SANS PROXY (connexion directe) :
┌──────────┐                                    ┌──────────┐
│  Client  │ ────────── requête directe ────────→│  Serveur │
│   (Vous) │ ←───────── réponse directe ──────────│  (Site)  │
└──────────┘                                    └──────────┘
   IP: 192.168.1.10                                IP: 93.184.216.34

AVEC PROXY (via un intermédiaire) :
┌──────────┐           ┌──────────┐           ┌──────────┐
│  Client  │ ─────────→│  Serveur │ ─────────→│  Serveur │
│   (Vous) │           │   Proxy  │           │  (Site)  │
│          │ ←─────────│          │ ←─────────│          │
└──────────┘           └──────────┘           └──────────┘
   IP: 192.168.1.10      IP: 203.0.113.45       IP: 93.184.216.34

Le serveur voit l'IP du proxy (203.0.113.45), pas votre IP !

1. Modification des requêtes

Le proxy peut modifier les en-têtes HTTP avant d'envoyer la requête au serveur cible :

• User-Agent : Modifie les informations du navigateur (peut se faire passer pour Chrome au lieu de Firefox)
• X-Forwarded-For : Ajoute l'information sur l'IP réelle du client
• Accept-Language : Change la langue de contenu préférée
• Referer : Cache ou substitue la source de la visite

2. Vérification des politiques d'accès

Le proxy vérifie si l'accès à la ressource demandée est autorisé sur la base de :

• L'adresse IP du client (listes blanches/noires)
• L'authentification (login/mot de passe, jetons)
• L'heure de la journée (accès aux réseaux sociaux uniquement après le travail)
• La catégorie de contenu (blocage des jeux, pornographie, torrents)

3. Mise en cache du contenu

Le proxy sauvegarde des copies des ressources fréquemment demandées (images, CSS, JavaScript) et les sert depuis le cache, sans contacter le serveur. Cela économise de la bande passante et accélère le chargement de 50 à 90 %.

4. Modification des réponses

Le proxy peut modifier le contenu avant de l'envoyer au client :

• Compression du contenu (gzip, brotli) pour économiser la bande passante
• Blocage des publicités et des traqueurs
• Ajout/suppression d'en-têtes de sécurité
• Injection de scripts (par exemple, pour l'analyse d'entreprise)

5. Journalisation et analyse

Le proxy enregistre des informations sur chaque requête : qui, quand, où, combien de données ont été transférées. Ceci est utilisé pour :

• Surveiller l'utilisation de la bande passante
• Détecter les anomalies et les attaques
• Respecter les politiques d'entreprise
• Déboguer et diagnostiquer les problèmes

🔵 Passthrough (Mode de transmission)

Le proxy transmet simplement les données sans modification. Traitement minimal, vitesse maximale.

🟢 Intercepting (Mode interception)

Le proxy analyse et modifie activement les requêtes/réponses. Utilisé pour le filtrage, l'optimisation, la sécurité.

🟡 Hybrid (Mode hybride)

Le proxy décide pour chaque requête : la laisser passer telle quelle ou la traiter. Par exemple, mettre en cache uniquement les éléments statiques et proxifier directement les API.

Étape 1 : Le client envoie une requête au proxy

GET http://example.com/page.html HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Proxy-Authorization: Basic dXNlcjpwYXNz
Connection: keep-alive

↓ La requête va au serveur proxy (pas directement à example.com)

Le client est configuré pour utiliser le proxy, donc la connexion est établie avec le serveur proxy, même pour une requête vers example.com.

Étape 2 : Le proxy reçoit et vérifie la requête

Le serveur proxy effectue une série de vérifications :

• ✅ Authentification : Vérifie le login/mot de passe dans l'en-tête Proxy-Authorization
• ✅ Autorisation : L'accès à example.com est-il autorisé pour cet utilisateur ?
• ✅ Filtrage : Le domaine example.com est-il bloqué par la politique ?
• ✅ Cache : Y a-t-il une copie valide de /page.html dans le cache ?

Étape 3A : Si trouvé dans le cache, retour immédiat

✅ CACHE HIT — Trouvé dans le cache !

HTTP/1.1 200 OK
Content-Type: text/html
Age: 120
X-Cache: HIT from proxy-server

<html>...contenu de la page...</html>

↑ Le proxy renvoie le contenu du cache (très rapide !)

L'en-tête Age: 120 signifie que le contenu est dans le cache depuis 120 secondes.

