如何分析Haproxy端口复用

如何分析Haproxy端口复用，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。本文作者：Spark（Ms08067内网安全小组成员）Haproxy是一个使用c语言开发的高性能负载均衡代理软件，提供tcp和http的应用程序代理，免费、快速且可靠。
类似frp，使用一个配置文件+一个server就可以运行。
优点：大型业务领域应用广泛支持四层代理（传输层）以及七层代理（应用层）支持acl（访问控制列表），可灵活配置路由windows使用cygwin编译后可运行（可跨平台）访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接受，哪些数据包需要拒绝。官方配置手册：https://cbonte.github.io/haproxy-dconv/2.2/configuration.html
配置文件由全局配置和代理配置组成：
全局配置（global）：定义haproxy进程管理安全及性能相关的参数代理设定（proxies）：defaults:为其他配置段提供默认参数，默认配置参数可由下一个”defaults”重新设定frontend:定义一系列监听的套接字，这些套接字可接受客户端请求并与之建立连接backend:定义”后端”服务器，前端代理服务器将会把哭护短的请求调度至这些服务器listen:定义监听的套接字和后端的服务器，类似于将frontend和backend段放在一起示例：重点关注frontend和backend。
Frontend中需要编写acl规则，配置转发。比如，当http流量来的时候，转发给web服务；当rdp流量来的时候，转发给rdp服务。
Backend中需要编写具体的操作，就是转达到哪个目标的哪个端口。编写acl规则，在四层（传输层）进行负载，根据协议类型进行分发，例如：免费云主机域名遇到http流量发送给http服务，遇到rdp发送给rdp服务等。编写acl规则，在七层（应用层）进行负载，判断应用类型进行分发，例如，遇到http分发到http服务，否则发送到xxx服务。以思路一为例：通过wireshark捕获tpkt（应用层数据传输协议）信息编写acl规则路由进行流量分发添加后端server原始接口接管完成关于tpkt可百度或查看参考链接
三次握手后，开始应用层数据传输。
使用wireshark抓包：
ssh协议：
前三个包为三次握手，第四个包的起始三位，便是我们需要的tpkt，例如ssh为535348。
rdp协议：030000速查：该配置文件的功能是监听8888端口，将http流量（速查表中http协议的8种tpkt）转发到本地的80上，将ssh流量转发到本地的22端口上，将rdp流量转发到另一主机的3389上。Target1：Ubuntu 16.04 x64IP：192.168.213.128开启22端口、80端口Target2：Win7 x64IP：192.168.213.129开启3389端口启动haproxy，-f 指定配置文件，开启8888端口表示启动成功。-d：调试模式，可不加。HTTP协议：访问靶机的8888端口，流量被haproxy分发至本机的80。RDP协议：访问靶机的8888端口，流量被haproxy分发至192.168.213.129的3389。SSH协议：访问靶机的8888端口，流量被haproxy分发至本机的22。haproxy日志：为了不影响正常的80端口的访问，将过来的80端口流量转发到8888端口上。这样用户正常访问80端口时，流量会先转发到8888端口上，再由haproxy转发回80端口。Linux：iptables（不需要重启服务）访问80可以正常访问：Haproxy日志有记录，说明流量由80先到8888，再回到80。Windows：netsh（需要重启web服务）注意：如果在windows下启用端口重定向，需要在端口启动前添加netsh端口转发规则。看完上述内容，你们掌握如何分析Haproxy端口复用的方法了吗？如果还想学到更多技能或想了解更多相关内容，欢迎关注云编程开发博客行业资讯频道，感谢各位的阅读！

相关推荐: Tomcat6+JDK6如何加固，解决Logjam attack,

最近更新了最新版浏览器的同学是不是偶尔会遇到SSL加密协议不灵，访问不了的情况？最典型的例子是使用FF39或38.0.2访问某些网站时报错：Error code: ssl_error_weak_server_ephemeral_dh_key这是由于你的客户端（…