基於go手動寫個轉發代理服務

由於公司經常需要異地辦公，在調試的時候需要用到內網環境，因此手動寫了個代理轉發服務器給兄弟們用：socks5proxy - (https://github.com/shikanon/socks5proxy)

選型上，語言上就選擇了Go，簡單清晰，轉發協議選擇了socks5。

SOCKS5協議介紹

SOCKS是一種網絡傳輸協議，主要用於客戶端與外網服務器之間通訊的中間傳遞，SOCKS是"SOCKetS"的縮寫。 SOCKS5是SOCKS4的升級版，其主要多了鑑定、IPv6、UDP支持。

SOCKS5協議可以分為三個部分：

• (1) 協議版本及認證方式
• (2) 根據認證方式執行對應的認證
• (3) 請求信息

（1）協議版本及認證方式

創建與SOCKS5服務器的TCP連接後客戶端需要先發送請求來協議版本及認證方式，

VERNMETHODSMETHODS111-255

• VER是SOCKS版本，這裡應該是0x05；
• NMETHODS是METHODS部分的長度；
• METHODS是客戶端支持的認證方式列表，每個方法佔1字節。當前的定義是：
• 0x00 不需要認證
• 0x01 GSSAPI
• 0x02 用戶名、密碼認證
• 0x03 - 0x7F由IANA分配（保留）
• 0x80 - 0xFE為私人方法保留
• 0xFF 無可接受的方法

服務器回覆客戶端可用方法：

VERMETHOD11

• VER是SOCKS版本，這裡應該是0x05；
• METHOD是服務端選中的方法。如果返回0xFF表示沒有一個認證方法被選中，客戶端需要關閉連接。

代碼實現：

type ProtocolVersion struct {
 VER uint8
 NMETHODS uint8
 METHODS []uint8
}
func (s *ProtocolVersion) handshake(conn net.Conn) error {
 b := make([]byte, 255)
 n, err := conn.Read(b)
 if err != nil {
 log.Println(err)
 return err
 } 

 s.VER = b[0] //ReadByte reads and returns a single byte，第一個參數為socks的版本號
 s.NMETHODS = b[1] //nmethods是記錄methods的長度的。nmethods的長度是1個字節
 if n != int(2+s.NMETHODS) {
 return errors.New("協議錯誤, sNMETHODS不對")
 }
 s.METHODS = b[2:2+s.NMETHODS] //讀取指定長度信息，讀取正好len(buf)長度的字節。如果字節數不是指定長度，則返回錯誤信息和正確的字節數
 if s.VER != 5 {
 return errors.New("該協議不是socks5協議")
 }
 //服務器回應客戶端消息:
 //第一個參數表示版本號為5，即socks5協議，
 // 第二個參數表示服務端選中的認證方法，0即無需密碼訪問, 2表示需要用戶名和密碼進行驗證。 
 resp :=[]byte{5, 0} 
 conn.Write(resp)
 return nil
} 

（2）根據認證方式執行對應的認證

SOCKS5協議提供5種認證方式：

• 0x00 不需要認證
• 0x01 GSSAPI
• 0x02 用戶名、密碼認證
• 0x03 - 0x7F由IANA分配（保留）
• 0x80 - 0xFE為私人方法保留

這裡就主要介紹用戶名、密碼認證。 在客戶端、服務端協商使用用戶名密碼認證後，客戶端發出用戶名密碼：

鑑定協議版本用戶名長度用戶名密碼長度密碼11動態1動態

服務器鑑定後發出如下回應：

鑑定協議版本鑑定狀態11

其中鑑定狀態 0x00 表示成功，0x01 表示失敗。

代碼實現：

type Socks5Auth struct {
 VER uint8
 ULEN uint8
 UNAME string
 PLEN uint8
 PASSWD string
}
func (s *Socks5Auth) authenticate(conn net.Conn) error {
 b := make([]byte, 128)
 n, err := conn.Read(b)
 if err != nil{
 log.Println(err)
 return err
 }
 s.VER = b[0]
 if s.VER != 5 {
 return errors.New("該協議不是socks5協議")
 }
 s.ULEN = b[1]
 s.UNAME = string(b[2:2+s.ULEN])
 s.PLEN = b[2+s.ULEN+1]
 s.PASSWD = string(b[n-int(s.PLEN):n]) 

 log.Println(s.UNAME, s.PASSWD)
 if username != s.UNAME || passwd != s.PASSWD {
 return errors.New("賬號密碼錯誤")
 }
 /**
 回應客戶端,響應客戶端連接成功
 The server verifies the supplied UNAME and PASSWD, and sends the
 following response:
 +----+--------+
 |VER | STATUS |
 +----+--------+
 | 1 | 1 |
 +----+--------+
 A STATUS field of X'00' indicates success. If the server returns a
 `failure' (STATUS value other than X'00') status, it MUST close the
 connection.
 */
\tresp := []byte{0x05, 0x00}
 conn.Write(resp) 
 return nil
}

