0. 什么是 Socks5

根据 Wiki :

SOCKS 是一种网络传输协议，名字取自 SOCKetS，主要用于客户端与外网服务器之间通讯的中间传递。

1. Socks5 协议的基本流程

1.1. 代理 TCP 链接（ CMD = CONNECT ）

1.1.0. TCP 链接

客户端与服务器建立 TCP 连接

1.1.1. 客户端确认版本与验证方法

客户端发送握手包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

NMETHODS 代表客户端支持的认证方式的数量

METHODS 代表客户端支持的认证方式

0x00 不需要认证

0x01 GSSAPI 认证

0x02 用户名密码认证

0x03~0x7F IANA 分配

0x80~0xFE 私人方法保留

0xFF 无可接受方法

1.1.2. 服务器确认协议版本与验证方法

服务器返回握手包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

METHOD 代表服务器选择的认证方式，选择内容应当是客户端发送的 METHODS 中的一种，如果客户端发送的 METHODS 中没有服务器支持的认证方式，服务器会返回 0xFF

1.1.3. （可选）客户端发送用户名密码

如果服务器选择的认证方式是 0x02，那么客户端需要发送用户名密码包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

ULEN 代表用户名的长度

UNAME 代表用户名

PLEN 代表密码的长度

PASSWD 代表密码（明文）

1.1.4. （可选）服务器确认用户名密码

选择了用户名密码认证的服务器在收到用户名密码包后，会返回以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

STATUS 代表认证状态，其中：

0x00 代表认证成功

0x01 代表认证失败

1.1.5. 客户端发送连接请求包

客户端发送连接请求包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

CMD 代表请求类型，其中：

0x01 代表 CONNECT

0x02 代表 BIND

0x03 代表 UDP ASSOCIATE

这里需要代理 TCP，所以 CMD=CONNECT，即为 0x01

RSV 保留字段，值为 0x00

ATYP 代表请求的地址类型，其中：

0x01 代表 IPv4

0x03 代表域名

0x04 代表 IPv6

DST.ADDR 代表请求的地址，

如果 ATYP 为 IPv4，那么 DST.ADDR 为 4 Bytes 的 IPv4 地址

如果 ATYP 为 域名，那么 DST.ADDR 为 1~255 Bytes 的域名

此时 DST.ADDR 的第一个字节代表域名的长度

如果 ATYP 为 IPv6，那么 DST.ADDR 为 16 Bytes 的 IPv6 地址

DST.PORT 代表请求的端口

1.1.6. 服务器确认连接请求包

服务器在收到连接请求包后，会返回以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

REP 代表响应状态，其中：

0x00 代表成功

0x01 代表普通 SOCKS 服务器连接失败

0x02 代表现有规则不允许连接

0x03 代表网络不可达

0x04 代表主机不可达

0x05 代表连接被拒绝

0x06 代表 TTL 过期

0x07 代表不支持的命令

0x08 代表不支持的地址类型

0x09~0xFF 保留

RSV 保留字段，值为 0x00

ATYP 代表绑定的地址类型，其中：

0x01 代表 IPv4

0x03 代表域名

0x04 代表 IPv6

BND.ADDR 代表绑定的地址，

如果 ATYP 为 IPv4，那么 BND.ADDR 为 4 Bytes 的 IPv4 地址

如果 ATYP 为 域名，那么 BND.ADDR 为 1~255 Bytes 的域名

此时 BND.ADDR 的第一个字节代表域名的长度

如果 ATYP 为 IPv6，那么 BND.ADDR 为 16 Bytes 的 IPv6 地址

BND.PORT 代表绑定的端口

1.1.7. 客户端与服务器通讯

此时客户端或服务端发送到任意数据包都将由中转服务器转发

1.2. 代理 UDP 链接（ CMD = UDP ASSOCIATE ）

1.2.0. TCP 链接

客户端与服务器建立 TCP 连接

1.2.1. 客户端确认版本与验证方法

客户端发送握手包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

NMETHODS 代表客户端支持的认证方式的数量

METHODS 代表客户端支持的认证方式

0x00 不需要认证

0x01 GSSAPI 认证

0x02 用户名密码认证

0x03~0x7F IANA 分配

0x80~0xFE 私人方法保留

0xFF 无可接受方法

1.2.2. 服务器确认协议版本与验证方法

服务器返回握手包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

METHOD 代表服务器选择的认证方式，选择内容应当是客户端发送的 METHODS 中的一种，如果客户端发送的 METHODS 中没有服务器支持的认证方式，服务器会返回 0xFF

