代理的应用是很广泛的,比如我们通过一台代理服务器让局域网用户共享上网,NAT, ISA,CCProxy,SyGate,WinGate等等,甚至连路由器我都认为是一种特殊的代理服务器,它只不过是通过硬件和软件的方式,使一个网络中的计算机能够连接另一个网络中一个设备,所有的数据包都要经过路由器代理转发,所以说网络的世界简直 就是一个代理的世界。其实我们上网的时候已经使用了代理服务器,只是有可能你不知道,上网的时候,电信有一台服务器会缓存你所有上网的记录,这台服务器就是中间的一个代理服务器。
可能你在网上下载的时候,有的地方可能限制一IP一个连接,这时候代理就可以起作用了。 通过代理你就可以多ip多连接,提高下载速度。有时网站还有一线程的限制,你可以通过影音传送带,用多个线程多个代理来下载。
代理也是HACKER经常使用的手段,比如洪水攻击,DDOS攻击,hacker控制了一批计算机,每个都装有一个攻击的软件,然后hacker会通过很多级代理,可能中转了多个国家,向他控制的傀儡计算机发出攻击某个目标地址的指令,这些傀儡计算机也可 以看作是hacker的代理服务器,只不过它起的作用是攻击,虽然hacker本人的计算机并没有直接攻击。
可能我把代理的概念说的广了一点,以上仅仅是我个人的观点。
我们在来分析一下各代理的特点,HTTP代理和普通SOCKS代理未加密,虽说应用比较广,但数据包都是以明文传输。SSL页面代理,虽说通信过程是SSL加密的,但不能运行程序,只能通过这样的代理登陆另一个网站。跳板数据包是加密的,也可以通过Soc ksCap运行程序,使该程序走代理通道,但跳板加密我们并不知道是什么样的方式,有没有被破解,而且现在跳板的服务端程序已经被很多杀毒软件列为病毒,现在找跳板比较难,做就更难了,会被很多杀毒软件给杀掉。跳板失效也很快,跳板所走的数据流有特征,所 以说这些代理都有一定的局限性。
下面介绍利用一些软件做走SSL加密的SOCKS代理,实现原理:openssl+stunnel+socks5构架,第一个是提供ssl加密,第三个是以socks5方式联网,stunnel是把两个连起来,使socks5变成ssl。同理,还有ope nssl+stunnel+http构架,openssl+stunnel+socks4构架,等等,这些构架都是使用了“端口映射”的概念。“映射”是什么意思呢?举个例子说,在网络上,可以通过IPC命令把远端机器的c盘映射成本机的z盘,例如,我有 两个机器,IP地址分别是127.0.0.1和192.168.0.1,分别位于北京和广州。我在127.0.0.1,想把我的d盘上一个文件复制到192.168.0.1的c盘上,可以通过网络连接到192.168.0.1,然后通过ipc命令把192 .168.0.1地c盘映射到127.0.0.1的z盘,这时,127.0.0.1的资源管理器就会多出一个z盘,我可以把这个z盘当成自己本机上的一个硬盘对待,复制、粘贴、剪切等等。这个z盘实际上是192.168.0.1的c盘,但我通过“映射”把 它变为127.0.0.1上的z盘,罗嗦了这么多就是让大家对“映射”有个概念。上面说的是“磁盘映射”,其实“端口映射”也是一个道理,就是把远端的一个端口变成本机的一个端口。
假如我的IP是127.0.0.1,然后在网络的另一端有一个192.168.0.1,网管恰好是我的朋友,已知192.168.0.1已经安装一个snake跳板,端口是1122。现在我想用socks5代理上msn,就想:如果这个192.168.0 .1的1122变成我的1913端口就好了,那就可以用它来上msn了。这时就需要openssl和stunnel了,现在那个朋友动手了,运行stunnel,把自己(192.168.0.1)的1122端口映射成自己的(192.168.0.1)44 3端口(就是本机两个端口之间映射),OK他那里完事了。然后我这里动手,我也运行一个stunnel,把192.168.0.1的443端口映射到我(127.0.0.1)的1913端口,好了,现在我的1913端口就有一个socks5代理了。现在, 运行msn,打开代理设置,选socks5代理,填入127.0.0.1:1913,然后开始登陆,信息流向是这样的:msn→127.0.0.1:1913→192.168.0.1:443→192.168.0.1:1122→微软msn服务器,OK, 登陆成功,可以和好友聊天了。
如果我想用socks5代理浏览怎么办呢?直接是无法用的,因为有些程序不支持socks5代理,在1913端口空有一个socks5代理,但这些程序用不上。这时就需要sockscap了,通过它,这类不能使用socks5代理的软件也可以使用sock s5代理了。因为192.168.0.1的socks5代理已经映射过来了,所以sockscap中的socks5代理服务器就是127.0.0.1:1913。
stunnel+openssl主要起了一个ssl加密通道的作用,而以那种代理方式上网是取决于远端是何种代理,如果远端是http代理,那么映射过来就是一个http代理,这时,msn就应该选http代理,而IE直接就可在“属性 ”里设置代理了。远端是SOCKS代理映射过来就是SOCKS代理。那么远端服务器端用CCPROXY内核提供SOCKS代理。这样这些软件一组和,就可以做出一个支持SSL加密的SOCKS代理来。这里CCPROXY也可以换成其他软件提供不同类型的代 理。
原理示意图:高手完全可以根据原理做出自己的加密代理软件来。今天又快到11点了,看来继续写只有再抽空了。晚点会传一个利用上面原理,已经集成在一起的优秀的代理软件来(具备安装,使用等功能),服务器端只有700多K,但功能强大。还要抽点时间写一个 操作手册。那么剩下的最难得问题就是找有管理员权限的国外的服务器来做属于自己的代理服务器了。
推荐:关于Stunnel的知识站点:
http://www-900.ibm.com/developerWork...un/index.shtml
基础代理知识入门站:http://dzc.126.com(比较老,近来未更新,但基础知识比较全)
代理论坛:
http://www.chinaproxy.net
清风小木虫:
http://emuch.net/
相关软件知识可以用GOOGLE去搜索。
Permeo Security Driver 功能非常强大,它将SOCKSCAP做成了WINDOWS的驱动程序。它能够将本地应用程序的网络连接请求直接转化为socks5,使得本来不能直接使用的网络应用程序可以通过代理来使用。Permeo Security Driver 比SOCKSCAP强的地方在于它能够使不支持代理的程序也支持SOCKS代理了,比如游戏。
而softether是通过虚拟一块网卡,使网络通讯通过SSL加密从softether服务器出去。
Permeo Security Driver可以和上面的软件组合使用,在上面图中只要接管socks代理就可以了,那么能够支持更多的程序。
Permeo Security Driver还可以和CCPROXY, SOCKSONLINE等软件组合使用。
我从
www.chinaproxy.net 摘取了一篇《Permeo Security Driver使用指南》。