持续完善 Pinda.cn 秒建营销活动 通过低代码 零代码的模式快速创建营销活动,欢迎使用 。

代理知识

一、HTTP代理的匿名性 
   This is a proxy that hides the original users' IP address and other details from the remote server.  这种代理,对远端服务器隐藏原始用户的IP地址以及其它细节(可能,但不必需)。 
  HTTP代理匿名性是指不通过非常技术手段,直接使用时代理的匿名安全性。(说明:这里的匿名与其它如FTP服务器的匿名意义是不一样的,不论匿名与否,代理服务器均能起到“代理”的作用。只是匿名代理可以确保被访问方不能追溯到源IP,在一定程度上更加安全而已。这并不是一个重要的指标,是否必要则仁者见仁、智者见智。) 
  测试自己的http代理是否匿名,简单方法:访问http://cpcug.org/scripts/env.cgi, 先看“REMOTE_ADDR”显示的ip,如果不是你本身的ip,说明代理服务器起作用了。再看“HTTP_X_FORWARDED_FOR”,如果有,并显示你的ip,为非匿名代理。如果没有显示,则为匿名代理。(Tips:看一下“HTTP_USER_AGENT”和“HTTP_ACCEPT_LANGUAGE”,你就能知道你的代理提供了多大的安全性。)

二、HTTP CONNECT代理 
  对于HTTP代理,不少人有认识上的误区,有必要说明一下,不是所有的HTTP代理都只能代理HTTP的,vice versa! 
  HTTP CONNECT代理服务器是一种能够允许用户建立TCP连接到任何端口的代理服务器,这意味着这种代理不仅可用于HTTP,还包括FTP、IRC、RM流服务等,甚至扫描、攻击。 

三、三种代理的区别 
  · 全匿名代理 不改变你的request fields,使服务器端看来就像有个真正的客户浏览器在访问它。当然,你的真实IP是隐藏起来的。服务器的网管不会认为你使用了代理。 
  · 普通匿名代理 能隐藏你的真实IP,但会更改你的request fields,有可能会被认为使用了代理,但仅仅是可能,一般说来是没问题的。不过不要受它的名字的误导,其安全性可能比全匿名代理更高,有的代理会剥离你的部分信息(就好比防火墙的stealth mode),使服务器端探测不到你的操作系统版本和浏览器版本。 
  · 透明代理(简单代理) 改编你的request fields,并会传送真实IP 

跳板是一个程序,也可以说是一种socks5代理的应用吧。
* 从本地机器连接到远程机器, 中间通过安装的代理跳板。对应用程序而言,相当于普通的sock代理调用。 
* 在跳板之间传输的数据,是已经被动态加密的。加密种子每次不同。 
* 跳板的数目由 1 到 255,不限制,当数目为0时,相当于Sock5代理服务器。

代理格式的含义
以 10.48.72.2:80@HTTP$6&263,1987,2543#哈尔滨 为例 

10.48.72.2 表示为代理服务器的IP地址为10.48.72.2 
:80 “:”后的80表示该代理服务器的服务端口为80(21、23、80、81、1080、3128、8080等) 
@HTTP “@“后的HTTP表示该代理服务器的类型为HTTP代理(HTTP、FTP、SOCKS4/5、TELNET五类) 
$ ”$”后的数值表示代理服务器验证状态 
$4:正在验证 
$5:验证超时(网络连接太慢,再校验多几次会有所发现) 
$6:免费的(这才是我们所要的^.^) 
$7:要密码(可以用demo/demo、guest/gues、temp/temp、share/ahare、test/test作为口令/密码试试) 
$8:不合符协议 
$9:不匹配(如果代理服务器太忙也会出现这种情况) 
$10:不支持的协议 
$11:无法确定 
& "&"后的以 “.” 分隔的三个数值是反映该代理本地连接的三个时间特性 
第一个是反应速度,第二个是校验时间,第三个是连接时间; 
所以当然也就是数值越小的代理就是越快的。 
# 注释代理为哈尔滨(自定义)
SOCKS 5协议详解

由于在有些软件用到了socks5(如oicq,icq等),对其原理不甚了解,相信很多朋友对其也不是很了解,于是仔细研读了一下rfc1928,觉得有必要译出来供大家参考。 

1.介绍: 

