|
|
Tor使用常见技术问答
truthsower
热心会员
----摘录自本人签名贴中的tor教程
2.3. Tor组合包的几种使用方式
2.3.1. SocksCap32组合
在SocksCap32里打开IE浏览器来浏览被封锁的网站,这种情况是使用SocksCap32通过tor联网,没有使用Privoxy。
2.3.2. Privoxy组合
直接启动浏览器,然后设置浏览器使用代理Http代理127.0.0.1:8118来突破封锁。这种情况是使用Privoxy通过tor连网的,没有用到SocksCap32。
2.3.3. SocksCap32 兼 Privoxy 组合
从Sockscap32中打开IE并设IE代理为127.0.0.1:8118。
这种组合方式比前面2种更安全,其数据流向是IE-> SocksCap32-> Privoxy->Tor->目标网站,返回时循同一路径以相反方向返回IE。这一结论经笔者实测证实,测试时使用清心论坛(http://qxbbs.org/viewtopic.php?t=27046)下载的原始组合包,配合IE6浏览器,其它浏览器和其它版本的组合包笔者未做测试。
在测试这个组合中也发现一个有趣的现象,就是如果从Sockscap32启动IE,并设置IE代理为127.0.0.1的本地代理,那么数据流向是不经过Tor的;比如IE代理设置为MultiProxy的127.0.0.1:8088时,数据流向是:IE-> Sockscap32->MultiProxy-> MultiProxy代理->目标网站,返回时从原路径相反方向返回。当然如果我们使用的是SocksCap32 兼 Privoxy 组合,因为Privoxy设置了要使用Tor,所以会经过Tor访问目标网站。
还有一个现象,就是如果从Sockscap32启动IE,并设置IE使用一个外部代理,这时数据流向:IE-> Sockscap32->Tor->外部代理->目标网站;虽然数据流向经过了Tor,但是Tor提示本地解析DNS,也不安全。
3. 常见问题
3.1. Tor组合包配合什么浏览器使用?
笔者倾向于使用IE浏览器,同时无论什么浏览器,都建议使用SocksCap32 兼 Privoxy 组合。尤其火狐(Firefox)等非IE类浏览器,由于使用SocksCap32组合时存在不遵循设定直连上网和DNS本地解析的漏洞,所以不能用于SocksCap32组合。
依据一,是否遵循设定。
系统windows98/2K,经在线网站真实IP测试,我发现Tor组合应用中,浏览器在SocksCap32里启动,有以下现象:
Firefox和Opera中不设置代理,居然不经过设定直连上普通网站。
Firefox中设置本机socks代理127.0.0.1:9050,虽然通过Tor连网,但Tor提示DNS解析在本地,且SocksCap32没有发挥作用,少了一道屏障,不安全。
Firefox中设置外部http代理,也没有经过Tor。
K-Meleon中不设置本机代理和设置外部代理两种情况下,均遵循设定通过:
SocksCap32→Tor→(http代理)→目标网站。
Opera不支持socks代理,不能在浏览器中设置本机代理127.0.0.1:9050。
IE类浏览器就不会出现不遵循设定的现象。
上述现象的原因,我推想是IE类浏览器因IE内核与系统紧密结合,能与SocksCap32程序高度吻合。Firefox、Opera是非IE内核浏览器独立于系统之上,与系统之间似有天然屏障,会发生SocksCap32程序捕获不到请求。还有Sockscap32是应用程序级别的socks化工具,如果换用系统级别的socks化工具,如Permeo Security Driver,就不会发生绕开现象。K-Meleon(K-MeleonCCF)的表现优秀是因为它专门为windows系统设计和优化,新版使用Windows Native Interface,没有使用XUL,因此K-Meleon虽然基于Firefox 1.0 相同的Mozilla引擎版本Gecko 1.7.5,就没有出现上述现象。
依据二,DNS信息泄漏
如果你要访问一个网页,你的浏览器必须将你输入的网址发送到DNS服务器进行域名查询,转换成IP地址后发送回你的浏览器,这样你的浏览器就通过这个IP地址访问这个网页了。
但这个域名解析的过程中,DNS服务器记录到了你的真实IP和你要访问的网址,破坏了你的匿名性。所以就要求远程解析域名,即用代理服务器来解析域名。
DNS使用UDP协议,端口53,它存在泄漏主机名和其它信息的安全问题。当对DNS请求区传输(Zone transfer)及两个DNS進行数据动态更新时,则使用TCP协议。非IE浏览器更易出现请求通过本地的DNS或直接的IP访问,可能被入侵者利用。官方网站有简单说明,另外Tor使用时DOS窗口会提示应用自己解析域名。
Privoxy程序同时支持TCP和UDP协议,通过其代理和映射功能,可以可靠的進行远程域名解析,防止信息泄漏。
Tor工具在本机运行一个洋葱代理服务器(onion proxy),这个代理周期性地与其他Tor交流,从而在Tor网络中构成虚拟环路(virtual circuit)。Tor是在7层protocol stack中的application layer进行加密(也就是按照'onion'的模式)。而它之所以被称为onion是因为它的结构就跟洋葱相同,你只能看出它的外表而想要看到核心就必须把它层层的剥开。即每个router间的传输都经过symmetric key来加密,形成有层次的结构。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包再里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以保持通讯安全。同时对于客户端,洋葱代理服务器又作为SOCKS接口。一些应用程序就可以将Tor作为代理服务器,网络通讯就可以通过Tor的虚拟环路来进行。
进入Tor网络后,加密信息在路由器间传递,最后到达“退出节点”(exit node),明文数据从这个节点直接发往原来的目的地。对于目的主机而言,是从“退出节点”发来信息。
Tor为了保证DNS解析的安全,要求“退出节点”(exit node)进行域名解析,因为Tor提供的是Socks代理,Socks代理有三种类型:Socks4、Socks4a和Socks5。
目前已证实:Socks4代理无法将要查询的域名传递到“退出节点”(exit node)进行解析,应用程序根本不经过Tor的代理就直接用了本地的DNS解析域名。
Socks4a代理在Socks4的基础上做了一些改动,可以完全将要查询的域名传递到“退出节点”(exit node)进行解析,不会发生DNS解析泄漏。
Socks5代理就比较复杂了。有些程序可以,有些程序不行。据Tor的研究人员发现:目前用Socks 5代理不会发生DNS解析泄漏的应用程序只有苹果公司的Safari浏览器,绝大多数的应用程序都有可能跳过代理设置,直接解析。或多或少都存在DNS泄漏的问题。
