青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 流氓往事为什么80后集体缺席互联网 »

网络访问攻防战

  在很多大型企业中和有些国家中,为了限制员工或人民访问某些网站或使用某些网络应用程序,通常做了一些访问限制。限制的方法通常有路由器IP过滤和强制使用代理服务器等几种方式。

  路由器IP过滤指的是通过在路由器中加入外网或国外的IP黑名单,使得内网或国内无法访问外网或国外的这些IP,达到限制访问的目的。强制使用代理服务器的过滤方式通常只在大型企业中应用,指的是内网必须通过代理服务器才能访问外网,那么在代理服务器上可以实现更为复杂的过滤机制。本文主要讲述IP过滤的攻防战,关于代理服务器的攻防战下次讨论。下面依次讲述网络访问攻防战的不断升级过程:

  首先,如果要禁止人们访问某些网站,那么路由器管理者可以在路由器中设置IP过滤规则,把这些网站的IP加入黑名单,自然人们就无法访问这些网站了。

  之后,人们为了继续访问这些网站,就会用代理服务器绕过限制。代理服务器的IP成千上万,而且不停在变化,使得限制网络访问的工作处于被动局面。

  然而,由于代理服务器协议是明文的,通过监听网络数据包并制作自动搜集整理的程序可以知道人们访问了哪些代理服务器并自动把代理服务器的IP加入到IP黑名单中,这样使用普通代理服务器绕过访问限制的方式就失效了,绕过网络访问限制的工作处于相当被动的局面。

  所以,为了避免被侦测到代理服务器地址,加密代理软件应运而生。用户和代理服务器之间的通讯协议进行了加密,使得无法简单通过侦听网络数据包分析出代理服务器的IP地址。又一次使得限制网络访问的工作处于被动局面。

  但是,加密代理软件也需要和代理服务器进行通讯,也需要知道加密代理服务器的IP地址。所以加密代理软件一般会在启动时去某些发布加密代理服务器IP地址的地方获得加密代理服务器的IP。那么,只需要单独拿出一台计算机,启动加密代理软件,对这台计算机的网络通讯进行监视,那么即可知道发布加密代理IP地址的地方,从而对发布点进行IP过滤。而且可以做成程序自动启动加密代理软件,自动监视数据包,自动把加密代理IP的发布地点的IP加入黑名单,这样加密代理软件无法获得加密代理的IP,加密代理软件失效,绕过网络限制的工作又一次处于十分不利的位置。

  加密代理软件为了对付这种情况,就需要把访问代理IP发布点的流量混杂在访问非代理IP发布点的流量中。比如,加密代理软件启动时,首先访问其它大量网站,在访问其它网站之中的某一次访问代理IP发布点,这样就把流量进行混杂了,无法通过简单的网络数据包侦听获得代理IP发布点的IP地址。如果把所有侦听到的地址全部加入黑名单,那么将会误封很多网站。限制网络访问的工作又处于不利的位置。

  然后,为了能继续对网络访问进行限制,网络管理员就转而对加密代理的IP(而非发布点的IP)进行过滤。在加密代理软件启动完毕之后,通过加密代理下载一个大文件,那么流量比较大的IP即为加密代理的IP。通过这种方法,网络管理员仍旧可以做出自动封锁加密代理软件的程序,绕过网络限制的工作又失败了。

  那么,加密代理软件可以采取同样的思路,把访问代理IP的流量混杂在其它流量中,并使分散的流量平分并不断变换代理IP,使得无法通过网络数据包流量统计获得加密代理的IP。人们又可以重新绕过网络访问限制了。然而,因为对流量进行了平分,所以网速通常只有几分之一了,大部分流量都耗费在混淆网络管理员的程序上面了。

  到了这里,网络访问攻防战似乎走到头了,但是聪明的网络管理员并不是束手无策了。通过对加密代理软件进行逆向工程,还是可以找到代理IP的发布点,从而过滤这个发布点。不过,这样已经不能通过分析网络流量用程序自动找出IP进行过滤了。