1.2.3. （可选）客户端发送用户名密码

如果服务器选择的认证方式是 0x02，那么客户端需要发送用户名密码包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

ULEN 代表用户名的长度

UNAME 代表用户名

PLEN 代表密码的长度

PASSWD 代表密码（明文）

1.2.4. （可选）服务器确认用户名密码

选择了用户名密码认证的服务器在收到用户名密码包后，会返回以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

STATUS 代表认证状态，其中：

0x00 代表认证成功

0x01 代表认证失败

1.2.5. 客户端发送转发请求包

客户端发送连接请求包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

CMD 代表请求类型，其中：

0x01 代表 CONNECT

0x02 代表 BIND

0x03 代表 UDP ASSOCIATE

这里需要代理 UDP，所以 CMD=UDP ASSOCIATE，即为 0x03

RSV 保留字段，值为 0x00

ATYP 代表请求的地址类型，其中：

0x01 代表 IPv4

0x03 代表域名

0x04 代表 IPv6

注意： 与 CONNECT 不同的是，DST.ADDR 不再代表请求的地址，而是代表客户端期望发送 UDP 数据包的 Socket，也就是说，DST.ADDR 代表客户端的地址，DST.PORT 代表客户端的端口（用于发送 UDP 数据包的端口）

如果 ATYP 为 IPv4，那么 DST.ADDR 为 4 Bytes 的 IPv4 地址

如果 ATYP 为 域名，那么 DST.ADDR 为 1~255 Bytes 的域名

此时 DST.ADDR 的第一个字节代表域名的长度

如果 ATYP 为 IPv6，那么 DST.ADDR 为 16 Bytes 的 IPv6 地址

1.2.6. 服务器确认转发请求包

服务器在收到连接请求包后，会返回以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

REP 代表响应状态，其中：

0x00 代表成功

0x01 代表普通 SOCKS 服务器连接失败

0x02 代表现有规则不允许连接

0x03 代表网络不可达

0x04 代表主机不可达

0x05 代表连接被拒绝

0x06 代表 TTL 过期

0x07 代表不支持的命令

0x08 代表不支持的地址类型

0x09~0xFF 保留

RSV 保留字段，值为 0x00

ATYP 代表绑定的地址类型，其中：

0x01 代表 IPv4

0x03 代表域名

0x04 代表 IPv6

注意： 与 CONNECT 不同的是，这里的 BND.ADDR 代表服务器监听的 UDP 的地址，BND.PORT 代表服务器监听的 UDP 的端口，也就是说，BND.ADDR 代表服务器的地址，BND.PORT 代表服务器的端口（用于接收 UDP 数据包的端口）

