关于网络安全的若干问题(之二)

【明慧网2000年8月1日】 注意:选用的代理服务器还必须是免费(free)而且速度较快的。

(1)关于搜索到的免费代理服务器的具体地址,我们可用“追捕Wry”或“Whois”等软件进行检验,以确定其具体地址到底是在国内还是在国外。例如,我们先用代理猎手在地址段202.137.000.000──202.191.255.255进行搜索,得部分代理地址,然后再用“追捕”检验,部分结果如下:

202.141.24.20:8080@HTTP$6&2692,11596,11651,印度
202.143.135.7:8080@HTTP$6&460,3768,3788,亚洲
202.143.157.10:8080@HTTP$6&3444,13086,13114,亚洲
202.144.24.6:8080@HTTP$6&1328,4813,4867,印度
202.144.24.251:8080@HTTP$6&1476,15371,15371,印度
202.144.25.6:8080@HTTP$6&1376,13112,13126,印度
202.144.29.131:8080@HTTP$6&1338,5883,6458,印度
202.144.29.135:8080@HTTP$6&1351,5917,6477,印度
202.144.54.26:8080@HTTP$6&2029,12216,12696,印度
202.144.129.36:8080@HTTP$6&1471,9227,9840,不丹
202.145.33.118:8080@HTTP$6&323,3185,3636,台湾
202.145.90.222:8080@HTTP$6&850,3520,3520,台湾
202.145.123.130:8080@HTTP$6&3238,5301,10005,台湾
202.145.123.131:8080@HTTP$6&275,5621,7042,台湾
202.145.123.132:8080@HTTP$6&342,1806,2730,台湾
202.145.123.133:8080@HTTP$6&3185,5404,7089,台湾
202.145.123.134:8080@HTTP$6&3428,5401,7237,台湾
202.145.123.139:8080@HTTP$6&989,3297,10275,台湾
202.145.123.140:8080@HTTP$6&1051,6341,6341,台湾
202.145.123.141:8080@HTTP$6&915,3288,7591,台湾
202.145.123.145:8080@HTTP$6&3212,9765,11622,台湾
202.145.123.147:8080@HTTP$6&3605,8475,9807,台湾
202.145.127.18:8080@HTTP$6&181,4076,4076,台湾
202.145.131.125:8080@HTTP$6&270,10003,10003,台湾

这里要特别注意名为“亚洲”的代理地址,如不能另行确定,还是不用为好,以免无意中误用了大陆的地址。

(2)关于搜索到的免费代理服务器的安全性。一般情况下,PROXY都可对外隐藏你的IP,但是如果有人刻意(如在论坛上)安装一个小程序,还是能取到你的上网IP,只有少数PROXY能将你的IP完全保密。故检验代理服务器的安全性非常重要。

我们可用该代理服务器上到一个代理服务器论坛
http://cachenow.virtualave.net/forum/index.html,用其中的代理服务器检测工具进行检测,如果所有的CGI环境变量都没有包括自己的IP地址,则该代理服务器就是安全的。例如:我们对前面搜索到的代理地址202.145.127.18:8080进行验证,结果如下:

CGI Environment Variables

(CGI环境变量)
HTTP_CACHE_CONTROL=max-age=259200

HTTP_VIA=1.0 proxytest.ficnet.net:8080 (Squid/2.2.STABLE3)

HTTP_XROXY_CONNECTION=Keep-Alive

HTTP_X_FORWARDED_FOR=202.145.127.18

DATE_GMT=Monday, 12-Jun-2000 06:46:48 GMT

DATE_LOCAL=Sunday, 11-Jun-2000 23:46:48 PDT

GATEWAY_INTERFACE=CGI/1.1

HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/vnd.ms-excel, application/msword, application/x-comet, */*

HTTP_ACCEPT_ENCODING=gzip, deflate

HTTP_ACCEPT_LANGUAGE=zh-cn,zh-hk;q=0.9,zh-tw;q=0.8,zh-sg;q=0.7,zh;q=0.6,en;q
=0.4,de;q=0.3,fr;q=0.2,ja;q=0.1

HTTP_CONNECTION=keep-alive

HTTP_HOST=cache.virtualave.net

HTTP_REFERER=http://cachenow.virtualave.net/forum/index.html

HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)

