方案介绍
涉及到的软件
  1. BIND: 一个流行的域名解析服务器,我们可以设置哪些域名需要走加密线路。
  2. Stunnel: 使用TLS对tcp协议进行加密,也就是对tcp建立一条加密线路。
  3. SNI Proxy: 代理软件。对于HTTP协议,它可以根据Host请求头解析得出目标站IP;对于HTTPS协议,它可以根据SNI扩展中的域名解析得出目标站IP。
此方案优缺点

优点:
无需手动设置任何代理,就能够自动加密代理特定网站的HTTP或HTTPS协议
相对于我们常用的ssh隧道,ssh隧道是单路,而此方案是支持多并发连接,可以极大加速网站访问。

缺点:
对于代理HTTPS协议,需要发起HTTPS连接的客户端,比如浏览器支持TLS的SNI扩展。好消息是目前浏览器几乎都支持此扩展,但对于一些非浏览器的客户端,不支持SNI扩展。我们只能设置正向代理来解决此问题。

方案原理

流程图:

原理介绍:
1、首先我们需要准备三台服务器,一台是内网DNS服务器(安装bind),一台是内网代理服务器(安装stunnel),另一台国外服务器(安装stunnel,sniproxy)。
2、我们还需要设置DNS为内网的DNS,并在内网bind dns设置谷歌域名解析的IP为内网代理服务器
3、当我们访问谷歌网站时,首先会向内网DNS服务器发送DNS A记录查询,此时内网DNS服务器会返回内网代理服务器的IP。
4、浏览器得到谷歌域名的解析IP后(即内网代理服务器的IP),会向内网代理服务器发送HTTP或HTTPS请求。
5、此时内网代理服务器(即stunnel),会接收到请求,经过加密,把请求转发到国外服务器(stunnel)的指定端口上。
6、国外服务器(stunnel)接收到来自国内服务器(stunnel)的加密数据后,经过解密,把请求转发到sniproxy。
7、sniproxy再根据HTTP Host请求头或者HTTPS sni扩展的域名解析出谷歌服务器的IP,并把请求转发给谷歌服务器。
8、谷歌服务器收到来自sniproxy发送的请求后,马上返回网页内容给sniproxy,sniproxy再原路返回数据给浏览器。

方案实施

由于时间有限,我们仅在Ubuntu server 12.04演示安装。

环境介绍

系统:Ubuntu server 12.04

内网DNS IP: 10.96.153.201(主),10.96.153.204(从)

内网代理服务器: 10.96.153.204

国外服务器IP: 1.2.3.4

安装BIND9

1、在主DNS和从DNS安装bind,即10.96.153.201(主),10.96.153.204(从)。

    wget http://www.isc.org/downloads/file/bind-9-10-0b1-2/?version=tar.gz -O bind-9-10-0b1-2.tar.gz

    tar xzf bind-9-10-0b1-2.tar.gz

    cd bind-9-10-0b1-2

    ./configure --prefix=/usr/local/bind

    make && make install

2、配置主DNS服务器(10.96.153.201)

2.1、生成/usr/local/bind/etc/rndc.key密钥文件

/usr/local/bind/sbin/rndc-confgen -a -k rndckey -c /usr/local/bind/etc/rndc.key

2.2、编辑/usr/local/bind/etc/named.conf,写入如何内容:

    include "/usr/local/bind/etc/rndc.key";

    controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndckey"; }; };

    logging {

    channel default_syslog { syslog local2; severity notice; };

    channel audit_log { file "/var/log/bind.log"; severity notice; print-time yes; };

    category default { default_syslog; };

    category general { default_syslog; };

    category security { audit_log; default_syslog; };

    category config { default_syslog; };

    category resolver { audit_log; };

    category xfer-in { audit_log; };

    category xfer-out { audit_log; };

    category notify { audit_log; };

    category client { audit_log; };

    category network { audit_log; };

    category update { audit_log; };

    category queries { audit_log; };

    category lame-servers { audit_log; };

