SOCKS 4协议中文文档意译版
SOCKS协议最初由David Koblas设计,后经Ying-Da Lee改进成SOCKS 4协议。
SOCKS4协议主要是如下几个RFC
http://ftp.icm.edu.pl/packages/socks/socks4/SOCKS4.protocol
http://www.rfc-editor.org/rfc/rfc1928.txt
http://www.smartftp.com/Products/SmartFTP/RFC/socks4a.protocol
SOCKS 4只支持TCP转发。
请求报文格式如下:
+----+----+----+----+----+----+----+----+----+----+...+----+
| VN | CD | DSTPORT |? ?? ?DSTIP? ?? ???| USERID? ?? ?|NULL|
+----+----+----+----+----+----+----+----+----+----+...+----+
? ?1? ? 1? ?? ?2? ?? ?? ?? ???4? ?? ?? ???variable? ?? ? 1
VN? ?? ?SOCKS协议版本号,应该是0x04
CD? ?? ?SOCKS命令,可取如下值:
? ?? ???0x01? ? CONNECT
? ?? ???0x02? ? BIND
DSTPORT CD相关的端口信息
DSTIP? ?CD相关的地址信息
USERID??客户方的USERID
NULL? ? 0x00
响应报文格式如下:
+----+----+----+----+----+----+----+----+
| VN | CD | DSTPORT |? ?? ?DSTIP? ?? ???|
+----+----+----+----+----+----+----+----+
? ?1? ? 1? ?? ?2? ?? ?? ?? ???4
VN? ?? ?应该为0x00而不是0x04
CD? ?? ?可取如下值:
? ?? ???0x5A? ? 允许转发
? ?? ???0x5B? ? 拒绝转发,一般性失败
? ?? ???0x5C? ? 拒绝转发,SOCKS 4 Server无法连接到SOCS 4 Client所在主机的
? ?? ?? ?? ?? ? IDENT服务
? ?? ???0x5D? ? 拒绝转发,请求报文中的USERID与IDENT服务返回值不相符
DSTPORT CD相关的端口信息
DSTIP? ?CD相关的地址信息
1) CONNECT命令
对于CONNECT请求,DSTIP/DSTPORT指明转发目的地。
SOCKS 4 Server根据源IP、DSTPORT、DSTIP、USERID以及可从SOCS 4 Client所在主
机的IDENT服务(RFC 1413)获取的信息进行综合评估,以决定建立相应连接还是拒绝
转发。
假设CONNECT请求被允许,SOCKS 4 Server试图建立到转发目的地的TCP连接,然后向
SOCKS 4 Client发送响应报文,指明是否成功建立转发连接。
如果CONNECT请求被拒绝,SOCKS 4 Server也向SOCKS 4 Client发送响应报文,随后
立即关闭连接。
CONNECT响应包中只有VN、CD字段有意义,DSTPORT、DSTIP字段被忽略。如果CD等于
0x5A,表示成功建立转发连接,之后SOCKS 4 Client直接在当前TCP连接上发送待转
发数据。
2) BIND命令
FTP协议在某些情况下要求FTP Server主动建立到FTP Client的连接,即FTP数据流。
FTP Client - SOCKS 4 Client - SOCKS 4 Server - FTP Server
a. FTP Client试图建立FTP控制流。SOCKS 4 Client向SOCKS 4 Server发送CONNECT
? ?请求,后者响应请求,最终FTP控制流建立。
? ?CONNECT请求包中指明FTPSERVER.ADDR/FTPSERVER.PORT。
b. FTP Client试图建立FTP数据流。SOCKS 4 Client建立新的到SOCKS 4 Server的
? ?TCP连接,并在新的TCP连接上发送BIND请求。
? ?BIND请求包中仍然指明FTPSERVER.ADDR/FTPSERVER.PORT。
? ?SOCKS 4 Server收到BIND请求,根据这两个信息以及USERID对BIND请求进行评估。
? ?创建新套接字,侦听在AddrA/PortA上,并向SOCKS 4 Client发送第一个BIND响应
? ?包。
? ?BIND响应包中CD不等于0x5A时表示失败,包中DSTPORT、DSTIP字段被忽略。
? ?BIND响应包中CD等于0x5A时,包中DSTIP/DSTPORT对应AddrA/PortA。如果DSTIP等
? ?于0(INADDR_ANY),SOCKS 4 Client应将其替换成SOCKS 4 Server的IP,当SOCKS
? ?4 Server非多目(multi-homed)主机时就可能出现这种情况。
c. SOCKS 4 Client收到第一个BIND响应包。
? ?FTP Client调用getsockname(不是getpeername)获取AddrA/PortA,通过FTP控制
? ?流向FTP Server发送PORT命令,通知FTP Server应该主动建立到AddrA/PortA的
? ?TCP连接。
d. FTP Server收到PORT命令,主动建立到AddrA/PortA的TCP连接,假设TCP连接相关
? ?四元组是:
? ?AddrB,PortB,AddrA,PortA
e. SOCKS 4 Server收到来自FTP Server的TCP连接请求,检查这条入连接的源IP(
? ?AddrB)是否与FTPSERVER.ADDR匹配,然后向SOCKS 4 Client发送第二个BIND响应
? ?包。
? ?源IP不匹配时第二个BIND响应包中CD字段设为0x5B,然后SOCKS 4 Server关闭这
? ?条用于发送第二个BIND响应包的TCP连接,同时关闭与FTP Server之间的TCP连接,
? ?但主TCP连接(与CONNECT请求相关的那条TCP连接)继续保持中。
? ?源IP匹配时CD字段设为0x5A。然后SOCKS 4 Server开始转发FTP数据流。
? ?无论如何,第二个BIND响应包中DSTPORT、DSTIP字段被忽略。
对于CONNECT、BIND请求,SOCKS 4 Server有一个定时器(当前CSTC实现采用两分钟)。
假设定时器超时,而SOCKS 4 Server与Application Server之间的TCP连接(出连接或
入连接)仍未建立,SOCKS 4 Server将关闭与SOCKS 4 Client之间相应的TCP连接并放
弃相应的转发。
