77 评论

如何隐藏你的踪迹,避免跨省追捕[1]:网络方面的防范

  前一个帖子介绍了本系列的动机。本帖开始讲正题。
  在网络方面,要想隐藏自己,重点是要保护好自己的真实IP和通讯内容。下面且听俺细细道来。


★网络基础知识


  首先,本文主要谈【网络】方面的防范;其次,本系列的后续很多篇,都会大量涉及网络的相关知识。
  除非你是网络方面的行家,否则的话,俺建议你先【看完】如下这个长篇教程:
计算机网络通讯的【系统性】扫盲——从“基本概念”到“OSI 模型”


★【公网 IP 地址】的防范


  大部分暴露行踪的人,都是因为暴露了自己的【公网 IP】。所以俺首先来聊一下公网 IP 的保护。

◇啥是“IP 地址”?


  要了解“公网 IP”这个概念,你首先得明白何为“IP 地址”?
  对这个概念的解释,参见开头的章节(★网络基础知识)中引用的那篇扫盲教程。

◇“上网行为”与“公网 IP”的关系


  如果在家里上网,需要通过 ISP(互联网服务提供商)才能接入互联网。不论你用的是宽带(比如:ASDL、有线通、FTTB ......)还是老式的电话 Modem 拨号,ISP 都会分配给你一个公网 IP 地址(以下简称“公网 IP”)。对于家庭宽带上网,这个 IP 地址很可能是【动态】滴。
  如果你在公司/政府机关/企事业单位(以下简称“组织机构”)里上网,其实也差不多。这些组织机构也需要通过 ISP 才能接入互联网。ISP 同样会给每一个组织机构分配公网 IP。与“个人用户上网”不同的,每个组织机构分配的 IP 地址可能不止一个,而且组织机构分配的 IP 地址通常是【固定】滴。

◇“公网 IP”如何暴露你的行踪?


  请看下面的例子:
  假设你是一个愤青,经常在家里上网发帖。某天,你头脑一发热,在某些网站(尤其是党国控制的网站)发表了恶毒攻击党、毁谤国家的言论。
  虽然网站不知道你是谁,但是他们可能会保存如下的【用户访问日志】:某个公网IP、在某个时间点、发表了某个言论。因此,你的这个抨击党国的行为,就被记录在案了。
  然后,如果你的言论引起了“有关部门”的注意(“有关部门”是传说中的神秘部门),它们会要求该网站提供上述的【用户访问日志】。通过该记录可以知道你发表言论时,所使用的公网 IP 及具体的时间点。
  再然后,有关部门根据这个【公网 IP】,可以判断对应的是哪个 ISP(中国电信、中国网通、中国移动、广电 ...)。然后它们会找到这个 ISP,调阅那个时间段的【IP 地址分配记录】。通过这个记录,就可以知道:在那个时间段,这个公网 IP 分配给了哪一个终端用户。
  对 ISP 来说,一旦定位到了终端用户,基本上也就知道你的家庭住址了。然后,有关部门就会直接去你家敲门。俺估计,当年不幸被跨省追捕的王帅同学,就是这么暴露滴 :(

  刚才说了“家庭上网”的情况,假如你在组织机构(公司、政府部门)里面上网,其实也差不多。有关部门照样能通过网站的【用户访问日志】,定位到你所在的组织机构的公网 IP。然后就到你上班的地方排查。这时候,距离你的彻底暴露,估计也就是一步之遥了。

◇防范措施之“代理上网”


  要防止因为“公网 IP”而暴露,简单有效的办法,就是通过【代理】来上网。
  代理又分两种方式:“Web 代理 & 代理软件”。(注:俺这里所说的“代理软件”是广义滴,包含 VPN,具体介绍可以参见之前的帖子“如何翻墙?”)
  当你通过代理的方式访问某些国内网站并发表敏感言论,网站服务器记录的是“代理的公网 IP”,而【不是】你自身的公网 IP。而且,同一个时间段,使用这个代理的人可能很多,因此就难以区分出:到底是谁通过代理发表了不良言论。
  再补充一下:如果你使用的是翻墙代理,其代理服务器往往位于境外,而且往往是朝廷无法控制的(比如那些具有法轮功背景的翻墙代理)。这就为网监人员追踪你的真实身份,设置了很大的困难/障碍。

