Cách tra cứu DNS hoạt động khi sử dụng proxy HTTP (hoặc không) trong IE

20

Gần đây tôi đã tham gia một cuộc thảo luận về những gì xảy ra khi khách hàng yêu cầu một trang từ máy chủ proxy. Tôi chỉ muốn chắc chắn rằng sự hiểu biết của tôi về chuỗi sự kiện này là chính xác trong trường hợp chung:

  1. Trang yêu cầu người dùng
  2. Một yêu cầu DNS được gửi bởi máy khách, đến máy chủ DNS được cấu hình của nó để giải quyết địa chỉ IP đích (điều này được thực hiện trước để phù hợp với các yêu cầu HTTP được định cấu hình để bỏ qua proxy)
  3. Khi IP đích được nhận từ DNS và ngay trước khi yêu cầu HTTP được gửi, yêu cầu được kiểm tra đối với danh sách ngoại lệ
  4. Nếu máy chủ đích không nằm trong danh sách ngoại lệ, yêu cầu được chuyển tiếp đến máy chủ proxy.
  5. Nếu máy chủ đích nằm trong danh sách ngoại lệ, yêu cầu được chuyển tiếp theo bảng định tuyến của máy khách.

Bất kỳ thông tin phản hồi sẽ được đánh giá cao nhất.

domain-name-system  proxy  http 
cam_aurelius
nguồn

Câu trả lời:

21

Không chính xác: nó phụ thuộc vào cách máy khách được cấu hình. Hãy sử dụng IE làm ví dụ cơ bản.

Nếu bạn định cấu hình IE với proxy rõ ràng : ví dụ: không có tùy chọn nào khác được đánh dấu, proxy sẽ được đặt thành thứ gì đó: 8080.

  1. Người dùng nhập một địa chỉ

  2. IE kiểm tra địa chỉ để khớp chuỗi với danh sách ngoại lệ proxy IE (nghĩa là "Bỏ qua proxy cho các địa chỉ này:")

    a. Nếu nó khớp với một mục trong danh sách Bỏ qua , máy khách sẽ sử dụng DNS của chính nó để phân giải tên và sau đó máy khách kết nối trực tiếp với địa chỉ IP đích trên cổng 80 (giả định), sau đó gửi yêu cầu như:

    GET /something.htm HTTP/1.1
    Host: fulldomainame.example.com

    b. Nếu không có danh sách bỏ qua nào khớp , hãy tiếp tục:

  3. IE kết nối với proxy được cấu hình của nó và gửi yêu cầu của biểu mẫu:

    GET http://fulldomainname.example.com/something.htm HTTP/1.1

    Phần thưởng thực tế: việc sử dụng FQDN trong URL này là một cách bạn có thể nói rằng khách hàng nghĩ rằng nó đang nói chuyện với một proxy thay vì một máy chủ web thực sự

  4. Proxy giải quyết tên máy chủ đó bằng DNS của chính nó , sau đó kết nối với trang đích (hoạt động như máy khách ở bước 2 ở trên), v.v., v.v.

Khi sử dụng WPAD / PAC:

Trong trường hợp sử dụng tập lệnh Web Proxy Auto Discovery (WPAD) hoặc Proxy Auto Cấu hình (PAC hoặc Autoconfig), chẳng hạn như tập lệnh được cung cấp bởi ISA / TMG khi bật chế độ tự động cấu hình, nó sẽ khác:

  1. Người dùng nhập một địa chỉ

  2. Máy khách tải xuống tệp wpad.dat / autoproxy.js / .pac hiện tại từ vị trí được định cấu hình của nó

  3. Máy khách tìm kiếm hàm " FindProxyForUrl " trong tệp js và thực thi nó

  4. Tập lệnh Autoproxy xử lý tên máy chủURL . Đây là một tệp javascript chức năng giới hạn, nhưng vẫn còn nhiều điều có thể:

    a. điều này có thể bao gồm độ phân giải tên (IsInNet, DnsResolve)

    b. điều này có thể bao gồm khớp chuỗi (ShExpMatch)

    c. điều này có thể bao gồm đếm đến một triệu (i ++)

    d. điều này có thể bao gồm các thông báo bật lên cảnh báo khó chịu nếu quản trị viên bị giật

    • (hoặc chỉ buồn cười)
    • ((hoặc gỡ lỗi))

  5. Hàm FindProxyForUrl trả về ít nhất một chuỗi : một danh sách được sắp xếp của các proxy tốt nhất để sử dụng (dấu chấm phẩy được phân tách)

    a. hoặc "TRỰC TIẾP" , trong trường hợp đó, khách hàng cần tự giải quyết tên đó và kết nối trực tiếp, theo trường hợp Bỏ qua ở trên

    b. hoặc "PROXY proxyname: 8080" hoặc tương tự, trong trường hợp máy khách kết nối với cổng đó trên proxy đó, yêu cầu nó NHẬN URL đầy đủproxy thực hiện phân giải tên .

    • Như một ví dụ : nếu chức năng kịch bản trở "PROXY yourProxy: 8080; TRỰC TIẾP" mà nói với khách hàng để kết nối với yourproxy trên cổng TCP 8080 để yêu cầu URL này, và nếu kết nối không thể được thiết lập, thử đi trực tiếp. Lưu ý rằng lỗi thiết lập phiên TCP không chính xác nhanh, do đó đây có thể không phải là trải nghiệm chuyển đổi dự phòng thú vị cho người dùng, nhưng không có gì thay đổi. Có lẽ.

