警惕代理上網(wǎng) 沒有底線的隱私泄露

有部分公司或者高校上網(wǎng)采用的策略是使用代理服務器，這樣可以使用一臺代理主機和代理軟件進行簡單而有效的上網(wǎng)訪問控制和網(wǎng)絡監(jiān)控，非常方便的對公司和校園的上網(wǎng)行為進行監(jiān)控。然而使用這樣的代理軟件上網(wǎng)是存在非常大的安全隱患的，當然如果代理服務器主機的安全防護措施做的非常好，而且管理員又是一個自控能力非常強的人，不去主動查看你的個人信息的話，而且網(wǎng)絡當中沒有惡意的偵聽和監(jiān)控，當然就沒有什么很大的安全問題；但是反過來，如果你的代理服務器的管理員是一個偷窺狂或者局域網(wǎng)中有喜歡偷窺別人或者局域網(wǎng)中有電腦被黑，被黑客控制的電腦，那么整個局域網(wǎng)的上網(wǎng)安全將面臨極大的挑戰(zhàn)！個人信息存亡危在旦夕！

首先，來說一下整個上網(wǎng)流程，來確定你所處的網(wǎng)絡環(huán)境是否存在這樣的安全隱患。 你在上網(wǎng)的時候需要使用一款代理軟件，或者需要對計算機的代理進行設置，這樣的設置絕大多數(shù)是在軟件或者系統(tǒng)里進行設置的。比如w indow s操作系統(tǒng)，設置全局代理，則只需要在IE的Internet選項里找到連接，再設置局域網(wǎng)代理即可。 里面可選HTTP代理，socks代理等。這樣設置好之后操作系統(tǒng)就可以通過代理上網(wǎng)了。 代理服務器通常是一臺w indow s主機，上面運行著代理軟件，比如國內(nèi)使用量比較大的CCProxy這款代理軟件，這款代理軟件對于HTTP代理的常用端口是808，對于socks代理的端口是1080。大家也可以根據(jù)808這個HTTP代理端口來猜測你的網(wǎng)絡環(huán)境使用的代理軟件是不是CCProxy代理。

1 .HTTP代理，沒有底線的隱私泄露

為什么HTTP代理會這樣的不安全呢？源于使用HTTP代理數(shù)據(jù)傳輸?shù)耐该餍?。使用HTTP代理上網(wǎng)，你的所有上網(wǎng)的數(shù)據(jù)都將可能被竊聽，這樣你的所有網(wǎng)絡數(shù)據(jù)都可以被完全獲取到，而且不需要進行反向破解，幾乎都是明文傳輸?shù)?，所以對于監(jiān)聽著來說，似乎就是在你的家里安裝了一個竊聽！器，時時刻刻都在竊聽著你的談話。在這里不進行詳細的講解竊聽的方法，我們是以安全的角度來講解如何防止竊聽，所以只是簡單的提一下竊聽的方法和防護措施。

（1）ARP欺騙

局域網(wǎng)中的ARP欺騙攻擊來獲取目標主機的網(wǎng)絡通信是非常容易實現(xiàn)而且是非常常見的攻擊方式，通過ARP欺騙攻擊，可以使你的主機通信全部經(jīng)過欺騙你的主機，而不是將通信數(shù)據(jù)直接發(fā)送到代理主機，這樣就實現(xiàn)了竊聽的功能；這種攻擊方式不僅僅存在于使用代理上網(wǎng)的網(wǎng)絡環(huán)境，所有上網(wǎng)用戶都可以被此攻擊方式攻擊，所以當你所處的局域網(wǎng)是一個公用局域網(wǎng)的時候，建議開啟ARP防火墻，并鎖定正確的代理服務器MAC地址，從而防止被ARP欺騙攻擊，從而導致信息泄露。

（2）鏡像端口偵聽

這種攻擊方式的出現(xiàn)，常見于企業(yè)內(nèi)部或者學校內(nèi)部的路由器或者交換機被入侵的時候，在路由器或交換機上被開設鏡像端口，這個時候所有通過路由器或者交換機的網(wǎng)絡通信的數(shù)據(jù)包都將被發(fā)往該鏡像端口，此時只要有電腦通過此鏡像端口偵聽數(shù)據(jù)，所有的數(shù)據(jù)都將被聽到， 而且如果你使用的是HTTP代理上網(wǎng)，那么就好像是你在家里打電話，而你的電話線路被人直接監(jiān)聽一樣，你的所有的通話一字不漏的被別人直接聽到，不需要復雜的破解。而如何使用socks代理進行通信，則可以相對來說提高一點安全性，但是現(xiàn)在的協(xié)議分析工具也非常的強大，即便是對方只聽到了你的通信數(shù)據(jù)，通過協(xié)議分析也可以很輕松的分析出你的通信協(xié)議，進而反向你的通信數(shù)據(jù)，獲取到你的通信內(nèi)容。

2 .Socks代理，相對安全的上網(wǎng)方式

在前面已經(jīng)講到了socks代理的方式上網(wǎng)，雖然這種方式相對于HTTP上網(wǎng)來說安全一些，因其數(shù)據(jù)通信相對與HTTP更為低一層，而且如果是多種協(xié)議的混雜方式上網(wǎng)，也是比較難以破解的一種方式。但是這種上網(wǎng)方式隨著協(xié)議分析軟件的出現(xiàn)，也可以較為容易的被分析，進而獲取到部分信息。所以，如果同時有HTTP代理和socks代理兩種上網(wǎng)方式的情況下，建議首選socks代理上網(wǎng)。