  最后,加密代理软件为了防止被逆向工程,对加密代理软件本身进行了软件加密处理,使得逆向工程变得十分困难。接下去就是软件加密与破解之间的智力较量了。

  总结:如果不进行网络流量混淆,那么能被程序自动找出有用的IP进行过滤。如果不对加密软件进行加密,也比较容易被逆向工程,从而找到有用的IP进行过滤。加密代理软件作者需要时刻提防软件被破解,一旦被破解,那么需要对升级加密代理软件,使得限制网络访问的工作需要重新破解软件才能继续实施。

  来源:读者投稿,作者的Twitter: @davidsky2012 ,作者的Google Reader: https://www.google.com/reader/shared/lehui99



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/2232.html
  • 文章排行:
  • 1.Firm
  • 这样要一些知名的大企业比较会遭受到
  • 2010/7/6 15:55:54   支持(13)反对(6) 回复
  • 2.CCAV
  • 坐等下篇关于代理服务器的攻防,我就是被强制代理了
  • 2010/7/6 9:51:47   支持(10)反对(4) 回复
  • 3.ifenwen
  • 呵呵 普通公司 一般代理就可搞定了
  • 2010/7/6 9:33:42   支持(8)反对(3) 回复
  • 5.XjAcKs
  • “强制使用代理服务器的过滤方式通常只在大型企业中应用”这句话不太同意,我所在的一个100多人的小公司,就是用代理服务器的过滤方式。这种方式应该也是很普遍的。
    lehui99 于 2010-7-7 10:53:16 回复
    嗯,小公司也有可能使用这种方法的,只是大企业这种情况更普遍。
  • 2010/7/7 7:58:54   支持(7)反对(3) 回复
  • 6.j
  • 似乎不一定非要分析流量。对于管理员,还可以通过尝试屏蔽特定IP,检验能否访问,来猜测IP是否是代理服务器,有点像先在沙盒内检验,再推广。
    lehui99 于 2010-7-7 10:51:27 回复
    屏蔽一个IP,就会导致代理软件换一批IP,这样仍旧无法猜到这个IP是否为服务器IP还是混杂的IP。
  • 2010/7/6 22:47:40   支持(7)反对(4) 回复
  • 7.随意
  • 本质就是对ip地址或ip段按照某种规则进行统计和分析 双方在不断修改这个规则 这些规则和google adsense数据分析规则来说仅仅是冰山一角
  • 2010/7/7 13:11:43   支持(7)反对(4) 回复
  • 8.十万个为什么
  • 呀 好前面
    有保密要求的公司才会用到吧
  • 2010/7/6 9:40:26   支持(8)反对(6) 回复
  • 9.了解网
  • 哈哈,正所谓道高一尺,魔高一丈,这博弈无止境。
  • 2010/7/6 10:00:50   支持(6)反对(4) 回复
  • 10.cmp
  • 其实从“但是,加密代理软件也需要和代理服务器进行通讯”开始你就走了歪路,完全可以把最新的代理服务器列表推送到Gmail邮箱里,每次使用代理软件输入Gmail邮箱地址和密码获取代理列表。就算你把Gmail封了,我可以换用任何一款或多款支持加密的邮箱来完成此操作。

    我看也只有白名单才行,只要你用黑名单,我就有办法突破。
    lehui99 于 2010-7-6 11:21:03 回复
    “把最新的代理服务器列表推送到Gmail邮箱里”,那么就正好说明了“加密代理软件也需要和代理服务器进行通讯”这个道理。否则为什么要“把最新的代理服务器列表推送到Gmail邮箱里”呢?
    leospidian 于 2010-7-6 13:46:30 回复
    你不能默认你的用户是善良的。你咋知道申请代理列表的是【G】【F】【W】还是正常用户
    小K 于 2010-7-6 20:06:33 回复
    哈哈,说别人笨的,一般都是自己比较笨,就是你把地址发到GMAIL里面,你知道用户是谁啊,可以是你,那同样可能是国宝,国安的,那设计一款注册一个邮箱,设计一个程序,封得更快了。
    cmp 于 2010-7-9 14:57:34 回复
    to lehui99:
    加密代理软件确实需要和代理服务器进行通讯,但是将通信数据混杂在了正常的mail中,这么做其实从一定意义上来讲,Gmail也是代理服务器(通过其获取信息)。但是你只有把Gmail全封了才能禁止我通过Gmail获取信息,类似有代理功能的服务很多,比如论坛的私人消息,IM的消息,各种邮箱,换句话将,这个时候发挥代理服务器功能的服务器并不是单纯的代理服务器,你要封的话会有副作用。

