프록시 없음 (직접 연결):
┌──────────┐                                    ┌──────────┐
│  클라이언트  │ ────────── 직접 요청 ────────→│  서버  │
│   (사용자)   │ ←───────── 직접 응답 ──────────│ (웹사이트) │
└──────────┘                                    └──────────┘
   IP: 192.168.1.10                                IP: 93.184.216.34

프록시 사용 (중개자 경유):
┌──────────┐           ┌──────────┐           ┌──────────┐
│  클라이언트  │ ─────────→│  프록시  │ ─────────→│  서버  │
│   (사용자)   │           │  서버  │           │ (웹사이트) │
│          │ ←─────────│          │ ←─────────│          │
└──────────┘           └──────────┘           └──────────┘
   IP: 192.168.1.10      IP: 203.0.113.45       IP: 93.184.216.34

서버는 사용자의 IP(192.168.1.10)가 아닌 프록시의 IP(203.0.113.45)를 보게 됩니다!

1. 요청 수정

프록시는 대상 서버로 전송하기 전에 HTTP 헤더를 수정할 수 있습니다:

• User-Agent: 브라우저 정보 변경 (Firefox 대신 Chrome으로 위장)
• X-Forwarded-For: 실제 클라이언트 IP 정보 추가
• Accept-Language: 선호하는 콘텐츠 언어 변경
• Referer: 방문 출처 숨기거나 대체

2. 접근 정책 확인

프록시는 다음을 기반으로 요청된 리소스에 대한 접근이 허용되는지 확인합니다:

• 클라이언트 IP 주소 (화이트리스트/블랙리스트)
• 인증 (로그인/비밀번호, 토큰)
• 시간대 (업무 시간 이후 소셜 미디어 접근 금지)
• 콘텐츠 카테고리 (게임, 포르노, 토렌트 차단)

3. 콘텐츠 캐싱

프록시는 자주 요청되는 리소스(이미지, CSS, JavaScript)의 복사본을 저장하고 서버에 요청하지 않고 캐시에서 제공합니다. 이는 트래픽을 절약하고 로딩 속도를 50-90% 향상시킵니다.

4. 응답 수정

프록시는 클라이언트에게 전송하기 전에 콘텐츠를 수정할 수 있습니다:

• 트래픽 절약을 위한 콘텐츠 압축 (gzip, brotli)
• 광고 및 트래커 차단
• 보안 헤더 추가/제거
• 스크립트 삽입 (예: 기업 분석용)

5. 로깅 및 분석

프록시는 누가, 언제, 어디로 접속했는지, 얼마나 많은 데이터가 전송되었는지 등 모든 요청 정보를 기록합니다. 이는 다음 용도로 사용됩니다:

• 트래픽 사용량 모니터링
• 이상 징후 및 공격 탐지
• 기업 정책 준수 확인
• 문제 진단 및 디버깅

🔵 Passthrough (통과 모드)

프록시는 변경 없이 데이터를 그대로 전달합니다. 최소한의 처리, 최대의 속도.

🟢 Intercepting (가로채기 모드)

프록시가 요청/응답을 적극적으로 분석하고 수정합니다. 필터링, 최적화, 보안에 사용됩니다.

🟡 Hybrid (하이브리드 모드)

각 요청에 대해 그대로 통과시킬지 또는 처리할지를 결정합니다. 예를 들어, 정적 파일만 캐싱하고 API는 직접 프록시하는 경우입니다.

1단계: 클라이언트가 프록시로 요청 전송

GET http://example.com/page.html HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Proxy-Authorization: Basic dXNlcjpwYXNz
Connection: keep-alive

↓ 요청은 프록시 서버로 직접 전달됩니다 (example.com으로 직접 가지 않음)

클라이언트는 프록시를 사용하도록 설정되어 있으므로 example.com에 대한 요청이라도 프록시 서버와 연결을 설정합니다.

2단계: 프록시가 요청을 수신하고 확인

프록시 서버는 일련의 검사를 수행합니다:

• ✅ 인증: Proxy-Authorization 헤더에서 로그인/비밀번호 확인
• ✅ 인가: 해당 사용자가 example.com에 접근 허용 여부 확인
• ✅ 필터링: example.com 도메인이 정책에 의해 차단되지 않았는지 확인
• ✅ 캐시: /page.html의 최신 사본이 캐시에 있는지 확인?

