Почему библиотека python-socks при подключении к socsk5 не использует выданный ip:port?

Question

[Ternick]

Доброго времени суток.

Я исследовал поведение библиотеки requests с использованием прокси socks5, мониторя трафик через wireshark.
По сути вся работа requests с socks5 сводится к библиотеке python-socks.

Собственно, к чему возник вопрос, я использовал прокси с login:password аутентификацией.
Как только клиент авторизовался с socks5 сервером, он передаёт ему запрос на подключение к ip:port или же домен целиком, в ответ на это сообщение socks5-сервер должен установить соединение с конечным сервером и выделить новый ip:port, на котором будет висеть подключение, которое будет передавать всё на конечный сервер.

И на этом этапе возникло интересное разногласие. Судуя по пакетам из wireshark, python-socks, не производит переподключение на выданный новый порт, а в этом же открытом подключении отправляет ClientHello и уже ведет общение с конечным сервером, хотя по сути это противоречит rfc1928 или есть все же документ, который это регулирует?

Так же в тестах python-socks, находится подтверждение подомному варианту использования. *КЛАЦ*

Как видно, используется тоже подключение (сокет).

КОД

...
        sock: socket.socket = proxy.connect(
            dest_host=dest_host, dest_port=url.port, timeout=timeout
        )

        if url.scheme == 'https':
            assert ssl_context is not None
            sock = ssl_context.wrap_socket(sock=sock, server_hostname=url.host)

        request = 'GET {rel_url} HTTP/1.1\r\nHost: {host}\r\nConnection: close\r\n\r\n'
        request = request.format(rel_url=url.path_qs, host=url.host)
        request = request.encode('ascii')
        sock.sendall(request)

        status_code = read_status_code(sock)
        sock.close()

Почему так?

Comments

[Ternick]

Сергей Горностаев, Здравствуйте, обычно вы выручаете в таких случаях =)

Answer 1

[Dimonchik]

по сути это противоречит rfc1928

хорошо бы , если бы Вы процитировали место в RFC поторое противоречит
www.codenet.ru/webmast/socks51.php

думаю, что есть некоторое непонимание ввиду не полной разжевываемости в RFC основных терминов, подразумевается что читающие их и так знают

на деле же все просто - SOCKS сервер эмулирует соединение как от браузера, для этого и выделяется порт, ну и исходящий IP если он другой, к SOCKS клиенту это не имеет и не может иметь никакого отношения - сами подумайте, куда ему переключаться если на том IP закрыты все входящие ?

Comments

[Ternick]

Я не начинающий погромист и могу разобраться в rfc)

1) rfc это по сути документ, в котором стандартизируется определённая разработка или протокол взаимодействия. Поэтому, в идеале в rfc, не может быть разночтения и упущенных моментов.

2)SOCKS сервер в жизни ничего не имитирует, его цель аутентификация новых клиентов и пересылка информации от клиента к финальному серверу.

3) Место которое не совпадает:

клац

В ответ на CONNECT, BND.PORT содержит номер порта, который сервер
назначает для соединения с указанным хостом, а BND.ADDR содержит
связанный IP-адрес. Выданный BND.ADDR зачастую отличается от
IP-адреса, который клиент использует для доступа к SOCKS-северу,
так как такие сервера часто имеют несколько IP-адресов. Ожидается,
что сервер будет использовать DST.ADDR и DST.PORT и адрес клиента
при обработке запроса CONNECT.

4) Максимум, что может быть это более новый rfc, в котором этот нюанс освещается.

5) Код теста, ничего не проверяет, даже если бы ему в ответ пришёл бы другой адрес и другой порт, не совпадающий с исходным сервером, код бы не смог выполнить переподключение.

[Dimonchik]

Ternick, за мое

сервер эмулирует соединение как от браузера, для этого и выделяется порт

признаю некоторую неправоту:я не так сформулировал и неясно что я хотел сказать

хотел сказать я следующее: браузер соединяется с любого из незарезервированных портов на 443 (80й) порт,
и примерно так же ведет себя SOCKS сервер при методе CONNECT

а от Вас я хотел услышать :
где в RFC
инструкция клиенту
при методе CONNECT
пересоединиться на возвращенные IP и PORT ?

ведь они всего навсего - поля в пакете ответа, о чем в RFC и написано

ну то есть где поведение отличается от описанного в RFC ?

P.S. кстати в Wiki шикарно описано
https://ru.wikipedia.org/wiki/SOCKS

[Ternick]

где в RFC
инструкция клиенту
при методе CONNECT
пересоединиться на возвращенные IP и PORT ?

А зачем их передаавать, если они в принципе не используются? Явно сервер его высылает, не чтобы на него просто смотрели люди)

Эта связка IP:PORT должна использоваться хоть как-нибудь ибо сервер этот порт по идее открывает и прослушивает, раз он его возвращает в собственном ответе.

По моему, в принципе логичная картина, когда есть socks-server(ip:port) подключаешься к нему, проходишь аутентификацию, отправляешь ip:port финального сервера и назад получаешь ip:port к которому нужно подключиться, чтобы взаимодействовать с финальным сервером.

Вики, просто копия пакетов из rfc, ничего нового или внятного там нет.

[Ternick]

Dimonchik,

хотел сказать я следующее: браузер соединяется с любого из незарезервированных портов на 443 (80й) порт,
и примерно так же ведет себя SOCKS сервер при методе CONNECT

Браузер выбирает порт руководствуясь rfc протокола с которым он собирается работать или информацией которая у него уже закеширована. Хотя есть вариант и просто подключиться к связке ip:port через браузер, если указана не стандартная конфигурация на сервере.

Socks сервер же или получает принудительный ip:port конечного сервера или получает (доменное имя):port и идёт в dns, узнаёт ip и подключается.

[Ternick]

Dimonchik, и перечитайте, мой 3й пункт (выдержку из rfc), там ясно написано, что эти данные выдаются для соединения с конечным сервером.

В ответ на CONNECT, BND.PORT содержит номер порта, который сервер
назначает для соединения с указанным хостом...

[Dimonchik]

если они в принципе не используются

а как отличить два соединения? )

[Ternick]

Dimonchik, wireshark показывает + в коде видно, что новых соединений как бы нет и не было =/

[Dimonchik]

Ternick, ну так их открыть, наверно, надо ))

я подскажу как - посмотрите как это делает браузер ;)

[Ternick]

Dimonchik, Причём тут это, если речь шла о том, что в rfc написано - даётся новый ip:port и к нему идёт подключение; python-socks - игнорирует эти данные и отправляет ClientHello в тот же сокет на том же исходном порту, после аутентификации, не переходя на выданные ip:port.

[Dimonchik]

Ternick, Вы так и не ответили, где инструкция соединиться на этот порт ) там же нарисованы пакеты / датаграммы

вот тут ребята подсуетились и, мне кажется, ответили на ваш вопрос
https://stackoverflow.com/questions/72753182/socks...

ну а я повторю еще раз: инструкции явно соединяться на эти возвращенные адрес-порт в RFC нет, это Вы себе надумали )

[Ternick]

Dimonchik, Это частично решает вопрос, я порылся сам и думаю некоторые провайдеры позволяют подключаться к этим данным (BND.ADDR и BND.PORT) после Connect, но это видимо происходит крайне редко. Обычно все же в том же соединении всё продолжается.