Étape 3B : Si non trouvé dans le cache, requête au serveur

❌ CACHE MISS — Pas dans le cache, requête au serveur

Le proxy modifie les en-têtes :

GET /page.html HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
X-Forwarded-For: 192.168.1.10     ← Ajoute votre IP réelle
Via: 1.1 proxy-server             ← Indique que la requête passe par un proxy
Connection: keep-alive

↓ Le proxy envoie la requête à example.com depuis son IP

Étape 4 : Le serveur cible traite la requête

Le serveur example.com reçoit la requête du proxy et voit :

• 🌐 IP source : 203.0.113.45 (IP du proxy, pas votre 192.168.1.10)
• 📋 X-Forwarded-For : 192.168.1.10 (optionnel, si le proxy est transparent)
• 🔗 Via : 1.1 proxy-server (information sur le proxy)

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 12345
Cache-Control: max-age=3600
Last-Modified: Wed, 13 Jan 2025 10:00:00 GMT

<html>...contenu de la page...</html>

Étape 5 : Le proxy traite la réponse

Le proxy reçoit la réponse et effectue des actions :

• 💾 Mise en cache : Sauvegarde le contenu dans le cache pour 3600 secondes (1 heure), selon Cache-Control
• 🗜️ Compression : Peut compresser le contenu (gzip/brotli) pour économiser la bande passante
• 🔍 Filtrage : Vérifie le contenu pour les virus, bloque les publicités
• 📊 Journalisation : Enregistre dans le journal : qui, quand, quoi a été demandé, taille de la réponse

Étape 6 : Le proxy renvoie la réponse au client

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 12345
X-Cache: MISS from proxy-server        ← Requête au serveur effectuée
X-Cache-Lookup: MISS from proxy-server
Via: 1.1 proxy-server

<html>...contenu de la page...</html>

↑ Le client reçoit le contenu

1️⃣ Connection Manager (Gestionnaire de connexions)

Fonctions :

• Accepte les connexions TCP entrantes des clients
• Gère le pool de connexions vers les serveurs cibles (connection pooling)
• Réutilise les connexions (HTTP Keep-Alive) pour économiser les ressources
• Gère les délais d'attente et les déconnexions

Technologies : Architecture événementielle (epoll, kqueue), I/O asynchrone

2️⃣ Request Parser (Analyseur de requêtes)

Fonctions :

• Analyse les requêtes HTTP (méthode, URL, en-têtes, corps)
• Valide la correction de la requête
• Extrait les paramètres d'authentification
• Détermine le type de requête (GET, POST, CONNECT, etc.)

3️⃣ Authentication & Authorization (Authentification et autorisation)

Méthodes d'authentification :

• Basic Auth : Login:motdepasse en base64 (non sécurisé sans HTTPS)
• IP Whitelist : Accès uniquement depuis des adresses IP spécifiques
• Token Auth : Jetons d'accès (JWT, OAuth)
• Certificate Auth : Certificats SSL client

4️⃣ Cache Engine (Moteur de mise en cache)

Fonctions :

• Stocke des copies des ressources en mémoire/sur disque
• Vérifie la fraîcheur du cache (Cache-Control, ETag, Last-Modified)
• Utilise des algorithmes de remplacement (LRU, LFU) en cas de manque d'espace
• Supporte les requêtes conditionnelles (If-Modified-Since, If-None-Match)

Stockages : Memcached, Redis, Varnish, implémentations propriétaires

5️⃣ Upstream Handler (Gestionnaire de serveurs upstream)

Fonctions :

• Sélectionne le serveur cible dans la liste (load balancing)
• Établit la connexion avec le serveur upstream
• Relaye la requête avec les en-têtes modifiés
• Gère les erreurs et la logique de nouvelle tentative (retry)

6️⃣ Response Processor (Processeur de réponses)

Fonctions :

• Modifie les en-têtes de réponse
• Compresse le contenu (gzip, brotli)
• Filtre/bloque le contenu indésirable
• Ajoute des en-têtes de mise en cache et de sécurité

7️⃣ Logging & Monitoring (Journalisation et surveillance)

Ce qui est journalisé :

• Horodatage, IP client, URL demandée
• Code de réponse, taille des données transférées
• Temps de traitement de la requête
• Statistiques de succès/échec du cache
• Erreurs et anomalies

➡️ Proxy Forward

Clients → Proxy Forward → Internet

Client1 ┐
Client2 ├─→ Forward → Serveur1
Client3 ┘    Proxy     Serveur2
                        Serveur3

Caractéristiques :

• Qui l'utilise : Les clients (utilisateurs)
• Objectif : Cacher les clients des serveurs
• Emplacement : Côté client
• Qui connaît le proxy : Les clients

Exemples d'utilisation :

• ✅ Contournement des blocages et de la censure
• ✅ Anonymat sur Internet
• ✅ Filtrage de contenu d'entreprise
• ✅ Web scraping avec rotation d'IP
• ✅ Contournement des géo-restrictions

Solutions populaires :

Squid, ProxyCove, Proxies Résidentiels, Proxies SOCKS5

⬅️ Proxy Reverse

Internet → Reverse Proxy → Serveurs

Client1     Reverse  ┌─→ Backend1
Client2  ──→ Proxy  ─┼─→ Backend2
Client3          └─→ Backend3

Caractéristiques :

• Qui l'utilise : Propriétaires de serveurs
• Objectif : Protéger et optimiser les serveurs
• Emplacement : Côté serveur
• Qui connaît le proxy : Les administrateurs

Exemples d'utilisation :

• ✅ Équilibrage de charge (Load balancing)
• ✅ SSL/TLS termination
• ✅ Mise en cache des éléments statiques
• ✅ Protection contre les attaques DDoS
• ✅ Dissimulation des serveurs réels

Solutions populaires :

Nginx, HAProxy, Cloudflare, AWS ELB, Varnish

👻 Proxy Transparent

Le client pense :
GET example.com → Directement

En réalité :
GET example.com → [Proxy Transparent] → example.com

Le client n'est pas conscient du proxy !