3A단계: 캐시에 있는 경우 즉시 반환

✅ CACHE HIT — 캐시에서 발견됨!

HTTP/1.1 200 OK
Content-Type: text/html
Age: 120
X-Cache: HIT from proxy-server

<html>...페이지 콘텐츠...</html>

↑ 프록시가 캐시에서 콘텐츠를 반환합니다 (매우 빠름!)

Age: 120 헤더는 콘텐츠가 캐시에 120초 동안 있었음을 의미합니다.

3B단계: 캐시에 없는 경우 서버에 요청

❌ CACHE MISS — 캐시에 없음, 서버에 요청

프록시가 헤더를 수정합니다:

GET /page.html HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
X-Forwarded-For: 192.168.1.10          ← 실제 IP 추가
Via: 1.1 proxy-server                  ← 프록시 경유 정보 표시
Connection: keep-alive

↓ 프록시가 자신의 IP로 example.com에 요청을 보냅니다

4단계: 대상 서버가 요청 처리

example.com 서버는 프록시로부터 요청을 받고 다음을 확인합니다:

• 🌐 소스 IP: 203.0.113.45 (프록시 IP, 사용자의 192.168.1.10이 아님)
• 📋 X-Forwarded-For: 192.168.1.10 (프록시가 투명한 경우)
• 🔗 Via: 1.1 proxy-server (프록시 정보)

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 12345
Cache-Control: max-age=3600
Last-Modified: Wed, 13 Jan 2025 10:00:00 GMT

<html>...페이지 콘텐츠...</html>

5단계: 프록시가 응답 처리

프록시는 응답을 받고 다음 작업을 수행합니다:

• 💾 캐싱: Cache-Control에 따라 콘텐츠를 3600초(1시간) 동안 캐시에 저장
• 🗜️ 압축: 트래픽 절약을 위해 gzip/brotli로 압축 가능
• 🔍 필터링: 바이러스 검사, 광고 차단
• 📊 로깅: 누가, 언제, 무엇을 요청했는지, 응답 크기 등을 로그에 기록

6단계: 프록시가 클라이언트에게 응답 반환

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 12345
X-Cache: MISS from proxy-server        ← 서버에 요청했음
X-Cache-Lookup: MISS from proxy-server
Via: 1.1 proxy-server

<html>...페이지 콘텐츠...</html>

↑ 클라이언트가 콘텐츠를 수신합니다

1️⃣ Connection Manager (연결 관리자)

기능:

• 클라이언트로부터 들어오는 TCP 연결 수신
• 대상 서버로의 연결 풀 관리 (connection pooling)
• 리소스 절약을 위한 연결 재사용 (HTTP Keep-Alive)
• 연결 시간 초과 및 끊김 처리

기술: 이벤트 기반 아키텍처 (epoll, kqueue), 비동기 I/O

2️⃣ Request Parser (요청 파서)

기능:

• HTTP 요청 구문 분석 (메서드, URL, 헤더, 본문)
• 요청 유효성 검사
• 인증 매개변수 추출
• 요청 유형 결정 (GET, POST, CONNECT 등)

3️⃣ Authentication & Authorization (인증 및 인가)

인증 방법:

• Basic Auth: Base64로 인코딩된 로그인:비밀번호 (HTTPS 없이는 안전하지 않음)
• IP Whitelist: 특정 IP 주소에서만 접근 허용
• Token Auth: 접근 토큰 (JWT, OAuth)
• Certificate Auth: 클라이언트 SSL 인증서

4️⃣ Cache Engine (캐싱 엔진)

기능:

• 메모리/디스크에 리소스 복사본 저장
• 캐시 유효성 검사 (Cache-Control, ETag, Last-Modified)
• 공간 부족 시 교체 알고리즘 (LRU, LFU) 사용
• 조건부 요청 지원 (If-Modified-Since, If-None-Match)

저장소: Memcached, Redis, Varnish, 자체 구현

5️⃣ Upstream Handler (업스트림 서버 처리기)

기능:

• 서버 목록에서 대상 서버 선택 (로드 밸런싱)
• 업스트림 서버와의 연결 설정
• 수정된 헤더를 포함한 요청 전달
• 오류 처리 및 재시도 로직 처리

6️⃣ Response Processor (응답 처리기)

기능:

