无代理（直接连接）：
┌──────────┐                                    ┌──────────┐
│  客户端  │ ────────── 直接请求 ────────→│  服务器  │
│   (您)    │ ←───────── 直接响应 ──────────│  (网站)   │
└──────────┘                                    └──────────┘
   IP: 192.168.1.10                                IP: 93.184.216.34

有代理（通过中介）：
┌──────────┐           ┌──────────┐           ┌──────────┐
│  客户端  │ ─────────→│  代理服  │ ─────────→│  服务器  │
│   (您)    │           │  务器    │           │  (网站)   │
│          │ ←─────────│          │ ←─────────│          │
└──────────┘           └──────────┘           └──────────┘
   IP: 192.168.1.10      IP: 203.0.113.45       IP: 93.184.216.34

服务器看到的是代理的IP (203.0.113.45)，而不是您的IP！

1. 修改请求

代理可以在转发到目标服务器之前修改 HTTP 标头：

• User-Agent: 更改浏览器信息（可以伪装成 Chrome 而不是 Firefox）
• X-Forwarded-For: 添加客户端的真实 IP 信息
• Accept-Language: 更改首选内容语言
• Referer: 隐藏或伪造来源链接

2. 检查访问策略

代理根据以下条件检查是否允许访问请求的资源：

• 客户端的 IP 地址（白名单/黑名单）
• 身份验证（登录/密码、令牌）
• 时间（工作时间后才能访问社交媒体）
• 内容类别（阻止游戏、色情内容、BT下载）

3. 缓存内容

代理保存常用资源的副本（图像、CSS、JavaScript），并直接从缓存提供，无需访问服务器。这可节省流量并加快加载速度 50-90%。

4. 修改响应

代理可以在发送给客户端之前修改内容：

• 内容压缩（gzip, brotli）以节省流量
• 阻止广告和跟踪器
• 添加/删除安全标头
• 注入脚本（例如，用于企业分析）

5. 日志记录与分析

代理记录每个请求的信息：谁、何时、访问了哪里、传输了多少数据。这用于：

• 监控流量使用情况
• 检测异常和攻击
• 遵守企业政策
• 调试和问题诊断

🔵 Passthrough (直通模式)

代理仅转发数据，不作修改。最少处理，最高速度。

🟢 Intercepting (拦截模式)

代理主动分析和修改请求/响应。用于过滤、优化、安全检查。

🟡 Hybrid (混合模式)

代理为每个请求决定是直通还是处理。例如，只缓存静态资源，而 API 请求直接转发。

步骤 1: 客户端向代理发送请求

GET http://example.com/page.html HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Proxy-Authorization: Basic dXNlcjpwYXNz
Connection: keep-alive

↓ 请求发送至代理服务器（而非直接发送给 example.com）

客户端已配置使用代理，因此即使请求目标是 example.com，连接也是先建立到代理服务器的。

步骤 2: 代理接收并检查请求

代理服务器执行一系列检查：

• ✅ 身份验证： 检查 Proxy-Authorization 标头中的用户名/密码
• ✅ 授权： 检查该用户是否被允许访问 example.com
• ✅ 过滤： 检查 example.com 是否被策略阻止
• ✅ 缓存： 检查 /page.html 是否有有效缓存副本？

步骤 3A: 如果在缓存中，则立即返回

✅ CACHE HIT — 在缓存中找到！

HTTP/1.1 200 OK
Content-Type: text/html
Age: 120
X-Cache: HIT from proxy-server

<html>...页面内容...</html>

↑ 代理从缓存中返回内容（速度极快！）

Age: 120 标头表示内容已在缓存中存在 120 秒。

步骤 3B: 如果不在缓存中，则向服务器请求

❌ CACHE MISS — 缓存中没有，请求服务器

代理修改标头后转发：

GET /page.html HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
X-Forwarded-For: 192.168.1.10          ← 添加了您的真实IP
Via: 1.1 proxy-server                  ← 指明请求经过代理
Connection: keep-alive

