1 跳板技术
当攻击者入侵被攻击者时,被攻击者可以根据IP地址追踪攻击者来自哪里。
攻击者为了隐藏自己的真正IP,通常会采用跳板,如右图, 攻击者通过2个跳板攻击被攻击者。即使被攻击者进行反向追踪,也只能追踪到攻击来自跳板2。
如果需要进一步追踪,就需要在跳板2上追踪,而在跳板2上也只能追 踪攻击是来自跳板1。如果被攻击者、跳板1、跳板2分布在不同的国家,将使得追踪攻击者成为一个政治问题。
2 Web在线代理
Web在线代理是一种非常易于使用的一种代理,在百度上搜索“在线 代理”可以找到很多免费Web在线代理。
3 代理服务器的使用
IE浏览器使用代理上网
更早些时候,用的更多的是这里所说的代理服务器。代理服务器的功 能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。Http代理是最经常用的代理。
在一般情况下,用户使用浏览器直接去连接其他Internet站点取得网络信息时,须送出Request信号,然后Web服务器再把信息传送回来。
代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览 器所需要的信息并传送给用户的浏览器。
有专门的网站提供实时更新的代理服务器地址。在百度输入“最新代理IP”或者“代理服务器”能搜索到几个目前比较著名网站 “http://www.goodips.com”、“http://www.youdaili.cn/Daili”。
3.1 代理服务器的类型
一般有三种:透明代理,普通匿名,高级匿名(简 称:透明,普匿,高匿)。
透明代理: 目标服务器可以完全识别出来用户的真实IP地址
普通匿名代理: 目标服务器可以知道用户通过代理IP上网,但是不知道用户 的真实的IP地址
高级匿名代理: 目标服务器根本不知道用户使用了代理IP地址上网,所以根 本也不可能知道用户的真实IP地址
“http://www.goodips.com”收集的代理服务器地址
3. 2 使用代理的目的
大多数用户使用代理的目的是浏览网页,好在大多浏览器也支持使用 代理浏览网页的功能,以Internet Explroer浏览器(简称IE)为例说明 代理的使用。
除了Http可以被代理外,Https、Ftp、SOCKS(套接字)也可以使用 代理
3.3 QQ使用SOCKS代理上网
传输层代理(SOCKS)很大程度上能够解决应用层代理只针对特定应 用进行代理的问题,它有两个版本:SOCKS 4 和SOCKS 5,现在使 用的多是SOCKS 5。
SOCKS代理的客户端(即:内部网络用户)首先建立一个到SOCKS 代理服务器的TCP连接,进行身份认证。认证成功后,客户端就可以 向代理服务器发送和外部网络服务器进行连接的请求了,请求的连接 可是TCP或者UDP协议,SOCKS代理服务器就开始代理客户端和外 部网络服务器(真正的目的地)发送和接收数据。
SOCKS代理可以对TCP/UDP进行代理,工作在传输层,它不关心应 用层是什么协议。也就是说只要应用程序使用的是TCP/UDP就可以使 用,因此使用面比应用层代理广。但是SOCKS代理同样需要客户端程 序支持使用SOCKS代理才行,遗憾的是大多程序在编写时没有考虑支 持SOCKS代理,这大大限制了它的使用。
SocksCap32让不支持SOCKS代理的程序使用代理 为了简洁,许多攻击软件并不支持代理,特别是命令行的工具
SocksCap32可以帮助这些程序解决这个问题,使得这些程序也能够使用SOCKS代理,从而隐藏攻击者的IP。步骤如下:
(1)安装SocksCap32软件。
(2)初次启动时,要配置SOCKS代理服务器的地址。如图,在“Server”选项区输入SOCKS代理服务器的地址和端口号。选中“SOCKSVersion5”单选按钮,单击“确定”按钮即可。
4 IP隐匿者
IP隐匿者是一款绿色免安装、自动寻找代理的软件。IP隐匿者最大的好处是:启动IP隐匿者后,可以实现隐藏本机真实IP地址,而无需在各个应用程序中进行配置。使用步骤如下:
(1)先安装NetFrameWork2.0版本以上的软件,然后启动“IP隐匿者”。
(2)“IP隐匿者”启动后,会从云端拉取数据,拉取完毕后,就能在数据库中搜索代理了。
选择响应时间短、类型为“高匿”代理,右击它,再单击“启用该隐匿IP”即可。如果担心正在使用的代理可能失效,可以选中“失效自动切换IP”复选框。在窗口的下方会显示用于伪装的IP地址。
(4)确认IP已经被隐匿。可以使用查询本机IP的网站查询自己的IP,如图,查询到的IP是伪装的IP。
5 代理超人批量验证代理服务器
攻击者经常需要大量的代理服务器来发起DDOS攻击。为了提高攻击效 率,需要验证从Internet上搜索到的大量代理服务器,然后导出列表, 供其他攻击软件导入使用。
代理超人是一款全功能的代理搜索、验证、管理和调度软件。由于其 代理搜索是采用漫无目的、普遍撒网式的搜索,所以该功能现在基本 无效,本小节仅用它来验证代理服务器。步骤如下:
(1)启动代理超人程序。
(2)可以批量导入提高效率
(3)如图,使用“CTRL+鼠标单击”或者“SHIFT+鼠标单击” ,选中需要验证的代理,右击鼠标,在快捷菜单中选择“验证选中代理”菜单,进行验证。根据代理的多少,验证需要一段时间。验证结束后,可以把验证状态为验证失败的代理手工删除。
6 利用代理服务器窃听密码
当他人使用你构建的代理服务器时,他上网的数据经过代理服务器进 行转发,因此就很容易窃听他的数据,这实际上也是中间人攻击。
在之前介绍的ARP攻击只能实现局域网的中间人攻击,而代理实现的 是他人送上门的、广域网上的中间人攻击。
- 攻击环境
Windows XP和Windows Server 2003均采用虚拟机。Windows Server 2003安 装CCProxy代理软件以及监听软件Cain & Abel。
7 防范代理服务器上的窃听
用户在使用代理服务器、特别是免费的代理服务器时,应该保持高度 的警惕。
有的所谓的免费“翻墙”软件监视使用者的数据、并引导使用者的政 治倾向。
防范代理服务器上的窃听的最好措施就是不使用代理。如果非得使用 代理上网,也请勿输入敏感的信息。此外,使用代理时尽可能使用加 密协议Https上网,虽然使用Https也不能从根本上解决问题。
8 VPN
虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公有网络 上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网 络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公有网络服务商所提供的网络平台,如Internet、ATM(异 步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据 在逻辑链路中传输。
它涵盖了跨共享网络或公有网络的封装、加密和身份验证链接的专用网 络的扩展。
VPN的最初目的是为了利用Internet来连接企业之间的网络或者把移动 用户连接到企业内部的网络。由于VPN对数据进行了加密,有关部门的 监视设备无法知晓数据的内容,因此VPN成为当今最主要的“翻墙”工 具,以致许多人认为VPN仅仅就是一个翻墙工具。
VPN也是跳板技术之一,攻击者可以利用VPN隐藏自己的真实IP。然 后VPN Client再进行浏览Web网页或者进行别的上网活动,Web服务 器将认为客户来自VPN服务器提供商。