Caractéristiques :

• ✅ Ne nécessite aucune configuration côté client
• ✅ Fonctionne pour toutes les applications automatiquement
• ⚠️ Utilise les méthodes GET/POST normales
• ⚠️ Le client n'envoie pas Proxy-Authorization
• ❌ Plus difficile à utiliser avec HTTPS (MITM)

Application :

• Réseaux d'entreprise (filtrage sans configuration)
• Proxies FAI (mise en cache de contenu par le fournisseur)
• Wi-Fi public avec filtre de contenu
• Contrôle parental

📢 Proxy Explicite

Le navigateur est configuré pour le proxy :
Proxy: proxy.example.com:8080

Requête HTTP :
GET http://example.com/ HTTP/1.1
Host: example.com
Proxy-Authorization: Basic xyz123

Requête HTTPS :
CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic xyz123

Caractéristiques :

• ✅ Le client connaît le proxy
• ✅ Support de l'authentification
• ✅ Utilise la méthode CONNECT pour HTTPS
• ✅ Contrôle total au niveau de l'application
• ⚠️ Nécessite une configuration pour chaque application

Application :

• Anonymat personnel (ProxyCove)
• Web scraping et parsing
• Tests depuis différentes adresses IP
• Gestion de multiples comptes

1. Proxy HTTP

• Niveau OSI : Application (Couche 7)
• Ce que le proxy proxifie : Uniquement le trafic HTTP/HTTPS
• Protocoles : HTTP/1.1, HTTP/2, HTTP/3
• Spécificités : Comprend les en-têtes HTTP, peut modifier les requêtes
• Utilisation : Navigateurs, clients API, web scrapers

2. Proxy HTTPS (HTTP CONNECT)

• Niveau OSI : Application (Couche 7)
• Ce que le proxy proxifie : HTTPS via tunneling
• Méthode : HTTP CONNECT pour créer un tunnel
• Spécificités : Ne voit pas le contenu HTTPS (chiffrement end-to-end)
• Utilisation : Proxy sécurisé pour les sites HTTPS

3. Proxy SOCKS4

• Niveau OSI : Session (Couche 5)
• Ce que le proxy proxifie : Uniquement les connexions TCP
• Spécificités : Protocole simple, ne supporte pas UDP ni l'authentification
• Utilisation : Obsolète, rarement utilisé en 2025

4. Proxy SOCKS5

• Niveau OSI : Session (Couche 5)
• Ce que le proxy proxifie : Trafic TCP et UDP (tout protocole)
• Spécificités : Supporte l'authentification, UDP, IPv6
• Utilisation : Torrents, jeux, VoIP, proxy universel

Requête HTTP normale (sans proxy)

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Connection: keep-alive

→ Envoyé directement à api.example.com

Requête HTTP via un proxy

GET http://api.example.com/api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
Proxy-Connection: keep-alive

→ Envoyé au serveur proxy (pas à api.example.com !)

Différences :

• L'URL dans la première ligne est complète (avec protocole et domaine)
• Ajout de l'en-tête Proxy-Authorization
• Utilisation de Proxy-Connection au lieu de Connection

Ce que le proxy fait avec la requête

1. Le proxy reçoit la requête du client
2. Vérifie Proxy-Authorization (login:motdepasse)
3. Extrait l'URL cible : http://api.example.com/api/users
4. Modifie la requête pour l'envoi au serveur :

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
X-Forwarded-For: 192.168.1.100        ← Ajoute l'IP du client
Via: 1.1 proxy-server.com              ← Information sur le proxy
X-Real-IP: 192.168.1.100               ← IP réelle du client
Connection: keep-alive

5. Envoie la requête modifiée à api.example.com
6. Reçoit la réponse de api.example.com
7. Relaye la réponse au client

Basic Authentication

Le login et le mot de passe sont encodés en base64 et transmis dans l'en-tête :

Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==

Décodé comme : user:password

⚠️ ATTENTION : Base64 N'EST PAS un chiffrement !
À utiliser uniquement avec un proxy HTTPS !

Digest Authentication

Une méthode plus sécurisée utilisant le hachage :

1. Client → Proxy : GET http://example.com/ HTTP/1.1
2. Proxy → Client : 407 Proxy Authentication Required
   Proxy-Authenticate: Digest realm="proxy", nonce="abc123"
3. Le client calcule le hash :
   hash = MD5(username:realm:password)
   response = MD5(hash:nonce:MD5(method:uri))
4. Client → Proxy :
   Proxy-Authorization: Digest username="user",
                                 response="xyz789",
                                 nonce="abc123"

Étape 1 : Le client demande un tunnel

CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
User-Agent: Mozilla/5.0

→ Le client demande au proxy d'établir une connexion TCP vers example.com:443

Important : CONNECT est utilisé pour le port 443 (HTTPS), pas 80 (HTTP).

