2. 程式人生 > 實用技巧 >什麼是HTTP隧道,怎麼理解HTTP隧道呢?

什麼是HTTP隧道,怎麼理解HTTP隧道呢?

阿新 發佈:2020-12-06

總述:

HTTP 1.1引入了HTTP tunnel,提供了支援任意流量的TCP隧道的能力。

HTTP proxy是一箇中間人,是客戶端去請求代理,代理修改請求再去請求網站,proxy不能代理HTTPS請求,因為代理不可能獲得網站的私鑰。

HTTP tunnel 不需要改寫請求包,將C S之間的流量直接轉發,所以可以傳輸代理TLS加密的HTTPS流量。

HTTP tunnel**:

HTTP tunnel使用CONNECT方法進行建立隧道連線通訊
HTTP tunnel是HTTP/1.1中引入的一個功能,主要為了解決明文的HTTP proxy無法代理跑在TLS中的流量(也就是https)的問題,同時提供了作為任意流量的TCP通道的能力。

HTTP tunnel 不需要改寫請求包,將C S之間的流量直接轉發,所以可以傳輸代理TLS加密的HTTPS流量。

HTTP tunnel的工作流程是什麼樣的?

CONNECT報文沒有後面的負載部分,只有Request-Line和header後面以兩個\r\n斷開,Request-Line和header均是由代理伺服器使用,不會發送到遠端伺服器。請求的header部分一旦結束(連續的兩組CRLF),後面所有的資料都被視為應該發給遠端伺服器(網站)的資料,代理需要把它們直接轉發,而且不限長度,直到從客戶端的TCP讀通道關閉
響應同理:對於CONNECT報文的返回值,代理伺服器在和遠端伺服器成功建立連線後,可以(標準說的是可以,但是一般都會)向客戶端(瀏覽器)返回任意一個2xx狀態碼,此時表示含義是和遠端伺服器建立連線成功,這個2xx返回報文的header部分一旦結束(連續的兩組CRLF),後面所有的資料均為遠端伺服器返回的資料,同理代理會直接轉發遠端伺服器的返回資料給客戶端,直到從遠端伺服器的TCP讀通道關閉。

HTTP proxy ,如何工作:

HTTP tunnel出來之前,HTTP proxy工作在中間人模式,即在一次請求中,客戶端(瀏覽器)銘文的請求去請求代理伺服器。代理伺服器明文去請求遠端的伺服器(網站)。整個過程的請求響應內容(密碼cookie等)代理伺服器都是可見的。且使用HTTP proxy模式要求代理伺服器對請求報文進行適當修改,RFC2616 5.1.2中要求請求代理的報文中Request-URL使用絕對路徑,即以http開頭:

使用了代理後,傳送的報文將變為:

GET http://stackoverflow.com/ HTTP/1.1\r\n
Host: stackoverflow.com\r\n
Proxy-Connection: keep-alive\r\n
\r\n

代理從請求的第一行中得知要請求的目標是stackoverflow.com,埠為預設埠(80),將第一行改寫後,向網站伺服器傳送請求:

GET / HTTP/1.1\r\n
Host: stackoverflow.com\r\n
Connection: keep-alive\r\n
\r\n

因為:如果代理HTTPS流量,那麼就會變成瀏覽器和代理握手跑TLS,代理拿到明文的請求報文,代理和網站握手跑TLS。但是代理沒有,也不可能有網站的私鑰證書,所以這麼做會導致瀏覽器和代理之間的TLS無法建立,證書校驗根本通不過。但是HTTP tunnel的出現解決了這個問題,代理伺服器不再作為中間人,不在用改寫請求。

HTTP隧道和SOCKS隧道的區別:

其中相同的地方:

  • 都能在請求中指明要請求的目標和埠。
  • 都會建立能傳輸任何流量的TCP通道,代理伺服器對流量內容不關心。
  • 都是在報文前部的描述資訊結束後,將後續所有資料視為轉發的客戶端和服務端資料,直到通道關閉。
  • 都可以進行客戶端的身份驗證,而且有多重身份驗證協議可選。

不同的地方:

  • SOCKS5的報文無論請求還是返回,內容均是固定的。而CONNECT報文作為HTTP/1.1的報文之一,當然也包括了HTTP/1.1可以傳輸任何自定義header的功能,雖然一般代理不會響應CONNECT報文上的非標準header,但是自己實現一個客戶端和伺服器通過header傳輸一些其它資料也是符合標準的。
  • SOCKS5 request報文中的address,根據address type(ATYP)位元組的值,可以顯式宣告為IPv4地址、IPv6地址、域名(domain)。而CONNECT報文中的Request-URI根據RFC要求必須為authority形式(即沒有http://字首,只包含host,以及可選的port,其中host和port要用":"分隔),也就是說CONNECT報文不會顯式的區分IP地址和域名,均作為host傳輸。
  • 由於CONNECT報文還是http,所以也可以跑在TLS裡,也就是說客戶端和代理跑一層TLS,這一層裡面客戶端和遠端伺服器再跑一層TLS。這樣當代理伺服器需要使用者名稱密碼驗證,而驗證方式又是Basic時,可以通過TLS來保護代理請求報文中的明文使用者名稱密碼。

參考來源:https://www.zhihu.com/question/21955083/answer/142736329

相關推薦

使用TCPdump 抓取http報文 解析http報文格式及客戶端、服務端互動過程

技術標籤:網路TCP...httptcpiptcpdump 目錄 一.3次握手建立連線 二.客戶端傳送請求: 請求行(URL POST http版本 ) + 請求頭部 + 請求資料

什麼是HTTP隧道怎麼理解HTTP隧道

總述: HTTP 1.1引入了HTTP tunnel提供了支援任意流量的TCP隧道的能力。 HTTP proxy是一箇中間人是客戶端去請求代理代理修改請求再去請求網站proxy不能代理HTTPS請求因為代理不可能獲得網站的私鑰。

當我談 HTTP我談些什麼?

