中国互动出版网()
RFC文档中文翻译计划(-
pub.com/compters/emook/aboutemook.htm)
E-mail:
译者:Radeon(Radeon )
译文发布时间:2001-6-18
版权:本中文翻译文档版权归中国互动出版网所有
可以用于非商业用途自由转载
但必须保留本文档
翻译及版权信息Network Working GroupM. Leech
Request for Comments:1929Bell-Northern Research Ltd
Category: Standard TrackM. Ganis
International Business Machines
Y. Lee
NEC
s LaboratoryR. Kuris
Un
y CorporationD. Koblas
Independent Consultant
L. Jones
Hewlett-Packard Company
March 1996
SOCKS V5
本备忘录状态:
本文档讲述了
种Internet社区Internet标准跟踪协议它需要进步进行讨论和建议以得到改进
请参考最新版“Internet正式协议标准” (STD1)来获得本协议标准化程度和状态
本备忘录发布不受任何限制知识背景
这个备忘录描述了从同
协议前版本(版本4[1])发展而来个协议这个新协议起源于当前
些讨论和原型实现(active discussions and prototype implementations)关键贡献人有:Marcus Leech: Bell-Northern Research, David Koblas: Independent Consultant, Ying-Da
Lee: NEC
s Laboratory, LaMont Jones: Hewlett-Packard Company, Ron Kuris: Uny Corporation, Matt Ganis: International Business Machines
目录
1.介绍2
2.现有
协议23.基于TCP协议
客户34.请求3
5.地址4
6.应答4
7.基于UDP协议
客户68. 安全性考虑7
9. 参考书目7
1.介绍
利用网络防火墙可以将组织内部
网络结构从外部网络如INTERNET中有效地隔离这种思路方法在许多网络系统中正变得流行起来
这种防火墙系统通常以应用层网关形式工作在两个网络的间
提供TELNET、FTP、SMTP等接入随着越来越多使全球信息查找更容易复杂应用层协
议
出现有必要提供个通用框架来使这些协议安全透明地穿过防火墙而且在实际应用中还需要
种安全认证方式用以穿越防火墙这个要求起源于两个组织网络中客户/服务器关系出现
这个关系需要得到控制并要求有安全认证在这儿所描述
协议框架是为了让使用TCP和UDP客户/服务器应用
更方便安全地使用网络防火墙所提供
服务所设计这个协议从概念上来讲是介于应用层和传输层的间“中介层(shim-layer)”
因而不提供如传递ICMP信息的类由网络层网关所提供服务2.现有
协议当前存在
个协议SOCKS 4它为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议客户/服务器
提供了个不安全防火墙而这个新协议扩展了SOCKS V4以使其支持UDP、框架规定
安全认证方案、地址解析方案(addressing scheme)中所规定域名和IPV6为了实现这个SOCKS协议
通常需要重新编译或者重新链接基于TCP客户端应用以使用SOCKS库中相应
加密
注意:
除非特别注明
所有出现在数据包格式图中十进制数字均以字节表示相应域长度如果某域需要给定
个字节值用X´hh´来表示这个字节中值如果某域中用到单词´Variable´
这表示该域长度是可变且该长度定义在个和这个域相关联(1 – 2个字节)
域中或个数据类型域中3.基于TCP协议
客户当
个基于TCP协议客户端希望和个只能通过防火墙可以到达目标(这是由实现所决定)建立连接它必须先建立个和SOCKS服务器上SOCKS端口TCP连接通常这个TCP端口是1080
当连接建立后客户端进入协议“握手(negotiation)”过程:认证方式选择根据选中
方式进行认证然后发送转发要求SOCKS服务器检查这个要求根据结果或建立合适连接
或拒绝除非特别注明
所有出现在数据包格式图中十进制数字均以字节表示相应域长度如果某域需要给定
个字节值用X´hh´来表示这个字节中值如果某域中用到单词´Variable´
这表示该域长度是可变且该长度定义在个和这个域相关联(1 – 2个字节)
域中或个数据类型域中客户端连到服务器后
