HTTP Tunnel 原理 及 穿透防火墙方法-2

HTTP Tunnel原理 及 穿透防火墙方法-2

这篇文章提供一个通过代理服务器建立 TCP 连接来绕过防火墙的方法.
通常情况下防火墙限制了很多端口的连接，但是 HTTP 的连接还是允许的(否则谁也上不了网)。

协议指定了一个 CONNECT 请求方法. Client 可以使用这个方法通知 Proxy Server 连接指定的服务器IP和端口号. Proxy Server
在接收到这个请求后与指定的服务器IP和端口号建立连接，如果连接失败会通知 Client 并关闭连接，成功则给 Client 发送
"Coonection Established" 并保持连接. 在与 Client 和 Real Server 建立连接后，Proxy Server 就不关心数据的内容了,此时就表现为 tunnel 了.

[Client]----[FireWall]------>[Proxy Server:80]------->[Real Server]
| | | |
Src 只允许80端口数据通过 数据转发 Dest

相关协议:

在 Client一端, 我们只对 CONNECT 方法感兴趣. 在 Client 和 ProxyServer 建立连接后, Client 必须发送 CONNECT 请求.
格式如下:

CONNECT <destination_address>:<destination_port> <http_version><CR><LF>
<header_line><CR><LF>
<header_line><CR><LF>
...
<header_line><CR><LF>
<CR><LF>

Proxy Server 处理来自 Client 的请求, 然后和 destionation_address:destination_port 建立连接.

proxy server 给 Client 返回 HTTP 回应.
格式如下:
<http_version> <code> <message><CR><LF>
<header_line><CR><LF>
<header_line><CR><LF>
...
<header_line><CR><LF>
<CR><LF>

如果 Proxy Server 分析 Client 请求格式有误或者与 destionation_address:destination_port 连接失败,都会关闭连接.
如果成功则可以转发数据, 作为 tunnel 使用.