  防火墙的使用,有效的隔离了机构的内部网络和外部网络,这种类型的Internet 架构变得越来越流行。这些防火墙系统大都充当着网络之间的应用层网关的角色,通常提供经过控制的Telnet,FTP,和SMTP访问。为了推动全球信息的交流,更多的新的应用层协议的推出。这就有必要提供一个总的架构使这些协议能够更明显和更安全的穿过防火墙。也就有必要在实际上为它们穿过防火墙提供一个更强的认证机制。这种需要源于客户机-服务器联系在不同组织网络之间的实现,而这种联系需要被控制和是很大程度上被认证的。 

  该协议被描述为用来提供在TCP和UDP域下为客户机-服务器应用程序便利和安全的穿过防火墙的一个架构。该协议在概念上被描述为一个介于应用层和传输层之间的"隔离层",但是这类服务并不提供网络层网关服务,如ICMP报文的传输。 

2.现状: 

  SOCKS 4为基于TCP的客户机-服务器应用程序提供了一种不安全的穿越防火墙的机制,包括TELNET,FTP和当前最流行的信息发现协议如HTTP,WAIS和GOPHER. 

  新协议为了包括UDP扩展了SOCKS 4,为了包括对总体上更强的认证机制的支持扩展了协议架构,为了包括域名和IPv6地址的支持扩展了地址集。 

  SOCKS协议执行最具代表性的是包括了在SOCKS库中利用适当的封装程序来对基于TCP的客户程序进行重编译和重链结。 

注意: 

  除非特别提及,封装在包格式中的十进制数表示的是通讯域的长度(用八位组octect表示)。一个给定的八位组必须具有指定的值,格式X'hh'被用来表示在该域中单个八位组的值。当单词"变量Variable"被使用时,它指出了通讯域拥有一个可变长度,这个可变长度要么由一个联合的(一个或两个八位组)长度域定义,要么由一个数据类型域所定义。 

3.基于TCP客户机的程序 

  当一台基于TCP的客户机希望和目标主机建立连接时,而这台目标主机只有经过防火墙才能到达(这种情况?一直持续到?它被执行时),它就必须在SOCKS服务器端的适当的SOCKS端口打开一个TCP连结。SOCKS服务按常例来说定位于TCP端口1080。如果连接请求成功,客户机为即将使用的认证方式进行一种协商,对所选的方式进行认证,然后发送一个转发请求。SOCKS服务器对该请求进行评估,并且决定是否建立所请求转发的连接。 

  客户机连接到服务器,发送一个版本标识/方法选择报文: 

  +----+----------+----------+ 

  |VER | NMETHODS | METHODS | 

  +----+----------+----------+ 

  | 1 |   1  | 1 to 255 | 

  +----+----------+----------+ 

  VER(版本)在这个协议版本中被设置为X'05'。NMETHODS(方法选择)中包含在METHODS(方法)中出现的方法标识八位组的数目。 

  服务器从METHODS给出的方法中选出一种,发送一个METHOD selection(方法选择)报文: 

  +----+--------+ 

  |VER | METHOD | 

  +----+--------+ 

  | 1 |  1  | 

  +----+--------+ 

  如果所选择的METHOD的值是X'FF',则客户机所列出的方法是没有可以被接受的,客户机就必须关闭连接。 

当前被定义的METHOD的值有: 

  >> X'00' 无验证需求 

  >> X'01' 通用安全服务应用程序接口(GSSAPI) 

  >> X'02' 用户名/密码(USERNAME/PASSWORD) 

  >> X'03' 至 X'7F' IANA 分配(IANA ASSIGNED) 

  >> X'80' 至 X'FE' 私人方法保留(RESERVED FOR PRIVATE METHODS) 

  >> X'FF' 无可接受方法(NO ACCEPTABLE METHODS) 

***IANA是负责全球INTERNET上的IP地址进行编号分配的机构(译者著)*** 

  于是客户机和服务器进入方法细节的子商议。方法选择子商议另外描述于独立的文档中。 

  欲得到该协议新的METHOD支持的开发者可以和IANA联系以求得到METHOD号。已分配号码的文档需要参考METHOD号码的当前列表和它们的通讯协议。 

  如果想顺利的执行则必须支持GSSAPI和支持用户名/密码(USERNAME/PASSWORD)认证方法。 

4.需求 

  一旦方法选择子商议结束,客户机就发送请求细节。如果商议方法包括了完整性检查的目的和/或机密性封装,则请求必然被封在方法选择的封装中。 

SOCKS请求如下表所示: 