◇防范措施之“公共场所上网”


  在家里使用代理上网,可以防止暴露自家老巢的公网 IP。但是,你还可以有另外的法子——干脆不在家上网。你可以拿着自个儿的笔记本电脑,到某些带有 WiFi 热点的公共场所上网,或者到网吧上网。在这些公共场合的网络中,完成某些敏感的操作。如使用这个招数,要牢记【打一枪换一个地方】的原则,以防万一。
  提醒一下:即使在公共场所上网,最好也使用代理,以增强隐匿的效果。在本系列后面的帖子里,俺会单独写一篇,介绍公共场所上网的注意事项。


★【传输内容】的防范


  前面费了很多口水谈“公网 IP”。但是,光隐藏“公网 IP”是远远不够滴!你还需注意——【网络传输内容】可能会让你曝光。

◇“传输内容”为啥会暴露你的行踪?


  请看下面的例子:
  如今,一些比较大的公司或政府机关,可能会在内部网络部署“网络行为审计系统”。这是啥玩意儿捏?通俗地说,就是进行【网络监控】的设备。它会实时监视网络上传输的数据内容,并进行分析,然后把分析结果保存下来。通过这种设备,公司的老板们可以了解到哪些员工利用工作时间,干一些不良的活动(比如:看有颜色的网站、打网游、炒股、看视频......)。
  假设你经常上某国内论坛去谩骂伟光正,或者你经常浏览国外的反动网站,没准也会被单位里的审计系统记录在案。到时候你们的网管去查阅审计系统的历史记录,你的小动作就全暴露啦。

◇如何防范?


  为了防止你上网的行为被监控,传输的内容被截获,要记住如下两点:

  第1点:能用加密协议,就【别用】明文协议
  比如:很多网站同时支持 HTTP & HTTPS。你一定要用【HTTPS】协议。因为 HTTPS 是【加密】滴,有助于防止被传输的内容被监视。

  第2点:能用加密代理,就【别用】明文代理
  无论你用“代理软件”还是“Web 代理”,一定要确保:你使用的代理是【加密】滴!
  不加密的“明文代理”非常不安全——既容易被入侵,也容易被监控。


★结尾


  今天就先说到这儿。作为本系列的第一篇,本文只是聊【最基本】的技能,而且只是针对【网络】方面。
  今天这篇相当于“热身” :) 在本系列后面的帖子,俺还会聊很多更高级的话题。
  本系列的下一个帖子,俺会介绍个人软件方面的防范

回到本系列的目录


俺博客上,和本文相关的帖子(需翻墙)
计算机网络通讯的【系统性】扫盲——从“基本概念”到“OSI 模型”
如何翻墙?——写在 BlogSpot 被封之后
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2010/04/howto-cover-your-tracks-1.html

77 条评论

  1. 说得太好了,过来顶一下!

    回复删除
  2. 具体方案还是很隐晦= =!

    回复删除
  3. ^_^,希望更多的人会用!

    回复删除
  4. 可以帮助翻墙的梯子还是很多的。关键是网民要主动去寻找、去尝试。

    回复删除
  5. 写的不错,非常时期更需要懂得保护自己

    回复删除
  6. 師父雖然引進門, 修行終究靠個人

    回复删除
  7. 在海外的华人,如何可以做到不暴露自己的IP地址,与国内进行交流。

    回复删除
  8. 楼上的网友:
    如果你在国外,可以考虑用TOR来隐藏自己的IP。

    回复删除
  9. 我在国内用tor获得国外的IP,然后发言,很安全。
    这个回复用的就是tor取得的IP地址。

    回复删除
  10. 我觉得我看到的有点晚,都说了不少了……汗……

    回复删除
  11. 膜拜,自卑了.....
    不过太有用了,及时雨啊,多谢多谢

    回复删除
  12. 为什么WIKI给的不是HTTPS的镜像呢?