Étape 2 : Le proxy établit la connexion

Le proxy exécute les actions :
1. Vérifie Proxy-Authorization
2. Établit une connexion TCP vers example.com:443
3. Répond au client :

HTTP/1.1 200 Connection established

→ Tunnel établi ! Le proxy transfère maintenant simplement des octets.

Étape 3 : Le client commence le TLS handshake

Client → Proxy → Serveur : ClientHello (début du TLS)
   [Version: TLS 1.3]
   [Cipher Suites: TLS_AES_128_GCM_SHA256, ...]
   [SNI: example.com]  ← L'inspection DPI peut le voir !
   [Supported Groups: x25519, secp256r1]

Serveur → Proxy → Client : ServerHello
   [Cipher choisi: TLS_AES_128_GCM_SHA256]
   [Certificat Serveur pour example.com]
   [Key Share]

Client → Proxy → Serveur : ClientKeyExchange
   [Client Key Exchange - chiffré]
   [Change Cipher Spec]

Serveur → Proxy → Client : Server Finished
   [Server Finished - chiffré]

9. SESSION CHIFFRÉE ÉTABLIE
   CLIENT ⇄ PROXY ⇄ SERVEUR : [toutes les données suivantes sont chiffrées]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ Le proxy NE voit PAS cette requête ! Seulement des octets chiffrés.

Étape 4 : Échange de données chiffrées

Client → Proxy → Serveur : [données chiffrées]
Serveur → Proxy → Client : [données chiffrées]

Le proxy voit seulement :
- Le volume de données transférées
- Le temps de transfert
- L'adresse IP de destination

Le proxy NE voit PAS :
- L'URL de la requête
- Les en-têtes HTTP
- Le contenu de la page
- Les cookies et mots de passe

Étape 1 : Sélection de la méthode d'authentification

Client → Serveur :
┌─────┬─────┬──────────────────┐
│0x05 │0x02 │0x00 0x02         │
└─────┴─────┴──────────────────┘
  VER  NMETHODS  MÉTHODES

0x05 = Version SOCKS 5
0x02 = 2 méthodes d'authentification proposées
0x00 = Aucune authentification
0x02 = Username/Password

Serveur → Client :
┌─────┬────────┐
│0x05 │0x02    │
└─────┴────────┘
  VER   MÉTHODE

0x02 = Méthode Username/Password sélectionnée

Étape 2 : Authentification (si nécessaire)

Client → Serveur :
┌─────┬──────┬──────────┬──────┬──────────┐
│0x01 │ ULEN │ USERNAME │ PLEN │ PASSWORD │
└─────┴──────┴──────────┴──────┴──────────┘

0x01 = Version de sous-négociation
ULEN = Longueur du username
USERNAME = Login
PLEN = Longueur du mot de passe
PASSWORD = Mot de passe

Serveur → Client :
┌─────┬────────┐
│0x01 │0x00    │
└─────┴────────┘
  VER   STATUT

0x00 = Authentification réussie

Étape 3 : Requête de connexion

Client → Serveur :
┌─────┬─────┬─────┬──────┬──────────┬──────┐
│0x05 │CMD  │0x00 │ATYP  │DST.ADDR  │PORT  │
└─────┴─────┴─────┴──────┴──────────┴──────┘

0x05 = SOCKS5
CMD :
  0x01 = CONNECT (Connexion TCP)
  0x02 = BIND (Attente de connexion entrante)
  0x03 = UDP ASSOCIATE (Relais UDP)
0x00 = Réservé
ATYP :
  0x01 = Adresse IPv4 (4 octets)
  0x03 = Nom de domaine (variable)
  0x04 = Adresse IPv6 (16 octets)

Exemple pour example.com:443
0x05 0x01 0x00 0x03 0x0B example.com 0x01BB

Serveur → Client :
┌─────┬─────┬─────┬──────┬──────────┬──────┐
│0x05 │0x00 │0x00 │0x01  │0.0.0.0   │0x0000│
└─────┴─────┴─────┴──────┴──────────┴──────┘

0x00 = Connexion établie avec succès

Étape 4 : Transfert des données

Après l'établissement de la connexion, le proxy SOCKS fonctionne comme un tunnel TCP :

Client → SOCKS → Serveur : [données de l'application]
Serveur → SOCKS → Client : [données de l'application]

SOCKS transfère simplement les octets sans analyser le contenu !