  +----+-----+-------+------+----------+----------+ 

  |VER | CMD | RSV | ATYP | DST.ADDR | DST.PORT | 

  +----+-----+-------+------+----------+----------+ 

  | 1 |  1 | X'00' |  1 | Variable |   2  | 

  +----+-----+-------+------+----------+----------+ 

其中: 

 o VER protocol version:X'05' 

 o CMD 

 o CONNECT X'01' 

 o BIND X'02' 

 o UDP ASSOCIATE X'03' 

 o RSV RESERVED 

 o ATYP address type of following address 

 o IP V4 address: X'01' 

 o DOMAINNAME: X'03' 

 o IP V6 address: X'04' 

 o DST.ADDR desired destination address 

 o DST.PORT desired destination port in network octet order 

5.地址 

  在地址域(DST.ADDR,BND.ADDR)中,ATYP域详细说明了包含在该域内部的地址类型: 

    o X'01' 

  该地址是IPv4地址,长4个八位组。 

    o X'03' 

  该地址包含一个完全的域名。第一个八位组包含了后面名称的八位组的数目,没有中止的空八位组。 

    o X'04' 

  该地址是IPv6地址,长16个八位组。 

6.回应 

  到SOCKS服务器的连接一经建立,客户机即发送SOCKS请求信息,并且完成认证商议。服务器评估请求,返回一个回应如下表所示: 

  +----+-----+-------+------+----------+----------+ 

  |VER | REP | RSV | ATYP | BND.ADDR | BND.PORT | 

  +----+-----+-------+------+----------+----------+ 

  | 1 | 1 | X'00' | 1  | Variable |   2  | 

  +----+-----+-------+------+----------+----------+ 

其中: 

  o VER protocol version: X'05' 

  o REP Reply field: 

  o X'00' succeeded 

  o X'01' general SOCKS server failure 

  o X'02' connection not allowed by ruleset 

  o X'03' Network unreachable 

  o X'04' Host unreachable 

  o X'05' Connection refused 

  o X'06' TTL expired 

  o X'07' Command not supported 

  o X'08' Address type not supported 

  o X'09' to X'FF' unassigned 

  o RSV RESERVED 

  o ATYP address type of following address 

  o IP V4 address: X'01' 

  o DOMAINNAME: X'03' 

  o IP V6 address: X'04' 

o BND.ADDR server bound address 

o BND.PORT server bound port in network octet order 

标志RESERVED(RSV)的地方必须设置为X'00'。 

  如果被选中的方法包括有认证目的封装,完整性和/或机密性的检查,则回应就被封装在方法选择的封装套中。 

CONNECT 

  在CONNECT的回应中,BND.PORT包括了服务器分配的连接到目标主机的端口号,同时BND.ADDR包含了关联的IP地址。此处所提供的 BND.ADDR通常情况不同于客户机连接到SOCKS服务器所用的IP地址,因为这些服务器提供的经常都是多址的(muti-homed)。都期望 SOCKS主机能使用DST.ADDR和DST.PORT,连接请求评估中的客户端源地址和端口。 

BIND 

   BIND请求被用在那些需要客户机接受到服务器连接的协议中。FTP就是一个众所周知的例子,它通过使用命令和状态报告建立最基本的客户机-服务器连接,按照需要使用服务器-客户端连接来传输数据。(例如:ls,get,put) 都期望在使用应用协议的客户端在使用CONNECT建立首次连接之后仅仅使用BIND请求建立第二次连接。都期望SOCKS主机在评估BIND请求时能够使用ST.ADDR和DST.PORT。 

  有两次应答都是在BIND操作期间从SOCKS服务器发送到客户端的。第一次是发送在服务器创建和绑定一个新的socket之后。BIND.PORT域包含了SOCKS主机分配和侦听一个接入连接的端口号。BND.ADDR域包含了关联的IP地址。  

  客户端具有代表性的是使用这些信息来通报应用程序连接到指定地址的服务器。第二次应答只是发生在预期的接入连接成功或者失败之后。在第二次应答中,BND.PORT和BND.ADDR域包含了欲连接主机的地址和端口号。 

UDP ASSOCIATE(连接?) 

