防代理协议.docx

1、防代理协议以太网交换机防代理协议技术白皮书武汉烽火网络有限责任公司文档版本：V1.0时间：2006-10-12撰写：交换机项目组相关人员，技术支持部审核：技术支持部发布：武汉烽火网络有限责任公司市场部读者对象：烽火网络客户，烽火网络市场及客服所有人员修订记录修订序号修订日期修订内容描述修订者 版本声明:1本文仅作市场宣传参考，不作合同签定、技术配置的依据。由于编者技术水平有限，欢迎批评和指导。2版权所有，保留一切权力非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。3有任何疑问请垂询市场部技术支持部。摘要本文介绍武汉烽火网络有限公司F-Engine 系

2、列以太网交换机的防代理功能。Proxy技术给网络运营商和各类ISP们带来了很大的损失。烽火网络推出了以太网交换机防代理技术，来力求满足运营商的功能需求以及保障运营商的利益。本文对防代理（Proxy）技术协议做了详细的描述。关键词Proxy NAT目录一、简述 5二、协议描述 51、报文描述 62、状态机描述 93、防代理协议在以太网上的格式 114、PC上是否运行代理软件的检测 11一、简述 网络接入技术虽然有了各种各样的认证机制，比如PPPoE、IEEE 802.1x，但是身份认证技术并不能防止非法用户PC通过合法用户PC上的代理软件上网，因为非法用户的数据经过代理软件后对于网络接入设备来说

3、是不能区分这个数据与合法用户发出的数据有任何明显的区别，因此代理软件让运营商蒙受了巨大的经济损失。本协议希望提供一种办法来防止这种情况的出现。现有的认证机制已经可以确保对合法用户的验证，如果能够确认合法用户的PC没有安装代理软件，那么网络就可以接受合法用户的数据。所以解决的办法就是让用户的PC机上安装防代理软件，如果发现用户安装了代理软件、那么就禁止这台PC机向网络发送数据，同时为了防止用户不启用防代理软件，所以还需要确保用户的PC运行了防代理软件。二、协议描述 防代理协议分为client部分与server部分，client部分运行在用户的PC机上，server部分运行在交换机或者路由器等接入

4、设备上。 建链过程： AP Client上的客户端软件首先并不使能防代理功能； 然后AP Client向网络发送AP-Discover消息，AP Server接收到之后以AP-Check或者AP-Auth-Request进行应答，AP-Check携带一个随机序列，AP Client发送AP-Check-Response作为应答，如果AP Server发现Check-Response失败，那么说明用户使用的client软件有问题，直接release这个用户、不用发送AP-Disconnct消息、并且这个用户需要等待一段时间之后才能再次连接。如果AP-Check-Response结果正确，AP S

5、erver发送AP-Start消息给客户，AP Client收到该消息后启动防代理功能，此时AP Client进入已连接状态，AP Server可以接收这个用户发出的普通数据，然后AP Server周期的发送AP-Check消息给AP Client（此时AP-Check消息不能携带认证指示）、并等待客户端的AP-Check-Response以防止客户中途关闭客户端软件。 如果AP Server需要认证用户的身份、那么收到AP Client的Discover消息时，以AP-Auth-Request消息做答，AP-Auth_Request消息中包含一个随机的序列，AP Client接收到AP-Au

6、th-Request后发送AP-Auth-Response消息给AP Server、其中使用密码计算后的结果，然后AP Server再发送AP-Auth-Result消息给AP Client，如果用户验证成功，那么AP Server接着发送AP-Check消息，等待AP Client的应答，如果AP-Check-Response正确、AP Server发送AP-Start消息给AP Client，此时该客户进入已连接状态，然后AP Server周期的发送AP-Check消息与AP Client上的软件进行通信以确保该软件在继续运行。 拆链过程： AP Client与AP Server均可以发起

7、拆链过程，拆链的发起方首先发送AP-Disconnect-Req消息，该消息的接收方收到之后发送AP-Disconnect-Check消息，AP-Disconnect-Check该消息中包含一个随机序列，拆链的请求者需要对随机序列进行计算后发送AP-Disconnect-Response消息给对方，如果拆链的接收方发现AP-Disconnect-Response计算结果正确，那么断开连接，否则则不断开连接。拆链过程加入认证过程主要是为了防止有恶意用户伪造拆链消息来拆除其它正在上网的用户。1、报文描述AP协议的头部定义：协议字段报文总长消息 协议字段：本字段为1字节，本版本为第一版本，填入1；

8、报文总长：本字段为2字节，指示本报文包含的消息的总长度，即本字段的值不包含“协议字段”与“报文总长”占用的字节数。消息的格式定义：消息类型消息长度消息内容 消息类型：本字段长度为2字节，指示消息的类型； 消息长度：本字段长度为2字节，指示消息内容的长度，本字段指示的长度值不包含“消息类型”与“消息长度”字段占用的字节数。（1） AP-Discover本消息由AP client发送，AP server接收到之后以AP-Response或者AP-Check进行应答。 AP-Discover的消息格式：AP-Discover长度AP-Discover消息编码：1长度：0，即AP-Discover消息