然后就发送请求来协商版本和认证思路方法:VER
NMETHODS
METHODS
1
1
1 to 255
这个版本
SOCKS协议中VER字段被设置成X´05´NMETHODS字段包含了在METHODS字段中出现
思路方法标示数目(以字节为单位)服务器从这些给定
思路方法中选择个并发送个思路方法选中消息回客户端:VER
METHOD
1
1
如果选中
消息是X´FF´这表示客户端所列出思路方法列表中没有个思路方法被选中客户端必须关闭连接
当前定义
思路方法有:?X´00´不需要认证
?X´01´ GSSAPI
?X´02´ 用户名/密码
?X´03´ -- X´7F´ 由IANA分配
?X´80´ -- X´FE´ 为私人思路方法所保留
?X´FF´ 没有可以接受
思路方法然后客户和服务器进入由选定认证思路方法所决定
子协商过程(sub-negotiation)各种区别思路方法
子协商过程描述请参考各自备忘录开发者如果要为自己
思路方法得到个思路方法号可以联系IANA可以参考有关已经被分配号码文档以得到当前所有思路方法列表和相应协议符合本文档
SOCKS V5实现必须支持GSSAPI并且在将来支持用户名/密码认证方式4.请求
旦子协商过程结束后客户端就发送详细请求信息如果协商思路方法中有以完整性检查和/或安全性为目
封装这些请求必须按照该思路方法所定义方式进行封装SOCKS请求
格式如下:VER
CMD
RSV
ATYP
DST.ADDR
DST.PORT
1
1
X´00´
1
Variable
2
其中
?VER 协议版本: X´05´
?CMD
?CONNECT:X´01´
?BIND:X´02´
?UDP ASSOCIATE:X´03´
?RSV 保留
?ATYP 后面
地址类型?IPV4:X´01´
?域名:X´03´
?IPV6:X´04´´
?DST.ADDR 目
地址?DST.PORT 以网络字节顺序出现
端口号SOCKS服务器会根据源地址和目
地址来分析请求然后根据请求类型返回个或多个应答5.地址
ATYP字段中描述了地址字段(DST.ADDR
BND.ADDR)所包含地址类型:?X´01´
基于IPV4
IP地址4个字节长?X´03´
基于域名
地址地址字段中第字节是以字节为单位该域名长度没有结尾NUL字节
?X´04´
基于IPV6
IP地址16个字节长6.应答
旦建立了个到SOCKS服务器连接并且完成了认证方式协商过程客户机将会发送个SOCKS请求信息给服务器
服务器将会根据请求以如下格式返回:VER
REP
RSV
ATYP
BND.ADDR
BND.PORT
1
1
X´00´
1
Variable
2
其中:
?VER 协议版本: X´05´
?REP 应答字段:
?X´00´ 成功
?X´01´ 普通
SOCKS服务器请求失败?X´02´ 现有
规则不允许连接?X´03´ 网络不可达
?X´04´ 主机不可达
?X´05´连接被拒
?X´06´ TTL超时
?X´07´ 不支持
命令
?X´08´ 不支持
地址类型?X´09´ – X´FF´ 未定义
?RSV 保留
?ATYP 后面
地址类型?IPV4:X´01´
?域名:X´03´
?IPV6:X´04´
?BND.ADDR 服务器绑定
地址?BND.PORT 以网络字节顺序表示
服务器绑定段口标识为RSV
字段必须设为X´00´如果选中
思路方法中有以完整性检查和/或安全性为目封装这些应答必须按照该思路方法所定义
方式进行封装CONNECT
在对
个CONNECT命令应答中BND.PORT包含了服务器分配用来连到目标机端口号BND.ADDR则是相应
IP地址由于SOCKS服务器通常有多个IP应答中BND.ADDR常和客户端连到SOCKS服务器
那个IP区别SOCKS服务器可以利用DST.ADDR和DST.PORT
以及客户端源地址和端口来对个CONNECT请求进行分析
BIND
BIND请求通常被用在那些要求客户端接受来自服务器
连接协议上FTP是个典型例子
它建立个从客户端到服务器端连接来执行命令以及接收状态报告而使用另个从服务器到客户端
连接来接收传输数据要求(如LSGETPUT)建议只有在
个应用协议客户端在使用CONNECT命令建立主连接后才可以使用BIND命令建立第 2个连接
建议SOCKS服务器使用DST.ADDR和DST.PORT来评价BIND请求在
个BIND请求操作过程中SOCKS服务器要发送两个应答给客户端当服务器建立并绑定
个新套接口时发送第个应答BND.PORT字段包含SOCKS服务器用来监听进入连接端口号
BAND.ADDR字段包含了对应IP地址客户端通常使用这些信息来告诉(通过主连接或控制连接)应用服务器连接
