SOCKS 4协议中文文档意译版 -

liujianguangaaa

浏览: 239199 次
性别:
来自: 湖南

最近访客更多访客>>

yu350873809

curacfyh

yanxjun1990

crazyatnet

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

SOCKS 4协议中文文档意译版

SOCKS协议最初由David Koblas设计，后经Ying-Da Lee改进成SOCKS 4协议。

SOCKS4协议主要是如下几个RFC
http://ftp.icm.edu.pl/packages/socks/socks4/SOCKS4.protocol
http://www.rfc-editor.org/rfc/rfc1928.txt
http://www.smartftp.com/Products/SmartFTP/RFC/socks4a.protocol

SOCKS 4只支持TCP转发。

请求报文格式如下:

+----+----+----+----+----+----+----+----+----+----+...+----+
| VN | CD | DSTPORT |    DSTIP       | USERID    |NULL|
+----+----+----+----+----+----+----+----+----+----+...+----+
1 1    2             4          variable    1

VN    SOCKS协议版本号，应该是0x04

CD    SOCKS命令，可取如下值:

      0x01 CONNECT
      0x02 BIND

DSTPORT CD相关的端口信息

DSTIP CD相关的地址信息

USERID  客户方的USERID

NULL 0x00

响应报文格式如下:

+----+----+----+----+----+----+----+----+
| VN | CD | DSTPORT |    DSTIP       |
+----+----+----+----+----+----+----+----+
1 1    2             4

VN    应该为0x00而不是0x04

CD    可取如下值:

      0x5A 允许转发
      0x5B 拒绝转发，一般性失败
      0x5C 拒绝转发，SOCKS 4 Server无法连接到SOCS 4 Client所在主机的
            IDENT服务
      0x5D 拒绝转发，请求报文中的USERID与IDENT服务返回值不相符

DSTPORT CD相关的端口信息

DSTIP CD相关的地址信息

1) CONNECT命令

对于CONNECT请求，DSTIP/DSTPORT指明转发目的地。

SOCKS 4 Server根据源IP、DSTPORT、DSTIP、USERID以及可从SOCS 4 Client所在主
机的IDENT服务(RFC 1413)获取的信息进行综合评估，以决定建立相应连接还是拒绝
转发。

假设CONNECT请求被允许，SOCKS 4 Server试图建立到转发目的地的TCP连接，然后向
SOCKS 4 Client发送响应报文，指明是否成功建立转发连接。

如果CONNECT请求被拒绝，SOCKS 4 Server也向SOCKS 4 Client发送响应报文，随后
立即关闭连接。

CONNECT响应包中只有VN、CD字段有意义，DSTPORT、DSTIP字段被忽略。如果CD等于
0x5A，表示成功建立转发连接，之后SOCKS 4 Client直接在当前TCP连接上发送待转
发数据。

2) BIND命令

FTP协议在某些情况下要求FTP Server主动建立到FTP Client的连接，即FTP数据流。

FTP Client - SOCKS 4 Client - SOCKS 4 Server - FTP Server

a. FTP Client试图建立FTP控制流。SOCKS 4 Client向SOCKS 4 Server发送CONNECT
请求，后者响应请求，最终FTP控制流建立。

CONNECT请求包中指明FTPSERVER.ADDR/FTPSERVER.PORT。

b. FTP Client试图建立FTP数据流。SOCKS 4 Client建立新的到SOCKS 4 Server的
TCP连接，并在新的TCP连接上发送BIND请求。

BIND请求包中仍然指明FTPSERVER.ADDR/FTPSERVER.PORT。

SOCKS 4 Server收到BIND请求，根据这两个信息以及USERID对BIND请求进行评估。
创建新套接字，侦听在AddrA/PortA上，并向SOCKS 4 Client发送第一个BIND响应
包。

BIND响应包中CD不等于0x5A时表示失败，包中DSTPORT、DSTIP字段被忽略。

BIND响应包中CD等于0x5A时，包中DSTIP/DSTPORT对应AddrA/PortA。如果DSTIP等
于0(INADDR_ANY)，SOCKS 4 Client应将其替换成SOCKS 4 Server的IP，当SOCKS
4 Server非多目(multi-homed)主机时就可能出现这种情况。

c. SOCKS 4 Client收到第一个BIND响应包。

FTP Client调用getsockname(不是getpeername)获取AddrA/PortA，通过FTP控制
流向FTP Server发送PORT命令，通知FTP Server应该主动建立到AddrA/PortA的
TCP连接。

d. FTP Server收到PORT命令，主动建立到AddrA/PortA的TCP连接，假设TCP连接相关
四元组是:

AddrB，PortB，AddrA，PortA

e. SOCKS 4 Server收到来自FTP Server的TCP连接请求，检查这条入连接的源IP(
AddrB)是否与FTPSERVER.ADDR匹配，然后向SOCKS 4 Client发送第二个BIND响应
包。

源IP不匹配时第二个BIND响应包中CD字段设为0x5B，然后SOCKS 4 Server关闭这
条用于发送第二个BIND响应包的TCP连接，同时关闭与FTP Server之间的TCP连接，
但主TCP连接(与CONNECT请求相关的那条TCP连接)继续保持中。

源IP匹配时CD字段设为0x5A。然后SOCKS 4 Server开始转发FTP数据流。

无论如何，第二个BIND响应包中DSTPORT、DSTIP字段被忽略。

对于CONNECT、BIND请求，SOCKS 4 Server有一个定时器(当前CSTC实现采用两分钟)。
假设定时器超时，而SOCKS 4 Server与Application Server之间的TCP连接(出连接或
入连接)仍未建立，SOCKS 4 Server将关闭与SOCKS 4 Client之间相应的TCP连接并放
弃相应的转发。