如果 ATYP 为 IPv4，那么 BND.ADDR 为 4 Bytes 的 IPv4 地址

如果 ATYP 为 域名，那么 BND.ADDR 为 1~255 Bytes 的域名

此时 BND.ADDR 的第一个字节代表域名的长度

如果 ATYP 为 IPv6，那么 BND.ADDR 为 16 Bytes 的 IPv6 地址

1.2.7. 客户端断开 TCP 链接

根据规定，此时应由客户端断开 TCP 链接

1.2.8 客户端向服务器发送 UDP 数据包

客户端向服务器发送 UDP 数据包，UDP 数据包封装格式如下：

RSV 保留字段，值为 0x0000

FRAG 代表分段，以下为定义：

0x00 代表不分段

0x01-0x7F 用于分段

注意，当最高位为 1 时，代表结束分段，即 0x80-0xFF 用于结束分段

例：当最后一个包为 0x85 时，代表这是第 5 个分段，且这是最后一个分段

注：应用应当尽可能避免分段

ATYP 代表请求的地址类型，其中：

0x01 代表 IPv4

0x03 代表域名

0x04 代表 IPv6

DST.ADDR 代表请求的地址，

如果 ATYP 为 IPv4，那么 DST.ADDR 为 4 Bytes 的 IPv4 地址

如果 ATYP 为 域名，那么 DST.ADDR 为 1~255 Bytes 的域名

此时 DST.ADDR 的第一个字节代表域名的长度

如果 ATYP 为 IPv6，那么 DST.ADDR 为 16 Bytes 的 IPv6 地址

DST.PORT 代表请求的端口

DATA 代表数据

中转服务器收到数据后，会将数据转发给目标服务器，然后将目标服务器的响应转发给客户端。

中转服务器返回数据时同样遵守上述格式。

1.3. 绑定命令（ CMD = BIND ）

这个命令使用的很少，几乎大部分客户端都不支持，根据 RFC 文档，这个命令可以使用在 FTP 传输数据。（FTP 都几乎没有人在使用了，因此这个命令使用很少）

BIND 代表客户端请求中转服务器开放一个端口，用于外部连接，即"穿透"效果。

1.3.0. TCP 链接

客户端与服务器建立 TCP 连接

1.3.1. 客户端确认版本与验证方法

客户端发送握手包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

NMETHODS 代表客户端支持的认证方式的数量

METHODS 代表客户端支持的认证方式

0x00 不需要认证

0x01 GSSAPI 认证

0x02 用户名密码认证

0x03~0x7F IANA 分配

0x80~0xFE 私人方法保留

0xFF 无可接受方法

1.3.2. 服务器确认协议版本与验证方法

服务器返回握手包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

METHOD 代表服务器选择的认证方式，选择内容应当是客户端发送的 METHODS 中的一种，如果客户端发送的 METHODS 中没有服务器支持的认证方式，服务器会返回 0xFF

1.3.3. （可选）客户端发送用户名密码

如果服务器选择的认证方式是 0x02，那么客户端需要发送用户名密码包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

ULEN 代表用户名的长度

UNAME 代表用户名

PLEN 代表密码的长度

PASSWD 代表密码

1.3.4. （可选）服务器确认用户名密码

选择了用户名密码认证的服务器在收到用户名密码包后，会返回以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

