.NE8实现HTTP隧道(Tunnel)代理转发TCP流量

已于 2024-10-19 00:32:42 修改
阅读量1k 收藏 7
点赞数 8
文章标签: http 网络协议 网络 CONNECT Upgrade c# .net
于 2024-01-25 00:08:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Wagsn8/article/details/135834138
版权

在严格的端口管控下,非HTTP协议的端口可能无法对外提供服务,使用TCP over HTTP方式进行协议代理,服务端通过HTTP协议的类似 WebSocketUpgrade协议升级机制或HTTP CONNECT动词与目标服务器建立TCP通信隧道,客户端连接本地的正向代理服务器(如sshProxyCommandcurl--proxy)提供的TCP端口通过反向代理服务器连接到目标服务器TCP端口。

原理图如下:
在这里插入图片描述

这里在NET8.0中实现反向代理服务器部分,新建MiniApi项目
在这里插入图片描述
编辑Program.cs文件,删除无用代码

var builder = WebApplication.CreateSlimBuilder(args);

var app = builder.Build();

// TODO 协议升级机制和CONNECT动词

app.Run();

添加HTTP协议升级机制,因为采取了类似WebSocket的机制,大部分浏览器、反向代理、安全策略支持

// 将HTTP请求通过协议升级机制转为远程TCP请求(WebSocket分支,Nginx支持,主流浏览器都支持) 
app.Map("/http2tcp", async (context) =>
{
    var connetion = context.Connection;
    Console.WriteLine($"{DateTime.Now:HH:mm:ss} 通信请求,HTTP/{connetion.RemoteIpAddress}:{connetion.RemotePort}/{connetion.LocalIpAddress}:{connetion.LocalPort}");
    var upgradeFeature = context.Features.Get<Microsoft.AspNetCore.Http.Features.IHttpUpgradeFeature>();
    if (upgradeFeature != null && upgradeFeature.IsUpgradableRequest)
    {
        context.Features.Get<Microsoft.AspNetCore.Http.Timeouts.IHttpRequestTimeoutFeature>()?.DisableTimeout();
        using var tcpClient = new System.Net.Sockets.TcpClient();
        await tcpClient.ConnectAsync(System.Net.IPEndPoint.Parse("127.0.0.1:4600"));
        Console.WriteLine($"{DateTime.Now:HH:mm:ss} 通信建立,TCP/{tcpClient.Client.LocalEndPoint}/{tcpClient.Client.RemoteEndPoint}");

        using var tcpSream = tcpClient.GetStream();
        context.Response.Headers.Connection = Microsoft.Net.Http.Headers.HeaderNames.Upgrade;
        context.Response.Headers.Upgrade = "http2tcp/1.0";
        Stream httpStream = await upgradeFeature.UpgradeAsync();

        var taskX = tcpSream.CopyToAsync(httpStream);
        var tsakY = httpStream.CopyToAsync(tcpSream);
        Console.WriteLine($"{DateTime.Now:HH:mm:ss} 通信成功,http://{connetion.LocalIpAddress}:{connetion.LocalPort}{context.Request.Path} - tcp/{tcpClient.Client.RemoteEndPoint}");
        Task.WaitAny(taskX, tsakY);
        Console.WriteLine($"{DateTime.Now:HH:mm:ss} 通信结束,{(tsakY.Status == TaskStatus.RanToCompletion ? "客户端关闭" : "服务端关闭")}");
    }
});

添加CONNECT动词,因为获取了请求头中的HOST参数,有任意访问网络资源的风险,生产环境注意权限控制,并且部分反向代理服务器不支持CONNECT动词,或者部分安全策略不开放非GET POSTHTTP请求。

