Network Working Group                                           M. Leech
Request for Comments: 1928                    Bell-Northern Research Ltd
Category: Standards Track                                       M. Ganis
                                         International Business Machines
                                                                  Y. Lee
                                                  NEC Systems Laboratory
                                                                R. Kuris
                                                       Unify Corporation
                                                               D. Koblas
                                                  Independent Consultant
                                                                L. Jones
                                                 Hewlett-Packard Company
                                                              March 1996

SCOKS協議5

備忘錄地位

本標準為Internet網詳細說明了一份架構委員會的標準軌跡協議，并且要求討論和建議以便進一步的改進。請關注最新的用于陳述標準化協議的的文件"IAB Official Protocol Standards"(STD1)。本備忘錄的發行無任何限制。

感謝

這份備忘錄詳細描述了一個由早先的版本(版本4[1])演化來的協議。新協議起源積極的討論和一些早先版本的實現。關鍵的投稿人有：Marcus Leech: 貝爾北方研究所, David Koblas:獨立研究者, Ying-Da Lee: NEC 系統實驗室, LaMont Jones: Hewlett-Packard 公司, Ron Kuris: Unify 有限公司, Matt Ganis: IBM公司。

介紹

使用網絡防火墻將一個組織內部的網絡結構和外部網絡隔開，這種方法在因特網上正變得日益流行。這些防火墻系統常常以應用層網關的形式工作在網絡之間，一般提供對TELNET, FTP, 和 SMTP的訪問控制。隨著越來越多促進全球信息化的應用協議的出現，有必要提供一個框架使得應用協議可以透明并秘密的穿越防火墻。

而且在實際應用中還需要一種安全的認證方式用以穿越防火墻。這種要求起源于不同組織的網絡間客戶端/服務器關系的出現，這種關系常常需要得到控制并要求有安全的認證。

在這兒所描述的協議框架是為了讓使用TCP和UDP的客戶/服務器應用程序更方便安全地使用網絡防火墻提供的服務而設計的。這個協議從概念上來講是介于應用層和傳輸層之間的“中介層(shim-layer)”，因而不提供如ICMP信息之類由網絡層網關的提供的服務。

現有的成果

當前存在一個協議SOCKS 4，它為TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP協議的客戶/服務器程序提供不安全的防火墻穿越策略。

新協議擴展了SCOKS4的模型使它可以用于UDP協議，擴展了一個框架使它可以提供一般意義上的強認證機制，擴展了尋址機制使它支持域名和IPV6。為了實現這個SOCKS協議，通常需要重新編譯或者重新鏈接基于TCP的客戶端應用程序以使用SOCKS庫中相應的加密函數。

注意：

除非特別注明，所有出現在數據包格式圖中的十進制數字均表示相應域的字節長度。如果一個給定的字節需要說明其值，則用X'hh'來表示這個字節的值。如果某域中用到單詞'Variable'，這表示該域的長度是可變的，且該域的長度定義在一個和這個域相關聯(1–2個字節)的域中，或一個數據類型域中。

基于TCP連接的客戶端程序

當一個基于TCP協議的客戶端希望與一個只能通過防火墻才可以到達的目標(這是由實現所決定的)建立連接，它必須先建立一個與相應SOCKS服務器的SOCKS端口的TCP連接。通常這個TCP端口是1080。當連接建立后，客戶端進入帶有認證機制的“握手(negotiation)”過程，根據選中的認證方式進行認證，然后發送需要轉發的請求。SOCKS服務器檢查這個請求，根據結果，或建立合適的連接，或拒絕。

除非特別注明，所有出現在數據包格式圖中的十進制數字均以字節表示相應域的長度。如果某域需要給定一個字節的值，用X'hh'來表示這個字節中的值。如果某域中用到單詞'Variable'，這表示該域的長度是可變的，且該長度定義在一個和這個域相關聯(1–2個字節)的域中，或一個數據類型域中。

客戶端連到服務器后，就發送一個版本標識符/方法選擇消息：

+----+----------+----------+
|VER | NMETHODS | METHODS  |
+----+----------+----------+
| 1  |    1     | 1 to 255 |
+----+----------+----------+

這個版本的SOCKS協議中，VER字段被設置成X'05'。NMETHODS字段為METHODS字節字段的長度。

服務器從這些給定的方法中選擇一個并發還給客戶端：

+----+--------+
|VER | METHOD |
+----+--------+
| 1  |   1    |
+----+--------+

如果選中的方法是X'FF'，這表示客戶端所列出的方法列表中沒有一個方法被選中，客戶端必須關閉連接。

當前定義的方法有：

o  X'00' 不需要認證
o  X'01' GSSAPI
o  X'02' 用戶名/密碼
o  X'03'-X'7F' IANA 分配
o  X'80'-X'FE' 保留用作私人方法
o  X'FF' 沒有可以接受的方法

