62 评论

如何隐藏你的踪迹,避免跨省追捕[1]:网络方面的防范

  前一个帖子介绍了本系列的动机。本帖开始讲正题。
  在网络方面,要想隐藏自己,重点是要保护好自己的真实IP和通讯内容。下面且听俺细细道来。


★公网 IP 地址的防范


  大部分暴露行踪的人,都是因为暴露了自己的【公网 IP】。所以俺首先来聊一下公网 IP 的保护。

◇啥是“公网 IP”?


  要了解“公网 IP”的概念,你首先要明白何为“ IP 地址”?这个概念很基本,如果你连“IP 地址”也不明白,先自己上网搜一下相关概念的介绍,然后再往下看。
  如果想在家里上网,需要通过 ISP(互联网服务提供商)才能接入互联网。不论你用的是宽带(比如:ASDL、有线通、FTTB)还是老式的 Modem 拨号,ISP 都会分配给你一个公网 IP 地址(以下简称“公网 IP”)。
  如果你在公司/政府机关/企事业单位(以下简称“组织机构”)里上网,其实也差不多。这些组织机构也需要通过 ISP 才能接入互联网。ISP 同样会给每一个组织机构分配公网 IP。和个人用户上网不同,每个组织机构分配的 IP 地址可能不止一个,而且组织结构分配的 IP 地址通常是固定的。

◇公网IP如何暴露你的行踪?


  请看下面的例子:
  假设你是一个愤青,经常在家里上网发帖。某天,你头脑一发热,在某些网站(尤其是党国控制的网站)发表了恶毒攻击党、毁谤国家的言论。
  很多网站会记录用户的访问记录。虽然网站不知道你是谁,但是他们可能会保存如下的用户访问记录:某个公网IP、在某个时间点、发表了某个言论。因此,你的这个抨击党国的行为,就被记录在案了。
  然后,如果你的言论引起了“有关部门”的注意(“有关部门”是传说中某个神秘的部门,其介绍在“这里”),它们会要求该网站提供上述的“用户访问记录”。通过该记录可以知道你发表言论时,所使用的公网 IP 及具体的时间点。
  再然后,有关部门根据这个公网IP,可以判断对应的是哪个 ISP(中国电信、中国网通、中国移动、广电 ...)。然后它们会找到这个 ISP,调阅那个时间段的上网记录。通过这个上网记录,可以知道在那个时间段,这个公网 IP 分配给了哪一个终端用户。
  对 ISP 来说,一旦定位到了终端用户,基本上也就知道你的家庭住址了。然后,有关部门就会直接去敲你家的门。俺估计,当年不幸被跨省追捕的王帅同学,就是这么暴露滴 :(

  刚才说了在家上网的情况,假如你在组织机构里上网,其实也差不多。有关部门照样能通过网站的访问记录,定位到你所在的组织机构的公网 IP。然后就到你上班的地方排查。这时候,距离你的彻底暴露,估计也就是一步之遥了。

◇防范措施之“代理上网”


  要防止因为公网IP而暴露,简单有效的办法,就是通过代理来上网。
  代理又分两种方式:Web代理和代理软件。具体介绍可以参见之前俺写的帖子“如何翻墙?”。
  当你通过代理方式访问某些国内网站并发表言论,这些网站记录下的是那个代理的公网IP,而不是你自身的公网IP。而且,同一个时间段,使用这个代理的人可能很多,因此就难以区分出到底是谁通过代理发表了不良言论。
  再补充一下:如果你使用的是翻墙代理,其代理服务器往往位于境外,而且往往是朝廷无法控制的(比如那些具有法轮功背景的翻墙代理)。这就为网监人员追踪你的真实身份,设置了很大的障碍。

◇防范措施之“公共场所上网”


  在家里使用代理上网,可以防止暴露自家老巢的公网IP。但是,你还可以有另外的法子——干脆不在家上网。你可以拿着自个儿的笔记本电脑,到某些带有WIFI热点的公共场所上网,或者到网吧上网。在这些公共场合的网络中,完成某些敏感的操作。如使用这个招数,要牢记【打一枪换一个地方】的原则,以防万一。
  提醒一下:即使在公共场所上网,最好也使用代理,以增强隐匿的效果。在本系列后面的帖子里,俺会单独写一篇,介绍公共场所上网的注意事项。


★传输内容的防范


  但是,光隐藏公网IP,是远远不够滴!你还需注意传输内容的曝光。

◇传输内容是如何暴露你的行踪?