    回复删除
  13. 即使使用vpn或tor,仍有可能被flash或javascript泄露本机ip。

    使用不记名的3g卡上网最安全了。

    回复删除
    回复
    1. 不记名的3G上网卡安全吗,不敢苟同。虽然不能直接定位到你个人真实身份,但上网卡是有IMEI号的,每次上网移动运营商也会有记录,基站三角定位的误差也不大。换句话说就好比你在网吧有一台固定机器用他们的IP发帖,虽然你没有用身份证所以网吧小妹不知道你叫什么名字,但不妨碍他们盯上你知道有这么个人。除非你永远不再去这个网吧,否则搞不好哪一天你进门就被按倒在地了。
      只能打一枪换一个地方的到处乱跑,而且联通基站的时间还不能太长……否则就有不少隐患:
      1.你在家/单位之类的地区用这张卡的时间明显较多,所以你家/单位的位置就暴露了。
      2.即使你在某个“安全地点”放心使用这张3G上网卡,但是这张卡已经进入热点名单,警方发现你上网了立刻使用基站定位,你的大概位置也暴露了。
      3.你怎么给这张卡充值呢,恩,买不记名的充值卡对吧,可是每张充值卡都有唯一编号的,追踪到买卡的站点发现你被摄像头拍下来了……
      4.实在不行,你这张3G上网卡被直接禁用……
      没错这些都可能没法直接定位到你个人,但是这就是为啥博主讲的是“隐藏IP”而不是“隐藏你的身份证号”。因为,虽然从IP直接定位到物理个人可能不是100%,但是你的真正IP暴露,就是一个非常大的安全隐患。

      删除
    2. 多谢 1单元 网友的详细留言 :)
      同意你说的,“不记名的3G上网卡”也不是足够安全的。
      要隐匿公网IP,“网络接入方式”不是关键。“使用代理”才是关键(尤其是[b]多重代理[/b])

      删除
    3. 如果使用越南的4g卡如何呢?

      删除
    4. TO 3单元
      越南互联网也不自由,越共和中共沆瀣一气。

      删除
  14. to 楼上:
    多谢楼上补充 :)

    你提到的Flash和JS的问题,属于浏览器客户端的范畴。俺会单独写一篇,介绍浏览器的安全隐私问题。

    回复删除
    回复
    1. 博主一直没写关于flash泄漏IP的问题,flash看视频和动画是必要的插件了,到底要不要装这个插件,还有就是JAVA的也是这个问题

      删除
  15. 网吧上网好像都得身份证了现在

    回复删除
  16. TO Lin Xue
    确实,如今网吧管得严了。
    为了隐匿身份,“上网吧”可能还不如“上某些咖啡吧提供的公共 wifi”

    回复删除
  17. 如果我早看到此文,估计就不会被跨省了,希望别人能高度重视安全的问题吧

    回复删除
  18. 菜鸟弱弱地问,在外企上班,网络走国外,还用翻墙么?发帖难道也会出现跨省“追捕”啊 :P

    回复删除
  19. 博主您好!首先非常感信您的帖子!它确实非常有用,对我帮助很大!

    呵呵!小弟还有个问题请教!希望您能抽出一点点时间为我解惑!

    我在大陆,现在使用tor自带的Firefox浏览网页和发帖!由于在大陆无法直接运行tor,于是我在网上买来的V P N软件,登陆v p n后即可运行tor!
    请问我这样搭配使用能保证我的安全吗??

    回复删除
    回复
    1. 最好不要使用来历不明的VPN,自由门、赛风、无界等都可以考虑。

      删除
    2. TO 25楼的网友
      提醒一下,你在多篇博文的留言中,重复提问了 :)
      俺的答复如下:

      你这种做法实际上就是双重代理
      (俺在[url=http://program-think.blogspot.com/2010/04/howto-cover-your-tracks-0.html]《如何隐藏踪迹、避免跨省追捕》系列[/url]介绍过多重代理的使用)

