雨翔河
首页
列表
关于
解析 socks5 协议引发的遐想
2019-03-31 03:36
这几天闲来无事用rust语言写了个解析socks5协议的小应用,精简版的s5,可以将流量代理到中间服务器,目前只实现了TCP,UDP没去看,这个过程让我想到了一些不可描述的事情。 首先socks5协议还是比较简单的,主要问题是socks5认证之后的交互过程稍微麻烦点,虽然是把中间代理服务器当做透明的,互传TCP的数据包即可。 但是如果两方流量需要加密传输的话就得解决第一个包的粘包问题(有人会问为啥第一个包会有粘包问题,因为第一个包过去的数据是s5协议最后一步传要访问的地址和端口数据,第二个数据包才开始真正传输TCP)。 看了下著名的应用shadowsocks并没有刻意去解决粘包问题,而是让第一个数据包和第二个数据包一起发送过去,服务端解密后解析传输即可。 新版本的shadowsocks有人提出了一个实验性的TCP握手协议,也就是说直接在TCP上简单封装一层协议, 大致的协议格式是这样的: ``` 标志版本号(1byte)|首包总长度(2byte)|随机填充长度(1byte)|随机填充数据|原ss首数据包|CRC32(4byte) ``` 不过也想过假设我是中间人,要识别出你这个数据是属于非法访问外网的数据包,因为你是双方加密传输的,相当于中间一条隧道,破解的概率是微乎其微的,但是因为是双方加密,数据包的混乱程度必然是很大的,也就是说如果采用截取数据包下来,用熵值法计算这个数据包的墒值,值越大说明这个数据包是有问题的,因为即使是https协议的数据包,他的握手过程都是有相似之处的。 混乱度超大的不可识别的数据包可以认定为非法访问外网数据包,你懂的。 假设我是访问者想要降低这种被发现的概率,理论上应该可以在数据包头尾模拟上https协议的请求过程的数据结构,这样可以蒙混过关。。。点到为止。。。
类型:工作
标签:sock5,rust
Copyright © 雨翔河
我与我周旋久
独孤影
开源实验室