1. CLIENT → PROXY : Handshake TCP
   SYN → SYN-ACK → ACK (connexion établie avec le proxy)

2. CLIENT → PROXY : HTTP CONNECT
   CONNECT example.com:443 HTTP/1.1
   Host: example.com:443
   Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
   User-Agent: Mozilla/5.0

3. PROXY → SERVEUR : Handshake TCP
   (le proxy établit une connexion avec example.com:443)

4. PROXY → CLIENT : 200 Connection established

5. CLIENT → PROXY → SERVEUR : TLS ClientHello
   [Version: TLS 1.3]
   [Cipher Suites: TLS_AES_128_GCM_SHA256, ...]
   [SNI: example.com]  ← L'inspection DPI peut le voir !
   [Supported Groups: x25519, secp256r1]

6. SERVEUR → PROXY → CLIENT : TLS ServerHello
   [Cipher choisi: TLS_AES_128_GCM_SHA256]
   [Certificat Serveur pour example.com]
   [Key Share]

7. CLIENT → PROXY → SERVEUR : TLS Finished
   [Client Key Exchange - chiffré]
   [Change Cipher Spec]

8. SERVEUR → PROXY → CLIENT : TLS Finished
   [Server Finished - chiffré]

9. SESSION CHIFFRÉE ÉTABLIE
   CLIENT ⇄ PROXY ⇄ SERVEUR : [toutes les données suivantes sont chiffrées]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ Le proxy ne voit PAS cette requête ! Seulement des octets chiffrés.

🛡️ Protection : ECH (Encrypted Client Hello)

En 2025, les serveurs modernes supportent ECH (Encrypted Client Hello) — une norme TLS 1.3 qui chiffre le SNI. Cela rend impossible la détermination du domaine via DPI.

CLIENT → [TLS vers proxy] → PROXY → [TLS vers serveur] → SERVEUR

Le proxy effectue deux handshakes TLS :
1. Avec le client (en utilisant son propre certificat)
2. Avec le serveur (au nom du client)

Le proxy voit TOUT le contenu HTTPS !

⚠️ Nécessite l'installation du certificat racine du proxy sur le client
⚠️ Le navigateur affichera un avertissement si le certificat n'est pas fiable

X-Forwarded-For

Contient l'IP réelle du client. Ajouté par le proxy.

X-Forwarded-For: 192.168.1.100

X-Real-IP

Alternative à X-Forwarded-For, contient une seule IP.

X-Real-IP: 192.168.1.100

Via

Indique la chaîne de proxies par laquelle la requête est passée.

Via: 1.1 proxy1, 1.1 proxy2

X-Forwarded-Proto

Indique le protocole de la requête originale (http/https).

X-Forwarded-Proto: https

X-Forwarded-Host

L'en-tête Host original envoyé par le client.

X-Forwarded-Host: example.com

Proxy-Authorization

Informations d'identification pour l'authentification sur le serveur proxy.

Proxy-Authorization: Basic xyz123

1. Proxy HTTP

• Niveau OSI : Application (Couche 7)
• Ce que le proxy proxifie : Uniquement le trafic HTTP/HTTPS
• Protocoles : HTTP/1.1, HTTP/2, HTTP/3
• Spécificités : Comprend les en-têtes HTTP, peut modifier les requêtes
• Utilisation : Navigateurs, clients API, web scrapers

2. Proxy HTTPS (HTTP CONNECT)

• Niveau OSI : Application (Couche 7)
• Ce que le proxy proxifie : HTTPS via tunneling
• Méthode : HTTP CONNECT pour créer un tunnel
• Spécificités : Ne voit pas le contenu HTTPS (chiffrement end-to-end)
• Utilisation : Proxy sécurisé pour les sites HTTPS

3. Proxy SOCKS4

• Niveau OSI : Session (Couche 5)
• Ce que le proxy proxifie : Uniquement les connexions TCP
• Spécificités : Protocole simple, ne supporte pas UDP ni l'authentification
• Utilisation : Obsolète, rarement utilisé en 2025

4. Proxy SOCKS5

• Niveau OSI : Session (Couche 5)
• Ce que le proxy proxifie : Trafic TCP et UDP (tout protocole)
• Spécificités : Supporte l'authentification, UDP, IPv6
• Utilisation : Torrents, jeux, VoIP, proxy universel

Requête HTTP normale (sans proxy)

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Connection: keep-alive

→ Envoyé directement à api.example.com

Requête HTTP via un proxy

GET http://api.example.com/api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
Proxy-Connection: keep-alive

→ Envoyé au serveur proxy (pas à api.example.com !)

Différences :

• L'URL dans la première ligne est complète (avec protocole et domaine)
• Ajout de l'en-tête Proxy-Authorization
• Utilisation de Proxy-Connection au lieu de Connection

Ce que le proxy fait avec la requête

1. Le proxy reçoit la requête du client
2. Vérifie Proxy-Authorization (login:motdepasse)
3. Extrait l'URL cible : http://api.example.com/api/users
4. Modifie la requête pour l'envoi au serveur :

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
X-Forwarded-For: 192.168.1.100        ← Ajoute l'IP du client
Via: 1.1 proxy-server.com              ← Information sur le proxy
X-Real-IP: 192.168.1.100               ← IP réelle du client
Connection: keep-alive

5. Envoie la requête modifiée à api.example.com
6. Reçoit la réponse de api.example.com
7. Relaye la réponse au client

Basic Authentication

Le login et le mot de passe sont encodés en base64 et transmis dans l'en-tête :

Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==

Décodé comme : user:password

⚠️ ATTENTION : Base64 N'EST PAS un chiffrement !
À utiliser uniquement avec un proxy HTTPS !