↓ 代理从其IP向 example.com 发送请求

步骤 4: 目标服务器处理请求

example.com 服务器收到的请求显示：

• 🌐 源IP: 203.0.113.45 (代理IP，而非您的 192.168.1.10)
• 📋 X-Forwarded-For: 192.168.1.10 (可选，如果代理是透明的)
• 🔗 Via: 1.1 proxy-server (代理信息)

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 12345
Cache-Control: max-age=3600
Last-Modified: Wed, 13 Jan 2025 10:00:00 GMT

<html>...页面内容...</html>

步骤 5: 代理处理响应

代理收到响应后执行操作：

• 💾 缓存： 根据 Cache-Control 将内容保存到缓存（例如，1小时）
• 🗜️ 压缩： 可能压缩内容以节省流量
• 🔍 过滤： 检查内容中的病毒，屏蔽广告
• 📊 日志记录： 记录谁、何时、请求了什么、响应大小

步骤 6: 代理将响应返回给客户端

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 12345
X-Cache: MISS from proxy-server        ← 发生了服务器请求
X-Cache-Lookup: MISS from proxy-server
Via: 1.1 proxy-server

<html>...页面内容...</html>

↑ 客户端收到内容

1️⃣ 连接管理器 (Connection Manager)

功能：

• 接收来自客户端的入站 TCP 连接
• 管理到目标服务器的连接池 (connection pooling)
• 重用连接 (HTTP Keep-Alive) 以节省资源
• 处理超时和连接中断

技术： 事件驱动架构 (epoll, kqueue)，异步 I/O

2️⃣ 请求解析器 (Request Parser)

功能：

• 解析 HTTP 请求（方法、URL、标头、正文）
• 验证请求的有效性
• 提取身份验证参数
• 确定请求类型 (GET, POST, CONNECT 等)

3️⃣ 身份验证与授权 (Authentication & Authorization)

身份验证方法：

• Basic Auth: 登录:密码的 base64 编码（HTTPS下不安全）
• IP 白名单： 仅允许特定 IP 访问
• Token Auth: 访问令牌 (JWT, OAuth)
• Certificate Auth: 客户端 SSL 证书

4️⃣ 缓存引擎 (Cache Engine)

功能：

• 在内存/磁盘中保存资源副本
• 检查缓存有效性 (Cache-Control, ETag, Last-Modified)
• 在空间不足时使用淘汰算法 (LRU, LFU)
• 支持条件请求 (If-Modified-Since, If-None-Match)

存储： Memcached, Redis, Varnish, 自定义实现

5️⃣ 上游处理程序 (Upstream Handler)

功能：

• 从列表中选择目标服务器（负载均衡）
• 与上游服务器建立连接
• 转发修改后的请求
• 处理错误和重试逻辑

6️⃣ 响应处理器 (Response Processor)

功能：

• 修改响应标头
• 内容压缩 (gzip, brotli)
• 过滤/阻止不希望的内容
• 添加缓存和安全标头

7️⃣ 日志记录与监控 (Logging & Monitoring)

记录内容：

• 时间戳、客户端IP、请求的URL
• 响应代码、传输的数据量
• 请求处理时间
• 缓存命中/未命中统计
• 错误和异常

➡️ 正向代理 (Forward Proxy)

客户端 → 正向代理 → 互联网

客户端1 ┐
客户端2 ├─→ 正向代理 → 服务器1
客户端3 ┘    Proxy     服务器2
                        服务器3

特点：

• 使用者： 客户端（用户）
• 目标： 对服务器隐藏客户端
• 位置： 客户端侧
• 知情方： 客户端知道代理的存在

应用场景：

• ✅ 绕过封锁和审查
• ✅ 互联网匿名性
• ✅ 企业内容过滤
• ✅ IP轮换进行数据抓取
• ✅ 绕过地理限制

常见解决方案：

Squid, ProxyCove, 住宅代理, SOCKS5 代理

⬅️ 反向代理 (Reverse Proxy)