• 응답 헤더 수정
• 콘텐츠 압축 (gzip, brotli)
• 원치 않는 콘텐츠 필터링/차단
• 캐싱 및 보안 헤더 추가

7️⃣ Logging & Monitoring (로깅 및 모니터링)

기록되는 항목:

• 타임스탬프, 클라이언트 IP, 요청 URL
• 응답 코드, 전송된 데이터 크기
• 요청 처리 시간
• 캐시 적중/미적중 통계
• 오류 및 이상 징후

➡️ 포워드 프록시

클라이언트 → Forward Proxy → 인터넷

클라이언트1 ┐
클라이언트2 ├─→ Forward → 서버1
클라이언트3 ┘    Proxy     서버2
                        서버3

특징:

• 사용자: 클라이언트 (사용자)
• 목적: 서버로부터 클라이언트 숨기기
• 위치: 클라이언트 측
• 프록시 인지 여부: 클라이언트가 알고 있음

사용 예시:

• ✅ 차단 우회 및 검열 회피
• ✅ 인터넷 익명성 확보
• ✅ 기업 콘텐츠 필터링
• ✅ IP 로테이션을 통한 파싱
• ✅ 지역 제한 우회

주요 솔루션:

Squid, ProxyCove, 레지덴셜 프록시, SOCKS5 프록시

⬅️ 리버스 프록시

인터넷 → Reverse Proxy → 서버들

클라이언트1     Reverse  ┌─→ 백엔드1
클라이언트2  ──→ Proxy  ─┼─→ 백엔드2
클라이언트3           └─→ 백엔드3

특징:

• 사용자: 서버 소유자
• 목적: 서버 보호 및 최적화
• 위치: 서버 측
• 프록시 인지 여부: 관리자만 인지

사용 예시:

• ✅ 로드 밸런싱
• ✅ SSL/TLS 종료
• ✅ 정적 파일 캐싱
• ✅ DDoS 방어
• ✅ 실제 서버 숨기기

주요 솔루션:

Nginx, HAProxy, Cloudflare, AWS ELB, Varnish

👻 투명 프록시

클라이언트 생각:
GET example.com → 직접 연결

실제로는:
GET example.com → [투명 프록시] → example.com

클라이언트는 프록시를 모릅니다!

특징:

• ✅ 클라이언트 설정 불필요
• ✅ 모든 애플리케이션에 자동으로 작동
• ⚠️ 일반 GET/POST 메서드 사용
• ⚠️ Proxy-Authorization 헤더 전송 안 함
• ❌ HTTPS 처리가 복잡함 (MITM 필요)

적용 분야:

• 기업 네트워크 (설정 없이 필터링)
• ISP 프록시 (콘텐츠 캐싱)
• 공용 Wi-Fi 콘텐츠 필터링
• 자녀 보호 기능

📢 명시적 프록시

브라우저가 프록시로 설정됨:
Proxy: proxy.example.com:8080

HTTP 요청:
GET http://example.com/ HTTP/1.1
Host: example.com
Proxy-Authorization: Basic xyz123

HTTPS 요청:
CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic xyz123

특징:

• ✅ 클라이언트가 프록시를 인지함
• ✅ 인증 지원 가능
• ✅ HTTPS를 위해 CONNECT 메서드 사용
• ✅ 애플리케이션 수준에서 완벽한 제어 가능
• ⚠️ 각 애플리케이션 설정 필요

적용 분야:

• 개인 익명성 확보 (ProxyCove)
• 웹 스크래핑 및 파싱
• 다중 계정 관리
• 다양한 IP로 테스트

1. HTTP Proxy

• OSI 계층: 애플리케이션 계층 (Layer 7)
• 프록시 대상: HTTP/HTTPS 트래픽만
• 프로토콜: HTTP/1.1, HTTP/2, HTTP/3
• 특징: HTTP 헤더를 이해하며 요청 수정 가능
• 사용: 브라우저, API 클라이언트, 웹 스크래퍼

2. HTTPS Proxy (HTTP CONNECT)

• OSI 계층: 애플리케이션 계층 (Layer 7)
• 프록시 대상: 터널링을 통한 HTTPS
• 메서드: 터널 생성을 위한 HTTP CONNECT
• 특징: HTTPS 콘텐츠를 볼 수 없음 (end-to-end 암호화 유지)
• 사용: HTTPS 사이트의 안전한 프록시 통신

