本文描述http client使用socks代理过程中需要注意的几个方面:1,socks5支持用户密码授权;2,支持https;3,支持让代理服务器解析DNS;

使用代理创建Socket

从原理上来看,不管用什么http客户端(httpclient,okhttp),最终都要转换到java.net.Socket的创建上去,看到代码:

package java.net;

 public Socket(Proxy proxy) {

    ...

 }

这是JDK中对网络请求使用Socks代理的入口方法。(http代理是在http协议层之上的,不在此文讨论范围之内)。

HttpClient要实现socks代理,就需要塞进去一个Proxy对象,也就是定制两个类:org.apache.http.conn.ssl.SSLConnectionSocketFactoryorg.apache.http.conn.socket.PlainConnectionSocketFactory,分别对应https和http。

代码如下:

    private class SocksSSLConnectionSocketFactory extends SSLConnectionSocketFactory {

        public SocksSSLConnectionSocketFactory(SSLContext sslContext, HostnameVerifier hostnameVerifier) {

            super(sslContext, hostnameVerifier);

        }

        @Override

        public Socket createSocket(HttpContext context) throws IOException {

            ProxyConfig proxyConfig = (ProxyConfig) context.getAttribute(ProxyConfigKey);

            if (proxyConfig != null) {//需要代理

                return new Socket(proxyConfig.getProxy());

            } else {

                return super.createSocket(context);

            }

        }

        @Override

        public Socket connectSocket(int connectTimeout, Socket socket, HttpHost host, InetSocketAddress remoteAddress,

                                    InetSocketAddress localAddress, HttpContext context) throws IOException {

            ProxyConfig proxyConfig = (ProxyConfig) context.getAttribute(ProxyConfigKey);

            if (proxyConfig != null) {//make proxy server to resolve host in http url

                remoteAddress = InetSocketAddress

                        .createUnresolved(host.getHostName(), host.getPort());

            }

            return super.connectSocket(connectTimeout, socket, host, remoteAddress, localAddress, context);

        }

    }



    private class SocksSSLConnectionSocketFactory extends SSLConnectionSocketFactory {

        public SocksSSLConnectionSocketFactory(SSLContext sslContext, HostnameVerifier hostnameVerifier) {

            super(sslContext, hostnameVerifier);

        }

        @Override

        public Socket createSocket(HttpContext context) throws IOException {

            ProxyConfig proxyConfig = (ProxyConfig) context.getAttribute(ProxyConfigKey);

            if (proxyConfig != null) {

                return new Socket(proxyConfig.getProxy());

            } else {

                return super.createSocket(context);

            }

        }

        @Override

        public Socket connectSocket(int connectTimeout, Socket socket, HttpHost host, InetSocketAddress remoteAddress,

                                    InetSocketAddress localAddress, HttpContext context) throws IOException {

            ProxyConfig proxyConfig = (ProxyConfig) context.getAttribute(ProxyConfigKey);

            if (proxyConfig != null) {//make proxy server to resolve host in http url

                remoteAddress = InetSocketAddress

                        .createUnresolved(host.getHostName(), host.getPort());

            }

            return super.connectSocket(connectTimeout, socket, host, remoteAddress, localAddress, context);

        }

    }

然后在创建httpclient对象时,给HttpClientConnectionManager设置socketFactoryRegistry

            Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory>create()

                .register(Protocol.HTTP.toString(), new SocksConnectionSocketFactory())

                .register(Protocol.HTTPS.toString(), new SocksSSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE))

                .build();

        PoolingHttpClientConnectionManager connectionManager = new PoolingHttpClientConnectionManager(socketFactoryRegistry);

让代理服务器解析域名

场景:运行httpClient的进程所在主机可能并不能上公网,大部分时候,也无法进行DNS解析,这时通常会出现域名无法解析的IO异常,下面介绍怎么避免在客户端解析域名。

上面有一行代码非常关键:

remoteAddress = InetSocketAddress

                        .createUnresolved(host.getHostName(), host.getPort());

变量host是你发起http请求的目标主机和端口信息,这里创建了一个未解析(Unresolved)的SocketAddress,在socks协议握手阶段,InetSocketAddress信息会原封不动的发送到代理服务器,由代理服务器解析出具体的IP地址。

Socks的协议描述中有个片段:

   The SOCKS request is formed as follows:

        +----+-----+-------+------+----------+----------+

        |VER | CMD |  RSV  | ATYP | DST.ADDR | DST.PORT |

        +----+-----+-------+------+----------+----------+

        | 1  |  1  | X'00' |  1   | Variable |    2     |

        +----+-----+-------+------+----------+----------+

     Where:

          o  VER    protocol version: X'05'

          o  CMD

             o  CONNECT X'01'

             o  BIND X'02'

             o  UDP ASSOCIATE X'03'

          o  RSV    RESERVED

          o  ATYP   address type of following address

             o  IP V4 address: X'01'

             o  DOMAINNAME: X'03'

             o  IP V6 address: X'04'