  UDP 连接请求用来建立一个在UDP延迟过程中操作UDP数据报的连接。DST.ADDR和DST.PORT域包含了客户机期望在这个连接上用来发送 UDP数据报的地址和端口。服务器可以利用该信息来限制至这个连接的访问。如果客户端在UDP连接时不持有信息,则客户端必须使用一个全零的端口号和地址。 

  当一个含有UDP连接请求到达的TCP连接中断时,UDP连接中断。 

  在UDP连接请求的回应中,BND.PORT和BND.ADDR域指明了客户端需要被发送UDP请求消息的端口号/地址。 

回应过程 

  当一个回应(REP值非X'00')指明失败时,SOCKS主机必须在发送后马上中断该TCP连接。该过程时间必须为在侦测到引起失败的原因后不超过10秒。 

  如果回应代码(REP值为X'00')时,则标志成功,请求或是BIND或是CONNECT,客户机现在就可以传送数据了。如果所选择的认证方法支持完整性、认证机制和/或机密性的封装,则数据被方法选择封装包来进行封装。类似,当数据从客户机到达SOCKS主机时,主机必须使用恰当的认证方法来封装数据。 

7.基于UDP客户机的程序 

  一个基于UDP的客户端必须使用在BND.PORT中指出的UDP端口来发送数据报到UDP延迟服务器,而该过程是作为对UDP连接请求的回应而进行的。如果所选择的认证方法提供认证机制、完整性、和/或机密性,则数据报必须使用恰当的封装套给予封装。每一个UDP数据报携带一个UDP请求的报头(header): 

  +----+------+------+----------+----------+----------+ 

  |RSV | FRAG | ATYP | DST.ADDR | DST.PORT |  DATA | 

  +----+------+------+----------+----------+----------+ 

  | 2 |  1 |  1 | Variable |  2   | Variable | 

  +----+------+------+----------+----------+----------+ 

UDP请求报头是: 

o RSV Reserved X'0000' 

o FRAG Current fragment number 

o ATYP address type of following addresses: 

o IP V4 address: X'01' 

o DOMAINNAME: X'03' 

o IP V6 address: X'04' 

o DST.ADDR desired destination address 

o DST.PORT desired destination port 

o DATA user data 

  当一个UDP延迟服务器决定延迟一个UDP数据报时,它会按兵不动,对客户机无任何通报。类似的,它会将它不能或不打算延迟的数据报Drop?掉。当一个UDP延迟服务器接收到一个来自远程主机的延迟数据报,它必须使用上面的UDP请求报头来封装该数据报,和任何认证方法选择的封装。 

  一个UDP延迟服务器必须从SOCKS服务器获得所期望的客户机的IP地址,而该客户机要发送数据报到BND.PORT--在至UDP连接的回应中已经给出。UDP延迟服务器还必须drop掉除了特定连接中的一条记录之外的其它的所有源IP地址。 

  FRAG域指出了数据报是否为大量的数据片(flagments)中的一片。如果标明了,高序(high-order)位说明是序列的结束段,而值为 X'00'则说明该数据报是独立的。值介于1-127之间片断位于数据片序列中间。每一个接收端都有一个和庑┦萜喙氐闹刈槎恿斜? REASSEMBLY QUEUE)和一个重组时间表(REASSEMBLY TIMER)。重组队列必须被再次初始化并且相关联的数据片必须被丢掉,而无论该重组时间表是否过期,或者一个新的携带FRAG域的数据报到达,并且FRAG域的值要小于正在进行的数据片序列中的FRAG域的最大值。且重组时间表必须不少于5秒。无论如何最好避免应用程序直接与数据片接触(?)。 

  数据片的执行是可选的,一个不支持数据片的执行必须drop掉任何除了FRAG域值为X'00'了数据报。 

  一个利用SOCKS的UDP程序接口必须预设有效的缓冲区来装载数据报,并且系统提供的实际缓冲区的空间要比数据报大: 

o if ATYP is X'01' - 10+method_dependent octets smaller 

o if ATYP is X'03' - 262+method_dependent octets smaller 

o if ATYP is X'04' - 20+method_dependent octets smaller 

8.安全考虑 

  该文档描述了一个应用层的用于穿越IP网络防火墙的协议。这种穿越的安全性是高度依赖于正规的认证和正规执行方法提供的有效封装,以及在SOCKS客户端和SOCKS服务端所选择的安全性,还有管理员对认证方法选项所作的小心周密的考虑。 

9.参考文献 

[1] Koblas, D., "SOCKS", Proceedings: 1992 Usenix Security Symposium.
各种代理软件下载地址[分享]

从现在开始寻找、更新各种代理相关的软件,并且公布软件的官方下载地址和网站。
代理猎手(Proxy Hunter) V3.1 完整版
主页:无
下载地址:http://skycn.net/soft/1034.html

