Go 使用隧道(CONNECT)代理 HTTPS
代理 HTTPS
HTTPS 连接代理会使用到 HTTP CONNECT 通道,具体看网络基础那部分,总之就是因为 HTTPS 是加密的,所以浏览器需要先通过明文 HTTP 形式向代理服务器发送一个 CONNECT 请求告诉它目标站点地址及端口号。
普通的 HTTP 代理如下:
HTTPS 代理先走 HTTP CONNECT 通道:
使用 HTTP CONNECT 方法。它告诉代理服务器与目标服务器建立 TCP 连接,并在连接完成时代理客户机之间的 TCP 流。这种代理服务器不会终止 SSL,而是简单地在客户端和目标服务器之间传递数据,这样双方就可以建立安全连接。
package main
import (
"crypto/tls"
"io"
"log"
"net"
"net/http"
"time"
)
func handleTunneling(w http.ResponseWriter, r *http.Request) {
//设置超时防止大量超时导致服务器资源不大量占用
dest_conn, err := net.DialTimeout("tcp", r.Host, 10*time.Second)
if err != nil {
http.Error(w, err.Error(), http.StatusServiceUnavailable)
return
}
w.WriteHeader(http.StatusOK)
//类型转换
hijacker, ok := w.(http.Hijacker)
if !ok {
http.Error(w, "Hijacking not supported", http.StatusInternalServerError)
return
}
//接管连接
client_conn, _, err := hijacker.Hijack()
if err != nil {
http.Error(w, err.Error(), http.StatusServiceUnavailable)
}
go transfer(dest_conn, client_conn)
go transfer(client_conn, dest_conn)
}
//转发连接的数据
func transfer(destination io.WriteCloser, source io.ReadCloser) {
defer destination.Close()
defer source.Close()
io.Copy(destination, source)
}
func handleHTTP(w http.ResponseWriter, req *http.Request) {
//roudtrip 传递发送的请求返回响应的结果
resp, err := http.DefaultTransport.RoundTrip(req)
if err != nil {
http.Error(w, err.Error(), http.StatusServiceUnavailable)
return
}
defer resp.Body.Close()
//把目标服务器的响应header复制
copyHeader(w.Header(), resp.Header)
w.WriteHeader(resp.StatusCode)
io.Copy(w, resp.Body)
}
//复制响应头
func copyHeader(dst, src http.Header) {
for k, vv := range src {
for _, v := range vv {
dst.Add(k, v)
}
}
}
func main() {
server := &http.Server{
Addr: ":8888",
Handler: http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
if r.Method == http.MethodConnect {
//支持https websocket deng ... tcp
handleTunneling(w, r)
} else {
//直接http代理
handleHTTP(w, r)
}
}),
// 关闭http2
TLSNextProto: make(map[string]func(*http.Server, *tls.Conn, http.Handler)),
}
log.Fatal(server.ListenAndServe())
}
使用例:
# 注意这里是 http 不是 https
https_proxy="http://localhost:8888" curl https://github.com -I
代码详解
代理服务器会处理两个分支一个是 http 代理一个是隧道代理
http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
if r.Method == http.MethodConnect {
handleTunneling(w, r)
} else {
handleHTTP(w, r)
}
})
handleHTTP 这部分代码很好理解,重点就放在 handleTunneling 这方法上。handleTunneling 的方法是关于设置目标服务器的连接
dest_conn, err := net.DialTimeout("tcp", r.Host, 10*time.Second)
if err != nil {
http.Error(w, err.Error(), http.StatusServiceUnavailable)
return
}
w.WriteHeader(http.StatusOK)
下面一部分是劫持连接被 http 服务器维护的连接
hijacker, ok := w.(http.Hijacker)
if !ok {
http.Error(w, "Hijacking not supported", http.StatusInternalServerError)
return
}
// Hijacker 接口容许接管连接,在此之后调用者有责任管理这个链接
client_conn, _, err := hijacker.Hijack()
if err != nil {
http.Error(w, err.Error(), http.StatusServiceUnavailable)
}
一旦我们创建好了客户端到代理服务器和代理服务器到目标服务器的连接.
我们需要设置隧道
go transfer(dest_conn, client_conn)
go transfer(client_conn, dest_conn)
这两个 goroutine 在目标服务器和客户端之间复制传递连个连接的数据
HTTP/2
我们的服务器中,刻意移除对 HTTP/2 的支持,因为无法实现劫持。更多信息参见 #14797.
References
go tls实现TLS 服务器和客户端通讯 HTTP(S) Proxy in Golang in less than 100 lines of code 理解HTTP CONNECT通道