// 将HTTP请求通过CONNECT方法转为TCP请求,主流浏览器都支持
app.MapMethods("", new[] { HttpMethods.Connect }, async (context) =>
{
    var auth = context.Request.Headers["Proxy-Authorization"];

    await context.Response.Body.FlushAsync();

    var socket = context.Features.Get<Microsoft.AspNetCore.Connections.Features.IConnectionSocketFeature>()!.Socket;
    var stream = new System.Net.Sockets.NetworkStream(socket);

    using var tcpClient = new System.Net.Sockets.TcpClient();
    await tcpClient.ConnectAsync(System.Net.IPEndPoint.Parse(context.Request.Host.Value));
    using var network = tcpClient.GetStream();

    var taskX = network.CopyToAsync(stream);
    var tsakY = stream.CopyToAsync(network);
    Task.WaitAny(taskX, tsakY);
    await socket.DisconnectAsync(true);
    socket.Close();
});

正向代理服务器协议升级机制具体实现如下,根据TcpListener监听的端口发起HTTP请求,将获取到的TcpStreamTcpListenerNetworkStream连接。

var localPort = 7000;
var listener = new System.Net.Sockets.TcpListener(System.Net.IPAddress.Any, localPort);
listener.Start();
var proxyUri = new Uri("http://localhost:5000/http2tcp");
Console.WriteLine($"{DateTime.Now:HH:mm:ss.FFFF} 监听TCP/{localPort},代理{proxyUri}");
while (true)
{
    var tcpClient = listener.AcceptTcpClient();
    Console.WriteLine($"{DateTime.Now:HH:mm:ss.FFFF} 通信新增,{tcpClient.Client.RemoteEndPoint}/{tcpClient.Client.LocalEndPoint}");
    HandleClientAsync(tcpClient, proxyUri);
}

static async Task HandleClientAsync(System.Net.Sockets.TcpClient tcpClient, Uri proxyUri)
{
    using var httpClient = new System.Net.Sockets.TcpClient(proxyUri.Host, proxyUri.Port);
    try
    {
        var tcpStream = tcpClient.GetStream();
        var httpStream = httpClient.GetStream();
        if (proxyUri.Scheme == "https")
        {
            var sslStream = new System.Net.Security.SslStream(httpStream, false, (sender, certificate, chain, sslPolicyErrors) => true);
            sslStream.AuthenticateAsClient(proxyUri.Host);
            await HandleWorkAsync(sslStream, tcpStream, proxyUri);
            CloseTcpClient(httpClient, tcpClient);
            return;
        }
        await HandleWorkAsync(httpStream, tcpStream, proxyUri);
        CloseTcpClient(httpClient, tcpClient);
    }
    catch (Exception ex)
    {
        Console.WriteLine($"{DateTime.Now:HH:mm:ss.FFFF} 通信失败,{ex}");
        CloseTcpClient(httpClient, tcpClient);
    }
}

static async Task HandleWorkAsync(Stream httpStream, Stream tcpStream, Uri proxyUri)
{
    await SendRequestAsync(httpStream, proxyUri);
    if (!(await CheckReponseAsync(httpStream, proxyUri))) return;
    var tsakA = httpStream.CopyToAsync(tcpStream);
    var taskB = tcpStream.CopyToAsync(httpStream);
    Task.WaitAny(tsakA, taskB);
    Console.WriteLine($"{DateTime.Now:HH:mm:ss.FFFF} 通信结束,{(taskB.Status == TaskStatus.RanToCompletion ? "本地关闭" : "远程关闭")}");
}

static async Task SendRequestAsync(Stream stream, Uri proxyUri)
{
    var requestBuilder = new System.Text.StringBuilder();
    requestBuilder.AppendLine($"GET {proxyUri.PathAndQuery}{proxyUri.Fragment} HTTP/1.1");
    requestBuilder.AppendLine($"Host: {proxyUri.Host}");
    requestBuilder.AppendLine($"Connection: Upgrade");
    requestBuilder.AppendLine($"Upgrade: http2tcp/1.0");
    requestBuilder.AppendLine();
    byte[] requestBytes = System.Text.Encoding.UTF8.GetBytes(requestBuilder.ToString());
    await stream.WriteAsync(requestBytes, 0, requestBytes.Length);
}