互联网 → 反向代理 → 服务器集群

客户端1     反向代理  ┌─→ 后端1
客户端2  ──→ Proxy  ─┼─→ 后端2
客户端3              └─→ 后端3

特点：

• 使用者： 服务器所有者
• 目标： 保护和优化服务器
• 位置： 服务器侧
• 知情方： 管理员知道代理的存在

应用场景：

• ✅ 负载均衡
• ✅ SSL/TLS 终止
• ✅ 静态内容缓存
• ✅ DDoS 防护
• ✅ 隐藏真实服务器 IP

常见解决方案：

Nginx, HAProxy, Cloudflare, AWS ELB, Varnish

👻 透明代理 (Transparent Proxy)

客户端以为：
GET example.com → 直接连接

实际上：
GET example.com → [透明代理] → example.com

客户端不知道代理的存在！

特点：

• ✅ 无需客户端配置，自动生效
• ✅ 对所有应用（浏览器、邮件客户端等）生效
• ⚠️ 使用标准的 GET/POST 方法
• ⚠️ 客户端无法发送 Proxy-Authorization 标头
• ❌ 处理 HTTPS 较复杂（通常需要 MITM 欺骗）

应用场景：

• 企业网络（无需配置即可过滤内容）
• ISP 代理（ISP 缓存内容）
• 公共 Wi-Fi 的内容过滤
• 家长控制

📢 显式代理 (Explicit Proxy)

浏览器配置了代理：
Proxy: proxy.example.com:8080

HTTP 请求：
GET http://example.com/ HTTP/1.1
Host: example.com
Proxy-Authorization: Basic xyz123

HTTPS 请求：
CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic xyz123

特点：

• ✅ 客户端知道代理的存在
• ✅ 支持身份验证 (Proxy-Authorization)
• ✅ 使用 CONNECT 方法处理 HTTPS
• ✅ 应用程序级别的控制更精细
• ⚠️ 需要配置每个应用程序

应用场景：

• 个人匿名（如 ProxyCove）
• 网络抓取和数据解析
• 多账户管理
• 测试不同 IP 访问效果

1. HTTP 代理

• OSI 层次： 应用层 (Layer 7)
• 代理流量： 仅 HTTP/HTTPS 流量
• 协议： HTTP/1.1, HTTP/2, HTTP/3
• 特点： 理解 HTTP 标头，可修改请求
• 用途： 浏览器、API 客户端、网络爬虫

2. HTTPS 代理 (HTTP CONNECT)

• OSI 层次： 应用层 (Layer 7)
• 代理流量： 通过隧道传输 HTTPS
• 方法： 使用 HTTP CONNECT 建立隧道
• 特点： 不查看 HTTPS 内容 (端到端加密)
• 用途： 安全地代理 HTTPS 网站

3. SOCKS4 代理

• OSI 层次： 会话层 (Layer 5)
• 代理流量： 仅 TCP 连接
• 特点： 简单协议，不支持 UDP 和身份验证
• 用途： 很少使用，已过时

4. SOCKS5 代理

• OSI 层次： 会话层 (Layer 5)
• 代理流量： TCP 和 UDP 流量（任何协议）
• 特点： 支持身份验证、UDP、IPv6
• 用途： 种子下载、游戏、VoIP、通用代理

普通 HTTP 请求（无代理）

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Connection: keep-alive

→ 直接发送到 api.example.com

通过代理的 HTTP 请求

GET http://api.example.com/api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
Proxy-Connection: keep-alive

→ 发送到代理服务器（而非 api.example.com!）

区别：

• 请求第一行是完整的 URL（包含协议和域名）
• 添加了 Proxy-Authorization 标头
• 使用 Proxy-Connection 代替 Connection

代理对请求的操作

1. 代理接收客户端请求
2. 检查 Proxy-Authorization (用户名:密码)
3. 提取目标 URL: http://api.example.com/api/users
4. 修改请求以转发给服务器：

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
X-Forwarded-For: 192.168.1.100        ← 添加客户端IP
Via: 1.1 proxy-server.com              ← 代理信息
X-Real-IP: 192.168.1.100               ← 客户端真实IP
Connection: keep-alive