Digest Authentication

Une méthode plus sécurisée utilisant le hachage :

1. Client → Proxy : GET http://example.com/ HTTP/1.1
2. Proxy → Client : 407 Proxy Authentication Required
   Proxy-Authenticate: Digest realm="proxy", nonce="abc123"
3. Le client calcule le hash :
   hash = MD5(username:realm:password)
   response = MD5(hash:nonce:MD5(method:uri))
4. Client → Proxy :
   Proxy-Authorization: Digest username="user",
                                 response="xyz789",
                                 nonce="abc123"

Étape 1 : Le client demande un tunnel

CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
User-Agent: Mozilla/5.0

→ Le client demande au proxy d'établir une connexion TCP vers example.com:443

Important : CONNECT est utilisé pour le port 443 (HTTPS), pas 80 (HTTP).

Étape 2 : Le proxy établit la connexion

Le proxy exécute les actions :
1. Vérifie Proxy-Authorization
2. Établit une connexion TCP vers example.com:443
3. Répond au client :

HTTP/1.1 200 Connection established

→ Tunnel établi ! Le proxy transfère maintenant simplement des octets.

Étape 3 : Le client commence le TLS handshake

Client → Proxy → Serveur : ClientHello (début du TLS)
   [Version: TLS 1.3]
   [Cipher Suites: TLS_AES_128_GCM_SHA256, ...]
   [SNI: example.com]  ← L'inspection DPI peut le voir !
   [Supported Groups: x25519, secp256r1]

Serveur → Proxy → Client : ServerHello
   [Cipher choisi: TLS_AES_128_GCM_SHA256]
   [Certificat Serveur pour example.com]
   [Key Share]

Client → Proxy → Serveur : ClientKeyExchange
   [Client Key Exchange - chiffré]
   [Change Cipher Spec]

Serveur → Proxy → Client : Server Finished
   [Server Finished - chiffré]

9. SESSION CHIFFRÉE ÉTABLIE
   CLIENT ⇄ PROXY ⇄ SERVEUR : [toutes les données suivantes sont chiffrées]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ Le proxy NE voit PAS cette requête ! Seulement des octets chiffrés.

Étape 4 : Échange de données chiffrées

Client → Proxy → Serveur : [données chiffrées]
Serveur → Proxy → Client : [données chiffrées]

Le proxy voit seulement :
- Le volume de données transférées
- Le temps de transfert
- L'adresse IP de destination

Le proxy NE voit PAS :
- L'URL de la requête
- Les en-têtes HTTP
- Le contenu de la page
- Les cookies et mots de passe

Étape 1 : Sélection de la méthode d'authentification

Client → Serveur :
┌─────┬─────┬──────────────────┐
│0x05 │0x02 │0x00 0x02         │
└─────┴─────┴──────────────────┘
  VER  NMETHODS  MÉTHODES

0x05 = Version SOCKS 5
0x02 = 2 méthodes d'authentification proposées
0x00 = Aucune authentification
0x02 = Username/Password

Serveur → Client :
┌─────┬────────┐
│0x05 │0x02    │
└─────┴────────┘
  VER   MÉTHODE

0x02 = Méthode Username/Password sélectionnée

Étape 2 : Authentification (si nécessaire)

Client → Serveur :
┌─────┬──────┬──────────┬──────┬──────────┐
│0x01 │ ULEN │ USERNAME │ PLEN │ PASSWORD │
└─────┴──────┴──────────┴──────┴──────────┘

0x01 = Version de sous-négociation
ULEN = Longueur du username
USERNAME = Login
PLEN = Longueur du mot de passe
PASSWORD = Mot de passe

Serveur → Client :
┌─────┬────────┐
│0x01 │0x00    │
└─────┴────────┘
  VER   STATUT

0x00 = Authentification réussie

Étape 3 : Requête de connexion

Client → Serveur :
┌─────┬─────┬─────┬──────┬──────────┬──────┐
│0x05 │CMD  │0x00 │ATYP  │DST.ADDR  │PORT  │
└─────┴─────┴─────┴──────┴──────────┴──────┘

0x05 = SOCKS5
CMD :
  0x01 = CONNECT (Connexion TCP)
  0x02 = BIND (Attente de connexion entrante)
  0x03 = UDP ASSOCIATE (Relais UDP)
0x00 = Réservé
ATYP :
  0x01 = Adresse IPv4 (4 octets)
  0x03 = Nom de domaine (variable)
  0x04 = Adresse IPv6 (16 octets)

Exemple pour example.com:443
0x05 0x01 0x00 0x03 0x0B example.com 0x01BB

Serveur → Client :
┌─────┬─────┬─────┬──────┬──────────┬──────┐
│0x05 │0x00 │0x00 │0x01  │0.0.0.0   │0x0000│
└─────┴─────┴─────┴──────┴──────────┴──────┘

0x00 = Connexion établie avec succès

Étape 4 : Transfert des données

Après l'établissement de la connexion, le proxy SOCKS fonctionne comme un tunnel TCP :

Client → SOCKS → Serveur : [données de l'application]
Serveur → SOCKS → Client : [données de l'application]

SOCKS transfère simplement les octets sans analyser le contenu !