    };

    options {

        directory "/usr/local/bind/etc";

    pid-file "/usr/local/bind/var/run/bind.pid";

    transfer-format many-answers;

    interface-interval 0;

    forward only;

    forwarders { 202.96.128.166;202.96.134.133; };

    allow-query {any;};

    };

    zone "google.com" {

    type master;

    file "google.com.zone";

    allow-transfer { 10.96.153.204; };

    };

在这个named.conf文件中,我们只需要关心如下内容:

对于options{}区域,202.96.128.166和202.96.134.133这两个是ISP提供的本地DNS,需要修改为自己所在ISP的本地DNS。
对于zone “google.com”{}区域,这里定义了google.com域名的区域文件google.com.zone,还有允许10.96.153.204(即从DNS)同步区域文件。

2.3、建立google.com.zone区域文件:

    $TTL 3600

    @ IN SOA ns1.google.com. hostmaster.google.com. (

    2014072015  ; Serial

    3600 ; Refresh

    900 ; Retry

    3600000 ; Expire

    3600 ) ; Minimum

    @ IN NS ns1.google.com.

    @ IN NS ns2.google.com.

    ns1 IN A 10.96.153.201

    ns2 IN A 10.96.153.204

    @ IN A 10.96.153.204

    * IN A 10.96.153.204

对于这个区域文件:
ns1 IN A 10.96.153.201 指向第一个dns服务器,即主DNS。
ns2 IN A 10.96.153.204 指向第二个dns服务器,即从DNS。
@ IN A 10.96.153.204和* IN A 10.96.153.204指向内网的代理服务器(stunnel)。我们只需要修改这三个地方就好了。

3、配置从DNS服务器(10.96.153.204)
编辑named.conf,写入如下内容

    logging {

    channel default_syslog { syslog local2; severity notice; };

    channel audit_log { file "/var/log/bind.log"; severity notice; print-time yes; };

    category default { default_syslog; };

    category general { default_syslog; };

    category security { audit_log; default_syslog; };

    category config { default_syslog; };

    category resolver { audit_log; };

    category xfer-in { audit_log; };

    category xfer-out { audit_log; };

    category notify { audit_log; };

    category client { audit_log; };

    category network { audit_log; };

    category update { audit_log; };

    category queries { audit_log; };

    category lame-servers { audit_log; };

    };

    options {

        directory "/usr/local/bind/etc";

    pid-file "/usr/local/bind/var/run/bind.pid";

    transfer-format many-answers;

    interface-interval 0;

    forward only;

    forwarders { 202.96.128.166;202.96.134.133; };

    allow-query {any;};

    };

    zone "google.com" {

    type slave;

    file "google.com.zone";

    masters { 10.96.153.201; };

    };

配置从DNS就简单得多,只需要写入如上内容到named.conf文件。同样的,options{}中202.96.128.166和202.96.134.133这两个是当地ISP本地dns。zone “google.com”{}中10.96.153.201指明主DNS服务器IP。
4、启动bind dns服务器

/usr/local/bind/sbin/named
安装Stunnel

1、在内网代理服务器和国外主机安装stunnel

    apt-get install stunnel4

2、内网代理服务器stunnel配置
编辑/etc/default/stunnel4,设置ENABLED=1。

    client = yes

    pid = /etc/stunnel/stunnel.pid

    [http]

    accept = 80

    connect = 1.2.3.4:8082

    [https]

    accept = 443

    connect = 1.2.3.4:4433

此配置文件表示,监听了80端口,并把此端口流量转发到1.2.3.4:8082,监听了443端口,并把此端口流量转发到1.2.3.4:4433

3、国外服务器stunnel配置

3.1、生成ssl证书stunnel.pem文件

    openssl genrsa -out key.pem 2048

    openssl req -new -x509 -key key.pem -out cert.pem -days 1095

    cat key.pem cert.pem >> /etc/stunnel/stunnel.pem

3.2、编辑/etc/stunnel/stunnel.conf文件

    client = no

    [http]

    accept = 1.2.3.4:8082

    connect = 127.0.0.1:8082

    cert = /etc/stunnel/stunnel.pem

    [https]

    accept = 1.2.3.4:4433

    connect = 127.0.0.1:4433

    cert = /etc/stunnel/stunnel.pem

此配置文件表示,监听了1.2.3.4:8082,并转发此地址流量到127.0.0.1:8082,监听了1.2.3.4:4433,并转发给地址流量到127.0.0.1:4433。

