Socks 代理域名解析机制
如果经常使用各种代理工具,会经常性的见到一些特殊的写法,以curl
为例,可能会有如下几种写法:
curl https://www.google.com -x 127.0.0.1:1081
curl https://www.google.com -x http://127.0.0.1:1081
curl https://www.google.com -x socks://127.0.0.1:1080
curl https://www.google.com -x socks4://127.0.0.1:1080
curl https://www.google.com -x socks5://127.0.0.1:1080
curl https://www.google.com -x socks4a://127.0.0.1:1080
curl https://www.google.com -x socks5h://127.0.0.1:1080
在curl
中,使用-x
可以要求curl
通过某个隧道连接网络。默认情况下,使用 http 隧道(第一种和第二种情况)。而在使用 Socks 隧道时,默认使用 Socks4 隧道(第三种和第四种)。只有在显式声明使用 Socks5 时,才会真正走 Socks5 隧道。
一般而言,大部分的代理工具(如 V2RayN),提供的是通用的 HTTP 隧道和 Socks5 隧道。
但仅仅只有一个 Socks5 就行了么?
假设我们需要访问www.baidu.com
,一般而言,直接使用 Socks5 即可。如curl https://www.baidu.com -x socks5://127.0.0.1:1080
但是,如果访问的是check.torproject.org
或google.com
这种不存在的网站,使用 Socks5 一定可以访问么?
为了模拟某种极端情况,有如下设定:
- 在本地
/etc/hosts
中将www.baidu.com
解析至127.0.0.1
- 使用 Tor 开启代理(默认在
127.0.0.1:9050
开启 Socks5 隧道) - 使用
curl
访问百度
理论上,最终执行访问的应该是 Tor 的某个出口节点。但是如果使用curl -v www.baidu.com -x socks5://127.0.0.1:9050
,可以发现实际上 DNS 是由本机进行的解析,最终访问的仍然是127.0.0.1
。从而导致访问失败。
我们所希望的解析应该是由 Tor 出口节点(或是代理服务器)进行。在这种情况下,应该使用socks5h
或是socks4a
来表明,DNS 解析由代理端执行,而非本机。也即应该使用curl -v www.baidu.com -x socks5h://127.0.0.1:9050
。
值得一提的是,不支持 UDP 等各种特性,而被认为“落后”的 HTTP 隧道,在这时反而存在额外的优越性:HTTP 隧道是将整个请求发送时服务端,由服务端执行的,也即并不会在本地解析 DNS。
上述内容在大部分情况下并没用什么实质区别,但是在某些情况下,可能会受到 DNS 污染的影响。尽管可以通过修改 DNS 服务器,或使用 DNSoverHTTPS 等方案解决,但是如果直接使用 Socks5h,则可以在根本上避免该类问题。