static async Task<bool> CheckReponseAsync(Stream stream, Uri proxyUri)
{
    byte[] responseBytes = new byte[4096];
    int bytesRead = 0;
    var responseBuilder = new System.Text.StringBuilder();
    CancellationTokenSource timeoutCts = new CancellationTokenSource(TimeSpan.FromSeconds(3));
    if ((bytesRead = await stream.ReadAsync(responseBytes, 0, responseBytes.Length, timeoutCts.Token)) > 0)
    {
        responseBuilder.Append(System.Text.Encoding.UTF8.GetString(responseBytes, 0, bytesRead));
    }
    string response = responseBuilder.ToString();
    if (!response.Contains("HTTP/1.1 101 Switching Protocols"))
    {
        Console.WriteLine($"{DateTime.Now:HH:mm:ss.FFFF} 通信失败,通过{proxyUri}升级失败,错误的响应码");
        return false;
    }
    bool upgradeSuccess = response.Contains("Upgrade: http2tcp/1.0") && response.Contains("Connection: Upgrade");
    if (!upgradeSuccess)
    {
        Console.WriteLine($"{DateTime.Now:HH:mm:ss.FFFF} 通信失败,通过{proxyUri}协议升级失败,错误的响应头");
        return false;
    }
    Console.WriteLine($"{DateTime.Now:HH:mm:ss.FFFF} 通信开始,通过{proxyUri}协议升级成功");
    return true;
}

static void CloseTcpClient(System.Net.Sockets.TcpClient httpClient, System.Net.Sockets.TcpClient tcpClient)
{
    var tcpRemote = tcpClient.Client.RemoteEndPoint;
    var tcpLocal = tcpClient.Client.LocalEndPoint;
    var httpRemote = httpClient.Client.RemoteEndPoint;
    var httpLocal = httpClient.Client.LocalEndPoint;
    if (httpClient.Connected)
    {
        httpClient.Client.Shutdown(System.Net.Sockets.SocketShutdown.Both);
        httpClient.Close();
    }
    if (tcpClient.Connected)
    {
        tcpClient.Client.Shutdown(System.Net.Sockets.SocketShutdown.Both);
        tcpClient.Close();
    }
    Console.WriteLine($"{DateTime.Now:HH:mm:ss.FFFF} 通信结束,TCP/{tcpRemote}/{tcpLocal}和HTTP/{httpLocal}/{httpRemote}连接关闭");
}

下面使用网络调试工具模拟客户端和正向代理服务器的请求,先用HTTP请求建立TCP连接,然后发送测试数据

测试协议升级机制

// HTTP Upgrade 客户端请求方式
GET http://127.0.0.1:5199/http2tcp HTTP/1.1
Connection: Upgrade
Upgrade: example/1, foo/2
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Accept-Encoding: gzip, deflate
Host: 127.0.0.1:5199

测试Upgrade

测试CONNECT动词

HTTP CONNECT 客户端请求方式
CONNECT 127.0.0.1:1000 HTTP/1.1
Host: 127.0.0.1:1000
Proxy-Authorization: basic aGVsbG86d29ybGQ=

如下是正向代理服务器和目标服务器之间数据传输示意图。
网络调试工具测试CONNECT动词

关于CONNECT动词也可以直接使用curl命令测试

curl -p --proxy my_username:my_password@localhost:5199 http://www.baidu.com

使用FRP实现http2tcp的效果
配置frps

[common]
bind_port = 7000

./frps -c frps.ini

配置frpc

[common]
server_addr = 1.2.3.4
server_port = 7000
token = your_token

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000
plugin = http_proxy
plugin_http_user = username
plugin_http_passwd = password

./frpc -c frpc.ini

客户端使用
ssh -o 'ProxyCommand nc -x 1.2.3.4:6000 %h %p' username@internal-ip

参考:
http2tcp: 一个通过 HTTP 转发 TCP 流量的小工具
[Go] 不到 100 行代码实现一个支持 CONNECT 动词的 HTTP 服务器
Protocol upgrade mechanism
HTTP tunneling
HTTP CONNECT