1. CLIENT → PROXY : Handshake TCP
   SYN → SYN-ACK → ACK (connexion établie avec le proxy)

2. CLIENT → PROXY : HTTP CONNECT
   CONNECT example.com:443 HTTP/1.1
   Host: example.com:443
   Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
   User-Agent: Mozilla/5.0

3. PROXY → SERVEUR : Handshake TCP
   (le proxy établit une connexion avec example.com:443)

4. PROXY → CLIENT : 200 Connection established

5. CLIENT → PROXY → SERVEUR : TLS ClientHello
   [Version: TLS 1.3]
   [Cipher Suites: TLS_AES_128_GCM_SHA256, ...]
   [SNI: example.com]  ← L'inspection DPI peut le voir !
   [Supported Groups: x25519, secp256r1]

6. SERVEUR → PROXY → CLIENT : TLS ServerHello
   [Cipher choisi: TLS_AES_128_GCM_SHA256]
   [Certificat Serveur pour example.com]
   [Key Share]

7. CLIENT → PROXY → SERVEUR : TLS Finished
   [Client Key Exchange - chiffré]
   [Change Cipher Spec]

8. SERVEUR → PROXY → CLIENT : TLS Finished
   [Server Finished - chiffré]

9. SESSION CHIFFRÉE ÉTABLIE
   CLIENT ⇄ PROXY ⇄ SERVEUR : [toutes les données suivantes sont chiffrées]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ Le proxy ne voit PAS cette requête ! Seulement des octets chiffrés.

🛡️ Protection : ECH (Encrypted Client Hello)

En 2025, les serveurs modernes supportent ECH (Encrypted Client Hello) — une norme TLS 1.3 qui chiffre le SNI. Cela rend impossible la détermination du domaine via DPI.

CLIENT → [TLS vers proxy] → PROXY → [TLS vers serveur] → SERVEUR

Le proxy effectue deux handshakes TLS :
1. Avec le client (en utilisant son propre certificat)
2. Avec le serveur (au nom du client)

Le proxy voit TOUT le contenu HTTPS !

⚠️ Nécessite l'installation du certificat racine du proxy sur le client
⚠️ Le navigateur affichera un avertissement si le certificat n'est pas fiable

X-Forwarded-For

Contient l'IP réelle du client. Ajouté par le proxy.

X-Forwarded-For: 192.168.1.100

X-Real-IP

Alternative à X-Forwarded-For, contient une seule IP.

X-Real-IP: 192.168.1.100

Via

Indique la chaîne de proxies par laquelle la requête est passée.

Via: 1.1 proxy1, 1.1 proxy2

X-Forwarded-Proto

Indique le protocole de la requête originale (http/https).

X-Forwarded-Proto: https

X-Forwarded-Host

L'en-tête Host original envoyé par le client.

X-Forwarded-Host: example.com

Proxy-Authorization

Informations d'identification pour l'authentification sur le serveur proxy.

Proxy-Authorization: Basic xyz123

Algorithme de décision de mise en cache

1. Requête arrive au proxy
   GET /images/logo.png

2. Le proxy calcule la clé de cache :
   key = hash(méthode + URL + en-têtes)
   key = "GET:example.com:/images/logo.png"

3. Vérification du cache :
   if (cache existe AND cache est frais) :
       ✅ CACHE HIT
       - Vérifier Cache-Control: max-age
       - Vérifier l'en-tête Expires
       - Si frais → retourner depuis le cache
       - Si périmé → requête conditionnelle (If-Modified-Since)
   else:
       ❌ CACHE MISS
       - Demander au serveur d'origine
       - Sauvegarder dans le cache (si cacheable)
       - Retourner au client

4. Déterminer si la mise en cache est possible :
   ✅ Oui, si :
      - Méthode HTTP : GET ou HEAD
      - Statut : 200, 301, 304, 404
      - Cache-Control : public, max-age > 0
      - PAS d'en-têtes : Set-Cookie, Authorization
   ❌ Non, si :
      - Cache-Control : no-store, private
      - Pragma : no-cache
      - Requêtes POST, PUT, DELETE
      - Contenu dynamique avec Set-Cookie

En-têtes de mise en cache

Requêtes conditionnelles

Lorsque le cache est périmé, le proxy peut vérifier l'actualité à l'aide de requêtes conditionnelles :

Scénario 1 : Vérification par ETag
────────────────────────────────────
Proxy → Serveur :
GET /image.jpg HTTP/1.1
If-None-Match: "abc123"

Si le fichier n'a pas changé :
Serveur → Proxy :
HTTP/1.1 304 Not Modified
ETag: "abc123"

→ Le proxy sert depuis le cache (économie de bande passante !)