但其實，現在大家都習慣自己採用加密流的方式進行加密，很少採用用戶名密碼的形式進行加密，後面章節會介紹一種對SOCKS的混淆加密方式。

（3）請求信息

認證結束後客戶端就可以發送請求信息。如果認證方法有特殊封裝要求，請求必須按照方法所定義的方式進行封裝解密，其原始格式如下：

VERCMDRSVATYPDST.ADDRDST.PORT110x001動態2

• VER是SOCKS版本，這裡應該是0x05；
• CMD是SOCK的命令碼
• 0x01表示CONNECT請求
• 0x02表示BIND請求
• 0x03表示UDP轉發
• RSV 0x00，保留
• ATYP DST.ADDR類型
• DST.ADDR 目的地址
• 0x01 IPv4地址，DST.ADDR部分4字節長度
• 0x03 域名，DST.ADDR部分第一個字節為域名長度，DST.ADDR剩餘的內容為域名，沒有\\0結尾。
• 0x04 IPv6地址，16個字節長度。
• DST.PORT 網絡字節序表示的目的端口

代碼實現：

type Socks5Resolution struct {
 VER uint8
 CMD uint8
 RSV uint8
 ATYP uint8
 DSTADDR []byte
 DSTPORT uint16
 DSTDOMAIN string
 RAWADDR *net.TCPAddr
}
func (s *Socks5Resolution) lstRequest(conn net.Conn) error {
 b := make([]byte, 128)
 n, err := conn.Read(b)
 if err != nil || n < 7 {
 log.Println(err)
 return errors.New("請求協議錯誤") 

 }
 s.VER = b[0]
 if s.VER != 5 {
 return errors.New("該協議不是socks5協議")
 }
 s.CMD = b[1]
 if s.CMD != 1 { 
 return errors.New("客戶端請求類型不為代理連接, 其他功能暫時不支持.")
 }
 s.RSV = b[2] //RSV保留字端，值長度為1個字節
 s.ATYP = b[3]
 switch s.ATYP {
 case 1:
 //\tIP V4 address: X'01'
 s.DSTADDR = b[4 : 4+net.IPv4len]
 case 3:
 //\tDOMAINNAME: X'03'
 s.DSTDOMAIN = string(b[5:n-2])
 ipAddr, err := net.ResolveIPAddr("ip", s.DSTDOMAIN)
\t\tif err != nil {
\t\t\treturn err
\t\t}
 s.DSTADDR = ipAddr.IP
 case 4:
 //\tIP V6 address: X'04'
 s.DSTADDR = b[4 : 4+net.IPv6len]
\tdefault:
\t\treturn errors.New("IP地址錯誤")
 }
 s.DSTPORT = binary.BigEndian.Uint16(b[n-2:n])
 // DSTADDR全部換成IP地址，可以防止DNS汙染和封殺
 s.RAWADDR = &net.TCPAddr{
\t\tIP: s.DSTADDR,
\t\tPort: int(s.DSTPORT),
 }
 
 /**
 回應客戶端,響應客戶端連接成功
 +----+-----+-------+------+----------+----------+
 |VER | REP | RSV | ATYP | BND.ADDR | BND.PORT |
 +----+-----+-------+------+----------+----------+
 | 1 | 1 | X'00' | 1 | Variable | 2 |
 +----+-----+-------+------+----------+----------+ 

 */
\tresp := []byte{0x05, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00}
 conn.Write(resp) 
 return nil
}

（4）最後將信息進行轉發即可

代碼實現:

 wg := new(sync.WaitGroup)
 wg.Add(2)
 go func() {
\t\tdefer wg.Done()
\t\tdefer dstServer.Close()
 io.Copy(dstServer, client)
 }()
 go func() {
\t\tdefer wg.Done()
 defer client.Close()
 io.Copy(client, dstServer)
 }()
 wg.Wait()