  请看下面的例子:
  现在,很多大的公司/政府机关,都在内部网络部署了网络审计系统。所谓审计系统,通俗地说,就是进行网络监控的设备。它会实时监视网络间传输的数据内容,并进行分析,然后把分析结果保存下来。通过这种设备,公司的老板们可以了解到哪些员工利用工作时间,干一些不良的活动(比如:看有颜色的网站、打网游、炒股、看视频......)。
  假设你经常上某国内论坛去谩骂伟光正,或者你经常浏览国外的反动网站,没准也会被单位里的审计系统记录在案。到时候你们的网管去查阅审计系统的历史记录,你的小动作就全暴露了。

◇如何防范?


  为了防止你上网的行为被监控,传输的内容被截获,要记住如下两点:

第1点:能用加密协议,就不用明文协议
  比如,Gmail 的 Web 界面同时支持“http 协议”和“https 协议”。这时候,你就一定要用【https】协议。因为 https 是【加密】滴,有助于防止被传输的内容被监视。
  比如某些版本的 MSN messenger 是明文传输聊天内容,你最好别用。要用就得装一些加密聊天内容的 MSN 插件(00后的网友,或许不晓得“MSN messenger”是啥)。

第2点:能用加密代理,就不用明文代理
  无论你用代理软件还是 Web 代理,切记一定得用加密的!不加密的明文代理是不安全的。
  另外,用 VPN 软件去访问敏感网站,也可以防止被审计系统监控。关于 VPN 的介绍,同样可以参见俺之前的帖子“如何翻墙?”。

  今天就先说到这儿。本文聊的都是最基本的,关于网络防范的知识。本系列后面的帖子,俺还会继续聊一些更高级的话题(比如:用多重代理隐匿公网IP用虚拟机隐匿公网IP、公共场所上网的注意事项、等等)
  本系列的下一个帖子,俺会介绍个人软件方面的防范


回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2010/04/howto-cover-your-tracks-1.html

62 条评论

  1. 说得太好了,过来顶一下!

    回复删除
  2. ^_^,希望更多的人会用!

    回复删除
  3. 可以帮助翻墙的梯子还是很多的。关键是网民要主动去寻找、去尝试。

    回复删除
  4. 写的不错,非常时期更需要懂得保护自己

    回复删除
  5. 師父雖然引進門, 修行終究靠個人

    回复删除
  6. 在海外的华人,如何可以做到不暴露自己的IP地址,与国内进行交流。

    回复删除
  7. 楼上的网友:
    如果你在国外,可以考虑用TOR来隐藏自己的IP。

    回复删除
  8. 我在国内用tor获得国外的IP,然后发言,很安全。
    这个回复用的就是tor取得的IP地址。

    回复删除
  9. 我觉得我看到的有点晚,都说了不少了……汗……

    回复删除
  10. 膜拜,自卑了.....
    不过太有用了,及时雨啊,多谢多谢

    回复删除
  11. 为什么WIKI给的不是HTTPS的镜像呢?

    回复删除
  12. 即使使用vpn或tor,仍有可能被flash或javascript泄露本机ip。

    使用不记名的3g卡上网最安全了。

    回复删除
    回复
    1. 不记名的3G上网卡安全吗,不敢苟同。虽然不能直接定位到你个人真实身份,但上网卡是有IMEI号的,每次上网移动运营商也会有记录,基站三角定位的误差也不大。换句话说就好比你在网吧有一台固定机器用他们的IP发帖,虽然你没有用身份证所以网吧小妹不知道你叫什么名字,但不妨碍他们盯上你知道有这么个人。除非你永远不再去这个网吧,否则搞不好哪一天你进门就被按倒在地了。
      只能打一枪换一个地方的到处乱跑,而且联通基站的时间还不能太长……否则就有不少隐患:
      1.你在家/单位之类的地区用这张卡的时间明显较多,所以你家/单位的位置就暴露了。
      2.即使你在某个“安全地点”放心使用这张3G上网卡,但是这张卡已经进入热点名单,警方发现你上网了立刻使用基站定位,你的大概位置也暴露了。
      3.你怎么给这张卡充值呢,恩,买不记名的充值卡对吧,可是每张充值卡都有唯一编号的,追踪到买卡的站点发现你被摄像头拍下来了……
      4.实在不行,你这张3G上网卡被直接禁用……
      没错这些都可能没法直接定位到你个人,但是这就是为啥博主讲的是“隐藏IP”而不是“隐藏你的身份证号”。因为,虽然从IP直接定位到物理个人可能不是100%,但是你的真正IP暴露,就是一个非常大的安全隐患。

