【问题标题】:What does the proxy server do when proxying a https request代理 https 请求时代理服务器做了什么
【发布时间】:2013-12-21 19:48:10
【问题描述】:

我使用以下设置构建了一个带有 apache 的转发代理服务器:

<VirtualHost *:8088>
    ServerAdmin test@gmail.com
    DocumentRoot "E:/test"
    ServerName www.test.com
    ServerAlias test.com
    ErrorLog "logs/test.com-error.log"
    CustomLog "logs/test.com-access.log" common
    <Directory "E:/test">
        Options FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>

    ProxyRequests On
    ProxyVia Off
    ProxyTimeout 10

    <Proxy *>
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </Proxy>
</VirtualHost>

主机文件

127.0.0.1 localhost

然后我用curl来测试代理服务器

curl.exe -v https://www.google.com.hk -x localhost:8088

输出

* About to connect() to proxy localhost port 8088 (#0)
*   Trying 127.0.0.1... connected
* Connected to localhost (127.0.0.1) port 8088 (#0)
* Establish HTTP proxy tunnel to www.google.com.hk:443
> CONNECT www.google.com.hk:443 HTTP/1.1
> Host: www.google.com.hk:443
> User-Agent: curl/7.21.7 (amd64-pc-win32) libcurl/7.21.7 OpenSSL/0.9.8r zlib/1.
2.5
> Proxy-Connection: Keep-Alive
>
< HTTP/1.0 200 Connection Established
< Proxy-agent: Apache/2.2.25 (Win32) PHP/5.4.21
<
* Proxy replied OK to CONNECT request
* successfully set certificate verify locations:
*   CAfile: D:\curl-ssl\curl-ca-bundle.crt
  CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using RC4-SHA
* Server certificate:
*        subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=*.googl
e.com.hk
*        start date: 2013-11-20 14:47:22 GMT
*        expire date: 2014-03-20 00:00:00 GMT
*        subjectAltName: www.google.com.hk matched
*        issuer: C=US; O=Google Inc; CN=Google Internet Authority G2
*        SSL certificate verify ok.
> GET / HTTP/1.1
> User-Agent: curl/7.21.7 (amd64-pc-win32) libcurl/7.21.7 OpenSSL/0.9.8r zlib/1.
2.5
> Host: www.google.com.hk
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Thu, 05 Dec 2013 02:21:27 GMT
< Expires: -1
< Cache-Control: private, max-age=0
< Content-Type: text/html; charset=Big5
< Set-Cookie: PREF=ID=12cdbbbf43c234b5:FF=0:NW=1:TM=1386210087:LM=1386210087:S=B
HZ4WAj3fqZicDa_; expires=Sat, 05-Dec-2015 02:21:27 GMT; path=/; domain=.google.c
om.hk
< Set-Cookie: NID=67=EvwPZiG49GZO1AMLw7cTY1Azrqzb77uTpCUv9rOECEJh4PRB523yMIJm8L5
OxxWBeq44qM-Dn8xYUijDmBrvXfL504U4_FSunEfG5UUIDveWbHG2BirORx5Jqk9MVFkd; expires=F
ri, 06-Jun-2014 02:21:27 GMT; path=/; domain=.google.com.hk; HttpOnly
< P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/
bin/answer.py?hl=en&answer=151657 for more info."
< Server: gws
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
< Alternate-Protocol: 443:quic
< Transfer-Encoding: chunked
<
...  The google home page HTML ...

我认为 https 代理流程是:

  1. 向代理服务器发送 CONNECT http 请求

  2. 代理服务器将此 CONNECT 请求转发到 www.google.com.hk:443

  3. www.google.com.hk:443 向代理服务器返回 200 连接建立响应

  4. 代理服务器将响应转发给 curl

  5. curl 开始向代理服务器发送 tls 握手数据报(可能是加密的?)

  6. 代理服务器对数据报一无所知,因为数据报是加密的,代理服务器只是使用它之前发送 CONNECT 请求的套接字将此数据报转发到 www.google.com.hk:443。

  7. www.google.com.hk:443 向代理服务器发送加密的 tls 握手数据报

  8. 代理服务器将加密数据转发到curl而不解密

  9. ...几次握手后,握手结束,开始发送GET请求

  10. curl 向代理服务器发送 GET 请求,此请求数据报已加密

  11. 代理服务器使用上述套接字将加密数据报转发到 www.google.com.hk:443

  12. www.google.com.hk:443 返回加密响应

  13. 代理服务器将响应转发给 curl

  14. curl 解密响应并显示 html

不知道我的理解是否正确,尤其是在STEP 3之后,curl收到了200 CONNECTION ESTABLISHED响应。

我想知道的是代理服务器在收到200 CONNECTION ESTABLISHED响应后是做什么的,代理是否解密了请求数据报?

【问题讨论】:

    标签: http curl https proxy


    【解决方案1】:

    HTTPS 代理可以连接到任何远程资源。如果它连接到 HTTPS 服务器,它不会看到 200 响应,因为响应是加密的。

    一般来说,CONNECT 动词的意思是“建立一个不透明的隧道,并在它准备好时通知我”。观点。因此,服务器通过连接到远程服务器实际上建立了一条隧道,一旦建立连接,代理就会向客户端发送肯定响应。之后客户端可以向代理发送任何内容,代理将简单地将数据中继到远程服务器,选择来自服务器的数据并将其发送回客户端。

    这种方案允许使用 HTTPS 代理连接到任何类型的服务器,而不仅仅是 HTTP/HTTPS。

    【讨论】:

    • 那么当proxy收到CONNECT请求时,它使用连接到远程服务器的某个隧道发送任何二进制数据?那正确吗 ?也就是说,我上面粘贴的步骤正确吗?
    • (1) 不完全是。在第 2 步,代理服务器建立 TCP 连接并向客户端发送 200 响应。在该步骤中,代理不会自行向服务器发送任何内容。一旦客户端向服务器发送请求,代理就会转发请求。 (2) “数据报”一词用于 UDP 协议,这里有 TCP 数据包。
    • 谢谢尤金~我现在很清楚了!还有一个问题,我正在研究一个开源代理——用 Netty 实现的 LittleProxy。我在代码中找到了关于处理 CONNECT 请求的注释 "Not reusing existing ProxyToServerConnection because request is a CONNECT" 。既然Proxy里面有proxyToRemoteServer的连接池,那么这个注解是否意味着我们不能使用连接池中的连接来处理这个C​​ONNECT(https)请求呢?为什么?
    • 不知道。您应该询问该软件的开发人员他们所说的评论是什么意思以及他们这样做的原因。
    猜你喜欢
    • 2020-05-03
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-01-14
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多