3.2. Privoxy和SocksCap32相比哪个更安全点?
应该说二者各有各的优点,如前所述,非IE类浏览器单独使用SocksCap32组合时,可能存在不遵循设定直接上网和本地DNS解析漏洞等风险;而Privoxy组合应该不存在这个问题,只要在浏览器里设置了使用代理127.0.0.1:8118就一般会经Privoxy->Tor上网并远端解析域名。但是SocksCap32隐藏真实IP的能力比Privoxy要强,在开启浏览器Java、Javascript、VBScritp等选项的情况下到一些网站测试,SocksCap32组合能隐藏IP,而单纯使用Privoxy组合不能隐藏真实IP。根据二者的不同特点,笔者的建议是,上国外禁网使用Privoxy组合或SocksCap32 兼 Privoxy 组合;上国内论坛使用IE浏览器配合SocksCap32组合或者SocksCap32 兼 Privoxy 组合。
3.3. 在国内用这个组合包用来在国内的论坛讲真相安全吗?
能隐IP,但要避开关键词过滤。 建议使用IE浏览器配合SocksCap32组合或者SocksCap32 兼 Privoxy 组合。使用非IE类浏览器或者单纯使用Privoxy组合可能会泄露真实IP。上国内论坛前一定先在测试IP的网站测一下,看能不能隐藏真实IP,这里推荐二个测试IP的网址:
ht*p://www.stayinvisible.com/cgi-bin/iptest.cgi
ht*p://www.stilllistener.com/checkpoint1/Java
当然,上国内论坛时如果禁用IE中的ACTIVEX,JAVA等选项,那就更安全了。详细的设置方法可参考无界技术问答:
http://qxbbs.org/viewtopic.php?t=17281
1。打开INTERNET属性中的安全面板。
2。选择自定义级别按钮,将“.Net Framework 相关组件”全部禁用。
3。将“ACTIVEX控件和插件”中的全部子选项(共有5个)都设置为禁用。
4。将“JAVA”中的子选项“JAVA权限”设置为“禁用”
5。将“脚本”中的全部子选项(共有3项)全部设置为禁用。
同时要注意一个问题,就是浏览器Cookie的安全性问题。为什么这个Cookie会有安全性问题呢,就是比如你在没用Tor组合包的时候如果上了国内论坛,这时国内论坛可能会将你的真实IP或登录名等记录在了你的机器的Cookie里面,你以后再通过Tor组合包上国内论坛时,国内论坛就可以读到以前记录在你机器的Cookie里面的你的真实IP。所以每次你用Tor组合包上国内论坛前,清除一下自己的所有Cookie,上完之后再清除一下Cookie;这样就可以了。
记住:用Tor组合包上国内论坛之前和上完之后分别擦除一次Cookie。用Tor组合包上国内论坛之前擦除是为了不让国内论坛从cookie中看到你平时不用Tor组合包时上国内论坛的真实ip,上完之后擦除是为了你用完Tor组合包后,再用普通方式上国内论坛时,国内论坛不能从你的cookie中看到你曾经用了Tor组合包。
当然,如果有的论坛可以在完全禁用浏览器Cookie的情况下登录发帖,那就没必要这么麻烦了,只要禁用浏览器Cookie,再上论坛发帖就行了。
3.4. TOR组合软件是否可作为群发软件(如论坛上推荐的MAILGOST)的代理,这样发邮件是否可隐藏IP,国内发邮件是否是安全的?
群发软件配合Tor组合包的使用,笔者未做实测,理论上应该是完全可以的。通过在群发软件中设置使用Socks5代理127.0.0.1:9050可以隐藏IP。同时尽量避免本地DNS解析的漏洞,否则你的本地DNS会知道你大量解析了一些邮件服务器的域名,可能会知道你在做群发,但不会知道你发了什么东西。如果群发软件可以设置解析邮件服务器域名也使用代理,就设置成解析邮件服务器域名也使用Socks5代理127.0.0.1:9050。
3.5. 如果局域网通过代理上网,如何使用Tor
可在torrc文件中作如下设置一试:
HttpProxy host:port Tor 访问目录服务器将使用该代理;
HttpProxyAuthenticator username:password 若该代理需要“用户名/密码”认证,就增加这一行;
HttpsProxy host:port Tor 访问节点服务器的代理设置,需支持 https 通过;
HttpsProxyAuthenticator username:password 若该代理需要“用户名/密码”认证,就增加这一行;
比方说:局域网是通过代理 192.168.50.1:2456上网,且用户名为:user密码为:passwd
这种情况下要使用tor怎办呢?
只要在tor的设置文件torrc中 增加以下几行即可:
HttpProxy 192.168.50.1:2456
[下一页]
|