5. 将修改后的请求发送给 api.example.com
6. 接收 api.example.com 的响应
7. 将响应转发给客户端

Basic 身份验证

用户名和密码被编码为 base64 并放在标头中：

Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==

解码后是: user:password

⚠️ 重要提示：Base64 不是加密！
仅在 HTTPS 代理上使用！

Digest 身份验证

一种更安全的基于哈希的方法：

1. 客户端 → 代理: GET http://example.com/ HTTP/1.1
2. 代理 → 客户端: 407 Proxy Authentication Required
   Proxy-Authenticate: Digest realm="proxy", nonce="abc123"
3. 客户端计算哈希：
   hash = MD5(username:realm:password)
   response = MD5(hash:nonce:MD5(method:uri))
4. 客户端 → 代理:
   Proxy-Authorization: Digest username="user",
                                 response="xyz789",
                                 nonce="abc123"

步骤 1: 客户端请求隧道

CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
User-Agent: Mozilla/5.0

→ 客户端请求代理建立到 example.com:443 的 TCP 连接

重要提示： CONNECT 用于 443 端口（HTTPS），而不是 80 端口（HTTP）。

步骤 2: 代理建立连接并响应

代理执行操作：
1. 检查 Proxy-Authorization
2. 与 example.com:443 建立 TCP 连接
3. 向客户端响应：

HTTP/1.1 200 Connection established

→ 隧道建立！代理现在只转发字节流。

步骤 3: 客户端开始 TLS 握手

客户端 → 代理 → 服务器: ClientHello (TLS 启动)
   [版本: TLS 1.3]
   [SNI: example.com]  ← DPI 可能会看到这个！
   [支持的群组: x25519, secp256r1]

服务器 → 代理 → 客户端: ServerHello
   [选定的密码套件: TLS_AES_128_GCM_SHA256]
   [example.com 的服务器证书]
   [Key Share]

客户端 → 代理 → 服务器: ClientKeyExchange
   [客户端密钥交换 - 已加密]
   [更改密码规范]

服务器 → 代理 → 客户端: Server Finished
   [服务器完成 - 已加密]

7. 安全会话建立
   客户端 ⇄ 代理 ⇄ 服务器: [所有后续数据都已加密]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ 代理看不到这个请求！只是转发字节流。

步骤 4: 交换加密数据

客户端 → 代理 → 服务器: [加密数据]
服务器 → 代理 → 客户端: [加密数据]

代理看到的是：
- 传输的数据量
- 传输时间
- 目标 IP 地址

代理看不到：
- 请求的 URL 路径
- HTTP 标头
- 页面内容
- Cookies 和密码

阶段 1: 选择身份验证方法

客户端 → 服务器:
┌─────┬─────┬──────────────────┐
│0x05 │0x02 │0x00 0x02         │
└─────┴─────┴──────────────────┘
  版本  方法数  方法

0x05 = SOCKS 版本 5
0x02 = 提议 2 种身份验证方法
0x00 = 无身份验证
0x02 = 用户名/密码

服务器 → 客户端:
┌─────┬────────┐
│0x05 │0x02    │
└─────┴────────┘
  版本  方法

0x02 = 选择 Username/Password 方法

阶段 2: 身份验证（如果需要）

客户端 → 服务器:
┌─────┬──────┬──────────┬──────┬──────────┐
│0x01 │ ULEN │ USERNAME │ PLEN │ PASSWORD │
└─────┴──────┴──────────┴──────┴──────────┘

0x01 = 子协商版本
ULEN = 用户名长度
USERNAME = 登录名
PLEN = 密码长度
PASSWORD = 密码

服务器 → 客户端:
┌─────┬────────┐
│0x01 │0x00    │
└─────┴────────┘
  版本  状态

0x00 = 身份验证成功

阶段 3: 连接请求

客户端 → 服务器:
┌─────┬─────┬─────┬──────┬──────────┬──────┐
│0x05 │CMD  │0x00 │ATYP  │DST.ADDR  │PORT  │
└─────┴─────┴─────┴──────┴──────────┴──────┘