3.3、编辑/etc/default/stunnel4,设置ENABLED=1。

4、启动stunnel

    service stunnel4 start
安装sniproxy

sniproxy项目地址:https://github.com/dlundquist/sniproxy

1、安装sniproxy
同样只演示在ubuntu server 12.04安装。

1.1、安装UDNS

    mkdir udns_packaging

    cd udns_packaging

    wget http://archive.ubuntu.com/ubuntu/pool/universe/u/udns/udns_0.4-1.dsc

    wget http://archive.ubuntu.com/ubuntu/pool/universe/u/udns/udns_0.4.orig.tar.gz

    wget http://archive.ubuntu.com/ubuntu/pool/universe/u/udns/udns_0.4-1.debian.tar.gz

    tar xfz udns_0.4.orig.tar.gz

    cd udns-0.4/

    tar xfz ../udns_0.4-1.debian.tar.gz

    dpkg-buildpackage

    cd ..

    dpkg -i *.deb

1.2、安装sniproxy

    apt-get install autotools-dev cdbs debhelper dh-autoreconf dpkg-dev gettext libev-dev libpcre3-dev libudns-dev pkg-config

    wget https://github.com/dlundquist/sniproxy/archive/master.zip

    unzip master.zip

    cd sniproxy-master/

    dpkg-buildpackage

    cd ..

    dpkg -i *.deb

2、配置sniproxy
/etc/sniproxy.conf内容如下:

    user daemon

    pidfile /var/run/sniproxy.pid

    error_log {

        syslog deamon

        priority notice

    }

    listen 127.0.0.1:8082 {

        proto http

        table http_hosts

    }

    table http_hosts {

            .*      *:80

    }

    listen 127.0.0.1:4433 {

        proto tls

        table https_hosts

    }

    table https_hosts {

    .* *:443

    }

此配置文件表示,监听了127.0.0.1:8082地址,并解析http协议中的Host请求头为IP,然后转发请求到此IP;监听了127.0.0.1:4433地址,并解析TLS中SNI扩展中的域名为IP,并转发请求到此IP。

3、启动sniproxy

    sniproxy

结束
到目前为止,我们已经搭建完成了整套HTTP/HTTPS加密代理方案。方案中的HTTP明文协议,利用stunnel使用了TLS加密,变成了HTTPS协议,使得数据包无法被解析出明文。方案中的HTTPS协议,本身是加密的,但为了防止SNI扩展的中域名被嗅探,还是走了stunnel的加密通道。对于发送HTTPS请求而不支持SNI扩展的客户端,需要手动设置下代理。

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:https://www.linuxprobe.com/

HTTP/HTTPS自动加密上网方案的更多相关文章

  1. php 品牌全车零件订购平台( 带采集数据 及 账号自动登陆【已绕过https证书加密】,php源码 ,QQ: 876635409 )

    php捷豹路虎 品牌全车零件订购平台  ( 带采集数据 及 账号自动登陆[已绕过https证书加密],php源码 ,QQ: 876635409 [由于咨询用户太多,请备注:汽车配件]) 一.php+m ...

  2. 八大免费SSL证书-给你的网站免费添加Https安全加密

    评论»   https://www.freehao123.com/top-8-free-ssl-cert/ 文章目录 Let's Encrypt StartSSL SSL CloudFlare SSL ...

  3. Tomcat9使用免费的Https证书加密网站

    1.概述 Apache Tomcat是一款优秀的Java Web容器,对于各个站长来说,可以很方便的使用Tomcat将自己的网站博客放在公网的服务器上,分享自己的心得以及个人博客. 那么在公网中的访问 ...