Wagsn8
关注
haproxy 官方文档
zhaoyangjian724的专栏
09-24 9961
HAProxy Configuration Manual version 1.5-dev24 willy tarreau 2014/04/26This document covers the configuration language as implemented in the version specified above. It does n
Chisel:一款基于HTTP的快速稳定TCPUDP隧道工具_tcp转udp隧道工具
04-17 1549
该项目包目前由Fedora社区进行维护,如果你遇到了关于RPM使用的问题,可以使用这个问题跟踪工具【https://bugzilla.redhat.com/buglist.cgi?在内部,这是使用SSH提供的密码验证方法实现的。点击【http://blog.gopheracademy.com/go-and-ssh/】了解更多关于SSH加密的信息。这个Demo应用程序还会运行一个简单的文件服务器(端口为:3000),由于Heroku防火墙的存在,我们是无法直接访问它的。客户端使用指数回退自动重新连接;
.NET Core 实例接口代理转发
wubaohu1314的博客
12-22 3777
.NET Core 实例接口代理转发   先讲讲本文的开发背景吧..   在如今前后端分离的大背景下,咱的客户又有要求啦~   要前后端分离~ 然因为种种原因..没办法用用纯前端的框架(其实是学习成本高,又没钱请前端开发人员)...   所以最终决定了一种方案..   那就是采用MVC(只处理前端视图层,单纯是为了托管在.net core上)+Webapi的方式来实现前后端分离(讲真,很奇葩)..   那么问题就随之而来了.   现在主流的前端框架都是托管在nodejs上,是通过axios来访
HTTP代理的全面解读:什么是HTTP代理HTTP代理的工作原理
最新发布
qgwl_ip的博客
03-24 792
HTTP代理作为互联网中不可或缺的工具,其作用不仅是简单的通讯中介,更是构建高效、灵活、安全网络解决方案的支柱。无论你是大数据分析从业者、开发者,还是对区域化测试有需求的企业,HTTP代理都能助你事半功倍。
.net HttpWebRequest 、 HttpWebResponse
u013400314的博客
05-18 223
协议规定PSOT 提交的数据必须放在【消息体中】,但协议并没有规定数据必须使用什么编码方式,开发者完全可以自己决定消息主体格式,数据发送出去,还要服务器端解析成功才有意义。服务器端通常根据请求头heads中的contentType字段来获知请求中的消息主体是何种编码方式。
.NET 8 中的 ConfigureHttpClientDefaults
farway000的博客
01-04 261
.NET 8 中的 ConfigureHttpClientDefaultsIntro.NET 8 中新增了一个 ConfigureHttpClientDefaults 的 API,我们可以借助这个 API 来配置所有 HttpClient 的默认行为,比如我们的 HttpClient 都需要带上当前的服务信息或者配置 polly policy,就可以只配置一遍,不再需要每次都配置了Sample我们...
.net core 配置同时监听https和http
DavidLiu的博客
05-06 524
certs/server.pfx 表示相对路径certs文件夹下的server.pfx文件。0.0.0.0表示监听本机所有IP地址。443为https默认端口。80为http默认端口。
计算机网络和配置管理
weixin_51943889的博客
12-30 3749
网络协议网络配置
负载均衡、高可用
m0_54563444的博客
08-12 1113
负载均衡:lvs实现四层负载(DR模式或NAT模式),nginx实现四、七层负载。keepalived高可用,HAproxy实现高可用和七层负载
运维面试题
热门推荐
weixin_42690304的博客
09-18 2万+
运维面试题 NETWORK 1 请描述TCP/IP协议中主机与主机之间通信的三要素 参考答案 IP地址(IP address) 子网掩码(subnet mask) IP路由(IP router) 2 请描述IP地址的分类及每一类的范围 参考答案 A类1-26 B类128-191 C类192-223 D类224-239组播(多播) E类240-254科研 3 请描述A、B...
HCIP-H12-223单选题库
清冷猫
04-21 1万+
1、在复杂的网络环境中,采用非结构化的网络故障排除流程进行操作,有可能会导致新的故障产生,从而使网络故障的排除变得更加困难? A.正确 B.错误 答案A 【答案解析】相对于非结构化的网络故障排除流程来说,结构化的网络故障排除流程所产生的结果是可预期的,排障过程中所造成的影响是可控的,引入新故障的风险是可评估的。所以题目中的描述是正确的。 2、高危操作需要获取的三个授权不包括哪一项? A.管理授权 B.技术授权 C.客户授权 D.行政授权 答案D 【答案解析】三授权包括 ——...