STATUS 代表认证状态，其中：

0x00 代表认证成功

0x01 代表认证失败

1.3.5. 客户端发送请求包

客户端发送连接请求包，包含以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

CMD 代表请求类型，其中：

0x01 代表 CONNECT

0x02 代表 BIND

0x03 代表 UDP ASSOCIATE

此处需要绑定，所以 CMD=BIND，即为 0x02

RSV 保留字段，值为 0x00

ATYP 代表请求的地址类型，其中：

0x01 代表 IPv4

0x03 代表域名

0x04 代表 IPv6

DST.ADDR 和 DST.PORT 代表可能的外部来源地址和端口（外部客户端/服务器尝试连接 Socks 服务器时外部客户端/服务器使用的地址与端口）。

如果 ATYP 为 IPv4，那么 DST.ADDR 为 4 Bytes 的 IPv4 地址

如果 ATYP 为 域名，那么 DST.ADDR 为 1~255 Bytes 的域名

此时 DST.ADDR 的第一个字节代表域名的长度

如果 ATYP 为 IPv6，那么 DST.ADDR 为 16 Bytes 的 IPv6 地址

1.3.6. 服务器确认绑定地址

服务器在收到连接请求包后，会返回以下内容：

VER 代表 Socks 的版本，Socks5 服务器会返回 0x05

REP 代表响应状态，其中：

0x00 代表成功

0x01 代表普通 SOCKS 服务器连接失败

0x02 代表现有规则不允许连接

0x03 代表网络不可达

0x04 代表主机不可达

0x05 代表连接被拒绝

0x06 代表 TTL 过期

0x07 代表不支持的命令

0x08 代表不支持的地址类型

0x09~0xFF 保留

RSV 保留字段，值为 0x00

ATYP 代表绑定的地址类型，其中：

0x01 代表 IPv4

0x03 代表域名

0x04 代表 IPv6

BIND.ADDR 和 BIND.PORT 代表中转服务器绑定的地址和端口，即"穿透"后的地址和端口，共外部客户端/服务器连接。

如果 ATYP 为 IPv4，那么 BND.ADDR 为 4 Bytes 的 IPv4 地址

如果 ATYP 为 域名，那么 BND.ADDR 为 1~255 Bytes 的域名

此时 BND.ADDR 的第一个字节代表域名的长度

如果 ATYP 为 IPv6，那么 BND.ADDR 为 16 Bytes 的 IPv6 地址

1.3.7. 服务器通知外部链接包

当外部客户端/服务器连接中转服务器时，中转服务器会向客户端发送以下内容：

详细定义同上，但是 BIND.ADDR 和 BIND.PORT 代表外部客户端/服务器的地址和端口。

1.3.8. 客户端与服务器通讯

此时客户端或服务端发送到任意数据包都将由中转服务器转发

2. 参考

• RFC1928 SOCKS Protocol Version 5 (pdf 下载)

在互联网技术飞速发展的今天，我们已经习惯了网页上的“实时性”：社交软件上的消息秒回、股票行情曲线的实时跳动、多人协作文档中的光标同步，以及网络游戏中的低延迟互动。在这些技术的背后，除了传统的 HTTP 协议外，一个至关重要的主角便是 WebSocket。

本文将带你深入了解 WebSocket 的前世今生、工作原理、核心优势，以及它如何改变了现代 Web 应用的开发范式。

一、 诞生背景：为什么需要 WebSocket？

在 WebSocket 出现之前，Web 浏览器与服务器之间的通信主要依赖于 HTTP 协议。HTTP 协议的设计初衷是“请求-响应”模式，即客户端发送一个请求，服务器返回一个响应。这种模式在处理静态网页时非常完美，但在处理“实时数据更新”时却显得捉襟见肘。

1. HTTP 的局限性

• 单向性（Half-Duplex）： 只有客户端能发起请求，服务器无法主动推送数据给客户端。
• 高开销（Overhead）： 每一个 HTTP 请求都包含大量的 Header（头部信息），对于频繁传输的小型数据包（如心跳包）来说，这种开销是巨大的。
• 无状态性： 虽然 Cookie 和 Session 解决了身份识别问题，但每个请求依然是独立的，维护长连接的成本很高。

2. 传统“伪实时”方案

在 WebSocket 普及前，开发者通常采用以下几种折中方案：

• 短轮询（Short Polling）： 客户端每隔几秒发一个请求问服务器：“有新消息吗？”。缺点：大量无效请求浪费带宽和服务器资源。
• 长轮询（Long Polling）： 客户端发起请求，服务器挂起请求，直到有新数据才返回。缺点：虽然减少了请求数，但服务器依然需要维持大量挂起的连接，且每次连接建立仍需握手。
• SSE（Server-Sent Events）： 服务器向客户端单向推送。缺点：仅支持单向通信。

为了解决这些痛点，2011 年，IETF 制定了 RFC 6455 标准，正式定义了 WebSocket 协议。

二、 什么是 WebSocket？

WebSocket 是一种在单个 TCP 连接上进行 全双工（Full-Duplex） 通信的协议。

它允许服务端主动向客户端推送数据，同时也允许客户端随时向服务端发送数据。一旦握手成功，客户端和服务器之间就建立了一条持久的、双向的“隧道”，数据可以像流水一样在两端自由流动。

核心特征：

1. 持久连接： 一次握手，终身受益（除非主动关闭）。
2. 全双工： 双方可以同时发送和接收数据。
3. 轻量级： 数据帧头部非常小（通常只有 2 到 14 字节），远低于 HTTP 头部。
4. 跨域支持： 协议本身支持跨域通信。
5. 协议标识符： 使用 ws://（非加密）和 wss://（加密，基于 TLS/SSL）。

