LoginSignup
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@segfo

shadowsocks-rustを改造して特定ドメインへの通信を遮断してみる。

Last updated at Posted at 2024-12-01

はじめに

特定ドメインに対する通信を指定した時間以外をブロックしたかったのでShadowsocksを改造してブロック機能をつけました。
既存ソフトの改造したいなーという方の助けになればいいかと思います。

使い方のゴール

こんなふうにすると

  • example.comへの通信は9時30分~21時37分まで許可されます
  • github.comへの通信は13時50分~17時30分と、21時00分~翌日9時30分まで通信が許可されます
[[domain_list]]
start_time = "09:30"
end_time = "21:37"
domain = "example.com"

[[domain_list]]
start_time = "13:50"
end_time = "17:30"
domain = "github.com"

[[domain_list]]
start_time = "21:00"
end_time = "09:30"
domain = "github.com"

どこをどう直すか

大体こういう感じのコードになりますが、見ても一発ではわからんと思うので説明していきます。
まず、ShadowSocksのコンポーネントを理解するところから始めます。

Shadowsocksのコンポーネント

ローカルサーバが有って、その先にトンネル用のエージェントがあります。
Shadowsocksの利用方法としてローカルサーバを立てて、トンネル用のエージェントを外部の国に仕掛けることでVPNできるよという感じですね。
つまり、ローカルサーバに通信を引っ掛けるところと暗号化をする処理というのが含まれているというわけです。通信を止めるためならローカルサーバを改造すればいいだけっぽいのでローカルサーバをいじっていきます。

大体把握できたのであとはソースを読むだけなので端折りますが、以下のように理解できます。

ローカルサーバの実行ファイルに関するコンポーネント
crates/shadowsocks-service/src/local/
プロトコル/トンネリング処理に関するコンポーネント
crates/shadowsocks-service/src/local/http/
crates/shadowsocks-service/src/local/socks/server/socks4/
crates/shadowsocks-service/src/local/socks/server/socks5
crates/shadowsocks-service/src/local/tunnel/

とりあえずドメインブロックする条件を記載していきましょう。

要点だけまとめると、domain_bloackerはドメインをブロックする条件をいい感じに計算してここはブロックするタイミングだよーと言うのを教えてくれる部分なので一旦全体像だけ把握しておいてください。

通信をインターセプトできる部分を探す

次に、ブロックしたい通信はHTTP・SOCKS(4と5)なのでそれぞれの通信にインターセプトできる部分を探していきます。

まずは簡単なHTTPから行きます。HTTPS通信はProxyする時CONNECTメソッドで接続先を指定してきます。その部分を狙ってインターセプトすれば通信拒否というのを実装できそうです。HTTPディスパッチャ(dispatcher.rs)という命名のソースがあるのでそこを見ていきます。

というわけでここに、先程作ったdomain_bloackerのallow_accessを呼び出すことでいい感じにブロックしてくれます。ブロックするとErrorを返すようになるので上位にResultを返却することでプログラムを止めます。

同じ要領でSOCKS4とSOCKS5の通信についてもインターセプトしていきます。
SOCKSはトンネル内でDNS名解決する場合に限りDNS名(ホスト名)を利用できます。とりあえず今は細かいことを気にせずそういうものなんだなと思っておいてください。

SOCKS4とSOCK5ともに、トンネルにパケットをリレーするだけなのと仕組み的にはほぼ変わらないのでソース上の記述もほぼ変わりません。ソースもそのままrelayという風になっているので見つけ出していきましょう。

同じようにConnectのところで接続を処理するようなのでインターセプトしましょう。

TcpConnectになっていますが、基本は同じです。インターセプトしていきましょう。

UDPの方もとりあえずやっときましょう

余談:クライアントでDNS名をトンネル内に通すという設定になっていない場合は素通りするため、どうしてもブロックしたい通信がある場合はDNSクエリをSOCKSサーバに確実に通すポリシとかを設定しないといけません。

まとめ

基本的にプロトコルの知識があればソースを読むだけなので改造は容易にできる。
プロトコルを知りましょう。
Rustはいいぞ~

まぁぶっちゃけるとネタが無かったので過去やったことを引っ張り出してきただけですw

とりあえずあれです、内容を理解したければ何をやっているか(この場合はプロトコル)を理解することがまずは第一で、改造は二の次かなと思いました。

おわり

RustAdvent Calendar 2024

Day 1
4
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?