王琨

(遼寧警察學(xué)院公安信息系，遼寧 大連 116036)

1 引言

當(dāng)今網(wǎng)絡(luò)組織、機(jī)構(gòu)面臨著很多網(wǎng)絡(luò)安全方面的挑戰(zhàn)，其中需要引起重視的一種挑戰(zhàn)就來自于網(wǎng)絡(luò)匿名代理技術(shù)。使用網(wǎng)絡(luò)匿名代理技術(shù)，網(wǎng)絡(luò)用戶可以繞過網(wǎng)絡(luò)組織預(yù)先設(shè)置的網(wǎng)絡(luò)監(jiān)管規(guī)則，訪問網(wǎng)絡(luò)管理者禁止訪問的網(wǎng)站，嚴(yán)重?cái)_亂了網(wǎng)絡(luò)社會(huì)的正常秩序：用戶繞過網(wǎng)絡(luò)監(jiān)管自由訪問網(wǎng)站會(huì)給企業(yè)組織帶來惡意軟件、違法網(wǎng)絡(luò)內(nèi)容、數(shù)據(jù)丟失等風(fēng)險(xiǎn)。而且由于匿名代理技術(shù)固有的訪問匿名性特征，許多不法分子在進(jìn)行網(wǎng)絡(luò)犯罪的時(shí)候往往也會(huì)使用網(wǎng)絡(luò)匿名代理技術(shù)，委托代理將其固有的ip修改成代理服務(wù)器的ip地址，再進(jìn)行網(wǎng)絡(luò)犯罪。這樣有關(guān)部門在對(duì)其犯罪行為進(jìn)行網(wǎng)絡(luò)偵查和網(wǎng)絡(luò)取證時(shí)，從被害人的角度看，是代理服務(wù)器的ip對(duì)其進(jìn)行了不法侵害；從嫌疑人的角度看，嫌疑人僅僅是訪問了某個(gè)代理服務(wù)器，并沒有直接與被害人進(jìn)行網(wǎng)絡(luò)交互。而在同一個(gè)時(shí)間點(diǎn)內(nèi)，往往有多個(gè)用戶同時(shí)訪問一臺(tái)代理服務(wù)器發(fā)送網(wǎng)絡(luò)訪問請(qǐng)求，這樣不法分子就成功地將其自身的ip混淆在同一時(shí)間點(diǎn)內(nèi)訪問該服務(wù)器的用戶集合中，這些都給網(wǎng)絡(luò)犯罪的偵查和取證造成了極大的困惑。因此網(wǎng)絡(luò)匿名代理技術(shù)已成為網(wǎng)絡(luò)犯罪的主要技術(shù)支持，危害巨大。

本文以網(wǎng)絡(luò)匿名代理技術(shù)作為研究對(duì)象，分析歸納出其數(shù)據(jù)流的幾點(diǎn)特征，再由這些特征作為出發(fā)點(diǎn)，提出幾種監(jiān)測(cè)和阻斷網(wǎng)絡(luò)匿名代理的方法。

2 探查已知代理服務(wù)的方法

2.1 黑名單

如果已知某個(gè)ip地址是一個(gè)代理服務(wù)器，可以通過使用黑名單的方法來封鎖這個(gè)ip，然后在制定過濾規(guī)則的時(shí)候就將這個(gè)黑名單中的網(wǎng)站全部過濾掉。通常來說，黑名單技術(shù)在封鎖已知的代理服務(wù)時(shí)是非常高效的。網(wǎng)關(guān)要做的僅僅是查詢一下當(dāng)前網(wǎng)絡(luò)請(qǐng)求的目標(biāo)ip是否在黑名單列表中，這個(gè)查找的時(shí)間復(fù)雜度是線性的，對(duì)于計(jì)算機(jī)來說開銷很小。黑名單的主要缺點(diǎn)是需要及時(shí)更新黑名單中的服務(wù)器列表，將新搭建的代理服務(wù)器探查出來并加入到黑名單列表中。多數(shù)匿名代理服務(wù)器為了經(jīng)濟(jì)收入，需要吸引用戶，所以會(huì)在網(wǎng)絡(luò)上發(fā)布廣告。網(wǎng)絡(luò)上存在著許多知名的代理服務(wù)廣告站點(diǎn)，網(wǎng)絡(luò)管理者應(yīng)該頻繁訪問這些站點(diǎn)，實(shí)時(shí)更新黑名單中的內(nèi)容。代理廣告網(wǎng)站包括mwolk.com、proxy4free.com等。

此外，也可以使用網(wǎng)絡(luò)爬蟲軟件設(shè)定相關(guān)的關(guān)鍵字，定期分析爬蟲得到的相關(guān)網(wǎng)頁，提取出新的代理服務(wù)器地址。分析網(wǎng)頁的工具包括linux的shell命令等文本處理語言。比如John Brozycki[1]主張使用curl命令將proxy4free上列舉的代理服務(wù)器url抓取到本地文件，再使用grep和cut命令從本地文件截取出proxy4free上廣告的代理服務(wù)器地址和端口。

2.2 TOR的識(shí)別

TOR[2]是一種以轉(zhuǎn)發(fā)志愿者作為協(xié)議基礎(chǔ)設(shè)施，以TLS/SSL加密機(jī)制作為安全保障的一種免費(fèi)的匿名代理技術(shù)。正如名字中所描述的那樣，在TOR中轉(zhuǎn)發(fā)的數(shù)據(jù)流包含了多個(gè)加密層級(jí)，每個(gè)層級(jí)的密鑰都不相同，轉(zhuǎn)發(fā)者只能解開最外層的加密層，只能知道其直接的前繼和后繼轉(zhuǎn)發(fā)節(jié)點(diǎn)，可以說TOR為其使用者提供了非常可靠的匿名服務(wù)。眾所周知，深網(wǎng)也是以TOR作為基礎(chǔ)創(chuàng)建的。

解密和追蹤TOR之間的用戶數(shù)據(jù)流是非常困難的，可以從幾個(gè)特征出發(fā)分析出某臺(tái)計(jì)算機(jī)是否在使用TOR協(xié)議進(jìn)行通信。比如TOR的證書的頒發(fā)機(jī)構(gòu)和擁有者名稱滿足www.abc.net模式，abc的長(zhǎng)度一般在20個(gè)字符范圍內(nèi)；證書的序列號(hào)與起效時(shí)間相近等，一般不超過兩個(gè)小時(shí)[3]。作為網(wǎng)絡(luò)管理者，持續(xù)觀察每個(gè)外出的數(shù)據(jù)流的這些字段的特征是否與TOR的特征相符。如果相符則可認(rèn)定該用戶、該數(shù)據(jù)流具有重大嫌疑，采取丟棄或者路由重定向、DNS污染、中間人攻擊等方法進(jìn)行封鎖。

3 未知代理服務(wù)的探查方法

匿名代理服務(wù)器經(jīng)常是從同一個(gè)代碼模板搭建起來的（CGI、PHP腳本語言）。因此可以從這些代碼模板入手，了解代理服務(wù)器是如何工作的，進(jìn)而找到與之交互的網(wǎng)絡(luò)流的特征，并以這些特征作為探查代理服務(wù)器的方法。

使用php代理的時(shí)候網(wǎng)絡(luò)請(qǐng)求的URL符合以下模板：{hostname}/index.php?q={obfuscatedURL}&hl={identifier}。其中hostname是代理服務(wù)器的域名，obfuscatedURL是經(jīng)過網(wǎng)絡(luò)編碼等手段混淆后的非法網(wǎng)站的域名或者是非法的URL。這個(gè)模板可以歸納出一個(gè)正則表達(dá)式：（index.php?q=）.+(&h1).*?？梢岳迷撜齽t表達(dá)式與shell的grep命令配合探查web的log文件里是否包含了使用php代理的記錄：Grep‘（index.php?q=）.+(&h1).*’log.txt。同時(shí)，正則表達(dá)式還可以作為入侵檢測(cè)系統(tǒng)發(fā)出警報(bào)的特定條件，一旦正則表達(dá)式符合要求，入侵檢測(cè)系統(tǒng)會(huì)向網(wǎng)管發(fā)出警報(bào)，提醒可能的匿名代理行為。除此之外，CGI等其他模板搭建的代理也有類似的特征，只要認(rèn)真分析也可以提取出特征、歸納出正則表達(dá)式，再配合其他的文字查找工具進(jìn)行代理行為的探查和預(yù)警。

4 混淆請(qǐng)求的探查

在實(shí)際應(yīng)用中，許多網(wǎng)站在處理網(wǎng)絡(luò)請(qǐng)求時(shí)都采用幾種主要的網(wǎng)絡(luò)內(nèi)容混淆方法，比如Base64編碼和ROT13編碼?？梢詫⒑诿麊紊系木W(wǎng)絡(luò)域名或者URL使用Base64或者ROT13進(jìn)行編碼。將編碼后的結(jié)果作為特征值在網(wǎng)絡(luò)記錄中進(jìn)行文字查找，找出請(qǐng)求訪問被封鎖網(wǎng)站的那些網(wǎng)絡(luò)記錄，進(jìn)而追查出哪個(gè)用戶使用了代理服務(wù)。

5 結(jié)論

網(wǎng)絡(luò)匿名代理技術(shù)已經(jīng)成為一把雙刃劍。一方面，用戶需要匿名技術(shù)保證個(gè)人隱私不泄露；一方面，非法網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)匿名技術(shù)在實(shí)施網(wǎng)絡(luò)犯罪的同時(shí)隱藏其真實(shí)身份。保證網(wǎng)絡(luò)匿名技術(shù)的可審查性是解決這一局面的唯一方案。而審查網(wǎng)絡(luò)匿名技術(shù)包含了網(wǎng)絡(luò)匿名技術(shù)的探查和阻斷技術(shù)。

本文從實(shí)際應(yīng)用角度具體分析了網(wǎng)絡(luò)用戶在使用匿名代理時(shí)產(chǎn)生的數(shù)據(jù)流的特征數(shù)據(jù)。這些特征既包括網(wǎng)絡(luò)請(qǐng)求串的字符特征，也包括各層協(xié)議的協(xié)議參數(shù)特征，并以這些數(shù)據(jù)作為出發(fā)點(diǎn)分別提出了不同的網(wǎng)絡(luò)匿名代理的探查和阻斷方法。實(shí)驗(yàn)證明這些方法是有效和適用的。應(yīng)該建立一種可審查的網(wǎng)絡(luò)匿名機(jī)制。在正常情況下保證用戶的匿名性和隱私權(quán)。在觸及法律的情況下，經(jīng)過合法審批，網(wǎng)絡(luò)管理者應(yīng)該具備追究非法匿名用戶信息的權(quán)利和能力，這將作為后續(xù)的研究工作繼續(xù)開展。

[1] Brozycki J．Detecting and preventing anonymous proxy usage [J]．SANS Institute，2008．

[2] Dingledine R，Mathewson N，Syverson P．Tor：The second-generation onion router[R]．Naval Research Lab Washington DC，2004．

[3]何高峰，楊明，羅軍舟，等．T o r匿名通信流量在線識(shí)別方法[J]．軟件學(xué)報(bào)，2013，24(3)：540-556．

[4]王秀芝，石志東，房衛(wèi)東，等．無線A dh o c網(wǎng)絡(luò)匿名通信技術(shù)研究[J]．計(jì)算機(jī)應(yīng)用與軟件，2016(2)：89-93．

[5]顧曉丹，楊明，羅軍舟，等．針對(duì)SSH匿名流量的網(wǎng)站指紋攻擊方法[J]．計(jì)算機(jī)學(xué)報(bào)，2015(4)：833-845．