9、不包含其它内容（2） AP-Check本消息由AP Server发送。 AP-Check长度随机序列 AO-Check消息编码：2 长度：16， 随机序列：长度为16个字节。 注：每次AP-Check的“随机序列”包含的内容一定要改变，AP Server需要记录每个发送的“随机序列”。（3） AP-Check-Response本消息由AP Client发送。AP-Check-Response长度随机序列校验码AP-Check-Response消息编码：3长度：32随机序列：AP server发送过来的序列，在response中包含此序列是可以让AP server进行匹配判断，以防止恶意用户将网

10、络上正确的response消息使用抓包攻击截取下来之后、再发送给AP server。校验码：16字节的对收到的AP-Check中“随机序列”进行AP校验后生成的结果。AP Server收到AP-Check-Response后，查看校验码是否正确。（4） AP-Start本消息由AP Server发送，告诉AP Client防代理软件开始生效。AP-Start长度内容 AP-Start消息编码：4 长度：0，即本消息没有特殊内容。（5） AP-Stop本消息由AP Server发送，告诉AP Client防代理软件停止防代理操作。AP-Stop长度内容AP-Stop消息编码：5长度：0，即本消息

11、不包含特殊内容（6） AP-Disconnect-Req本消息可由AP Server或AP Client发送，以发起拆链请求。AP-Disconnect-Req长度内容AP-Disconnect-Req消息编码：6长度：0，即本消息不包含特殊内容（7） AP-Disconnect-Check本消息由拆链的接受方发送，用以验证发起方不是恶意用户。AP-Disconnect-Check长度随机序列AP-Disconnect-Check消息编码：7长度：16随机序列：16字节的随机序列（8） AP-Disconnect-Response本消息由拆链的发起方发送，对AP-Disconnect-Chec

12、k进行应答。AP-Disconnect-Response长度校验码AP-Disconnect-Response消息编码：8长度：16字节校验码：通过对收到的AP-Disconnect-Check中的“随机序列”进行AP计算后的结果。 拆链的接收方如果发现AP-Disconnect-Response中校验码不正确，那么就不拆链。如果AP-Disconnect-Response中的校验码正确，则断开连接。（9） AP-Auth-Request本消息由AP Server发送，用以验证客户是否是合法用户。AP-Auth-Request长度“随机序列”AP-Auth-Request消息编码：9长度：16

13、随机序列：16字节的随机序列（10） AP-Auth-Response本消息由AP Client发送，对AP Server的AP-Auth-Request中的“随机序列”进行MD5计算，然后返回运算结果。AP-Auth-Response长度校验码用户名长度用户名AP-Auth-Response消息编码：10长度：可变长，最长不超过81、最小不小于18。校验码：16字节，使用用户的密码用MD5算法对收到的AP-Auth-Request中的“随机序列”运算后的结果；用户名长度：1字节；用户名：长度由“用户名长度”指示，用户名最长不能超过64字节、不得小于1。（11） AP-Auth-Result本

14、消息由AP Server发送，返回认证的结果。AP-Auth-Result长度认证结果AP-Auth-Result消息编码：11长度：1字节认证结果：1字节，值为1表示认证成功、为2表示认证失败。2、状态机描述AP Server上针对每个AP Client的状态机：Init(0)Chk-Sent(1)Open(2)AuthReq-Sent(3)Rel-Sent(4)RelChk-Sent(5)Dead(6)DiscoverF1Chk-ResF2F3Auth-ResF4RelF5Rel-ResF6Rel-ChkF7Chk TimeoutF8ChkRes-TimeoutF9Auth-Timeout

15、F10RelChk-TimeoutF9RelRes-TimeoutF11RemoveF12F13F14F15F16处理描述：F1：发送AP-Check消息、启动chkRes定时器，状态改变为 Chk-Sent；或者 发送 AP-Auth-Req、启动auth定时器、状态改变为AuthReq-Sent；F2： 首先查看check-Response中的“随机序列”是否与发送的相同，如果不相同则什么都不做。如果相同，则：停止check定时器，进行check校验，如果校验成功则启动check定时器、发送AP-Start消息、进入状态Open；如果校验失败则进入状态dead；F3：首先查看check-R

16、esponse中的“随机序列”是否与发送的相同，如果不相同则什么都不做。如果相同，则：停止check定时器，进行check校验，如果校验成功则启动check定时器；如果校验失败则进入状态dead；F4：停止auth定时器，并根据用户名查找密码进行验证，如果验证失败则：发送验证失败消息、进入状态dead；如果验证成功则：发送验证成功消息、发送AP-Check消息、启动check定时器，进入状态Chk-Sent；F5：停止check定时器、发送AP-Disconnect-Check、启动定时器relRes，进入状态RelChk-Sent；F6：如果“随机序列”不匹配则什么都不做；否则，停止relR