      删除
    2. 多谢 1单元 网友的详细留言 :)
      同意你说的,“不记名的3G上网卡”也不是足够安全的。
      要隐匿公网IP,“网络接入方式”不是关键。“使用代理”才是关键(尤其是[b]多重代理[/b])

      删除
  13. to 楼上:
    多谢楼上补充 :)

    你提到的Flash和JS的问题,属于浏览器客户端的范畴。俺会单独写一篇,介绍浏览器的安全隐私问题。

    回复删除
    回复
    1. 博主一直没写关于flash泄漏IP的问题,flash看视频和动画是必要的插件了,到底要不要装这个插件,还有就是JAVA的也是这个问题

      删除
  14. 网吧上网好像都得身份证了现在

    回复删除
  15. TO Lin Xue
    确实,如今网吧管得严了。
    为了隐匿身份,“上网吧”可能还不如“上某些咖啡吧提供的公共 wifi”

    回复删除
  16. 如果我早看到此文,估计就不会被跨省了,希望别人能高度重视安全的问题吧

    回复删除
  17. 菜鸟弱弱地问,在外企上班,网络走国外,还用翻墙么?发帖难道也会出现跨省“追捕”啊 :P

    回复删除
  18. 博主您好!首先非常感信您的帖子!它确实非常有用,对我帮助很大!

    呵呵!小弟还有个问题请教!希望您能抽出一点点时间为我解惑!

    我在大陆,现在使用tor自带的Firefox浏览网页和发帖!由于在大陆无法直接运行tor,于是我在网上买来的V P N软件,登陆v p n后即可运行tor!
    请问我这样搭配使用能保证我的安全吗??

    回复删除
    回复
    1. 最好不要使用来历不明的VPN,自由门、赛风、无界等都可以考虑。

      删除
    2. TO 25楼的网友
      提醒一下,你在多篇博文的留言中,重复提问了 :)
      俺的答复如下:

      你这种做法实际上就是双重代理
      (俺在[url=http://program-think.blogspot.com/2010/04/howto-cover-your-tracks-0.html]《如何隐藏踪迹、避免跨省追捕》系列[/url]介绍过多重代理的使用)

      用 VPN+TOR 构造双重代理,有一点要注意:
      你用的 VPN 是否提供私有的客户端软件?
      如果你用的 VPN 需要安装 VPN 提供商的私有客户端,那就要小心了。一旦 VPN 客户端出现问题(比如有后门),那即使双重代理也无法保护你。
      反之,如果你的 VPN 使用公有的客户端(比如 OpenVPN),那就比较安全了。这种情况下,即使 VPN 提供商监控你的流量,因为 TOR 是加密的,VPN 提供商也无法得知你的上网内容。

      删除
    3. 如果你的 VPN 使用公有的客户端(比如 OpenVPN),那就比较安全了。

      请把使用公有的客户端的VPN(当然也包括OpenVPN)做个专题介绍,无论斯巴达克及GFW是否加大封锁力度,PPTP pn和L2TP VPN都不会走多远,VPN也是翻墙软件的一个重要骨干之一,只有翻墙软件遍地开花,GFW才能早日坍塌,楼主是软件工程师,请多进一份力,其他专业的在这个领域有劲使不上,谢谢。

      删除
    4. TO 3单元的网友
      多谢提建议 :)
      关于 VPN 的安全问题,俺构思一下,抽空写一篇

      删除
  19. 博主不是答应会单独写一篇,介绍公共场所上网的注意事项吗??呵呵 俺可等好久了啊!

    回复删除
    回复
    1. 多谢提醒 :)
      由于俺博客写的话题比较分散,有些系列拖的时间比较大,抱歉!
      关于“公共场所上网”的注意事项,俺会单独写一篇,补充到本系列中

      删除
    2. 呵呵!代广大翻墙人谢谢您了!您可以称得上中华翻墙人的导师了!

      删除
    3. TO 2单元的网友
      承蒙夸奖,实不敢当

      删除
  20. 请问博主!用卡王蹭网卡发帖子安全吗??谢谢

    回复删除
    回复
    1. 个人觉得,只能说如果你不是受监控人物,那么用上tor后,基本不泄露真实ip。
      但做到安全是个很复杂的事情。从你系统有没有病毒,有没有流氓软件,如360等,其他软件有没有后门,如卡王自带的软件安不安全,到你在网上有没有泄露个人信息,如你在很多网站用相同用户名注册,注册时泄露了ip,或注册用的邮箱泄露了ip等。

      删除
    2. 多谢 1单元 网友帮俺回复 :)

      隐匿身份是一个很复杂的问题,涉及到多个层面。
      所以俺专门写了本系列,逐一介绍每个层面。
      本文只是“网络层面”的扫盲

      删除
  21. 谢谢您的解答!呵呵!