0x05 = SOCKS5
CMD:
  0x01 = CONNECT (TCP 连接)
  0x02 = BIND (等待入站连接)
  0x03 = UDP ASSOCIATE (UDP 中继)
0x00 = 保留
ATYP:
  0x01 = IPv4 地址 (4 字节)
  0x03 = 域名 (可变长度)
  0x04 = IPv6 地址 (16 字节)

以 example.com:443 为例:
0x05 0x01 0x00 0x03 0x0B example.com 0x01BB

服务器 → 客户端:
┌─────┬─────┬─────┬──────┬──────────┬──────┐
│0x05 │0x00 │0x00 │0x01  │0.0.0.0   │0x0000│
└─────┴─────┴─────┴──────┴──────────┴──────┘

0x00 = 连接成功建立

阶段 4: 数据传输

连接建立后，SOCKS 代理充当 TCP 隧道：

客户端 → SOCKS → 服务器: [应用数据]
服务器 → SOCKS → 客户端: [应用数据]

SOCKS 只转发字节流，不分析内容！

1. 客户端 → 代理: TCP 握手
   SYN → SYN-ACK → ACK (与代理建立连接)

2. 客户端 → 代理: HTTP CONNECT
   CONNECT example.com:443 HTTP/1.1
   Host: example.com:443
   Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
   User-Agent: Mozilla/5.0

3. 代理 → 服务器: TCP 握手
   (代理与 example.com:443 建立连接)

4. 代理 → 客户端: 200 Connection established

5. 客户端 → 代理 → 服务器: TLS ClientHello
   [版本: TLS 1.3]
   [SNI: example.com]  ← DPI 可能会看到这个！
   [支持的群组: x25519, secp256r1]

6. 服务器 → 代理 → 客户端: TLS ServerHello
   [选定的密码套件: TLS_AES_128_GCM_SHA256]
   [example.com 的服务器证书]
   [Key Share]

7. 客户端 → 代理 → 服务器: TLS Finished
   [客户端密钥交换 - 已加密]
   [更改密码规范]

8. 服务器 → 代理 → 客户端: TLS Finished
   [服务器完成 - 已加密]

9. 安全会话建立
   客户端 ⇄ 代理 ⇄ 服务器: [所有后续数据都已加密]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ 代理看不到这个请求！只是转发字节流。

🛡️ 保护措施：ECH (加密的 Client Hello)

2025 年，现代服务器支持 ECH (Encrypted Client Hello)——TLS 1.3 的一项标准，它会加密 SNI。这使得 DPI 无法通过检测域名来识别目标。

客户端 → [TLS 至代理] → 代理 → [TLS 至服务器] → 服务器

代理执行两次 TLS 握手：
1. 与客户端（使用代理自己的证书）
2. 与服务器（代表客户端）

代理可以看到所有 HTTPS 内容！

⚠️ 需要在客户端安装代理的根证书
⚠️ 浏览器如果未信任该证书会显示警告

X-Forwarded-For

包含客户端的真实 IP 地址。由代理添加。

X-Forwarded-For: 192.168.1.100

X-Real-IP

X-Forwarded-For 的替代方案，只包含一个 IP。

X-Real-IP: 192.168.1.100

Via

显示请求经过的代理链。

Via: 1.1 proxy1, 1.1 proxy2

X-Forwarded-Proto

指示原始请求的协议 (http/https)。

X-Forwarded-Proto: https

X-Forwarded-Host

客户端发送的原始 Host 标头。

X-Forwarded-Host: example.com

Proxy-Authorization

用于向代理服务器进行身份验证的凭据。

Proxy-Authorization: Basic xyz123

1. HTTP 代理

• OSI 层次： 应用层 (Layer 7)
• 代理流量： 仅 HTTP/HTTPS 流量
• 协议： HTTP/1.1, HTTP/2, HTTP/3
• 特点： 理解 HTTP 标头，可修改请求
• 用途： 浏览器、API 客户端、网络爬虫