三、 WebSocket 的工作流程图

为了更直观地理解 WebSocket 的工作过程，我们可以将其分为 握手阶段 和 数据传输阶段。

四、 核心原理详解

1. 握手（The Handshake）

WebSocket 的巧妙之处在于利用了 HTTP 协议来完成初始握手。这使得它能够兼容现有的 Web 基础设施（如 80/443 端口、防火墙、代理服务器）。

• 客户端请求： 客户端发送一个特殊的 HTTP GET 请求，包含以下关键头部：

  <HTTP>
  GET /chat HTTP/1.1
  Host: example.com
  Upgrade: websocket        <-- 告诉服务器我要升级协议
  Connection: Upgrade       <-- 连接类型为升级
  Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==  <-- 随机字符串，用于安全验证
  Sec-WebSocket-Version: 13

• 服务端响应： 如果服务器支持 WebSocket，会返回 101 Switching Protocols 状态码：

  <HTTP>
  HTTP/1.1 101 Switching Protocols
  Upgrade: websocket
  Connection: Upgrade
  Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo= <-- 根据 Key 计算出的签名

一旦收到 101 响应，HTTP 协议的任务就完成了，连接正式切换到 WebSocket 协议。

2. 数据帧（Data Framing）

在 WebSocket 中，数据被切分成一个个“帧”（Frame）。

• 控制帧： 用于管理连接（如 Close、Ping、Pong）。
• 数据帧： 承载实际内容（Text 文本或 Binary 二进制）。 由于没有了冗长的 HTTP 头部，WebSocket 的数据传输效率极高。

五、 WebSocket vs HTTP：深度对比

六、 WebSocket 的实际应用场景

1. 即时通讯（IM）： 微信网页版、飞书、Slack 等消息的实时收发。
2. 实时金融行情： 股票、加密货币价格的秒级跳动。
3. 多人协作工具： 如 Google Docs、Figma，多个人同时编辑一个文档并看到对方的光标。
4. 在线竞技游戏： 动作类或射击类游戏需要极低的指令延迟。
5. 物联网（IoT）： 智能家居设备状态的实时监控与控制。
6. 实时通知系统： 网站右下角的弹窗提醒、系统报警。

七、 进阶话题：挑战与解决方案

虽然 WebSocket 很强大，但在实际工程中也会遇到挑战：

1. 心跳检测（Heartbeat）

网络环境复杂（如移动网络切换、代理服务器超时），连接可能会“假死”。

• 方案： 客户端定时发送 Ping，服务器回复 Pong。如果一段时间没收到回应，则认为连接已断开，触发重连机制。

2. 负载均衡

传统的负载均衡器（如 Nginx）需要特殊配置才能支持 WebSocket，因为它是长连接。

• 方案： 在 Nginx 配置中开启 proxy_set_header Upgrade $http_upgrade。同时，由于长连接的特性，服务器集群需要解决“Session 共享”或“消息广播”问题（通常配合 Redis Pub/Sub 使用）。

3. 安全性（WSS）

就像 HTTPS 之于 HTTP，WSS 是 WebSocket 的加密版本。

• 建议： 在生产环境中务必使用 wss://，以防止中间人攻击和数据篡改，同时绕过某些防火墙对非标准协议的拦截。

八、 总结

WebSocket 的出现是 Web 通信技术的一次革命。它打破了 HTTP 协议“一问一答”的局限，为 Web 应用注入了真正的“实时”灵魂。

虽然随着 HTTP/2 和 HTTP/3（QUIC）的普及，HTTP 协议也开始支持多路复用和服务器推送，但 WebSocket 在双向对称通信、低延迟控制流以及二进制流处理方面，依然是目前最成熟、兼容性最好的首选方案。

如果你正在构建一个需要频繁数据交互、追求极致用户体验的现代应用，WebSocket 无疑是你技术栈中不可或缺的一环。