หน้าแรก>ซอร์สโค้ด CGI>หมวดหมู่อื่นๆ
ดาวน์โหลด

อุโมงค์

Repo นี้มีไคลเอนต์และเซิร์ฟเวอร์ที่อนุญาตให้คุณส่งสัญญาณการรับส่งข้อมูล TCP และ UDP ผ่านโปรโตคอลเครือข่ายอื่น ๆ

ปัจจุบันอุโมงค์ที่รองรับคือ:

  • DNS (เซิร์ฟเวอร์ที่เชื่อถือได้หรือการเชื่อมต่อโดยตรง)
  • TLS (การรับรองความถูกต้องร่วมกัน)
  • TCP

เครื่องมือหลักเขียนด้วยภาษา Rust และการทดสอบแบบ end-to-end เขียนด้วย Python

การติดตั้ง

ตัวเลือกที่ 1: อิมเมจนักเทียบท่าไคลเอ็นต์และเซิร์ฟเวอร์ 

docker pull ghcr.io/dlemel8/tunneler-server:latest
docker pull ghcr.io/dlemel8/tunneler-client:latest

ตัวเลือกที่ 2: คอมไพล์จากซอร์สโค้ด 

cargo --version || curl --proto ' =https ' --tlsv1.2 -sSf https://sh.rustup.rs | sh
cargo build --release

นอกจากนี้ยังมีไฟล์นักเทียบท่าหากคุณต้องการสร้างอิมเมจนักเทียบท่าในเครื่อง

การใช้งาน

ตัวเลือกที่ 1: อิมเมจนักเทียบท่าไคลเอ็นต์และเซิร์ฟเวอร์ 

docker run -e LOCAL_PORT=45301 
           -e REMOTE_PORT=5201 
           -e REMOTE_ADDRESS=localhost 
           -e TUNNELED_TYPE=udp 
           --rm -p 45301:45301 ghcr.io/dlemel8/tunneler-server:latest tcp

ตัวเลือกที่ 2: ไบนารีที่คอมไพล์ในเครื่อง 

./target/release/client 
  --tunneled-type tcp 
  --remote-address 1.1.1.1 
  --remote-port 53 
  --log-level debug 
  dns 
  --read-timeout-in-milliseconds 100 
  --idle-client-timeout-in-milliseconds 30000

เรียกใช้อิมเมจนักเทียบท่าหรือไบนารีที่คอมไพล์ด้วย --help เพื่อดูข้อมูลเพิ่มเติม

การทดสอบ

เรียกใช้การทดสอบหน่วย 

cargo test --all-targets

เรียกใช้การทดสอบแบบครบวงจร 

python3 -m pip install -r e2e_tests/requirements.txt
PYTHONPATH=. python3 -m pytest -v

ตัวอย่าง

repo นี้มีตัวอย่างการปรับใช้เซิร์ฟเวอร์บางส่วนโดยใช้ Docker Compose:

  • การทดสอบความเร็ว - เซิร์ฟเวอร์ iperf3 เปิดเผยผ่านทันเนลที่รองรับทั้งหมด ช่วยให้คุณสามารถเปรียบเทียบความเร็วของทันเนลได้
  • DNS ที่มีสิทธิ์ - เซิร์ฟเวอร์ Redis เปิดเผยผ่านอุโมงค์ DNS บนพอร์ต UDP/53 เนื่องจากช่องสัญญาณไม่ได้ตรวจสอบไคลเอ็นต์ จึงจำเป็นต้องมีการตรวจสอบสิทธิ์ Redis
  • ไปป์ไลน์ - เซิร์ฟเวอร์ Redis ถูกเปิดเผยผ่านอุโมงค์ TLS ที่เปิดเผยตัวเองผ่านอุโมงค์ DNS เนื่องจากช่องสัญญาณตรวจสอบไคลเอ็นต์ จึงไม่มีการใช้การตรวจสอบสิทธิ์ Redis

คุณสามารถเรียกใช้แต่ละตัวอย่างในเครื่องหรือปรับใช้โดยใช้ Terraform และ Ansible ดูข้อมูลเพิ่มเติมได้ที่นี่

สถาปัตยกรรม

Architecture แต่ละไฟล์ปฏิบัติการประกอบด้วย 2 องค์ประกอบที่สื่อสารผ่านช่องทางของสตรีมไคลเอ็นต์ (ตัวอ่านและตัวเขียนไบต์จำนวนไบต์):

  • Client Listener ผูกซ็อกเก็ตและแปลงการรับส่งข้อมูลขาเข้าและขาออกเป็นสตรีมใหม่
  • Client Tunneler แปลโปรแกรมอ่านและเขียนสตรีมเป็นโปรโตคอลช่องสัญญาณ
  • Server Untunneler ผูกซ็อกเก็ตตามโปรโตคอลทันเนลและแปลการรับส่งข้อมูลทันเนลกลับไปเป็นสตรีมดั้งเดิม
  • Server Forwarder จะแปลงตัวเขียนสตรีมและตัวอ่านกลับไปเป็นการรับส่งข้อมูล

ทราฟฟิกที่ใช้ TCP จะถูกแปลงเป็นสตรีมเล็กน้อย การแปลงการรับส่งข้อมูลตาม UDP ขึ้นอยู่กับโปรโตคอลทันเนล

การรับส่งข้อมูลแบบ UDP ยังต้องมีวิธีในการระบุไคลเอ็นต์ที่มีอยู่เพื่อดำเนินการต่อเซสชันของตน วิธีแก้ไขคือแคชไคลเอ็นต์ในหน่วยความจำที่แมปตัวระบุของไคลเอ็นต์กับสตรีม