    to leospidian & 小K:
    当我提供软件面向大众使用时,我就从本来的攻方变成了守方,被动是必然的,我也确实分不清国安和正常用户,不过就像前面讲的,代理服务器的地址是推送到邮箱里的,你无法知道别人邮箱里的地址是什么,如果IP资源多的话,每个邮箱的IP都不同,你封谁去啊?

    PS:其实如果我面向大众提供时,正常用户如何能分辨出我是国安还是乐于帮助翻墙得呢?只要双向的信任无法建立,我看也只有国安和不要命的敢用吧。
  • 2010/7/6 10:49:10   支持(6)反对(4) 回复
  • 11.任鸟飞
  • 太笼统了,还不如教教如何翻墙呢。
  • 2010/7/6 15:36:02   支持(7)反对(5) 回复
  • 15.WordPress啦
  • 网络访问这些需要注意了,不过对这方面的内容研究不多..
  • 2010/7/7 17:36:01   支持(7)反对(6) 回复
  • 16.香肠
  • 自己的网站被搞过 ,,后来就比较注意了
  • 2010/7/10 19:24:39   支持(7)反对(6) 回复
  • 17.penghui
  • 如果不进行网络流量混淆,那么能被程序自动找出有用的IP进行过滤。如果不对加密软件进行加密,也比较容易被逆向工程,从而找到有用的IP进行过滤。加密代理软件作者需要时刻提防软件被破解,一旦被破解,那么需要对升级加密代理软件,使得限制网络访问的工作需要重新破解软件才能继续实施。
    hntv5 于 2010-7-7 11:08:42 回复
    哈哈,好麻烦啊,在天朝从不缺少杯具。
  • 2010/7/6 8:57:33   支持(6)反对(6) 回复
  • 20.PTFE
  • 我哥的企业网站被挂黑链,我提醒他3次,修改了3次,第四次发现还是有的时候我就放弃提醒他了,是网络维护人员的水平太次还是黑客太厉害。
  • 2010/7/6 23:02:19   支持(4)反对(5) 回复
  • 21.OFFICE研究室
  • 道高一尺,魔高一丈……到底谁是道,谁是魔?
  • 2010/7/7 11:17:44   支持(4)反对(5) 回复
  • 22.罗卜头
  • 正常的商业竞争,背后有力量在推动
  • 2010/7/7 17:26:43   支持(6)反对(7) 回复
  • 23.旅行者2号
  • # 坐等下篇关于代理服务器的攻防,我也是被强制代理了
  • 2010/7/9 12:50:18   支持(4)反对(5) 回复
  • 24.vkh
  • 又是锁。。啥时候能开放给我们一边上班一边玩月光博客呢?
  • 2010/7/9 20:04:16   支持(7)反对(8) 回复
  • 27.有意思么
  • 一旦被墙,就很难以得到恢复。
  • 2010/7/6 10:27:32   支持(4)反对(7) 回复
  • 28.鼍春回大地
  • 老子不出,孔子不来。

    老子不出,孔子不来。


    老子不出,孔子不来。




    老子不出,孔子不来。






    老子不出,孔子不来。
  • 2010/7/9 21:48:58   支持(3)反对(6) 回复
  • 29.liruqi
  • 神文! 基本上把防火墙神秘的外衣剥光了!
  • 2010/7/19 10:41:30   支持(4)反对(7) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.