Si le fichier a changé :
Serveur → Proxy :
HTTP/1.1 200 OK
ETag: "xyz789"
[nouveau contenu]

→ Le proxy met à jour le cache


Scénario 2 : Vérification par date
────────────────────────────────────
Proxy → Serveur :
GET /style.css HTTP/1.1
If-Modified-Since: Wed, 13 Jan 2025 10:00:00 GMT

Serveur → Proxy :
HTTP/1.1 304 Not Modified

→ Le cache est à jour, on sert depuis le cache

1. LRU (Least Recently Used)

Supprime les objets qui n'ont pas été consultés depuis longtemps. Algorithme le plus populaire.

image1.jpg (dernier accès : il y a 2 minutes)
style.css (dernier accès : il y a 10 minutes) ← Supprimé en premier
logo.png (dernier accès : il y a 1 minute)

2. LFU (Least Frequently Used)

Supprime les objets qui ont été demandés le moins souvent.

logo.png (requêtes : 1000)
style.css (requêtes : 50) ← Supprimé en premier
image1.jpg (requêtes : 500)

3. FIFO (First In First Out)

Supprime les objets les plus anciens dans le cache. Simple, mais pas toujours efficace.

4. Algorithmes sensibles à la taille

Tiennent compte de la taille des objets. Par exemple, suppriment les fichiers volumineux rarement utilisés pour faire de la place pour de nombreux petits fichiers populaires.

Statistiques typiques du cache d'un proxy web :

• 📈 Taux de succès (Hit Rate) : 60-80 % pour le contenu statique (images, CSS, JS)
• 📉 Taux de succès (Hit Rate) : 5-20 % pour le contenu dynamique (API, HTML)
• ⚡ Accélération : Un succès de cache est traité en 10-50ms contre 200-800ms pour un échec de cache
• 💾 Économie de bande passante : 40-70 % de réduction du trafic sortant vers l'origine
• 🔋 Réduction de la charge : 50-90 % de requêtes en moins vers les serveurs backend

1️⃣ Round Robin (Circulaire)

Les requêtes sont distribuées séquentiellement entre les serveurs.

Requête 1 → Serveur A
Requête 2 → Serveur B
Requête 3 → Serveur C
Requête 4 → Serveur A (le cycle recommence)

✅ Avantages : Simplicité, distribution uniforme
❌ Inconvénients : Ne tient pas compte de la charge des serveurs

2️⃣ Least Connections (Moins de connexions)

La nouvelle requête est envoyée au serveur ayant le moins de connexions actives.

Serveur A : 5 connexions
Serveur B : 2 connexions ← Nouvelle requête ici
Serveur C : 8 connexions

✅ Avantages : Tient compte de la charge actuelle
✅ Idéal pour les connexions de longue durée (WebSocket, streaming)

3️⃣ IP Hash

Le serveur est choisi en fonction du hash de l'adresse IP du client. Un client donné arrive toujours sur le même serveur.

hash(192.168.1.100) % 3 = 1 → Serveur B
hash(192.168.1.200) % 3 = 0 → Serveur A
hash(192.168.1.150) % 3 = 2 → Serveur C

✅ Avantages : Persistance de session sans sessions persistantes (sticky sessions)
❌ Inconvénients : Distribution inégale si le nombre de clients est faible

4️⃣ Weighted Round Robin (Circulaire pondéré)

Des poids sont attribués aux serveurs en fonction de leur puissance.

Serveur A (poids : 5) → reçoit 5 requêtes
Serveur B (poids : 2) → reçoit 2 requêtes
Serveur C (poids : 3) → reçoit 3 requêtes

Total de 10 requêtes distribuées selon la proportion 5:2:3

✅ Idéal pour les serveurs hétérogènes (puissance différente)

5️⃣ Least Response Time

Sélectionne le serveur avec le temps de réponse le plus court et le moins de connexions.

Serveur A : 50ms, 10 connexions
Serveur B : 30ms, 5 connexions ← Sélectionné
Serveur C : 100ms, 3 connexions

✅ Performance optimale pour les clients
⚠️ Nécessite une surveillance de l'état de santé (health checks)

Vérifications d'état Actives

Le proxy envoie activement des requêtes de vérification :

Toutes les 5 secondes :
GET /health HTTP/1.1
Host: backend-server

Réponse 200 OK → Serveur sain ✅
Réponse 5xx ou timeout → Serveur indisponible ❌

Vérifications d'état Passives

Analyse des requêtes réelles des clients :

Si sur les 10 dernières requêtes :
- 5 ont retourné des erreurs 5xx
- 3 se sont terminées par un timeout
→ Marquer le serveur comme non sain pendant 30 secondes

Web Scraping

Tâche : Parser 100 000 pages sans être banni.

Vérification de Publicité

Tâche : Vérifier l'affichage des publicités dans 50 pays.

Surveillance des Prix

Tâche : Surveiller les prix des concurrents 24/7.

Sneaker Botting

Tâche : Acheter des baskets en édition limitée (drop).

Gestion des Réseaux Sociaux

Tâche : Gérer plus de 100 comptes Instagram.

SEO Rank Tracking

Tâche : Suivre les classements dans Google par région.