โปรโตคอล

UDP แบบทันเนล

ในการแปลงการรับส่งข้อมูล UDP เป็นสตรีม ส่วนหัวขนาด 2 ไบต์ (ใน big endian) จะอยู่ข้างหน้าแต่ละเพย์โหลดแพ็กเก็ต

UDP Listener ใช้ที่อยู่แพ็กเก็ตเพียร์ขาเข้าเป็นกุญแจสำคัญในการแคชไคลเอ็นต์

การขุดอุโมงค์ DNS

เรามีความท้าทายบางประการที่นี่:

  • เพย์โหลด DNS ต้องเป็นตัวอักษรและตัวเลข
  • ทุกข้อความต้องมีการตอบกลับก่อนจึงจะสามารถส่งข้อความถัดไปได้
  • การสืบค้น DNS แต่ละรายการใช้พอร์ตต้นทางแบบสุ่มและ ID ธุรกรรม ดังนั้นเราจึงไม่สามารถใช้เป็นคีย์แคชไคลเอ็นต์ได้

เพื่อแก้ปัญหาความท้าทายเหล่านั้น แต่ละเซสชันของไคลเอ็นต์จะเริ่มต้นด้วยการสร้างรหัสไคลเอ็นต์แบบสุ่ม (ตัวอักษรและตัวเลข 4 ตัว) ลูกค้าอ่านข้อมูลไปยังช่องสัญญาณและเรียกใช้ผ่านไปป์ไลน์ของตัวเข้ารหัส:

  • ข้อมูลถูกเข้ารหัสในรูปแบบฐานสิบหก
  • รหัสลูกค้าถูกต่อท้าย
  • ส่วนต่อท้ายไคลเอนต์ถูกผนวก ในกรณีที่เซิร์ฟเวอร์ทำงานบนเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ คำต่อท้ายคือ ".<โดเมนของคุณ>"

จากนั้นข้อมูลที่เข้ารหัสจะถูกใช้เป็นชื่อของแบบสอบถาม TXT DNS

หากคุณเป็นเจ้าของเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ ไคลเอนต์สามารถส่งคำขอไปยังตัวแก้ไข DNS แบบเรียกซ้ำได้ ตัวแก้ไขจะได้รับ IP ของคุณจากผู้รับจดทะเบียนชื่อโดเมนของคุณและส่งต่อคำขอไปยัง IP ของคุณ อีกทางเลือกหนึ่ง (เร็วกว่าแต่ชัดเจนกว่าสำหรับเครื่องมือวิเคราะห์การรับส่งข้อมูล) คือการกำหนดค่าไคลเอนต์ให้ส่งคำขอไปยัง IP ของคุณโดยตรง (บนพอร์ต UDP/53 หรือเซิร์ฟเวอร์พอร์ตอื่น ๆ ที่กำลังฟังอยู่)

เซิร์ฟเวอร์ถอดรหัสข้อมูล (โดยไม่สนใจการรับส่งข้อมูลที่ไม่ใช่ไคลเอ็นต์) และใช้ Client ID เป็นกุญแจสำคัญในการแคชไคลเอ็นต์

เพื่อจัดการกับการตอบสนองของเซิร์ฟเวอร์ขนาดใหญ่และ TCP ACK ที่ว่างเปล่า การหมดเวลาการอ่านจะใช้ทั้งในไคลเอนต์และเซิร์ฟเวอร์ หากหมดเวลาการอ่าน ข้อความว่างเปล่าจะถูกส่งไป ทั้งไคลเอนต์และเซิร์ฟเวอร์ใช้การหมดเวลาที่ไม่ได้ใช้งานเพื่อหยุดการส่งต่อและล้างทรัพยากรในเครื่อง

การขุดอุโมงค์ TLS

ในการใช้การรับรองความถูกต้องร่วมกัน เราใช้ผู้ออกใบรับรองส่วนตัว:

  • ใบรับรอง CA ที่ลงนามด้วยตนเองจะถูกสร้างขึ้นจากคีย์ส่วนตัว
  • รหัสส่วนตัวของเซิร์ฟเวอร์ถูกสร้างขึ้นแบบสุ่มและส่วนสาธารณะจะถูกใช้ในใบรับรองที่ลงนามโดยใบรับรอง CA
  • รหัสส่วนตัวของไคลเอ็นต์จะถูกสร้างขึ้นแบบสุ่ม และส่วนสาธารณะจะถูกใช้ในใบรับรองที่ลงนามโดยใบรับรอง CA

ทั้งไคลเอ็นต์และเซิร์ฟเวอร์ได้รับการกำหนดค่าให้ใช้คีย์และใบรับรองในการจับมือ TLS ใบรับรอง CA ถูกใช้เป็นใบรับรองหลัก

เนื่องจากมีการใช้ส่วนขยายการระบุชื่อเซิร์ฟเวอร์ ไคลเอนต์จึงร้องขอชื่อเซิร์ฟเวอร์เฉพาะ และเซิร์ฟเวอร์กำลังให้บริการใบรับรองเฉพาะเมื่อมีการร้องขอชื่อนั้นเท่านั้น ชื่อเซิร์ฟเวอร์จะต้องเป็นส่วนหนึ่งของใบรับรองด้วย เช่น ชื่อทางเลือกของหัวเรื่อง

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด