代理上网,没有底线的隐私泄露
有部分公司或者高校上网采用的策略是使用代理服务器,这样可以使用一台代理主机和代理软件进行简单而有效的上网访问控制和网络监控,非常方便的对公司和校园的上网行为进行监控。然而使用这样的代理软件上网是存在非常大的安全隐患的,当然如果代理服务器主机的安全防护措施做的非常好,而且管理员又是一个自控能力非常强的人,不去主动查看你的个人信息的话,而且网络当中没有恶意的侦听和监控,当然就没有什么很大的安全问题;但是反过来,如果你的代理服务器的管理员是一个偷窥狂或者局域网中有喜欢偷窥别人或者局域网中有电脑被黑,被黑客控制的电脑,那么整个局域网的上网安全将面临极大的挑战!个人信息存亡危在旦夕!
首先,来说一下整个上网流程,来确定你所处的网络环境是否存在这样的安全隐患。 你在上网的时候需要使用一款代理软件,或者需要对计算机的代理进行设置,这样的设置绝大多数是在软件或者系统里进行设置的。比如windows操作系统,设置全局代理,则只需要在IE的Internet选项里找到连接,再设置局域网代理即可。里面可选HTTP代理,socks代理等。这样设置好之后操作系统就可以通过代理上网了。 代理服务器通常是一台windows主机,上面运行着代理软件,比如国内使用量比较大的CCProxy这款代理软件,这款代理软件对于HTTP代理的常用端口是808,对于socks代理的端口是1080。大家也可以根据808这个HTTP代理端口来猜测你的网络环境使用的代理软件是不是CCProxy代理。
1.HTTP代理,没有底线的隐私泄露
为什么HTTP代理会这样的不安全呢?源于使用HTTP代理数据传输的透明性。使用HTTP代理上网,你的所有上网的数据都将可能被窃听,这样你的所有网络数据都可以被完全获取到,而且不需要进行反向破解,几乎都是明文传输的,所以对于监听着来说,似乎就是在你的家里安装了一个窃听!器,时时刻刻都在窃听着你的谈话。在这里不进行详细的讲解窃听的方法,我们是以安全的角度来讲解如何防止窃听,所以只是简单的提一下窃听的方法和防护措施。
1)ARP欺骗
局域网中的ARP欺骗攻击来获取目标主机的网络通信是非常容易实现而且是非常常见的攻击方式,通过ARP欺骗攻击,可以使你的主机通信全部经过欺骗你的主机,而不是将通信数据直接发送到代理主机,这样就实现了窃听的功能;这种攻击方式不仅仅存在于使用代理上网的网络环境,所有上网用户都可以被此攻击方式攻击,所以当你所处的局域网是一个公用局域网的时候,建议开启ARP防火墙,并锁定正确的代理服务器MAC地址,从而防止被ARP欺骗攻击,从而导致信息泄露。
2)镜像端口侦听
这种攻击方式的出现,常见于企业内部或者学校内部的路由器或者交换机被入侵的时候,在路由器或交换机上被开设镜像端口,这个时候所有通过路由器或者交换机的网络通信的数据包都将被发往该镜像端口,此时只要有电脑通过此镜像端口侦听数据,所有的数据都将被听到,而且如果你使用的是HTTP代理上网,那么就好像是你在家里打电话,而你的电话线路被人直接监听一样,你的所有的通话一字不漏的被别人直接听到,不需要复杂的破解。而如何使用socks代理进行通信,则可以相对来说提高一点安全性,但是现在的协议分析工具也非常的强大,即便是对方只听到了你的通信数据,通过协议分析也可以很轻松的分析出你的通信协议,进而反向你的通信数据,获取到你的通信内容。
2.Socks代理,相对安全的上网方式
在前面已经讲到了socks代理的方式上网,虽然这种方式相对于HTTP上网来说安全一些,因其数据通信相对与HTTP更为低一层,而且如果是多种协议的混杂方式上网,也是比较难以破解的一种方式。但是这种上网方式随着协议分析软件的出现,也可以较为容易的被分析,进而获取到部分信息。所以,如果同时有HTTP代理和socks代理两种上网方式的情况下,建议首选socks代理上网。
3.加固上网安全之安全分析
在这里的小编为大家提供的加固上网安全的方法并非适合于所有的用户,因为前提是你自己有一台自己可信的ssh服务器。也就是说,你的所有的网络通信都将通过ssh隧道,提交给你的服务器,进而让服务器去取你要获取的数据通过ssh的加密隧道传送给你。 笔者经常游际于各种地方上网,需要在各种网络环境下上网,有的时候有免费的wifi上网也有收费的但小编没有帐号密码的无线网络或者有线网络,所以笔者经常需要一些方法来在这些场合上网,但是小编为了自身的安全,经常会使用下面将要说到的方式上网,来保护自己的安全。 首先来说一下上面这些场合上网的安全隐患,本文最初是要说明代理上网的安全性的,其实代理上网没有什么安全性可言,基本上就是你借别人家的电话在别人家里打电话一样,别人想看什么想听什么,都可以,在这里我先为大家介绍一下上面的上网的安全隐患,然后给有自己的ssh服务器的朋友讲解一下如何使用ssh隧道在各种网络环境下安全上网。
1)免费wifi上网
免费wifi一直以来是一个非常不安全的上网方式,这种上网方式跟代理上网的安全性差不多,别人可以随意的监听你的网络通信,甚至免费wifi有的本来就是为了来做钓鱼网站的,所以使用免费wifi上网,登录网上银行很可能登录的也非真实的银行。 你可能会问,域名正确啊,我确信我的域名正确,我确信我没有被钓鱼,但是你知道吗?域名正确难道就一定不是钓鱼网站吗?你使用的免费wifi上网肯定是通过DHCP获取到的IP地址,如果你的域名服务器没有被手工指定,那么你的域名服务器也会在获取IP地址的时候一并获取到,这个时候,如果该域名服务器给你所请求的域名提供一个假的IP回响数据包,那么即便你的域名是正确的而你登录的目标主机也可能非目标主机。这是在HTTP下很容易被利用的。但是为了安全,绝大多数的网上银行都会采用https的方式上网,使用证书的方式来让你的电脑确认你登录的网站是目标服务器,那你真的安全了吗? 首先,你要确信你的浏览器真的能够正确的识别网站证书,前一阵每日经济新闻报道某公司的浏览器就摒弃了这个功能,所以如果你被钓鱼,你的浏览器完全不会给你任何提示这是钓鱼网站,因为该浏览器没有使用安全证书。
2)公用非免费wifi上网
这种上网的安全性问题的出现大多是在人较多的地方,而且偷窥者往往就是你身边的人。这种攻击手段常见于KFC等类似的公共场合,攻击者通过伪造与KFC里相同的无线SSID,使你的计算机自动漫游到攻击者的计算机,此时你感觉不到任何的异样,因为你的上网过程完全跟原来一样,只是在AP间作了漫游,丝毫不会引起你的计算机和计算机用户的察觉。然而攻击者却通过截获你上我数据包来窃取你的个人信息。甚至可以通过网页攻击,比如篡改网页,加入恶意js代码,窃取cookie等,来非法进入你的某些账户。这样的攻击行为非常的容易操作而且成本较低,见效快,所以许多类似KFC等的公共场合成为攻击者的首选攻击场合,而来这些地方上网的用户则成为首选的攻击对象。
3)其它方式攻击
其实黑客攻击远多于能够列举的方式,黑客攻击手段多而复杂,有的时候也会采取一些有效的社会工程学方法来窃取用户的个人信息或者获取尽可能多的信息来增加攻击成功的概率。 上面已经给大家列举了一些基本的简单的常见的攻击方式,和基本攻击原理下面就要为大家介绍一种非常有效的防护措施,当然此种防护措施不是适合于所有人,因为你需要一台属于自己的安全的ssh服务器,这台服务器最好是Linux操作系统当然windows操作系统也是可以的,你可以安全ssh远程登陆软件,并添加一个系统账号来允许你进行远程登陆。我们都知道ssh是一种非常安全的上网方式,只要你能确保你的网络传输的时候不被窃取你的个人私钥就再加上密码保护,安全性可以大大提高,尤其是在这种不算安全的公共场合更可以提高上网的安全性,大大减少被攻击的可能性。 在这里为大家提供一下基本的思路,即通过ssh强加密的隧道来安全连接自己的服务器,然后通过自己的服务器中转自己的上网数据,从而达到不被侦听的目的。由于文章篇幅有限,小编将会在下一篇文章中详细介绍具体的操作,来教你如何提高公共场合上网的安全性。