代理服务器猎手,可以很快速的查找网络上的免费 Proxy 哦!主要有以下特点:支持多网址段、多端口自动查询,支持自动验证并给出速度评价,支持后续的再验证,支持用户设置连接超时和验证超时,支持用户设置验证内容,支持进度时间预测,支持用户设置最大连接数(可以作到不影响其他网络程序),支持自动查找最新版本,最大的特点是搜索速度快,最快可以在十几分钟内搜完整个B类地址的 65536 个地址。


代理服务器搜索者
主页:http://www.goodproxy.com/cn/
下载地址:http://www.goodproxy.com/download/cnpf.exe

免费,无限制版本 代理服务器搜索者, 专门搜索 sock4/5 和 Tunnel (允许通过Connect 指令代理各种服务的)类型的代理服务器。速度奇快,多线程,每10秒钟搜索一个C 类网段.实际测试 56KB 200线程 30分钟一个B 段.100% 准确率. 运行稳定,每天24小时运行。安装简单,使用方便,支持右键功能和Ctrl+A,Ctrl+C,Ctrl+V.可以随意导出和导入校验.proxy 纪录格式通用。

Lan2IP 代理服务器
主页:http://www.x2ip.com/
下载地址:http://www.x2ip.com/download/lan2ip.exe
一个操作简单的把自己的机子做成http代理服务器的小软件。

HTTPort 汉化版
主页:http://www.htthost.com/
汉化版下载地址:http://www.hanzify.org/ronnier/c......ekeasysoft.com/
下载地址:http://www.seekeasysoft.com/adslhtt...slhttpproxy.htm(里面包含多个下载地址)
一个非常不错的国产中文代理服务器软件,设置简单、功能强大。具有网站转向、网站禁止访问功能。而且还能使用上级代理服务器访问网络功能。不过是共享软件。好像有使用次数限制,需要注册。
提供网站HTTP代理访问服务器工具。在能连接互联网的机器上运行本程序,然后在不能连接互联网的机器上修改IE浏览器的INTERNET选项中的网络连接属性设置,将使用代理服务器选项打钩,地址一栏中填入运行本程序的机器的IP地址如192.168.0.1,端口填入8080,这样局域网中上百台电脑便可以通过服务器端访问全球各地的WWW网站了,你可以在代理服务器上限制用户不能访问某些反动或色情或恶意站点,从而发挥代理访问的网络限制保护功能。真正让您不花钱一分钟就能建立自己的HTTP代理服务器,好酷哟!

宽带POP3代理服务器V1.0
主页:http://www.seekeasysoft.com/
下载地址:http://www.seekeasysoft.com/adslpop...slpop3proxy.htm(里面包含多个下载地址)
与上面“的极限http代理服务器”来自同一个网站。提供POP3代理收取邮件工具。在能连接互联网的机器上运行本程序,然后在不能连接互联网的机器上运行客户端邮件收发软件如OUTLOOK/FOXMAIL等,并将信箱的USER用户名改为USER#pop3服务器地址,将pop3服务器地址改为运行本程序的机器IP地址。按上述设置就可让不能直接收邮件的电脑通过能上网的代理机器收取邮件了。真正让您不花钱一分钟就能建立自己的POP3代理收信服务器工具,好酷哟!

宽带SMTP服务器V1.2
主页:http://www.seekeasysoft.com/
下载地址:http://www.seekeasysoft.com/adslsmt...lsmtpserver.htm(里面包含多个下载地址)
该软件还是常州搜易电脑软件部推出的一款精典工具软件。客户端代理发信SMTP服务器。无论你使用outlook/foxmail等国内外邮件客户端软件,只需在SMTP发信服务器地址中填入127.0.0.1或局域网IP地址,不需发信认证就可以将邮件直接发送到目标信箱,发送成功或失败可以马上知晓,并且可以设置转发失败后语音提示和自动发送退信。将它安装在局域网的机器上相当于拥有了一个自己的SMTP服务器,所有的局域网电脑都可以通过它向全球各地转信。如果安装在ADSL宽带上,相当于自己架设了一个类似于免费电子邮件服务商smtp.163.net/smtp.sohu.com这样的发信服务器,全球网友都可以通过它代理发送电子邮件了。真正让您不花钱一分钟就能建立自己的SMTP服务器,好酷哟!
posted @ 2006-07-10 19:26  工具人Kim哥  阅读(569)  评论(0编辑  收藏  举报
持续完善 Pinda.cn 秒建营销活动 通过低代码 零代码的模式快速创建营销活动,欢迎使用 。