3. SOCKS4 Proxy

• OSI 계층: 세션 계층 (Layer 5)
• 프록시 대상: TCP 연결만
• 특징: 간단한 프로토콜, UDP 및 인증 지원 안 함
• 사용: 2025년에는 거의 사용되지 않음

4. SOCKS5 Proxy

• OSI 계층: 세션 계층 (Layer 5)
• 프록시 대상: TCP 및 UDP 트래픽 (모든 프로토콜)
• 특징: 인증, UDP, IPv6 지원
• 사용: 토렌트, 게임, VoIP, 범용 프록시 통신

일반 HTTP 요청 (프록시 없음)

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Connection: keep-alive

→ api.example.com으로 직접 전송됨

프록시를 통한 HTTP 요청

GET http://api.example.com/api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
Proxy-Connection: keep-alive

→ 프록시 서버로 전송됨 (api.example.com으로 직접 가지 않음!)

차이점:

• 첫 번째 줄의 URL이 전체 (프로토콜 및 도메인 포함)
• Proxy-Authorization 헤더 추가됨
• Connection 대신 Proxy-Connection 사용됨

프록시가 요청에 대해 수행하는 작업

1. 프록시가 클라이언트로부터 요청 수신
2. Proxy-Authorization 확인 (로그인:비밀번호)
3. 대상 URL 추출: http://api.example.com/api/users
4. 서버로 전송할 요청 헤더 수정:

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
X-Forwarded-For: 192.168.1.100        ← 클라이언트 IP 추가
Via: 1.1 proxy-server.com              ← 프록시 정보
X-Real-IP: 192.168.1.100               ← 클라이언트 실제 IP
Connection: keep-alive

5. api.example.com에 수정된 요청 전송
6. api.example.com으로부터 응답 수신
7. 응답을 클라이언트에게 전달

Basic Authentication

로그인과 비밀번호를 base64로 인코딩하여 헤더에 전달합니다:

Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==

디코딩 시: user:password

⚠️ 중요: Base64는 암호화가 아닙니다!
HTTPS 프록시에서만 사용해야 합니다!

Digest Authentication

해싱을 사용하여 더 안전한 방식입니다:

1. 클라이언트 → 프록시: GET http://example.com/ HTTP/1.1
2. 프록시 → 클라이언트: 407 Proxy Authentication Required
   Proxy-Authenticate: Digest realm="proxy", nonce="abc123"
3. 클라이언트가 해시 계산:
   hash = MD5(username:realm:password)
   response = MD5(hash:nonce:MD5(method:uri))
4. 클라이언트 → 프록시:
   Proxy-Authorization: Digest username="user",
                                 response="xyz789",
                                 nonce="abc123"

1단계: 클라이언트가 터널 요청

CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
User-Agent: Mozilla/5.0

→ 클라이언트가 example.com:443으로 TCP 연결을 설정하도록 프록시에 요청

중요: CONNECT는 포트 443(HTTPS)에 사용되며 포트 80(HTTP)에는 사용되지 않습니다.

2단계: 프록시가 연결 설정

프록시 수행 작업:
1. Proxy-Authorization 확인
2. example.com:443으로 TCP 연결 설정
3. 클라이언트에게 응답:

HTTP/1.1 200 Connection established

→ 터널 설정 완료! 이제 프록시는 바이트를 그대로 전달합니다.

3단계: 클라이언트가 TLS 핸드셰이크 시작

클라이언트 → 프록시 → 서버: ClientHello (TLS 시작)
[버전: TLS 1.3]
[Cipher Suites: TLS_AES_128_GCM_SHA256, ...]
[SNI: example.com]  ← DPI 시스템이 이것을 볼 수 있음!
[Supported Groups: x25519, secp256r1]

서버 → 프록시 → 클라이언트: ServerHello
[선택된 Cipher: TLS_AES_128_GCM_SHA256]
[example.com의 서버 인증서]
[Key Share]

클라이언트 → 프록시 → 서버: ClientKeyExchange
[Client Key Exchange - 암호화됨]
[Change Cipher Spec]

서버 → 프록시 → 클라이언트: Server Finished
[Server Finished - 암호화됨]

9. 암호화된 세션 설정 완료
   클라이언트 ⇄ 프록시 ⇄ 서버: [모든 후속 데이터 암호화됨]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ 프록시는 이 요청 내용을 볼 수 없습니다! 암호화된 바이트만 전달됩니다.

