Socket5协议中文文档.docxVIP

(RFC1928)Socket5协议中文文档译者：Radeon（Radeon bise@）译文发布时间：2001-6-18目录1.介绍2．现有的协议3．基于TCP协议的客户4．请求5．地址6．应答7．基于UDP协议的客户8. 安全性考虑9. 参考书目1.介绍利用网络防火墙可以将组织内部的网络结构从外部网络如INTERNET中有效地隔离，这种方法在许多网络系统中正变得流行起来。这种防火墙系统通常以应用层网关的形式工作在两个网络之间，提供TELNET、FTP、SMTP等的接入。随着越来越多的使全球信息查找更容易的复杂的应用层协议的出现，有必要提供一个通用框架来使这些协议安全透明地穿过防火墙。而且在实际应用中还需要一种安全的认证方式用以穿越防火墙。这个要求起源于两个组织的网络中客户/服务器关系的出现，这个关系需要得到控制并要求有安全的认证。在这儿所描述的协议框架是为了让使用TCP和UDP的客户/服务器应用程序更方便安全地使用网络防火墙所提供的服务所设计的。这个协议从概念上来讲是介于应用层和传输层之间的“中介层(shim-layer)”，因而不提供如传递ICMP信息之类由网络层网关的所提供的服务。2．现有的协议当前存在一个协议SOCKS 4，它为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议的客户/服务器程序提供了一个不安全的防火墙。而这个新的协议扩展了SOCKS V4，以使其支持UDP、框架规定的安全认证方案、地址解析方案(addressing scheme)中所规定的域名和IPV6。为了实现这个SOCKS协议，通常需要重新编译或者重新链接基于TCP的客户端应用程序以使用SOCKS库中相应的加密函数。注意：除非特别注明，所有出现在数据包格式图中的十进制数字均以字节表示相应域的长度。如果某域需要给定一个字节的值，用X’hh’来表示这个字节中的值。如果某域中用到单词’Variable’，这表示该域的长度是可变的，且该长度定义在一个和这个域相关联（1 – 2个字节）的域中，或一个数据类型域中。3．基于TCP协议的客户当一个基于TCP协议的客户端希望与一个只能通过防火墙可以到达的目标(这是由实现所决定的)建立连接，它必须先建立一个与SOCKS服务器上SOCKS端口的TCP连接。通常这个TCP端口是1080。当连接建立后，客户端进入协议的“握手(negotiation)”过程：认证方式的选择，根据选中的方式进行认证，然后发送转发的要求。SOCKS服务器检查这个要求，根据结果，或建立合适的连接，或拒绝。除非特别注明，所有出现在数据包格式图中的十进制数字均以字节表示相应域的长度。如果某域需要给定一个字节的值，用X’hh’来表示这个字节中的值。如果某域中用到单词’Variable’，这表示该域的长度是可变的，且该长度定义在一个和这个域相关联（1 – 2个字节）的域中，或一个数据类型域中。客户端连到服务器后，然后就发送请求来协商版本和认证方法：VERNMETHODSMETHODS111 to 255这个版本的SOCKS协议中，VER字段被设置成X05。NMETHODS字段包含了在METHODS字段中出现的方法标示的数目（以字节为单位）。服务器从这些给定的方法中选择一个并发送一个方法选中的消息回客户端：VERMETHOD11如果选中的消息是X’FF’，这表示客户端所列出的方法列表中没有一个方法被选中，客户端必须关闭连接。当前定义的方法有：· X’00’ 不需要认证· X’01’ GSSAPI· X’02’ 用户名/密码· X’03’ -- X’7F’ 由IANA分配· X’80’ -- X’FE’ 为私人方法所保留的· X’FF’ 没有可以接受的方法然后客户和服务器进入由选定认证方法所决定的子协商过程(sub-negotiation)。各种不同的方法的子协商过程的描述请参考各自的备忘录。开发者如果要为自己的方法得到一个方法号，可以联系IANA。可以参考关于已经被分配号码的文档以得到当前所有方法的列表和相应的协议。符合本文档的SOCKS V5实现必须支持GSSAPI，并且在将来支持用户名/密码认证方式。4．请求一旦子协商过程结束后，客户端就发送详细的请求信息。如果协商的方法中有以完整性检查和/或安全性为目的的封装，这些请求必须按照该方法所定义的方式进行封装。SOCKS请求的格式如下：VERCMDRSVATYPDST.ADDRDST.PROT11X’00’1Variable2其中· VER 协议版本: X’05’· CMD· CONNECT：X’01’· BIND：X’02’· UDP ASSOCIATE：X’03’· RSV 保留· ATYP 后面的地址类型· IPV4：X’01’· 域名：X’03’· IPV6：X’04’· D