  4. 图解HTTPS协议加密解密全过程

    我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取.所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议. HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL ...

  5. iOS - HTTPS接口加密和身份认证

    为什么要使用HTTPS代替HTTP HTTPS和HTTP的区别 https协议需要到CA申请证书,一般免费证书很少,需要交费. http是超文本传输协议,信息是明文传输,https则是具有安全性的SS ...

  6. iOS ASIHTTPRequest用https协议加密请求

    iOS 终端请求服务端数据时,为了保证数据安全,我们一般会使用https协议加密,而对于iOS的网络编程,我们一般会使用开源框架:ASIHTTPRequest,但是如果使用传统的http方式,即使忽略 ...

  7. HTTPS协议加密解密全过程(图解)

    我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取.所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议. HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL ...

  8. 一篇读懂HTTPS:加密原理、安全逻辑、数字证书等

    1.引言 HTTPS(全称: Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版.本文,就来深入介绍下其 ...

  9. HTTPS 到底加密了什么?

    关于 HTTP 和 HTTPS 这个老生常谈的话题,我们之前已经写过很多文章了,比如这篇<从HTTP到HTTPS再到HSTS>,详细讲解了 HTTP 和 HTTPS 的进化之路,对的没错, ...

随机推荐

  1. 分析fork后多进程对文件的共享

    fork函数是创建一个新的进程作为原进程的子进程,创建的子进程和父进程存在很多的相似性,首先父子进程的虚拟存储空间的用户空间是相同的,是将父进程的拷贝给子进程.同时父子进程对文件的操作是共享方式.因为 ...

  2. 自建存储与使用微软Azure、七牛等第三方云存储综合考察分析

    http://www.cnblogs.com/sennly/p/4136734.html 各种云服务这两年炒的火热,加之可以降低成本,公司想先在部分业务上尝试使用下,刚好最近有个项目有大量小文件需要存 ...

  3. MySQL 5.5 服务器变量详解一(转)

    add by zhj:在MySQL5.6中对一些参数有增删改,详见http://dev.mysql.com/doc/refman/5.6/en/server-system-variables.html ...

  4. CMake编译linux C++

    CMake是一个跨平台的安装(编译)工具,可以用简单的语句来描述所有平台的安装(编译过程).他能够输出各种各样的makefile或者project文件,能测试编译器所支持的C++特性,类似UNIX下的 ...

  5. LabVIEW数据记录和存储—XML文件

    XML(eXtensible Markup Language)是一种目前广泛使用的数据传输和存储的格式,其本质上是一种文本文件,可以使用任何一个文本编辑工具打开和修改.类似于HTML,XML被设计为具 ...

  6. POJ3041Asteroids(二分图最少顶点覆盖)

    最少顶点覆盖 = 二分图最大匹配 证明见   http://hi.baidu.com/keeponac/item/111e3438988c786b7d034b56

  7. CodeForces 711C Coloring Trees (DP)

    题意:给定n棵树,其中有一些已经涂了颜色,然后让你把没有涂色的树涂色使得所有的树能够恰好分成k组,让你求最少的花费是多少. 析:这是一个DP题,dp[i][j][k]表示第 i 棵树涂第 j 种颜色恰 ...

  8. 利用 Heritrix 构建特定站点爬虫

    http://www.ibm.com/developerworks/cn/opensource/os-cn-heritrix/

  9. 【AS3 Coder】任务七:初涉PureMVC——天气预报功能实现

    转自:http://www.iamsevent.com/post/36.html AS3 Coder]任务七:初涉PureMVC——天气预报功能实现 使用框架:AS3任务描述:了解PureMVC框架使 ...

  10. 【ps】gif动态图白边问题

    (从死了一次又一次终于挂掉的百度空间中抢救出来的,发表日期 2014-08-13) 在制作gif动态图的时候发现有白边问题 网上说可以设成索引,但是这样一整连动画帧都一块丢掉了. 最终解决办法: 将要 ...