4단계: 암호화된 데이터 교환

클라이언트 → 프록시 → 서버: [암호화된 데이터]
서버 → 프록시 → 클라이언트: [암호화된 데이터]

프록시가 볼 수 있는 것:
- 전송된 데이터 볼륨
- 전송 시간
- 대상 IP 주소

프록시가 볼 수 없는 것:
- 요청 URL
- HTTP 헤더
- 페이지 콘텐츠
- 쿠키 및 비밀번호

1단계: 인증 방법 선택

클라이언트 → 서버:
┌─────┬─────┬──────────────────┐
│0x05 │0x02 │0x00 0x02         │
└─────┴─────┴──────────────────┘
  VER  NMETHODS  메서드 목록

0x05 = SOCKS 버전 5
0x02 = 2가지 인증 방법 제안
0x00 = 인증 없음
0x02 = 사용자 이름/비밀번호

서버 → 클라이언트:
┌─────┬────────┐
│0x05 │0x02    │
└─────┴────────┘
  VER   선택된 메서드

0x02 = Username/Password 메서드 선택

2단계: 인증 (필요한 경우)

클라이언트 → 서버:
┌─────┬──────┬──────────┬──────┬──────────┐
│0x01 │ ULEN │ USERNAME │ PLEN │ PASSWORD │
└─────┴──────┴──────────┴──────┴──────────┘

0x01 = 버전
ULEN = 사용자 이름 길이
USERNAME = 로그인
PLEN = 비밀번호 길이
PASSWORD = 비밀번호

서버 → 클라이언트:
┌─────┬────────┐
│0x01 │0x00    │
└─────┴────────┘
  VER   상태

0x00 = 인증 성공

3단계: 연결 요청

클라이언트 → 서버:
┌─────┬─────┬─────┬──────┬──────────┬──────┐
│0x05 │CMD  │0x00 │ATYP  │DST.ADDR  │PORT  │
└─────┴─────┴─────┴──────┴──────────┴──────┘

0x05 = SOCKS5
CMD:
  0x01 = CONNECT (TCP 연결)
  0x02 = BIND (수신 대기)
  0x03 = UDP ASSOCIATE (UDP 릴레이)
0x00 = 예약됨
ATYP:
  0x01 = IPv4 주소 (4바이트)
  0x03 = 도메인 이름 (가변 길이)
  0x04 = IPv6 주소 (16바이트)

example.com:443의 경우:
0x05 0x01 0x00 0x03 0x0B example.com 0x01BB

서버 → 클라이언트:
┌─────┬─────┬─────┬──────┬──────────┬──────┐
│0x05 │0x00 │0x00 │0x01  │0.0.0.0   │0x0000│
└─────┴─────┴─────┴──────┴──────────┴──────┘

0x00 = 연결 성공적으로 설정됨

4단계: 데이터 전송

연결 설정 후 SOCKS 프록시는 TCP 터널처럼 작동합니다:

클라이언트 → SOCKS → 서버: [애플리케이션 데이터]
서버 → SOCKS → 클라이언트: [애플리케이션 데이터]

SOCKS는 콘텐츠를 분석하지 않고 바이트를 그대로 전달합니다!

1. 클라이언트 → 프록시: TCP 핸드셰이크
   SYN → SYN-ACK → ACK (프록시와 연결 설정됨)

2. 클라이언트 → 프록시: HTTP CONNECT
   CONNECT example.com:443 HTTP/1.1
   Host: example.com:443
   Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
   User-Agent: Mozilla/5.0

3. 프록시 → 서버: TCP 핸드셰이크
   (프록시가 example.com:443과 연결 설정)

4. 프록시 → 클라이언트: 200 Connection established

5. 클라이언트 → 프록시 → 서버: TLS ClientHello
   [버전: TLS 1.3]
   [Cipher Suites: TLS_AES_128_GCM_SHA256, ...]
   [SNI: example.com]  ← DPI가 이것을 볼 수 있음!
   [Supported Groups: x25519, secp256r1]

6. 서버 → 프록시 → 클라이언트: TLS ServerHello
   [선택된 Cipher: TLS_AES_128_GCM_SHA256]
   [example.com의 서버 인증서]
   [Key Share]

7. 클라이언트 → 프록시 → 서버: TLS Finished
   [Client Key Exchange - 암호화됨]
   [Change Cipher Spec]

8. 서버 → 프록시 → 클라이언트: TLS Finished
   [Server Finished - 암호화됨]

9. 암호화된 세션 설정 완료
   클라이언트 ⇄ 프록시 ⇄ 서버: [모든 후속 데이터 암호화됨]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ 프록시는 이 요청 내용을 볼 수 없습니다! 암호화된 바이트만 전달됩니다.