2. HTTPS 代理 (HTTP CONNECT)

• OSI 层次： 应用层 (Layer 7)
• 代理流量： 通过隧道传输 HTTPS
• 方法： 使用 HTTP CONNECT 建立隧道
• 特点： 不查看 HTTPS 内容 (端到端加密)
• 用途： 安全地代理 HTTPS 网站

3. SOCKS4 代理

• OSI 层次： 会话层 (Layer 5)
• 代理流量： 仅 TCP 连接
• 特点： 简单协议，不支持 UDP 和身份验证
• 用途： 很少使用，已过时

4. SOCKS5 代理

• OSI 层次： 会话层 (Layer 5)
• 代理流量： TCP 和 UDP 流量（任何协议）
• 特点： 支持身份验证、UDP、IPv6
• 用途： 种子下载、游戏、VoIP、通用代理

普通 HTTP 请求（无代理）

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Connection: keep-alive

→ 直接发送到 api.example.com

通过代理的 HTTP 请求

GET http://api.example.com/api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
Proxy-Connection: keep-alive

→ 发送到代理服务器（而非 api.example.com!）

区别：

• 请求第一行是完整的 URL（包含协议和域名）
• 添加了 Proxy-Authorization 标头
• 使用 Proxy-Connection 代替 Connection

代理对请求的操作

1. 代理接收客户端请求
2. 检查 Proxy-Authorization (用户名:密码)
3. 提取目标 URL: http://api.example.com/api/users
4. 修改请求以转发给服务器：

GET /api/users HTTP/1.1
Host: api.example.com
User-Agent: Mozilla/5.0
Accept: application/json
X-Forwarded-For: 192.168.1.100        ← 添加客户端IP
Via: 1.1 proxy-server.com              ← 代理信息
X-Real-IP: 192.168.1.100               ← 客户端真实IP
Connection: keep-alive

5. 将修改后的请求发送给 api.example.com
6. 接收 api.example.com 的响应
7. 将响应转发给客户端

Basic 身份验证

用户名和密码被编码为 base64 并放在标头中：

Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==

解码后是: user:password

⚠️ 重要提示：Base64 不是加密！
仅在 HTTPS 代理上使用！

Digest 身份验证

一种更安全的基于哈希的方法：

1. 客户端 → 代理: GET http://example.com/ HTTP/1.1
2. 代理 → 客户端: 407 Proxy Authentication Required
   Proxy-Authenticate: Digest realm="proxy", nonce="abc123"
3. 客户端计算哈希：
   hash = MD5(username:realm:password)
   response = MD5(hash:nonce:MD5(method:uri))
4. 客户端 → 代理:
   Proxy-Authorization: Digest username="user",
                                 response="xyz789",
                                 nonce="abc123"

步骤 1: 客户端请求隧道

CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
User-Agent: Mozilla/5.0

→ 客户端请求代理建立到 example.com:443 的 TCP 连接

重要提示： CONNECT 用于 443 端口（HTTPS），而不是 80 端口（HTTP）。

步骤 2: 代理建立连接并响应

代理执行操作：
1. 检查 Proxy-Authorization
2. 与 example.com:443 建立 TCP 连接
3. 向客户端响应：

HTTP/1.1 200 Connection established

→ 隧道建立！代理现在只转发字节流。

步骤 3: 客户端开始 TLS 握手

客户端 → 代理 → 服务器: ClientHello (TLS 启动)
   [版本: TLS 1.3]
   [SNI: example.com]  ← DPI 可能会看到这个！
   [支持的群组: x25519, secp256r1]

服务器 → 代理 → 客户端: ServerHello
   [选定的密码套件: TLS_AES_128_GCM_SHA256]
   [example.com 的服务器证书]
   [Key Share]

客户端 → 代理 → 服务器: ClientKeyExchange
   [客户端密钥交换 - 已加密]
   [更改密码规范]

服务器 → 代理 → 客户端: Server Finished
   [服务器完成 - 已加密]

7. 安全会话建立
   客户端 ⇄ 代理 ⇄ 服务器: [所有后续数据都已加密]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ 代理看不到这个请求！只是转发字节流。

