我正在探索Android的VpnService的功能。目前,我通过在用户空间中重建IP堆栈,构建了一个非常基本的请求转发器:我从VpnService的输入流中读取IP数据包,解析它们,对于我不想转发的连接,我尝试在VPN连接的外部重新创建那些套接字连接。
我已经知道VpnService.protect()促进了最后一位的实现,并尝试实现如下:
Socket socket = new Socket();
vpnService.protect(socket);
socket.connect(new InetSocketAddress(
header.getDestinationAddress(), // From my IP datagram header
body.getDestinationPort())); // From the TCP datagram header
不幸的是,这种方法会导致VPN接口出现环回。
尽管上面的代码只是阻塞并最终超时,但我通过从一个单独的线程调用Socket.connect(InetSocketAddress)来观察环回;连接直接返回到我的VpnService的输入流中,并且过程重复。
不用说,这会导致一个循环。我觉得这是因为在创建套接字时(以及随后对VpnService.protect(Socket)的调用),我还没有设置目标IP&港口还没有。
事实似乎确实如此,因为在我的VpnService实现中重写VpnService.protect(Socket)和VpnService.protect(int)并在这两种情况下调用supers都返回false。
如何正确保护套接字连接?
以下代码有效。
Socket socket = SocketChannel.open().socket();
if ((null != socket) && (null != vpnService)) {
vpnService.protect(socket);
}
socket.connect(...);
new Socket()没有有效的文件描述符,因此无法对其进行保护。
在进行保护之前,需要绑定套接字。这对我有效:
Socket socket = new Socket();
//bind to any address
socket.bind(new InetSocketAddress(0));
vpnService.protect(socket);
socket.connect(...);
我发现另一种解决方案是用C/C++编写它。
Java:
public native int createSocket();
public native int connectSocket(int fd);
C++:
// For sockets
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
// For error codes
#include <errno.h>
extern "C" {
JNIEXPORT jint JNICALL
Java_com_pixplicity_example_jni_VpnInterface_createSocket(
JNIEnv * env, jobject thiz) {
// Create the socket
int sockfd = socket(AF_INET, SOCK_STREAM, 0);
int err = errno;
// Return the file descriptor
return sockfd;
}
JNIEXPORT jint JNICALL
Java_com_pixplicity_example_jni_VpnInterface_connectSocket(
JNIEnv * env, jobject thiz, jint sockFd) {
// Host & port are hard-coded here
char* host = "74.125.136.113"; // google.com
int port = 80;
struct sockaddr_in peerAddr;
int ret;
peerAddr.sin_family = AF_INET;
peerAddr.sin_port = htons(port);
peerAddr.sin_addr.s_addr = inet_addr(host);
// Connect to host
ret = connect((int) sockFd, (struct sockaddr *) &peerAddr,
sizeof(peerAddr));
if (ret != 0) {
perror("connect failed");
close(sockFd);
}
// Return the error code
return ret;
}
}
我需要保护OkHttpClient中的套接字。它创建了还不能保护的未连接套接字(意味着service.protect()返回false),当它们连接时,显然为时已晚(例如,当我试图在networkInterceptor内保护它们时)。Android的经典晦涩行为。
不管怎样,Mai Quoc Huy的答案对我来说是正确的,整个代码看起来是这样的。
val protectedHttpClient = OkHttpClient.Builder()
.socketFactory(object : SocketFactory() {
override fun createSocket(): Socket = Socket().apply {
bind(InetSocketAddress(0))
val result = service?.protect(this)
}
override fun createSocket(host: String?, port: Int) = unsupported()
override fun createSocket(host: String?, port: Int, localHost: InetAddress?, localPort: Int) = unsupported()
override fun createSocket(host: InetAddress?, port: Int) = unsupported()
override fun createSocket(address: InetAddress?, port: Int, localAddress: InetAddress?, localPort: Int) = unsupported()
private fun unsupported(): Nothing = throw UnsupportedOperationException("This factory can only create unconnected sockets for OkHttp")
})
.build()
您可以通过将应用程序添加到vpnService.builder.addDisallowedApplication("your package name") 来排除应用程序套接字(以及流经它的流量)使用VPN
我尝试了一下,并在vpn隧道接口和我的传出Internet接口上运行tcpdump进行了测试。来自我的应用程序的数据包不会在vpn接口中循环,而是通过手机的前向互联网接口发送。