當我們開啟網站時也許不會去留意網站前面的HTTP是怎麼來的。但是它毫無疑問在網路中有著舉足輕重的地位。本文從起源到發展詳說HTTP從1到3的演變。

http學習筆記1:什麼是http報文http報文結構是什麼?

說到Http報文其實Http報文可以分為兩種分別是請求報文和響應報文他們的結構都基本相同:

一款直擊痛點的優秀http框架讓我超高效率完成了和第三方介面的對接

1.背景 因為業務關係要和許多不同第三方公司進行對接。這些服務商都提供基於http的api。但是每家公司提供api具體細節差別很大。有的基於RESTFUL規範有的基於傳統的http規範;有的需要在header裡放置簽名有的需

http常見的狀態碼400,401,403狀態碼 http響應 php設定http響應

2XX 成功3XX 重定向4XX 客戶端錯誤5XX 伺服器錯誤 2XX 成功200 OK表示從客戶端發來的請求在伺服器端被正確處理204 No content表示請求成功但響應報文不含實體的主體部分206 Partial Content進行範圍請求3XX

理解HTTP三次握手和四次握手的過程

1.TCP報文格式 TCP報頭中的源埠號和目的埠號同IP資料報中的源IP與目的IP唯一確定一條TCP連線

11丨效能指令碼:用案例和圖示幫你理解HTTP協議

當前使用得最為廣泛的應用層協議就是HTTP了。我想了好久還是覺得應該把HTTP協議寫一下。

java伺服器間http通訊同時傳輸檔案流和資料並接收返回的檔案流或資料

廢話:這裡使用的是HttpUrlConnectionhttpclient沒有試過這篇文章也是收集了很多大佬的成果但是由於太久遠了找不到原文了如果有大佬看到提醒一下願意貼上原文連結的哈抱歉抱歉現在實現了同時傳輸檔案和

@Async 非同步http請求彙總資料處理

專案需求: 請求第三方介面獲取資料一個小時大概有5000條左右的資料。 吐槽一下第三方介面竟然分頁返回一次只給2000條擦了只能非同步請求然後彙總了。

go:go結合python的locust進行http效能測試

本文是go語言和python的locust結合起來短時間內對http進行效能測試產生大量負載(其實就是一個負載生成器)

VS除錯執行web窗體檔案時HTTP錯誤404.3-Not Found 由於擴充套件配置問題而無法提供您請求的頁面。如果該頁面是指令碼請新增處理程式。如果應下載檔案。請新增MIME對映。

今天寫個web窗體檔案時剛開始隨便除錯一下就遇到這個http錯誤的問題就讓人頭大害! 問題如下: 於是上網找了一些原因楞是真的不明白這什麼原因如果有大神知道的還望不吝賜教!!

筆者總結:HTTP協議HTTP請求完整過程(內含更多資料)

我所整理的東西都是曾經看視訊帖子或者某個大佬說的話最後寫成的筆記。現在相當於把筆記重新整理成一篇文章。所以哪怕有一些引用也找不到出處了就不標明瞭!

年輕代頻繁ParNew GC導致http服務rt飆高

背景介紹 某日下午大約四點多接到合作方訊息線上環境我這邊維護的某http服務突然大量超時(對方超時時間設定為300ms)我迅速到鷹眼平臺開啟取樣發現該服務平均QPS到了120左右平均RT在2秒多到3秒部分毛

Chrome正在啟用HTTP/3支援IETF QUIC

Chromium 官方宣佈 Chrome 正在部署到 HTTP/3 與IETF QUIC。 QUIC(Quick UDP Internet Connections)是 Google 推出的一個專案旨在降低基於 TCP 通訊的 Web 延遲。QUIC 非常類似 TCP+TLS+SPDY 但是基

wireShark抓取本地http分析狀態

WireShark使用 正常的WireShark是無法抓取localhost包的所以需要安個外掛。https://github.com/nmap/npcap。 正常對應著自己的需求安裝就行了。

理解http反向代理

理解什麼是 反向代理(reverse proxy) , 自然你得先知道什麼是 正向代理(forward proxy).

【Azure 環境】各種語言版本或命令傳送HTTP/HTTPS的請求合集

問題描述 寫程式碼的過程中時常遇見要通過程式碼請求其他HTTP,HTTPS的情況以下是收集各種語言的請求傳送需要使用的程式碼或命令

nginx用法總結對映靜態資源代理http負載均衡tcp服務

安裝 我測試環境是在mac平時用的伺服器有ubuntu和centos # mac brew install nginx # ubuntu

node.js中如何發起http請求以及請求引數為中文時的解決辦法

技術標籤:nodejshttp請求請求引數中有中文 node.js中如何發起http請求以及請求引數為中文時的解決辦法