3 .加固上網(wǎng)安全之安全分析

在這里的小編為大家提供的加固上網(wǎng)安全的方法并非適合于所有的用戶，因為前提是你自己有一臺自己可信的ssh服務器。也就是說，你的所有的網(wǎng)絡通信都將通過ssh隧道，提交給你的服務器，進而讓服務器去取你要獲取的數(shù)據(jù)通過ssh的加密隧道傳送給你。 筆者經(jīng)常游際于各種地方上網(wǎng)，需要在各種網(wǎng)絡環(huán)境下上網(wǎng)，有的時候有免費的w ifi上網(wǎng)也有收費的但小編沒有帳號密碼的無線網(wǎng)絡或者有線網(wǎng)絡，所以筆者經(jīng)常需要一些方法來在這些場合上網(wǎng)，但是小編為了自身的安全，經(jīng)常會使用下面將要說到的方式上網(wǎng)，來保護自己的安全。 首先來說一下上面這些場合上網(wǎng)的安全隱患，本文最初是要說明代理上網(wǎng)的安全性的，其實代理上網(wǎng)沒有什么安全性可言，基本上就是你借別人家的電話在別人家里打電話一樣，別人想看什么想聽什么，都可以，在這里我先為大家介紹一下上面的上網(wǎng)的安全隱患，然后給有自己的ssh服務器的朋友講解一下如何使用ssh隧道在各種網(wǎng)絡環(huán)境下安全上網(wǎng)。

（1）免費w ifi上網(wǎng)

免費w ifi一直以來是一個非常不安全的上網(wǎng)方式，這種上網(wǎng)方式跟代理上網(wǎng)的安全性差不多，別人可以隨意的監(jiān)聽你的網(wǎng)絡通信，甚至免費w ifi有的本來就是為了來做釣魚網(wǎng)站的，所以使用免費w ifi上網(wǎng)，登錄網(wǎng)上銀行很可能登錄的也非真實的銀行。 你可能會問，域名正確啊，我確信我的域名正確，我確信我沒有被釣魚，但是你知道嗎？域名正確難道就一定不是釣魚網(wǎng)站嗎？你使用的免費w ifi上網(wǎng)肯定是通過DHCP獲取到的IP地址，如果你的域名服務器沒有被手工指定，那么你的域名服務器也會在獲取IP地址的時候一并獲取到，這個時候，如果該域名服務器給你所請求的域名提供一個假的IP回響數(shù)據(jù)包，那么即便你的域名是正確的而你登錄的目標主機也可能非目標主機。這是在HTTP下很容易被利用的。但是為了安全，絕大多數(shù)的網(wǎng)上銀行都會采用https的方式上網(wǎng)，使用證書的方式來讓你的電腦確認你登錄的網(wǎng)站是目標服務器，那你真的安全了嗎？ 首先，你要確信你的瀏覽器真的能夠正確的識別網(wǎng)站證書，前一陣每日經(jīng)濟新聞報道某公司的瀏覽器就摒棄了這個功能，所以如果你被釣魚，你的瀏覽器完全不會給你任何提示這是釣魚網(wǎng)站，因為該瀏覽器沒有使用安全證書。

（2)公用非免費w ifi上網(wǎng)

這種上網(wǎng)的安全性問題的出現(xiàn)大多是在人較多的地方，而且偷窺者往往就是你身邊的人。這種攻擊手段常見于KFC 等類似的公共場合，攻擊者通過偽造與KFC里相同的無線SSID，使你的計算機自動漫游到攻擊者的計算機，此時你感覺不到任何的異樣，因為你的上網(wǎng)過程完全跟原來一樣，只是在AP間作了漫游，絲毫不會引起你的計算機和計算機用戶的察覺。然而攻擊者卻通過截獲你上我數(shù)據(jù)包來竊取你的個人信息。甚至可以通過網(wǎng)頁攻擊，比如篡改網(wǎng)頁，加入惡意js代碼，竊取cookie等，來非法進入你的某些賬戶。這樣的攻擊行為非常的容易操作而且成本較低，見效快，所以許多類似KFC等的公共場合成為攻擊者的首選攻擊場合，而來這些地方上網(wǎng)的用戶則成為首選的攻擊對象。

（3）其他方式攻擊

其實黑客的攻擊遠遠多于能夠列舉的方式，黑客攻擊的手段繁多而且復雜，有的時候他們也會采取一些有效的社會工程學方法，來竊取用戶的個人信息或者獲取盡可能多的攻擊目標信息，來增加攻擊成功的概率。

上面已經(jīng)給大家列舉了一些基本的簡單的常見的攻擊方式，和基本攻擊原理。下面就要為大家介紹一種非常有效的防護措施，當然此種防護措施不是適合于所有人，因為你需要一臺屬于自己的安全的ssh服務器，這臺服務器最好是Linux操作系統(tǒng)當然w indow s操作系統(tǒng)也是可以的，你可以安全ssh遠程登陸軟件，并添加一個系統(tǒng)賬號來允許你進行遠程登陸。我們都知道ssh是一種非常安全的上網(wǎng)方式，只要你能確保你的網(wǎng)絡傳輸?shù)臅r候不被竊取你的個人私鑰就再加上密碼保護，安全性可以大大提高，尤其是在這種不算安全的公共場合更可以提高上網(wǎng)的安全性，大大減少被攻擊的可能性。 在這里為大家提供一下基本的思路，即通過ssh強加密的隧道來安全連接自己的服務器，然后通過自己的服務器中轉(zhuǎn)自己的上網(wǎng)數(shù)據(jù)，從而達到不被偵聽的目的。