然后客戶和服務器進入由選定認證方法所決定的子協商過程(sub-negotiation)。各種不同的方法的子協商過程的描述請參考各自的備忘錄。

開發者如果要為自己的方法得到一個方法號，可以聯系IANA。可以參考關于已經被分配號碼的文檔以得到當前所有方法的列表和相應的協議。

符合本文檔的SOCKS V5實現必須支持GSSAPI，并且在將來支持用戶名/密碼認證方式。

請求

一旦子協商過程結束后，客戶端就發送詳細的請求信息。如果協商的方法中有以完整性檢查和/或安全性為目的的封裝，這些請求必須按照該方法所定義的方式進行封裝。

SOCKS請求的格式如下：

+----+-----+-------+------+----------+----------+
|VER | CMD |  RSV  | ATYP | DST.ADDR | DST.PORT |
+----+-----+-------+------+----------+----------+
| 1  |  1  | X'00' |  1   | Variable |    2     |
+----+-----+-------+------+----------+----------+

其中：

o  VER  協議版本: X'05'
o  CMD
o  CONNECT  X'01'
o  BIND  X'02'
o  UDP  交互 X'03'
o  RSV  保留字段
o  ATYP  后面的地址類型
o  IP V4 地址: X'01'
o  域名: X'03'
o  IP V6 地址: X'04'
o  DST.ADDR  目的地址
o  DST.PORT  以網絡字節順序出現的端口號

SOCKS服務器會根據源地址和目的地址來分析請求，然后根據請求類型返回一個或多個應答。

地址

ATYP字段中描述了地址字段(DST.ADDR，BND.ADDR)所包含的地址類型：

o  X'01'

這是IPV4的IP地址，4個字節長。

o  X'03'

這是域名的地址，地址字段中的第一字節是該域名的字節長度，沒有結尾的NUL字節。

o  X'04'

這是基于IPV6的IP地址，16個字節長。

應答

一旦建立了一個到SOCKS服務器的連接，并且完成了認證協商，客戶機將會發送一個SOCKS請求信息給服務器。服務器將會根據請求，以如下格式返回：

+----+-----+-------+------+----------+----------+
|VER | REP |  RSV  | ATYP | BND.ADDR | BND.PORT |
+----+-----+-------+------+----------+----------+
| 1  |  1  | X'00' |  1   | Variable |    2     |
+----+-----+-------+------+----------+----------+

其中：

o  VER    協議版本: X'05'
o  REP    應答字段:
o  X'00' 成功
o  X'01' 普通的SCOKS服務器請求失敗
o  X'02' 現有的規則不允許連接
o  X'03' 網絡不可達
o  X'04' 主機不可達
o  X'05' 連接被拒絕
o  X'06' 連接超時
o  X'07' 命令不支持
o  X'08' 地址類型不支持
o  X'09' to X'FF' 未定義
o  RSV    保留
o  ATYP   后面的地址類型
o  IP V4 地址: X'01'
o  域名: X'03'
o  IP V6 地址: X'04'
o  BND.ADDR       服務器綁定的地址
o  BND.PORT       以網絡字節順序表示的服務器綁定的段口

標識為RSV的字段必須設為X'00'。

如果選中的方法中有以完整性檢查和/或安全性為目的的封裝，這些應答必須按照該方法所定義的方式進行封裝。

CONNECT

在對一個CONNECT命令的應答中，BND.PORT包含了服務器分配的用來連到目標機的端口號，BND.ADDR則是相應的IP地址。由于SOCKS服務器通常有多個IP，應答中的BND.ADDR常和客戶端連到SOCKS服務器的那個IP不同。SOCKS服務器可以利用DST.ADDR和DST.PORT，以及客戶端源地址和端口來對一個CONNECT請求進行分析。

BIND

BIND請求通常被用在那些要求客戶端接受來自服務器的連接的協議上。FTP是一個典型的例子。它建立一個從客戶端到服務器端的連接來執行命令以及接收狀態的報告，而使用另一個從服務器到客戶端的連接來接收傳輸數據的要求(如LS，GET，PUT)。

建議只有在一個應用協議的客戶端在使用CONNECT命令建立主連接后才可以使用BIND命令建立第二個連接。建議SOCKS服務器使用DST.ADDR和DST.PORT來評價BIND分析。

在一個BIND請求的操作過程中，SOCKS服務器要發送兩個應答給客戶端。當服務器建立并綁定一個新的套接口時發送第一個應答。BND.PORT字段包含SOCKS服務器用來監聽進入的連接的端口號，BAND.ADDR字段包含了對應的IP地址。客戶端通常使用這些信息來告訴(通過主連接或控制連接)應用服務器連接的匯接點。第二個應答僅發生在所期望到來的連接成功或失敗之后。