🛡️ 보호: ECH (Encrypted Client Hello)

2025년 최신 서버는 TLS 1.3의 표준인 ECH (Encrypted Client Hello)를 지원합니다. 이는 SNI를 암호화하여 DPI를 통한 도메인 식별을 불가능하게 만듭니다.

클라이언트 → [프록시로 TLS] → 프록시 → [서버로 TLS] → 서버

프록시는 두 번의 TLS 핸드셰이크를 수행합니다:
1. 클라이언트와 (자체 인증서 사용)
2. 서버와 (클라이언트 대신)

프록시는 모든 콘텐츠를 볼 수 있습니다!

⚠️ 클라이언트에 프록시의 루트 인증서 설치 필요
⚠️ 인증서가 신뢰되지 않으면 브라우저에서 경고 발생

X-Forwarded-For

프록시가 추가하는 클라이언트의 실제 IP 주소입니다.

X-Forwarded-For: 192.168.1.100

X-Real-IP

X-Forwarded-For의 대안으로, 단일 IP만 포함합니다.

X-Real-IP: 192.168.1.100

Via

요청이 통과한 프록시 체인을 보여줍니다.

Via: 1.1 proxy1, 1.1 proxy2

X-Forwarded-Proto

원래 요청 프로토콜(http/https)을 나타냅니다.

X-Forwarded-Proto: https

X-Forwarded-Host

클라이언트가 보낸 원래 Host 헤더입니다.

X-Forwarded-Host: example.com

Proxy-Authorization

프록시 서버에 대한 인증 자격 증명입니다.

Proxy-Authorization: Basic xyz123

캐싱 결정 알고리즘

1. 프록시로 요청 수신
   GET /images/logo.png

2. 프록시가 캐시 키 계산:
   key = hash(method + URL + headers)
   key = "GET:example.com:/images/logo.png"

3. 캐시 확인:
   if (캐시 존재 AND 캐시 유효함):
       ✅ CACHE HIT
       - Cache-Control: max-age 확인
       - Expires 헤더 확인
       - 유효하면 → 캐시에서 반환
       - 만료된 경우 → 조건부 요청 (If-Modified-Since)
   else:
       ❌ CACHE MISS
       - Origin 서버에 요청
       - 캐시 가능하면 → 캐시에 저장
       - 클라이언트에게 반환

4. 캐시 가능 여부 결정:
   ✅ 가능 (다음 조건 충족 시):
      - HTTP 메서드: GET 또는 HEAD
      - 상태 코드: 200, 301, 304, 404
      - Cache-Control: public, max-age > 0
      - 헤더 없음: Set-Cookie, Authorization
   ❌ 불가능 (다음 조건 시):
      - Cache-Control: no-store, private
      - Pragma: no-cache
      - POST, PUT, DELETE 요청
      - Set-Cookie가 있는 동적 콘텐츠

캐싱 헤더

조건부 요청 (Conditional Requests)

캐시가 만료되었을 때, 프록시는 조건부 요청을 사용하여 최신 버전인지 확인할 수 있습니다:

시나리오 1: ETag 확인
────────────────────────────────────
프록시 → 서버:
GET /image.jpg HTTP/1.1
If-None-Match: "abc123"

파일이 변경되지 않은 경우:
서버 → 프록시:
HTTP/1.1 304 Not Modified
ETag: "abc123"

→ 프록시는 캐시에서 제공 (트래픽 절약!)

파일이 변경된 경우:
서버 → 프록시:
HTTP/1.1 200 OK
ETag: "xyz789"
[새 콘텐츠]

→ 프록시가 캐시 업데이트


시나리오 2: 날짜 확인
────────────────────────────────────
프록시 → 서버:
GET /style.css HTTP/1.1
If-Modified-Since: Wed, 13 Jan 2025 10:00:00 GMT

서버 → 프록시:
HTTP/1.1 304 Not Modified

→ 캐시가 최신 상태이므로 캐시에서 제공

1. LRU (Least Recently Used)

가장 오랫동안 접근되지 않은 항목을 삭제합니다. 가장 인기 있는 알고리즘입니다.

image1.jpg (최근 접근: 2분 전)
style.css (최근 접근: 10분 전) ← 가장 먼저 삭제됨
logo.png (최근 접근: 1분 전)

2. LFU (Least Frequently Used)

가장 적게 요청된 항목을 삭제합니다.

logo.png (요청 횟수: 1000)
style.css (요청 횟수: 50) ← 가장 먼저 삭제됨
image1.jpg (요청 횟수: 500)

3. FIFO (First In First Out)

가장 오래된 항목을 삭제합니다. 간단하지만 항상 효율적이지는 않습니다.

