systems Laboratory, CSTC
ylee@syl.dl.nec.com
========================
Translator: Stephen Liang
stephen_liang@163.com
========================
SOCKS最初由David Koblas开发,随后由Ying-Da Lee修改并扩展到当前的运行版本——Version 4。
这是一个中继转播协议,它通过在防火墙主机上转发TCP会话,允许应用的用户透明地穿越防火墙进行访问。由于这个协议独立于应用的协议,它能够(而且已经)被用于许多不同的服务,例如telnet, ftp, finger, whois,gopher, WWW等等。访问控制在TCP会话开始时产生请求;之后服务器在客户端和应用服务器间进行简单的转发,仅产生最小的数据处理开销。由于SOCKS从来不必知道应用程序协议的任何内容,它也可以很空易调整应用程序,使用加密来保护应用数据传输,使数据不会受到嗅探器截获。
两种操作定义:CONNECT(连接)和BIND(绑定)。
1) CONNECT
客户端连接到SOCKS服务器,并发送CONNECT请求, 以此来建立一个到应用服务器的连接。客户端在请求中包含了目标主机的IP地址和端口、用户id。下面是请求包的格式。
+—-+—-+—-+—-+—-+—-+—-+—-+—-+—-+….+—-+
| VN | CD | DSTPORT | DSTIP | USERID |NULL|
+—-+—-+—-+—-+—-+—-+—-+—-+—-+—-+….+—-+
# of bytes:
1 1 2 4 variable 1
VN是SOCKS协议的版本号,值为4。CD是SOCKS命令代码,CONNECT请求时的值应为1。NULL长度为一字节,值为0。
SOCKS服务器检查一个请求是否应该被授权,规则是基于源IP地址,目标IP地址,目标端口,用户id,以及它可以获得的经过商议的识别信息,参阅RFC 1413。假如请求被授权,SOCKS创建一个到指定的目标主机端口的连接。一个应答包返回给客户端,当发生连接建立、请求被拒约或操作失败。
+—-+—-+—-+—-+—-+—-+—-+—-+
| VN| CD | DSTPORT | DSTIP |
+—-+—-+—-+—-+—-+—-+—-+—-+
# of bytes: 1 1 2 4
VN是应答代码的版本,值为0。CD是结果代码,它可以是以下的值:
90:请求被授权
91:请求被拒绝或失败
92:请求被拒绝,SOCKS服务器无法连接到客户端的identd。
93:请求被拒约,客户端程序和identd使用不同的用户id
注:identd 是一个服务器,它按照 RFC 1413 文档中指定的方式实现TCP/IP 提议的标准 IDENT 用户身份识别协议。identd 的操作原理是查找特定 TCP/IP 连接并返回拥有此连接的进程的用户名。作为选择,它也可以返回其它信息,而不是用户名。
剩余的域被忽略。
SOCKS服务器在通知客户端失败或请求拒绝后,立即断开连接。对于一个成功的请求,SOCKS服务器准备好做双向转发。这样可以使客户端在这个连接上做I/O操作,就像它直接连接到应用程序服务器。
2) BIND
客户端连接到SOCKS服务器并发送绑定请求,这表示它想要为应用服务器的入站连接做准备。它应当仅发生在与服务器的主连接通过CONNECT建立之后。下面是动作序列的典型部分:
-bind(): 获得一个socket
-getsockname(): 获取socket的IP地址和端口
-listen(): 准备接收应用服务器的请求
-使用主连接通知应用服务器可以连接的IP地址和端口。
-accept(): 接收应用服务器的连接
SOCKS的BIND操作的目的是为了支持这样一个操作序列,它使用SOCKS服务器上的socket,而不是客户端。客户端在请求包中包括应用程序服务器的IP地址、用于主连接的目标端口、以及用户id。
+—-+—-+—-+—-+—-+—-+—-+—-+—-+—-+….+—-+
| VN | CD | DSTPORT | DSTIP | USERID |NULL|
+—-+—-+—-+—-+—-+—-+—-+—-+—-+—-+….+—-+
# of bytes:
1 1 2 4 variable 1
VN也是SOCKS的协议版本号4。CD值必须为2,表示BIND请求。
SOCKS服务器使用客户端信息决定请求是否被授权。返回给客户端应答格式与CONNECT请求相同,即,
+—-+—-+—-+—-+—-+—-+—-+—-+
| VN| CD | DSTPORT | DSTIP |
+—-+—-+—-+—-+—-+—-+—-+—-+
# of bytes: 1 1 2 4
VN是应答代码的版本,值为0。CD是结果代码,它可以是以下的值:
90:请求被授权
91:请求被拒绝或失败
92:请求被拒绝,SOCKS服务器无法连接到客户端的identd。
93:请求被拒约,客户端程序和identd使用不同的用户id
然而,对于一个被授权的请求(CD值为90),DSTPORT和DSTIP域是有意义的。这样的话,SOCKS获得一个socket并等待进来的连接,然后依次通过DSTPORT和DSTIP将socket的IP地址和端口发送到客户端。假如应答中的DSTIP值为0(值的常量为INADDR_ANY),然后客户端应当使用连接到客户端的SOCKS服务器的IP地址替换。(这种情况发生在假如SOCKS服务器为非多主机时)典型情况下,这两个数字对于应用客户端程序通过操作序列getsockname()调用的结果是可得到的。应用程序协议必须提供一种方式,这两个信息可以从客户端发送到应用服务器,以便应用服务器能发起到SOCKS服务器的连接,而不是像正常情况下直连到应用客户端。
当应用服务器的预先连接建立后,SOCKS服务器发送第二个应答包给客户端。SOCKS服务器检查与客户端BIND请求中指定的DSTIP值对应的起始主机IP地址。假如匹配错误,第二次应答中的CD域被设轩为91,并且SOCKS服务器断开两边的连接。假如匹配正确,第二次应答中的CD域被设置为90并且SOCKS服务器准备好转发两个连接间的传输。从这时起,客户端在此与SOCKS服务器连接上做I/O操作,就像直接连接到应用服务器。
对于CONNECT和BIND操作,服务器对与应用服务器连接的建立做了时间限制(在当前CSTC实现中为2分钟)。假如连接在时间限制过到期时未能建立,服务器关闭与客户端的连接并放弃。
今天的文章tcp 防火墙_socks5协议端口设置分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/88450.html