步骤 4: 交换加密数据

客户端 → 代理 → 服务器: [加密数据]
服务器 → 代理 → 客户端: [加密数据]

代理看到的是：
- 传输的数据量
- 传输时间
- 目标 IP 地址

代理看不到：
- 请求的 URL 路径
- HTTP 标头
- 页面内容
- Cookies 和密码

1. 客户端 → 代理: TCP 握手
   SYN → SYN-ACK → ACK (与代理建立连接)

2. 客户端 → 代理: HTTP CONNECT
   CONNECT example.com:443 HTTP/1.1
   Host: example.com:443
   Proxy-Authorization: Basic dXNlcjpwYXNzd29yZA==
   User-Agent: Mozilla/5.0

3. 代理 → 服务器: TCP 握手
   (代理与 example.com:443 建立连接)

4. 代理 → 客户端: 200 Connection established

5. 客户端 → 代理 → 服务器: TLS ClientHello
   [版本: TLS 1.3]
   [SNI: example.com]  ← DPI 可能会看到这个！
   [支持的群组: x25519, secp256r1]

6. 服务器 → 代理 → 客户端: TLS ServerHello
   [选定的密码套件: TLS_AES_128_GCM_SHA256]
   [example.com 的服务器证书]
   [Key Share]

7. 客户端 → 代理 → 服务器: TLS Finished
   [客户端密钥交换 - 已加密]
   [更改密码规范]

8. 服务器 → 代理 → 客户端: TLS Finished
   [服务器完成 - 已加密]

9. 安全会话建立
   客户端 ⇄ 代理 ⇄ 服务器: [所有后续数据都已加密]

   GET /api/secret HTTP/1.1
   Host: example.com
   Authorization: Bearer secret_token_12345

   ↑ 代理看不到这个请求！只是转发字节流。

🛡️ 保护措施：ECH (加密的 Client Hello)

2025 年，现代服务器支持 ECH (Encrypted Client Hello)——TLS 1.3 的一项标准，它会加密 SNI。这使得 DPI 无法通过检测域名来识别目标。

客户端 → [TLS 至代理] → 代理 → [TLS 至服务器] → 服务器

代理执行两次 TLS 握手：
1. 与客户端（使用自己的证书）
2. 与服务器（代表客户端）

代理可以看到所有 HTTPS 内容！

⚠️ 需要在客户端安装代理的根证书
⚠️ 浏览器如果未信任该证书会显示警告

X-Forwarded-For

包含客户端的真实 IP 地址。由代理添加。

X-Forwarded-For: 192.168.1.100

X-Real-IP

X-Forwarded-For 的替代方案，只包含一个 IP。

X-Real-IP: 192.168.1.100

Via

显示请求经过的代理链。

Via: 1.1 proxy1, 1.1 proxy2

X-Forwarded-Proto

指示原始请求的协议 (http/https)。

X-Forwarded-Proto: https

X-Forwarded-Host

客户端发送的原始 Host 标头。

X-Forwarded-Host: example.com

Proxy-Authorization

用于向代理服务器进行身份验证的凭据。

Proxy-Authorization: Basic xyz123

缓存决策算法

1. 代理接收请求
   GET /images/logo.png

2. 代理计算缓存键 (cache key):
   key = hash(method + URL + headers)
   key = "GET:example.com:/images/logo.png"

3. 检查缓存:
   if (缓存存在 AND 缓存有效):
       ✅ CACHE HIT
       - 检查 Cache-Control: max-age
       - 检查 Expires 标头
       - 如果有效 → 从缓存返回
       - 如果过期 → 条件请求 (If-Modified-Since)
   else:
       ❌ CACHE MISS
       - 向源服务器请求
       - 如果可缓存 → 保存到缓存
       - 返回给客户端