汇接点第 2个应答仅发生在所期望到来连接成功或失败的后在第2个应答中
BND.PORT和BND.ADDR字段包含了连上来主机IP地址和端口号UDP ASSOCIATE
UDP ASSOCIATE请求通常是要求建立
个UDP转发进程来控制到来UDP数据报DST.ADDR和DST.PORT 字段包含客户端所希望
用来发送UDP数据报IP地址和端口号服务器可以使用这个信息来限制进入
连接如果客户端在发送这个请求时没有地址和端口信息客户端必须用全0来填充
当和UDP相应
TCP连接中断时该UDP连接也必须中断应答UDP ASSOCIATE请求时
BND.PORT 和BND.ADDR字段指明了客户发送UDP消息至服务器端口和地址
应答处理
当
个应答(REP值不等于00)指明出错时SOCKS服务器必须在发送完应答消息后小段时间内终止TCP连接
这段时间应该在发现
后少于10秒如果
个应答(REP值等于00)指明成功并且请求是个BIND或CONNECT时客户端就可以开始发送数据了
如果协商认证思路方法中有以完整性、认证和/或安全性为目封装这些请求必须按照该思路方法所定义
方式进行封装类似当以客户机为目地数据到达SOCKS服务器时
SOCKS服务器必须用正在使用思路方法对这些数据进行封装7.基于UDP协议
客户在UDP ASSOCIATE应答中由BND.PORT指明了服务器所使用
UDP端口个基于UDP协议客户必须发送数据报至UDP转发服务器
该端口上如果协商认证思路方法中有以完整性、认证和/或安全性为目
封装这些数据报必须按照该思路方法所定义方式进行封装每个UDP数据报都有个UDP请求头在其首部:RSV
FRAG
ATYP
DST.ADDR
DST.PORT
DATA
2
1
1
Variable
2
Variable
在UDP请求头中
字段是:?RSV 保留 X´0000´
?FRAG 当前
分段号?ATYP 后面
地址类型?IPV4:X´01´
?域名:X´03´
?IPV6:X´04´
?DST.ADDR 目
地址?DST.PORT 以网络字节顺序出现
端口号?DATA 用户数据
当
个UDP转发服务器转发个UDP数据报时不会发送任何通知给客户端;同样它也将丢弃任何它不能发至远端主机
数据报当UDP转发服务器从远端服务器收到个应答数据报时必须加上上述UDP请求头
并对数据报进行封装UDP转发服务器必须从SOCKS服务器得到期望
客户端IP地址并将数据报发送到UDP ASSOCIATE应答中给定
端口号如果数据报从任何IP地址到来而该IP地址和该特定连接中指定
IP地址区别那么该数据报会被丢弃FRAG字段指明数据报是否是
些分片中片如果SOCKS服务器要实现这个功能X´00´指明数据报是独立
;其他则越大越是数据报尾端介于1到127的间值介绍说明了该分片在分片序列里
位置每个接收者都为这些分片提供个重组队列和个重组计时器这个重组队列必须在重组计时器超时后重新
化并丢弃相应数据报或者当个新到达数据报有个比当前在处理
数据报序列中最大FRAG值要小时也必须重新化从组队列重组计时器必须小于5秒
只要有可能应用最好不要使用分片分片
实现是可选;如果某实现不支持分片所有FRAG字段不为0数据报都必须被丢弃
个SOCKSUDP编程界面(The programming 
erface for a SOCKS-aware UDP)必须报告当前可用UDP数据报缓存Cache空间小于操作系统提供
实际空间?如果 ATYP是 X´01´ - 10+method_dependent octets smaller
?如果 ATYP是X´03´ - 262+method_dependent octets smaller
?如果 ATYP是X´04´ - 20+method_dependent octets smaller
8. 安全性考虑
这篇文档描述了
个用来透过IP网络防火墙应用层协议这种传输安全性在很大程度上依赖于特定实现所拥有以及在SOCKS客户和SOCKS服务器的间经协商所选定
特殊认证和封装方式
系统管理员需要对用户认证方式
选择进行仔细考虑
9. 参考书目
[1] Koblas, D., \"SOCKS\", Proceedings: 1992 Usenix Security Symposium.
作者地址
Marcus Leech
Bell-Northern Research Ltd
P.O. Box 3511, Station C
Ottawa, ON
CANADA K1Y 4H7
Phone: (613) 763 - 9145
EMail:
RFC1929——SOCKETS V5 SOCKETS V5
RFC文档中文翻译计划
最新评论