    回复删除
  22. google 的 goagent 不知道相对安全不?

    回复删除
    回复
    1. 如果对安全性/隐匿性的要求较高,不推荐用 GoAgent
      GoAgent 没有原生支持 HTTPS
      而且注册 GAE 需要填写手机号。

      删除
  23. 楼主,用ssh的隐匿性如何?谢谢解答

    回复删除
    回复
    1. 弱,用多重代理

      删除
    2. 如果你对隐匿性的要求较高,光用 SSH 是不够滴。
      建议使用 SSH + TOR 构造双重代理
      具体如何配置,请看本系列的后续博文。

      删除
  24. 回复
    1. TO eryueniao889
      多谢捧场 :)
      俺只是略尽微薄之力,希望能帮到一些网友,谈不上“功德” :)

      删除
  25. TO 编程随想
    關於
    Web代理以電信局來說最終還是查的到吧?
    那如完全避免要怎麼做?

    回复删除
    回复
    1. 使用代理的关键在于“加密”和“多重”

      “加密代理”的好处在于,电信运营商(ISP)即使监控你的流量,也无法知道流量的内容。
      而且在这种情况下,ISP 只能知道你连接的代理服务器,而无法知道你通过代理服务器真正访问的网站。

      “多重代理”的好处在于,即使被你访问的目标网站要想逆向追溯你的公网IP,难度也非常非常大。

      其实这两点,本文都已经提到了。
      请注意本文末尾的“如何防范”章节

      删除
  26. “◇防范措施之“公共场所上网”

      在家里使用代理上网,可以防止暴露自家老巢的公网IP。但是,你还可以有另外的法子——干脆不在家上网。你可以拿着自个儿的笔记本电脑,到某些带有WIFI热点的公共场所上网,或者到网吧上网。在这些公共场合的网络中,完成某些敏感的操作。如使用这个招数,要牢记“打一枪换一个地方”的原则,以防万一。
      提醒一下:即使在公共场所上网,最好也使用代理,以增强隐匿的效果。在本系列后面的帖子里,俺会单独写一篇,介绍公共场所上网的注意事项。”


    请问楼主,上面一段所说的相关帖子我怎么找不到,有没有,如果有的话,请给个链接。谢谢了!

    回复删除
    回复
    1. TO Xxb nova
      关于“公共场所上网的防范”,还没写。
      俺会抽空,在本系列后续博文中介绍。

      删除
  27. 刚刚在一个QQ群里聊天,群友给我你的Blog,过来顶顶,学习学习

    回复删除
  28. 内什么,gtalk和skype not tomskype是用什么协议传递消息的?我这蹩脚技术也能查得出来,但是要查上个把小时的,不如麻烦您老人家抽1分钟回个帖了。(吐舌头)

    回复删除
    回复
    1. TO Keith
      Skype 用的协议参见 [url]https://en.wikipedia.org/wiki/Skype_protocol[/url]
      Gtalk 用的是 [url=https://en.wikipedia.org/wiki/XMPP]XMPP[/url]

      删除
  29. Po,我会抽空把你的博文全看一篇,然后再说话。。。。免得悲剧

    回复删除


  30. 博主,您的方案是一种高级武器,像俺这种小白看了,差不多一天
    就搞定:单虚和双虚了, 觉得您写的够地道够详细。 真不知有那
    么多豪猪竟然弄这么久还搞不定,只能说中国的笨猪太多,提的问
    题都是以前重复的,个人觉得对待很多的猪头不必过于认真,聪明
    的,是HK的料的,自然一点就通,那些自己不努力动脑,一味提问
    ,一味靠别人,那还活着干嘛?废柴就是学会,也一样爆掉,隐匿
    术只是一个开始,还有别的方面若不聪明,也照样会爆的,所以大
    众化只是一个愿望,很多人学不会是因为本身的问题,是基因太垃
    圾,所以随兄,不要像孔明一样,事必躬亲,如此把身体熬坏了,
    应当有选择性的回答,对于猪头,就是教一辈子,可能你已经累死
    ,而他还没学会。