proxy-tunnel:通过隧道代理所有 httphttps 请求
06-28
代理隧道 通过隧道代理所有 httphttps 请求,并可选择将数据发送到 APIanalytics.com。 用法 sudo npm install proxy-tunnel -g Usage $ tunnel-proxy [options] options: -p change proxy port number (default: 3000) -s change max sockets (default: 300) -h change target url header name (default: target) -q stay quiet, don't console log (default: false) -v
HTTP代理协议(HTTP CONNECT)
08-20 1130
Abstract     This memo explains how to usethe Upgrade mechanism in HTTP/1.1 to    initiate Transport LayerSecurity (TLS) over an existing TCP    connection. This allowsunsecured and secured HT
.NET 8下的AOT
dotNET跨平台
07-07 2377
相比之前,AOT在.NET8的第5个预览版有了进一步的实现,给我的感觉是在一步步落地,虽然离生产还很远,但还是能看到希望的。‍‍‍‍‍‍‍‍‍‍‍‍使用AOT的API项目与传统的Web API项目在模版就作了区分,分别是“asp.net core api”和“asp.net core web api”,命令行创建项目的短名称是api和webapi,api是一个更小,更基础的api模版,是通过Web...
.NET 8 原生AOT高性能Web开发:实战与性能测试
DotNet技术匠
09-12 1384
随着 .NET 8 的发布,微软迈出了重要一步,为 ASP.NET Core 引入了原生的 Ahead-of-Time (AOT) 编译。这一进步不仅提高了应用程序的性能,还简化了开发过程,标志着 .NET 生态系统进入了新的时代。.NET 8 中原生AOT的出现.NET 8 引入了原生 AOT,这对 Web 开发人员来说是一个重大改变。该技术将 .NET 代码直接编译为原生代码,无需在运行时进行即时 (JIT) 编译。结果如何?
隧道代理的两种写法和差异,选择更加保护真实IP的写法
朴拙科技的博客
03-27 717
第一种写法使用了隧道代理代理服务器的形式是 http://username:password@host:port/,其中 username 和 password 是代理服务器的用户名和密码,host 和 port 是代理服务器的主机名和端口号。根据具体的需求和代理服务器的配置,选择合适的写法。在使用隧道代理时,由于代理服务器会在客户端和目标服务器之间建立一条 TCP 连接,因此需要使用 Connection: close 请求头来告诉目标服务器在完成响应后关闭连接,否则连接可能会一直保持,导致资源浪费。
.NET Standard中使用TCPListener和TCPClient的高性能TCP客户端服务器
寒冰屋的专栏
06-27 3210
目录 介绍 TCP Server TCP客户端 结论 下载源代码-11.3 KB 介绍 随着即将出现的.NET 5和需要从.NET 4.8.NET Core迁移的人,此源代码旨在提供一个示例,说明如何通过本机TCP建立高性能的跨平台Client Server消息交换。符合.NET Standard,而无需与.NET Framework或.NET Core或其他任何特定关系。 此外,它还解决了TCP会话遇到的一个常见问题:消息自旋锁问题和异步内存泄漏问题和/或CancellationToken
聊聊如何设计千万级吞吐量的.Net Core网络通信!
weixin_34319374的博客
10-27 1080
聊聊如何设计千万级吞吐量的.Net Core网络通信! 作者:大石头 时间:2018-10-26 晚上 20:00 地点:QQ群-1600800 内容:网络通信, 网络库使用方式 网络库设计理念,高性能要点 介绍 首先看下面这张很具有代表性的图,2018年5月份做的测试。当时单服务器得到 2256tps(Transactions Per S...
内网渗透之隧道搭建和代理配置
m0_62207170的博客
03-14 1425
内网渗透之隧道搭建和代理配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值