Đôi khi có những trục trặc, sự tinh tế và hành vi không giải thích được, nhưng đối với hầu hết mọi thứ khi mọi thứ không bị phá vỡ theo những cách kỳ lạ và thú vị, trên đây là cách tôi đã thấy nó hoạt động trong nhiều năm. Các trình duyệt mới hơn đang tối ưu hóa hành vi và các công cụ song song và luôn luôn thử những điều thú vị, vì vậy hãy xem các tài liệu gần đây nhất cho trình duyệt đã cho của bạn để hiểu chi tiết tốt.

WinSock Proxy / Máy khách Tường lửa ISA / Máy khách TMG :

Nếu bạn quan tâm đến Máy khách Proxy Winsock (từ Máy chủ TMG / ISA), đó là một câu chuyện khác, với các bộ phận linh hoạt và chuyển động hơn. Quá nhiều thứ để đi vào đây, nhưng có những tài liệu xung quanh mô tả cách thức hoạt động của nó. Nói tóm lại: nó cắm vào Ổ cắm Windows và có thể chặn cả yêu cầu phân giải tên và lưu lượng truy cập dựa trên TCP / UDP trên cơ sở mỗi ứng dụng và mỗi người dùng. Rất mạnh mẽ, nhưng cũng không dùng nữa và đã không được cập nhật trong vài năm.

Khách hàng có thể thực sự bám víu:

Một lưu ý cuối cùng : Một khi máy khách HTTP đã quyết định nói chuyện với một proxy cho một trang web / url nhất định, không có cách nào để proxy nói với nó không .

Không có mã trạng thái HTTP hoặc tiêu đề cho "Tôi không phục vụ điều đó, thay vào đó bạn chỉ nên truy cập trực tiếp vào nó" ...

Khi khách hàng quyết định một URL cụ thể được cung cấp proxy, proxy-death-grip sẽ xảy ra.

Cách duy nhất để tránh điều đó là lấy logic lựa chọn ngay trước khi máy khách thực hiện kết nối của nó, trong danh sách PAC hoặc Bypass.

Lưu ý cuối cùng về các tệp Vùng và PAC

IE xử lý các trang web được kết nối TRỰC TIẾP - ngay cả khi chúng có dấu chấm trong URL - là một phần của Vùng mạng nội bộ cục bộ (theo mặc định - có thể đặt trong thuộc tính Vùng) và do đó sẽ thực hiện những việc như cho phép Xác thực Windows tích hợp cho các trang web đó (nghĩa là Xác thực Kerberos và / hoặc NTLM, trong suốt). Vì vậy, việc kiểm soát xem có thứ gì đó trong Khu vực mạng nội bộ cục bộ xác định mức độ tin cậy của nó đối với xác thực tự động hay không. Một lần nữa, ít nhất, theo mặc định.

TristanK
nguồn
Có một tiêu chuẩn hoặc một phần của RFC nói rằng khách hàng không nên thực hiện độ phân giải DNS trước khi kết nối qua proxy?
bánh xe
Chỉ cần quy ước và / hoặc hiệu quả, theo như tôi hiểu. Microsoft Winsock Proxy Client cũ được sử dụng để cho phép bạn chơi với các tùy chọn phân giải tên. Và không có gì ngăn bạn viết một PAC có độ phân giải tên và sau đó sử dụng proxy ... ban đầu nó không giống như cách nó được thực hiện.
TristanK
0

Tôi không chắc chắn rằng phần DNS của bạn là đúng. Tôi đã thấy một máy không có máy chủ DNS hợp lệ tìm nạp các trang trong IE bằng cách sử dụng proxy.

JamesRyan
nguồn
Tôi biết rằng Máy khách Proxy Web của Máy chủ ISA sử dụng DNS của máy chủ ISA để phân giải địa chỉ đích, nhưng tôi khá chắc chắn một proxy HTTP cơ bản được đặt trong Tùy chọn Internet của máy XP / Win7 sẽ giải quyết như đã nêu ở trên ...
cam_aurelius
... Và rất tiếc. Tôi vừa làm một bài kiểm tra chứng minh rằng mình đã sai, ít nhất là trong IE. Vì vậy, tôi đoán câu hỏi tiếp theo của tôi sẽ là, DNS được giải quyết như thế nào sau đó cho các địa chỉ nằm trong danh sách ngoại lệ proxy? Có lẽ đã đến lúc thoát ra khỏi sniffer.
cam_aurelius
0

Tôi dùng thử trong Ubuntu 10.04, rượu vang, IE 6.0 và mực 2.7 (hệ thống có một dns và mực có máy chủ dns khác)

  1. Người dùng gửi yêu cầu đến proxy
  2. Mực gửi yêu cầu DNS đến máy chủ DNS
  3. Mực nhận được câu trả lời DNS. Nếu nxdomain hoặc lỗi khác, gửi trang lỗi đến IE. Nếu tên được giải quyết, hãy tải trang và đưa nó cho IE.

IE 6.0 không giải quyết tên DNS.

liên kết
nguồn
0

Tôi không nghĩ đó là - nếu bạn nhập IP và tên miền trong danh sách ngoại lệ hoặc tên miền và IP nằm trong danh sách ngoại lệ, có thể nó vẫn sẽ đi qua proxy.

Có thể một proxy.pac / wpad.dat sẽ cho phép bạn buộc bạn thoát khỏi hành vi này.

Tom Newton
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.