17、es定时器，如果验证正确则进入状态dead；如果验证不正确则：启动check定时器，进入状态open；F7：停止relChk定时器，发送AP-Disconnect-Response，进入状态dead；F8：发送AP-Check，启动check定时器；F9：进入状态dead；F10：发送验证失败消息，进入状态dead；F11：启动check定时器，进入状态open；F12：停止chkRes 定时器，进入状态dead；F13：停止check定时器，发送AP-Disconnect-Req、启动relChk定时器、进入状态Rel-Sent；F14：停止auth定时器，进入状态dead；F15：停止定时

18、器relChk，进入状态dead；F16：停止定时器relRes，进入状态dead。说明：进入状态dead，需要将对该用户的记录彻底删除，并让该用户等待一段时间之后才能再次发起连接。AP Client的状态机：InitDiscover-SentChkRes-SentopenAuthRes-SentRel-SentRelChk-SentconnectF1closeF2F3F4F5F6F7CheckF8ApStartF9F10ApStopF11AuthReqF12Discover TimeoutF13ChkRes timeoutF14Auth timeoutF14RelF15Rel checkF1

19、6RelResF17RelChk-TimeoutF14RelChkRes-TimeoutF18处理描述：F1：发送AP Discover消息，启动discover消息，进入状态discover sent；F2：停止discover定时器，进入状态init；F3：停止chkRes定时器，进入状态init；F4：发送AP Disconnect消息，停止防代理功能，启动RelChk定时器，进入状态Rel-Sent；F5：停止Auth定时器，停止防代理功能，进入状态init；F6：停止RelChk定时器，进入状态init；F7：停止防代理功能，停止RelRes定时器，进入状态init；F8：停定时器d

20、iscover，发送AP-Check-Response消息、启动ChkRes定时器，进入状态ChkRes-Sent；F9：停止定时器chkRes，启动防代理功能，进入状态open；F10：启动防代理功能；F11：停止防代理功能；F12：停止discover定时器，发送AP-Auth-Response消息，启动auth定时器，进入状态AuthRes-Sent；F13：如果超时次数大于等于3，则进入状态init；如果超时次数小于3，那么发送AP Discover消息，并启动discover定时器，状态不变；F14：进入状态init；F15：发送AP-Disconnect-Check消息，启动定时器

21、RelChkRes，进入状态RelChk-Sent；F16：停止RelChk定时器，发送AP-Disconnect-Response，进入状态init；F17：如果check正确，那么停止防代理功能、停RelChkRes定时器，进入状态init；如果check不正确，则继续维持在本状态；F18：进入状态open；3、防代理协议在以太网上的格式本协议在编写时期望能够在不同的物理链路上运行。目前只能在以太网上运行，因此本节主要介绍防代理协议在以太网上的格式。 防代理协议的以太网类型字段为十六进制的FFF7，在发送AP Discover时使用的目的mac地址为01-80-c2-00-00-0F，后续

22、的防代理协议帧的目的mac地址都是确定的单播帧，即对于AP Client而言、目的mac地址是AP Server的mac地址；对于AP Server而言，目的mac地址是AP Client的mac地址。4、PC上是否运行代理软件的检测AP Client上的客户端程序在启动时并不进行防代理操作，只有在收到AP Start消息时才进行防代理操作。首先说说如何判断代理软件在PC中运行，本协议只简单说明几种方法：（12） 是否有代理软件运行。即客户端程序判断当前是否有知名的代理软件程序在运行，但由于代理软件种类很多，因此防代理功能可能对于某些不知名的代理软件失效。（13） 检测PC是否已绑定在一些知名

23、端口上，以此判断该pc是否在运行代理软件。此种方法也可能带来一些负作用，比如，有PC开了htpp或者ftp网站，那么防代理客户端程序就可能进行误判，以为PC是在运行代理软件。（14） 发包进行检测。防代理客户端程序发出一个连接请求给本PC机(连接请求中的目的IP地址由防代理程序设定为一个特殊地址)，如果本PC机接受了本连接、并且向网关发送连接请求、并且该连接请求的目的IP地址是防代理程序设定的IP地址，那么就可以确定这台PC机上运行了代理软件。但是本方法在实现上可能比较麻烦。5、 防代理软件如何进行防代理本协议对如何防代理不作特别说明，实现者可以通过禁止该PC机向外发送数据、或者丢弃非法用户发

24、送到这台合法PC机的数据来实现防代理功能。6、收到check时的处理AP Check消息的功能主要是用于keep alive、以及确保代理客户端软件仍然在运行，为了避免使用者在使用客户端软件正常连接到网络中之后将代理客户端软件关掉、然后使用某种工具将曾经应答过的AP-Check-Response发回，因此对于check response消息需要进行某种验证。目前的考虑是客户端软件与服务器软件之间共享一个密码，AP-Check消息中携带一个随机序列，AP-Check-Response消息需要使用这个共享密码来对随机序列进行加密，然后将结果返回。这个机制本省不是很安全，因为所有的客户端软件都需要事先知道这个密码，所以如果这个密码泄漏之后、恶意用户可以开发一个自己的客户端软件来欺骗AP Server，因此这个密码需要进行严格保密。目前对于收到check消息时使用的加密算法选用MD5。