    本人自学HK4个月,虽小白,但也努力拼命博览大堆大堆的墙内千
    部VIP教程,大堆大堆的几千部文章和博客,下了海量的千G工具。
    在墙内这般折腾后,很多人都是更迷茫,更无方向,还好,在下
    不才,我的意识到还算是比原更清醒了,方向也算更明确了。 但
    深感墙内学习的艰辛和数不清的屏障,HK这东西,已经被墙内的那
    些“名师”误导的太厉害太久了,一般人几乎学不到最重要,最一
    手,最前沿, 最真实的技术和教程。很多人学了一年半载,依然
    是垃圾,原因很简单,因为别人给他的“VIP”资源,全都是已经和
    谐的,过时,早被遗弃的东西, 所以出不了墙内人才。外国牛自
    然是鄙视大陆了, 你想自己的家里人都在自己骗自己,满地的骗
    子横行,GFW又要努力弄瞎你,可想,怎么可能学成功。

    上个月主要研究乌云和知乎的东西,总算是有一些实话了。
    但还是不够······直到最近才着重的看了您的精华, 真心
    感觉到:墙内学十年,还及不上墙外学一个月,我想只有看过大量
    大量的国内VIP教程和文章的人,走过无数歪路的人,才会明白这种
    感受。

    毫无疑问,您教的全是最为核心的一个部分:“翻墙术”。
    并且是真刀真枪的东西,拿来马上就能用,哪像墙内的那些“奇门
    遁甲”教程,只教你玄乎的,渗水,带毒的,倒钩的,骗钱的,害
    人无穷啊。

    哎·······,墙内形势之一片混沌啊!犹如水浒中的
    南宋········

    特别对于小白,若聪明的,用心精研您的教程的话,那真是
    质的飞跃。
    我是一直注重国外的先进科技的,国内差的不止200年。本身
    HK的原产地就是正宗的老美帝, 可见, 学到国外前沿的技术,那
    才是真正的捷径。大牛们都一样的英语极佳,所以不少的都是移植
    国外的东西,但虽如此,对我等屁民来说,看懂英文教程犹如天书
    ········,总算有幸,能遇上像您这般高手而且还愿教人
    的。墙内估计一辈子也碰不上······
    本人看过无数教程。像您这般简洁,锐利,实战,威力的教程
    。还真没见过,果然是“墙外又一片天”啊。还算走运,俺在挂掉
    前,总算是看到了,算是苍天的一点回报吧,呵呵·······
    ·
    在墙内本身都没有下功夫去研习黑攻的人,我想他们是不会重
    视和珍惜你所给予的“真经”。因为他们经历的还太少,看得还太
    少,不会明白,什么才叫做真正的重点,什么才是次要和垃圾。呵
    呵······ 哪怕是黄金送到眼前,很多人依然弃之如土,原
    因是根本没有花90%的去重视,只要你懂,重视了,再笨都能自己学
    会。

    一点挫折就去问,还一味提问,只能导致你独立能量越来越
    弱化。这个世界从来没人可怜弱者。
    真心希望大家,用心的,单一的,老老实实的先看上教程数
    遍,把动作都模仿会了,评论都看过了,弄熟了,再来发发言,交
    流,
    否则人家随老师也是人,也要吃饭睡觉的,出了大堆珍贵的“真经
    ”难道还不够?你还想怎样。墙内有几人能做到??(我就做不到
    这种奉献·······呵呵,本人较邪恶,呵呵)
    在墙外见随兄犹如:郭靖遇到七公,一招扫半片天。 在墙
    内拜师则:郭靖苦学“黄河四鬼“(甚至还不如)。一辈子下来·
    ······仍然白搭!

    呵呵,本人罗嗦大堆,没和大家分享技术心得,但我想”重视
    “比”学习“更重要。希望大家真心珍惜这些帖子和这个博客,毕
    竟这么好的宝贝已经很少见很少见了,特别对于中国人来说。

    最后想说,对于随兄的付出无以言表,犹如雷雨中的一盏明灯
    。给了我们,这些底层的废菜很多真心实意的东西,很多别人不会
    给的东西,也给了我们继续下去的希望和信心。

    本人:踩石。 献丑了!

    回复删除
  31. 呵呵,总算发成功了,哈哈,多谢随老师和大家

    回复删除
  32. 作为一个的互联网爱好者,保护隐私还是很重要的,博主的文章很获益匪浅.昨天看斯诺登在TED的演讲,作为一个技术人员, 似乎对互联网隐私有了新的认识,

    回复删除
  33. 感觉暂时还没有隐匿的需要,不过看了你推荐的VPN Gate,现在翻墙速度快的飞起~感谢!

    回复删除