代码按上面方法写,协议握手发送的是ATYP=X'03',即采用域名的地址类型。否则,HttpClient会尝试在客户端解析,然后发送ATYP=X'01'进行协商。当然,大多数时候HttpClient在解析域名的时候就挂了。

https中需要注意的问题

在使用httpclient访问https网站的时候,经常会遇到javax.net.ssl包中的异常,例如:

Caused by: javax.net.ssl.SSLException: Received fatal alert: internal_error

    at sun.security.ssl.Alerts.getSSLException(Unknown Source) ~[na:1.7.0_80]

    at sun.security.ssl.Alerts.getSSLException(Unknown Source) ~[na:1.7.0_80]

一般需要做几个设置:

创建不校验证书链的SSLContext

        SSLContext sslContext = null;

        try {

            sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {

                @Override

                public boolean isTrusted(X509Certificate[] chain, String authType)

                        throws CertificateException {

                    return true;

                }

            }).build();

        } catch (Exception e) {

            throw new com.aliyun.oss.ClientException(e.getMessage());

        }

        ...

        new SocksSSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE)

创建不校验域名的HostnameVerifier

public class NoopHostnameVerifier implements javax.net.ssl.HostnameVerifier {

    public static final NoopHostnameVerifier INSTANCE = new NoopHostnameVerifier();

    @Override

    public boolean verify(final String s, final SSLSession sslSession) {

        return true;

    }

}

如何使用用户密码授权?

java SDK中给Socks代理授权有点特殊,不是按socket来的,而是在系统层面做的全局配置。比如,可以通过下面代码设置一个全局的Authenticator:

Authenticator.setDefault(new MyAuthenticator("userName", "Password"));

...

class MyAuthenticator extends java.net.Authenticator {

    private String user ;

    private String password ;

    public MyAuthenticator(String user, String password) {

      this.user = user;

      this.password = password;

    }

    protected PasswordAuthentication getPasswordAuthentication() {

      return new PasswordAuthentication(user, password.toCharArray());

    }

  }

这种方法很简单,不过有些不方便的地方,如果你的产品中需要连接不同的Proxy服务器,而他们的用户名密码是不一样的,那么这个方法就不适用了。

基于ThreadLocal的Authenticator

public class ThreadLocalProxyAuthenticator extends Authenticator{

    private ThreadLocal<PasswordAuthentication> credentials = null;

     private static class SingletonHolder {

        private static final ThreadLocalProxyAuthenticator instance = new ThreadLocalProxyAuthenticator();

    }

    public static final ThreadLocalProxyAuthenticator getInstance() {

        return SingletonHolder.instance;

    }

      public void setCredentials(String user, String password) {

        credentials.set(new PasswordAuthentication(user, password.toCharArray()));

    }

    public static void clearCredentials() {

        ThreadLocalProxyAuthenticator authenticator = ThreadLocalProxyAuthenticator.getInstance();

        Authenticator.setDefault(authenticator);

        authenticator.credentials.set(null);

    }

    public PasswordAuthentication getPasswordAuthentication() {

        return credentials.get();

    }

}

这个类意味着,授权信息只会保存到当前调用者的线程中,其他线程的调用者无法访问,在创建Socket的线程中设置密钥和清理密钥,就可以做到授权按照Socket连接进行隔离。Java TheadLocal相关知识本文不赘述。

按连接隔离的授权

 class ProxyHttpClient extends CloseableHttpClient{

    private CloseableHttpClient httpClient;

    public ProxyHttpClient(CloseableHttpClient httpClient){

        this.httpClient=httpClient;

    }

    protected CloseableHttpResponse doExecute(HttpHost target, HttpRequest request, HttpContext context) throws IOException, ClientProtocolException {

            ProxyConfig proxyConfig = //这里获取当前连接的代理配置信息

            boolean clearCredentials = false;

            if (proxyConfig != null) {

                if (context == null) {

                    context = HttpClientContext.create();

                }

                context.setAttribute(ProxyConfigKey, proxyConfig);

                if (proxyConfig.getAuthentication() != null) {

                    ThreadLocalProxyAuthenticator.setCredentials(proxyConfig.getAuthentication());//设置授权信息

                    clearCredentials = true;

                }

            }

            try {

                return httpClient.execute(target, request, context);

            } finally {

                if (clearCredentials) {//清理授权信息

                    ThreadLocalProxyAuthenticator.clearCredentials();

                }

            }

        }

 }

另外,线程是可以复用的,因为每次调用完毕后,都清理了授权信息。

这里有个一POJO类ProxyConfig,保存的是socks代理的IP端口和用户密码信息。

public class ProxyConfig {

    private Proxy proxy;

    private PasswordAuthentication authentication;

}

给HttpClient添加Socks代理的更多相关文章

  1. JAVA知识积累 给HttpClient添加Socks代理

    本文描述http client使用socks代理过程中需要注意的几个方面:1,socks5支持用户密码授权:2,支持https:3,支持让代理服务器解析DNS: 使用代理创建Socket 从原理上来看 ...

