SOCKS5 协议原理详解与应用场景分析

引言

SOCKS全称是SOCKet Secure，是一种网络传输协议，主要用于客户端与外网服务器之间通讯的中间传递。在OSI模型中，SOCKS是会话层的协议，位于表示层与传输层之间，最新协议是SOCKS5。

正文

一．SOCKS5原理

①首先客户端向代理服务器发出请求信息，用以协商版本和认证方法。随后代理服务器应答，将选择的方法发送给客户端。

②客户端和代理服务器进入由选定认证方法所决定的子协商过程，子协商过程结束后，客户端发送请求信息，其中包含目标服务器的IP地址和端口。代理服务器验证客户端身份，通过后会与目标服务器连接，目标服务器经过代理服务器向客户端返回状态响应。

③连接完成后，代理服务器开始作为中转站中转数据。

图 1  SOCKS5原理

二．SOCKS5 协议交互具体过程

2.1 认证

①客户端向代理服务器发送代理请求，其中包含了代理的版本和认证方式：

图 2

VER（1字节）：版本号,固定为0x05,代表使用SOCKS5协议

NMETHODS（1字节）：方法数目，表示后面的方法编号列表（METHODS字段）中有多少种客户端支持的认证方法

METHOD（1-255字节）：方法编号列表，存储客户端支持的认证方法的编号

②代理服务器从给定的方法编号列表中选择一个方法并返回选择报文

图 3

METHOD字段用来返回选择的方法编号

支持的认证方式有：

0x00: 不需要认证

0x01: GSSAPI认证

0x02: 用户名和密码方式认证

0x03: IANA认证

0x80-0xfe: 保留的认证方式

0xff: 不支持任何认证方式，当客户端收到此信息必须关闭连接。

2.2请求

①协商完成后，客户端就可以向代理服务器发送代理请求，客户端会向代理服务器发送下面格式的请求

图 4

CMD:指令编号,0x01 CONNECT 指令，用于 TCP 代理

0x02 BIND 指令，一般用于要客户端主动接受来自服务器连接时

0x03 UDP ASSOCIATE 指令，用于 UDP 代理

RSV:保留字段：必须为 0

ATYP:地址类型： 0x01 表明地址为（DST.ADDR字段）IPV4 地址,长度为4字节

0x03域名，表明地址为域名，第一个字节用作域名的长度标识

0x04 表明地址为IPV6 地址，长度为16字节

DST.ADDR:目标地址：要访问的目标服务器的地址或域名，类型由ATYP字段决定

DST.PORT:目标端口号：于目标地址对应的端口号。

②SOCKS 服务端会根据请求类型和源、目标地址，执行对应操作，并且返回对应的一个或多个报文信息，格式如下：

图 5

REP:请求的结果，0x00 成功

0x01常规 SOCKS 服务故障

0x02 规则不允许的连接

0x03 网络不可达

0x04 主机无法访问

0x05 拒绝连接

0x06 连接超时

0x07 不支持的命令

0x08 不支持的地址类型

RSV:保留字段：必须为 0

ATYP:地址类型

BND.ADDR:绑定地址：即请求成功后客户端需要连接的代理服务器的地址或域名，客户端之后的通信均通过改地址对应的服务器

BND.PORT:绑定端口号：绑定地址对应的端口号

2.3 通信

当代理服务器返回成功消息，则后续客户端通过绑定地址和绑定端口号与代理服务器通信，由代理服务器转发客户端的请求到目标服务器，并将目标服务器的响应转发给客户端。

三．SOCKS5的特点

1.SOCKS5相比于SOCKS4，加入了UDP协议支持，在框架上加入了强认证功能，并且地址信息也加入了域名和IPV6 的支持。

1. SOCKS5服务器在将通讯请求发送给真正服务器的过程中，对于请求数据包本身不加任何改变，只是传递数据包，而不关心是何种应用协议，所以SOCKS代理服务器比应用层代理服务器更快。

3.与VPN(虚拟专用网络)相比，SOCKS5可以代理应用层的某些应用，而不是代理全局网络，而VPN控制的是你电脑的整个网络，只要需要连接到互联网的流量都会经过VPN。

四．SOCKS5的应用场景

SOCKS5目前常被用于访问被GFW屏蔽的网络内容，以及作为代理服务器为用户提供不同位置的IP，帮助用户隐藏真实IP访问一些可能存在安全隐患的网络内容。

下面以SOCKS5应用于访问GFW阻断的内容为例，描述SOCKS5的主要应用场景。

GFW全称是Great Firewall，官方名称为数据跨境安全网关，阻断不符合中国政府要求的互联网内容传输。

如图6，假设没有GFW，正常访问谷歌，①需要先向DNS服务器发送谷歌的域名，之后②DNS服务器解析域名之后，向电脑发送回google的IP。③电脑通过IP访问google，④google向电脑传回数据。

图 6

把这个过程比作写信，有了GFW之后，你的信件会被GFW所审查，当被审查出信件中的内容是不符合要求的时候时，GFW会返回给你一个错误的IP地址，因此再无法访问到google这是GFW主要的阻断方法之一：DNS域名污染。初次之外，GFW还有多种方式进行阻断：直接舍弃数据包、IP地址或传输层端口封锁、TCP连接重置等等。

图 7

如图8，目前基于SOCKS5的代理软件，会先在本地(SS Local)对数据进行加密处理，再通过GFW，由于数据进行了加密，所以GFW无法得知内容，也就不能确定阻断，因此数据可以通过GFW，随后到达境外服务器(SS Server)，经过解密，发送数据请求到google等网站，用户便可以访问。

图 8

而对比图9，使用VPN访问GFW阻断的内容，VPN在客户端和VPN服务器之间先发送一个建立加密通道的明文数据包，GFW看到是VPN服务器，则不会进行阻断。加密通道建立后，客户端便可以通过VPN服务器来访问google等网站。但这种方式由于会在开始发送明文数据包，所以时间一长，特征非常明显，会经常被GFW所阻断。所以SOCKS5协议的优势是非常明显的。

图 9

参考文献

[1] Wikipedia. SOCKS[E]. https://zh.m.wikipedia.org/zh-hans/SOCKS#SOCK5

[2] M. Leech. Username/Password Authentication for SOCKS V5[E]. https://datatracker.ietf.org/doc/pdf/rfc1929.pdf .1996.3

[3] M. Leech, M. Ganis, Y. Lee. SOCKS Protocol Version 5. https://datatracker.ietf.org/doc/pdf/rfc1928.pdf. 1996.3