在第二個應答中，BND.PORT和BND.ADDR字段包含了連上來的主機的IP地址和端口號。

UDP交換

請求通常是要求建立一個UDP轉發進程來控制到來的UDP數據報。DST.ADDR和DST.PORT 字段包含客戶端所希望的用來發送UDP數據報的IP地址和端口號。服務器可以使用這個信息來限制進入的連接。如果客戶端在發送這個請求時沒有地址和端口信息，客戶端必須用全0來填充。

當與UDP相應的TCP連接中斷時，該UDP連接也必須中斷。

應答UDP 交互請求時，BND.PORT 和BND.ADDR字段指明了客戶發送UDP消息至服務器的端口和地址。

應答處理

當一個應答(REP值不等于00)指明出錯時，SOCKS服務器必須在發送完應答消息后一小段時間內終止TCP連接。這段時間應該在發現錯誤后10秒內。

如果一個應答(REP值等于00)指明成功，并且請求是一個BIND或CONNECT時，客戶端就可以開始發送數據了。如果協商的認證方法中有以完整性、認證和/或安全性為目的的封裝，這些請求必須按照該方法所定義的方式進行封裝。類似的，當以客戶端主機為目的地的數據到達SOCKS服務器時，SOCKS服務器必須用正在使用的方法對這些數據進行封裝。

基于UDP連接的客戶端程序

在UDP 交互應答中由BND.PORT指明了服務器所使用的UDP端口，一個基于UDP協議的客戶端必須發送數據報至UDP轉發服務器的該端口上。如果協商的認證方法中有以完整性、認證和/或安全性為目的的封裝，這些數據報必須按照該方法所定義的方式進行封裝。每個UDP數據報都有一個UDP請求頭部在其首部

+----+------+------+----------+----------+----------+
|RSV | FRAG | ATYP | DST.ADDR | DST.PORT |   DATA   |
+----+------+------+----------+----------+----------+
| 2  |  1   |  1   | Variable |    2     | Variable |
+----+------+------+----------+----------+----------+

其中UDP頭部為：

o  RSV  保留字段 X'0000'
o  FRAG   當前的分段號
o  ATYP    后面的地址類型:
o  IP V4 地址: X'01'
o  域名: X'03'
o  IP V6 地址: X'04'
o  DST.ADDR       目的地址
o  DST.PORT       目的端口
o  DATA     用戶數據

當一個UDP轉發服務器轉發一個UDP數據報時，不會發送任何通知給客戶端；同樣，它也將丟棄任何它不能發至遠端主機的數據報。當UDP轉發服務器從遠端服務器收到一個應答的數據報時，必須加上上述UDP請求頭，并對數據報進行封裝。

UDP轉發服務器必須從SOCKS服務器得到期望的客戶端IP地址，并將數據報發送到UDP ASSOCIATE應答中給定的端口號。如果數據報從任何IP地址到來，而該IP地址與該特定連接中指定的IP地址不同，那么該數據報會被丟棄。

FRAG字段指明數據報是否是一些分片中的一片。如果SOCKS服務器要實現這個功能，X'00'指明數據報是獨立的；否則其越大越是接近數據報的尾端。介于1到127之間的值說明了該分片在分片序列里的位置。每個接收者都為這些分片提供一個重組隊列和一個重組的計時器。這個重組隊列必須在重組計時器超時后重新初始化，并丟棄相應的數據報。或者當一個新到達的數據報有一個比當前在處理的數據報序列中最大的FRAG值要小時，也必須重新初始化重組隊列。重組計時器必須不小于5秒。只要有可能，應用程序最好不要使用分片。

分片的實現是可選的；如果某實現不支持分片，所有FRAG字段不為0的數據報都必須被丟棄。

一個SOCKS的UDP界面(The programming interface for a SOCKS-aware UDP)必須報告當前可用UDP數據報緩存空間小于操作系統提供的實際空間的情況。

o  如果 ATYP 是 X'01' - 10+method_dependent octets smaller
o  如果 ATYP 是X'03' - 262+method_dependent octets smaller
o  如果 ATYP 是X'04' - 20+method_dependent octets smaller
(譯者注：這里可能會有問題)
安全性考慮

這篇文檔描述了一個用來透過IP網絡防火墻的應用層協議。這種傳輸的安全性在很大程度上依賴于特定的實現以及在SOCKS客戶與SOCKS服務器之間經協商所選定的特殊的認證和封裝方式。

系統管理員需要對用戶認證方式的選擇進行仔細考慮。

參考文獻

[1] Koblas, D., "SOCKS", Proceedings: 1992 Usenix Security Symposium.

作者地址：

Marcus Leech
Bell-Northern Research Ltd
P.O. Box 3511, Stn. C,
Ottawa, ON
CANADA K1Y 4H7

Phone: (613) 763-9145
EMail: mleech@bnr.ca