  2. 给OkHttp Client添加socks代理

    Okhttp的使用没有httpClient广泛,网上关于Okhttp设置代理的方法很少,这篇文章完整介绍了需要注意的方方面面. 上一篇博客中介绍了socks代理的入口是创建java.net.Socke ...

  3. Xshell添加ssh隧道SOCKS代理

    Xshell是一个功能强大的终端模拟器,支持SSH,SFTP.TELNET.RLOGIN和SERIAL 下载地址:http://www.netsarang.com/products/xsh_overv ...

  4. redsocks 将socks代理转换成全局代理

    redsocks 需要手动下载编译.前置需求为libevent组件,当然gcc什么的肯定是必须的. 获取源码 git clone https://github.com/darkk/redsocks 安 ...

  5. linux配置wifi连接并通过ssh代理开启socks代理

    1, 命令行配置连接wifi具体我是用的cubieboard2上Debian主机,其中配置wifi的命令行有wpa_cli,具体用法步骤如下.wpa_cli 命令行执行需要root权限,详细用法请见 ...

  6. 关于双网卡双宽带Http及Socks代理的配置

    1.[硬件环境] a, 1台宿主(win7)+几十台虚拟机(xp)(vm10的版本,估计可打开52台以上的虚拟机) b, 双网卡,其中一个网卡通过路由连接电信ADSL,一个直连集线器,可直接连接移动m ...

  7. 【转载】SOCKS代理:从***到内网漫游

    原文:SOCKS代理:从***到内网漫游 本文原创作者:tahf,本文属FreeBuf原创奖励计划,未经许可禁止转载 之前在Freebuf上学习过很多大牛写的关于Tunnel.SOCKS代理.***等 ...

  8. 内网漫游之SOCKS代理大结局

    0×01 引言 在实际渗透过程中,我们成功入侵了目标服务器.接着我们想在本机上通过浏览器或者其他客户端软件访问目标机器内部网络中所开放的端口,比如内网的3389端口.内网网站8080端口等等.传统的方 ...

  9. 通过SOCKS代理渗透整个内网

    https://blog.csdn.net/SouthWind0/article/details/83111044 通过SOCKS代理渗透整个内网 1.背景 经过前期的渗透工作,我们现在已经成功找到了 ...

随机推荐

  1. python解析域名

    #coding:utf-8 import socket def URL2IP(): for oneurl in urllist.readlines(): url=str(oneurl.strip()) ...

  2. codechef [snackdown2017 Onsite Final] Fusing Weapons

    传送门 题目描述 大厨最近迷上了一款勇者斗恶龙的游戏. 游戏每局开始前,会有 N 件武器摆成一圈.每件武器有一个整数的等级.大厨可以选择两件 相邻的等级相同(不妨设同为 A 级)的武器,将它们合成.这 ...

  3. 2329: [HNOI2011]括号修复

    传送魔法 一开始以为可以直接线段树的,好像还是不行……还是得用Spaly,然后就没啥了. #include<cstdio> #include<algorithm> #defin ...

  4. hackerrank Alex对战Fedor

    任意门 为了在漫长得飞行旅途中娱乐,Alex和Fedor发明了如下的一个简单的双人游戏.游戏是: 首先, Alex画一个有权无向图.该图中可能有多重边(多重边的权值可能相同或者不同). 然后,Fedo ...

  5. Gym100971B Gym100971C Gym100971F Gym100971G Gym100971K Gym100971L(都是好写的题。。。) IX Samara Regional Intercollegiate Programming Contest Russia, Samara, March 13, 2016

    昨天训练打的Gym,今天写题解. Gym100971B 这个题就是输出的时候有点小问题,其他的都很简单. 总之,emnnn,简单题. 代码: #include<iostream> #inc ...

  6. NowCoderWannafly挑战赛5-可编程拖拉机比赛-向上取整和向下取整函数

    可编程拖拉机比赛 时间限制:C/C++ 1秒,其他语言2秒空间限制:C/C++ 65536K,其他语言131072K64bit IO Format: %lld 题目描述 "这个比赛,归根结底 ...

  7. BZOJ1226: [SDOI2009]学校食堂Dining

    题目:http://www.lydsy.com/JudgeOnline/problem.php?id=1226 状压dp. f[i][s][k]表示原顺序中前i-1个人都吃了饭,当前状态为s(i及i之 ...

  8. 2017ecjtu-summer training #4 UESTC 1599

    题目链接   http://acm.uestc.edu.cn/#/problem/show/1599 题意   n个数 每次合并最小的两个数加到sum中,直到只剩一个数为止 常规解会超时,后来想到了用 ...

  9. flume1.8 开发指南学习感悟

    概述: Apache Flume是一个分布式.可用的系统,用于从许多不同的sources有效的收集并移动大量日志数据用于集中存储数据. 架构及数据流动模型: flume实际上就是一个Agent.Age ...

  10. 设置Sql server用户对表、视图、存储过程、架构的增删改查权限

    根据数据库Schema限制用户对数据库的操作行为 授予Shema dbo下对象的定义权限给某个用户(也就是说该用户可以修改架构dbo下所有表/视图/存储过程/函数的结构) use [Your DB N ...