使用HTTPTunneling技术实现穿透网络防火墙的通信-

第 25卷第 8期计算机应用与软件 Vol125 No. 82008年 8月 Computer App lications and Software Aug. 2008使用 HTTP Tunneling技术实现穿透网络防火墙的通信张方田鑫(北京工业大学应用数理学院北京 100022)收稿日期 : 2006 - 10 - 12。张方 ,副教授 ,主研领域 :模式识别与人工智能。摘要近年来 ,防火墙在网络中得到了广泛的应用。它能够比较有效地防范病毒与黑客的攻击 ,保护网络的安全。但是也带来了一些不利影响 ,使一些需要进行网络通信的应用软件系统不能正常工作。介绍一个解决方案 ,并且重点介绍通过 HTTP Tunneling技术使用基于文本的 HTTP协议传送二进制数据的方法。关键词防火墙 HTTP tunnelingREAL IZAT IO N O F COMM UN ICAT IO N RUNN ING THRO UGH F IREW ALLBY HTTP TUNNEL INGZhang Fang Tian Xin( Institute of Applied M athem atics and Physics, B eijing U niversity of Technology, B eijing 100022, China)Abstract In recent years, firewall is app lied extensively in internet. It can defend effectively the attack from virus and hacker and ensurethe security of internet. But it also brings a lot of p roblem s. The app lication that requiring Network communications can not work normally. Asolution to this p roblem is p rovided. The technique of HTTP turneling is introduced, and a method for binary data transm ission by HTTP p roto2col is mainly discussed.Keywords Firewall HTTP tunneling0 引言出于安全的考虑 ,网络中加入了越来越多的防火墙。在防范恶意攻击的同时 ,也使一些分布在广域网上 ,各模块间使用TCP / IP协议通信的应用软件系统受到了影响。虽然可以通过配置防火墙来满足软件系统的通信需求 ,但有时网管拒绝修改防火墙的配置。有时弄不清防火墙的位置和数量。作者参与开发的一些应用软件系统就遇到过这样的问题。实际上 ,防火墙并未完全阻止网络通信。例如 ,防火墙后面的计算机可以通过防火墙访问 Internet。这一功能一般通过运行在防火墙后面的代理服务器来实现。这就提醒我们 ,可以借助 HTTP协议 ,通过代理服务器来实现应用系统中各模块之间的通信。为达到这一目的 ,需要解决两个问题 :第一 ,借助 HTTP协议 ,通过代理服务器在软件系统各模块间建立 TCP / IP连接 ,进而实现各模块间的通信。第二 ,使软件系统的工作方式适合这种通信模式。1 使用 HTTP Tunneling技术穿透防火墙通信使用 HTTP协议的 CONNECT方法可以通过代理服务器建立 TCP / IP连接 ,从而借助代理服器实现穿透防火墙的通信。与POST、 GET等方法不同 , CONNECT方法不是通过代理服务器转发一个请求 ,而是请求通过代理服务器建立到目标地址的连接。这个连接就像一般的 socket连接那样 ,可以直接发送与接收任意格式的数据。具体做法是 :(1) 应用程序建立一个到代理服务器的 TCP连接。(2) 应用程序发送一个包含 CONNECT方法的 HTTP请求到代理服务器 ,格式如下 :CONNECT : . . .(3) 代理服务器处理这个连接请求并且尝试建立到 : 的 TCP / IP连接。(4) 代理服务器向应用程序发回一个 HTTP响应 :. . .如果 code等于 200,表示已经在应用程序和 :之间建立了一个 “ tunnel” ,也就是一个 TCP连接。双方可以通过 “ tunnel” 互相发送与接收任何类型数据 ,直到连接关闭。如果 code不等于 200,表示应用程序和 : 之间的连接未建立成功。(5) 如果成功地建立了 “ tunnel” ,就像建立了一般的 socket连接那样 ,使用 (1)中建立的 TCP连接 ,通过 “ tunnel” 发送与接收数据。(6)关闭到代理服务器的连接 ,这也意味着 “ tunnel” 被关闭。示例函数如下。函数从建立 socket开始 ,说明了所有必须的步骤和 “ tunnel” 的使用方法。为了简单 ,例子中 socket采用了阻塞模式 ,代码中没有进行错误处理。BOOL SendAndRecvThroughAProxyServer( char3 p szProxyIP, / /代理服务器 IPint nProxyPort, / /代理服务器端口char3 p szDesIP, / /目的 IPint nDesPort, / /目的端口char3 szSendData, / /发送的数据int& nDataLen, / /发送 /接收的数据长度char3 szRecvData) / /接收的数据BOOL bRes = FALSE;/ /建立 socketSOCKET m_hSocket;m_hSocket = socket( PF_ INET, SOCK_STREAM, 0) ;/ /转换代理服务器的 IP地址和端口号到规定格式SOCKADDR_ IN sockAddr;sockAddr. sin_fam ily =AF_ INET;sockAddr. sin_addr. s_addr = inet_addr(p szProxyIP) ;/ /代理服务器的 IP地址sockAddr. sin_port = htons( nProxyPort) ; / /代理服务器的端口号/ /连接到代理服务器connect(m_hSocket, ( SOCKADDR3 ) &sockAddr, sizeof( sockAddr) ) ;char szL ine 1024 ;/ /建立一个仅包含 CONNECT方法的 HTTP请求sp rintf( szL ine, CONNECT % s: % d HTTP /1. 0 r n r n , p szDesIP,nDesPort) ;/ /发送 HTTP请求send (m_hSocket, szL ine, str1en ( szL ine) , 0) ;/ /接收代理的响应中的第一行 ,这一行包含了连接建立状态代码for( int n = 0; recv(m_hSocket, &szL ine n , 1, 0) &szL ine n ! = n ; n + + ) ;szL ine + + n = 0;/ /查看代理服务器的响应char3 pCode = strstr( szL ine, ) ;if( strncmp (pCode + 1, 200 , 3) = = 0) / /状态码 = = 200,到目的 IP:目的端口的连接已经建立/ /读代理服务器响应的剩余行 ,不必处理dofor( n = 0; recv(m _hSocket, &szL ine n , 1, 0) & ( szL ine n != n ; n + + ) ;szL ine + + n = 0;while ( ! ( ( n = = 2) &( szL ine 0 = = r ) &( szL ine 1 = n ) ) ) ;/ / tunne1已经建立 ,可以象一般的 socket那样接收或发送数据/ /发送数据到目的 IP:目的端口send (m_hSocket, szSendData, nDataLen, 0) ;/ /从目的 IP:目的端口接受数据nDataLen = recv(m_hSocket, szRecvData, nDataLen, 0) ;bRes = TRUE;/ /关闭 socketclosesocket(m_hSocket) ;return bRes;需要特别指出的是。一旦 HTTP Tunnel建立 ,接收、发送数据与使用一般的 socket没有区别 ,可以通过 HTTP Tunnel发送或接收任何类型的数据。通过上面的例子可以看到 ,应用软件改变为使用 HTTP Tunnel方式通信所需的修改是很少的。2 调整软件系统的工作模式应用程序可以通过 HTTP Tunnel穿透防火墙自由地通信。但是建立 HTTP Tunnel需要先连接到代