LAST_MODIFIED=Friday, 05-May-2000 00:41:12 PDT

QUERY_STRING=

REMOTE_ADDR=203.75.169.21

REMOTE_HOST=

REMOTE_PORT=4490

REQUEST_METHOD=GET

REQUEST_URI=/env.html

USER_NAME=daili

GET or POST_DATA=[]

上面所有的环境变量都没有包括本地IP地址。特别注意环境变量REMOTE_ADDR=203.75.169.21,经“追捕”检验,此为台湾的地址。故最后结果是:代理地址202.145.127.18还是比较安全的。

当然,这样的安全代理只能说明它可以对外隐藏你的IP,却不能完全说明它本身就是安全的。因为仅凭这些我们还是没办法知道该网站本身是否就是黑客开设的或它本身是否就在搜集你的IP及其它资料。所以,一般我们应尽量使用那些大家常用、比较公开化的、有较好信誉的那些免费代理服务器,而且一个代理服务器也不要使用太长时间,要经常更换。

另外,需要注意的是,许多免费代理服务器由于种种原因隔一段时间会自行关闭或不再免费,因而会出现再不能连通的情况,此时就应更换代理服务器。

获取代理服务器还有一个方法,就是经常浏览一些代理服务器的网页或论坛,从中得到另外一些代理服务器,特别是得到一些可以自动设置的、安全性较高的代理服务器。

例如,浏览www.spaceproxy.com时,就可得到可以自动设置的代理服务器地址:http://www.spaceproxy.com/proxy.pac,到时可在浏览器代理服务器的设置栏内──自动设置代理(Automatic proxy configuration)的地址栏中填入该地址即可。采用这种方法设置的代理服务器安全性也较高,建议大家首选。

2、设置代理服务器。

(1)普通代理服务器的设置:下面以202.145.127.18这个Proxy为例, 说明如何在浏览其中设定普通代理服务器Proxy。

①Netscape4.0以下版本的设置: 打开“Options(选项)”菜单,选“Network Preferences(网络首选)”,选择“Manual Proxy Configuration(手工设置代理)”,并按下View(察看),在 FTP/Gopher/HTTP Proxy: 中填上
202.145.127.18,在相应的 Port(端口): 填上8080。最后按“OK确定”退出。

②Internet Explorer 3.0(中文)设置:选“检视”,选“选项”,选“连线”,在“透过 Proxy 服务器连线到Internet”上打勾并按下“设定值” 按钮,分别在HTTP/FTP/Gopher 的Proxy 位址填上202.145.127.18,并在“连接埠”中填上8080。最后按“确定”退出。

③Netscape 4.0x版本的设置:选择“EDIT(编辑)”菜单,选择“Preferences(首选项)”,在左框中选择“Advanced(高级)”,选择“Proxies(代理)”,选择“Manual proxy configuration(手工配置代理)”,打开“View(察看)”,除socks栏外,其余栏中都可填入202.145.127.18,在Port(端口)中填入8080,按Ok
(确定)键退出。如果要取消使用代理服务器,只须选择Direct connection to the Internet(直接连接到Internet)即可。

④IE(InternetExplorer)4.0以上中文版本的设置:选“工具”菜单,选“Internet选项”,点“连接”,如果是拨号上网,就点拨号设置旁边的“设置”(如果是局域网,就点下面的“局域网设置”);如是手动设置,就在“代理服务器”下的“使用代理服务器”前面的方框中打勾(如果是自动设置,就在自动配置下面“自动检测设置(A)”和“使用自动配置脚本(S)”前面的方框中打上勾,并在地址栏内填入自动设置的代理服务器地址),并在下面的地址空栏内填上202.145.127.18,在端口栏内填上8080;点“高级”,在最上面一栏Http(H)内,填入202.145.127.18,并在Port(端口)中填入8080,然后,在下面“对所有协议均使用相同的代理(U)”前的方框中打上勾。最后按“确定”退出。

(2)使用二次(多重)代理服务器。即在浏览器中设置一般代理服务器之后,打开以下其中的一个网页(也可将其设为主页,以便每次打开浏览器时自动打开这些网页),并在网页提示处(Surf后面的框中)输入所要浏览的地址或直接使用下面提供的方法,这样可获得进一步的安全保护,加大安全系数。可用作二次(多重)代理的服务器地址如下:

①http://proxy.spaceproxy.com/
速度不错,提供的服务最完善,二次代理首选
使用方法:http://proxy.spaceproxy.com/-_-http://你要去的网站地址
②http://www.noproxy.com/
速度不错,自动选择提供一个CGI代理服务器,提供url加密,需要在页面填入要去的网站地址。
③http://www.mokichi.com/
一个日本网站,速度不错,使用方法:
http://www.mokichi.com/test/nph-proxy.cgi/000/http/你要去的网站地址
④http://www.rewebber.com/
提供三个网址,其中有SSL加密(!),要求打开JavaScript选项:
https://www.rewebber.de/surf_encoded/http://你要去的网站地址
http://www.rewebber.de/surf_encoded/http://你要去的网站地址
http://www.rewebber.com/surf_encoded/http://你要去的网站地址
⑤http://www.anonymizer.com/
速度有延迟,使用方法:
http://invis.free.anonymizer.com/http://你要去的网站地址
http://anon.free.anonymizer.com/http://你要去的网站地址
http://anon-regulus.free.anonymizer.com/http://你要去的网站地址
⑥http://www.siegesoft.com/

CGI代理,也可提供SSL加密。

也可将上述的网址添加到“收藏夹(IE)”或“书签(Netscape)”中,以便需要时在一般安全代理的基础上直接点击这些网址就可以了。

当然,我们还可以在上述二次(多重)代理后再填上一个二次代理地址,这样就可得到三次代理服务了。如在使用普通安全代理的基础上,再使用:

http://www.rewebber.com/surf_encoded/http://www.spaceproxy.com(已检验可行),并在框中填入所要去的网址即可。当然,并不是每一种配对都可行,网友不妨多试一试。也有网友将单独使用上述提到的二次代理服务器(如:http://proxy.spaceproxy.com/-_-http://你要去的网站地址)叫做二次代理服务,将使用“普通安全代理+一般二次代理服务器”叫做三次代理服务,如果是这样的话,我们上面所说的三次代理服务就应该叫做“四次代理服务”了。

注意:从理论上说,即使选择了绝对安全的代理服务器,安全部门还是可以通过直接分析你上网数据流的方式找到你发表文章的证据,因为现在MODEM上的数据流还是可以被监控、拦载。尤其对那些已经上了安全部门“黑名单”的网友来说,你们用常用的上网电话肯定已被监控,只要你一拨号上网,安全部门就可以从ISP处得知然后全程跟踪,那时你的电脑同外界每一次通讯的数据纪录就会被记录在案并分析出具体内容。当然,被这样监控的人全国也不会有多少个。若是此种情况,则最好是到外面的网吧上网,当然,仍要使用上述的安全代理方法。另外,安全部门也会有意识地监控一些海外代理服务器,只要你访问这个代理服务器,安全部门就会马上从ISP处查找、记录下你的上网电话然后跟踪。要防止自己的上网数据被跟踪、被记录,最好的办法是要保证你的电脑同ISP间的数据通讯被全程加密!其实加密的办法很简单,上面给出的使用“普通安全代理+二次(多重)代理”的代理方法多数就可以获得这样的加密服务,这在其网页上会有说明。如果是用加密方法访问其他站点则会看到浏览器下面会出现一把锁的图案,此时你的电脑和访问站点间的通讯就完全是SSL或URL加密的,这种加密即使安全部门也无法解密。使用这样的代理上网方法,就不用担心电脑被24小时“监听”了。不过,这样加密后,会有较大的局限性,许多站点就可能再不能浏览了,但为了安全还是值得的。而且,也要注意并不是每一个普通安全代理都能与某个二次(多重)代理成功配合使用(有时需要“刷新”或“重装入”几次)。

前面提到的普通安全代理http://www.spaceproxy.com/proxy.pac(自动代理配置)、202.145.127.18:8080
(手工代理设置)与二次(多重)代理http://www.noproxy.com/、http://www.rewebber.com/、http://www.siegesoft.com/等可成功配对使用,其他配对使用的情况大家可多试一试。

(待续)