4. 确定是否可缓存:
   ✅ 可缓存，如果:
      - HTTP 方法: GET 或 HEAD
      - 状态码: 200, 301, 304, 404
      - Cache-Control: public, max-age > 0
      - 没有标头: Set-Cookie, Authorization
   ❌ 不可缓存，如果:
      - Cache-Control: no-store, private
      - Pragma: no-cache
      - POST, PUT, DELETE 请求
      - 包含 Set-Cookie 的动态内容

缓存标头

条件请求 (Conditional Requests)

当缓存过期时，代理使用条件请求来检查内容是否已更新：

场景 1: 基于 ETag 校验
────────────────────────────────────
代理 → 服务器:
GET /image.jpg HTTP/1.1
If-None-Match: "abc123"

如果文件未更改:
服务器 → 代理:
HTTP/1.1 304 Not Modified
ETag: "abc123"

→ 代理从缓存提供内容 (节省流量!)

如果文件已更改:
服务器 → 代理:
HTTP/1.1 200 OK
ETag: "xyz789"
[新内容]

→ 代理更新缓存

缓存淘汰算法

当缓存空间不足时，代理需要决定删除什么：

image1.jpg (上次访问: 2 分钟前)
style.css (上次访问: 10 分钟前) ← 最先被删除
logo.png (上次访问: 1 分钟前)

logo.png (请求次数: 1000)
style.css (请求次数: 50) ← 最先被删除
image1.jpg (请求次数: 500)

📊 缓存效率

1️⃣ Round Robin (轮询)

请求按顺序分配给各个服务器。

请求 1 → 服务器 A
请求 2 → 服务器 B
请求 3 → 服务器 C
请求 4 → 服务器 A (循环重复)

✅ 优点：简单，均匀分配
❌ 缺点：不考虑服务器的实际负载

2️⃣ Least Connections (最少连接)

新请求发送给当前活动连接数最少的服务器。

服务器 A: 5 个连接
服务器 B: 2 个连接 ← 新请求发送至此
服务器 C: 8 个连接

✅ 优点：考虑当前负载
✅ 适用于长连接 (WebSocket, 流媒体)

3️⃣ IP Hash (基于 IP 的哈希)

根据客户端 IP 地址的哈希值选择服务器。同一个客户端始终访问同一台服务器。

hash(192.168.1.100) % 3 = 1 → 服务器 B
hash(192.168.1.200) % 3 = 0 → 服务器 A
hash(192.168.1.150) % 3 = 2 → 服务器 C

✅ 优点：无需粘性会话即可实现会话保持
❌ 缺点：客户端数量少时分配不均

4️⃣ Weighted Round Robin (加权轮询)

根据服务器的性能分配权重。

服务器 A (权重: 5) → 接收 5 个请求
服务器 B (权重: 2) → 接收 2 个请求
服务器 C (权重: 3) → 接收 3 个请求

总共 10 个请求按 5:2:3 的比例分配

✅ 适用于性能不一致的服务器集群

5️⃣ Least Response Time (最快响应时间)

选择响应时间最短且连接数最少的服务器。

服务器 A: 50ms, 10 连接
服务器 B: 30ms, 5 连接 ← 选择 B
服务器 C: 100ms, 3 连接

✅ 客户端性能最优
⚠️ 需要持续监控健康检查

主动健康检查 (Active Health Checks)

代理主动发送探测请求：

每 5 秒检查一次:
GET /health HTTP/1.1
Host: backend-server

返回 200 OK → 服务器健康 ✅
返回 5xx 或超时 → 服务器故障 ❌

被动健康检查 (Passive Health Checks)

分析真实客户端请求的响应：

如果最近 10 个请求中:
- 5 个返回 5xx 错误
- 3 个超时
→ 标记服务器为不健康 30 秒

网络抓取

目标： 在不被封禁的情况下抓取 100,000 个页面。

广告验证

目标： 验证 50 个国家/地区的广告展示情况。

价格监控

目标： 24/7 监控竞争对手价格。

抢购 (Sneaker Botting)

目标： 抢购限量版运动鞋（Drop）。

社交媒体管理

目标： 管理 100 多个 Instagram 账户。

SEO 排名追踪

目标： 按地区追踪 Google 搜索排名。