4. 크기 기반 알고리즘

객체 크기를 고려합니다. 예를 들어, 적게 사용되는 큰 파일을 삭제하여 인기 있는 작은 파일들을 위한 공간을 확보합니다.

웹 프록시의 일반적인 캐시 통계:

• 📈 Hit Rate: 정적 콘텐츠(이미지, CSS, JS)의 경우 60-80%
• 📉 Hit Rate: 동적 콘텐츠(API, HTML)의 경우 5-20%
• ⚡ 가속: 캐시 적중 시 10-50ms vs 캐시 미적중 시 200-800ms
• 💾 트래픽 절약: 나가는 트래픽 40-70% 감소
• 🔋 부하 감소: 백엔드 서버 요청 50-90% 감소

1️⃣ Round Robin (순환)

요청을 서버들 사이에 순서대로 분배합니다.

요청 1 → 서버 A
요청 2 → 서버 B
요청 3 → 서버 C
요청 4 → 서버 A (순환 반복)

✅ 장점: 단순성, 균등 분배
❌ 단점: 서버 부하 고려 안 함

2️⃣ Least Connections (최소 연결)

새로운 요청을 현재 활성 연결 수가 가장 적은 서버로 보냅니다.

서버 A: 5개 연결
서버 B: 2개 연결 ← 새 요청 이쪽으로
서버 C: 8개 연결

✅ 장점: 현재 부하 고려
✅ WebSocket, 스트리밍 등 장기 연결에 이상적

3️⃣ IP Hash

클라이언트 IP 주소의 해시를 기반으로 서버를 선택합니다. 한 클라이언트는 항상 동일한 서버로 연결됩니다.

hash(192.168.1.100) % 3 = 1 → 서버 B
hash(192.168.1.200) % 3 = 0 → 서버 A
hash(192.168.1.150) % 3 = 2 → 서버 C

✅ 장점: 세션 지속성 (sticky sessions) 구현 용이
❌ 단점: 클라이언트 수가 적을 경우 불균등 분배 가능성

4️⃣ Weighted Round Robin (가중치 순환)

서버 성능에 따라 가중치를 부여하여 분배합니다.

서버 A (가중치: 5) → 5개 요청 수신
서버 B (가중치: 2) → 2개 요청 수신
서버 C (가중치: 3) → 3개 요청 수신

총 10개 요청이 5:2:3 비율로 분배됨

✅ 이기종 서버(성능이 다른 서버)에 이상적

5️⃣ Least Response Time

응답 시간이 가장 짧고 활성 연결 수가 가장 적은 서버를 선택합니다.

서버 A: 50ms, 연결 10개
서버 B: 30ms, 연결 5개 ← 선택됨
서버 C: 100ms, 연결 3개

✅ 클라이언트 성능에 최적화
⚠️ Health check 모니터링 필요

Active Health Checks

프록시가 활성 확인 요청을 보냅니다:

5초마다:
GET /health HTTP/1.1
Host: backend-server

응답 200 OK → 서버 정상 ✅
응답 5xx 또는 시간 초과 → 서버 비정상 ❌

Passive Health Checks

실제 클라이언트 요청을 분석합니다:

최근 10개 요청 중:
- 5개가 5xx 오류 반환
- 3개가 시간 초과 발생
→ 서버를 30초 동안 비정상으로 표시

웹 스크래핑

과제: 차단 없이 100,000개 페이지 파싱.

광고 검증

과제: 50개국에서 광고 노출 확인.

가격 모니터링

과제: 경쟁사 가격 24/7 모니터링.

스니커 봇팅

과제: 한정판 운동화 구매 (드롭).

소셜 미디어 관리

과제: 100개 이상의 Instagram 계정 관리.

SEO 순위 추적

과제: 지역별 Google 순위 추적.