      用 VPN+TOR 构造双重代理,有一点要注意:
      你用的 VPN 是否提供私有的客户端软件?
      如果你用的 VPN 需要安装 VPN 提供商的私有客户端,那就要小心了。一旦 VPN 客户端出现问题(比如有后门),那即使双重代理也无法保护你。
      反之,如果你的 VPN 使用公有的客户端(比如 OpenVPN),那就比较安全了。这种情况下,即使 VPN 提供商监控你的流量,因为 TOR 是加密的,VPN 提供商也无法得知你的上网内容。

      删除
    3. 如果你的 VPN 使用公有的客户端(比如 OpenVPN),那就比较安全了。

      请把使用公有的客户端的VPN(当然也包括OpenVPN)做个专题介绍,无论斯巴达克及GFW是否加大封锁力度,PPTP pn和L2TP VPN都不会走多远,VPN也是翻墙软件的一个重要骨干之一,只有翻墙软件遍地开花,GFW才能早日坍塌,楼主是软件工程师,请多进一份力,其他专业的在这个领域有劲使不上,谢谢。

      删除
    4. TO 3单元的网友
      多谢提建议 :)
      关于 VPN 的安全问题,俺构思一下,抽空写一篇

      删除
    5. 蓝灯也不错。

      删除
    6. 当年公共场所上网还不需要习明制的,短短十年,翻天覆地的变化呀,现在是个大点的地方都需要验证手机号。而且只支持+86,虚拟号码都不行。

      删除
  20. 博主不是答应会单独写一篇,介绍公共场所上网的注意事项吗??呵呵 俺可等好久了啊!

    回复删除
    回复
    1. 多谢提醒 :)
      由于俺博客写的话题比较分散,有些系列拖的时间比较大,抱歉!
      关于“公共场所上网”的注意事项,俺会单独写一篇,补充到本系列中

      删除
    2. 呵呵!代广大翻墙人谢谢您了!您可以称得上中华翻墙人的导师了!

      删除
    3. TO 2单元的网友
      承蒙夸奖,实不敢当

      删除
  21. 请问博主!用卡王蹭网卡发帖子安全吗??谢谢

    回复删除
    回复
    1. 个人觉得,只能说如果你不是受监控人物,那么用上tor后,基本不泄露真实ip。
      但做到安全是个很复杂的事情。从你系统有没有病毒,有没有流氓软件,如360等,其他软件有没有后门,如卡王自带的软件安不安全,到你在网上有没有泄露个人信息,如你在很多网站用相同用户名注册,注册时泄露了ip,或注册用的邮箱泄露了ip等。

      删除
    2. 多谢 1单元 网友帮俺回复 :)

      隐匿身份是一个很复杂的问题,涉及到多个层面。
      所以俺专门写了本系列,逐一介绍每个层面。
      本文只是“网络层面”的扫盲

      删除
  22. 谢谢您的解答!呵呵!

    回复删除
  23. google 的 goagent 不知道相对安全不?

    回复删除
    回复
    1. 如果对安全性/隐匿性的要求较高,不推荐用 GoAgent
      GoAgent 没有原生支持 HTTPS
      而且注册 GAE 需要填写手机号。

      删除
  24. 楼主,用ssh的隐匿性如何?谢谢解答

    回复删除
    回复
    1. 弱,用多重代理

      删除
    2. 如果你对隐匿性的要求较高,光用 SSH 是不够滴。
      建议使用 SSH + TOR 构造双重代理
      具体如何配置,请看本系列的后续博文。

      删除
  25. 回复
    1. TO eryueniao889
      多谢捧场 :)
      俺只是略尽微薄之力,希望能帮到一些网友,谈不上“功德” :)

      删除
  26. TO 编程随想
    關於
    Web代理以電信局來說最終還是查的到吧?
    那如完全避免要怎麼做?

    回复删除
    回复
    1. 使用代理的关键在于“加密”和“多重”

      “加密代理”的好处在于,电信运营商(ISP)即使监控你的流量,也无法知道流量的内容。
      而且在这种情况下,ISP 只能知道你连接的代理服务器,而无法知道你通过代理服务器真正访问的网站。

      “多重代理”的好处在于,即使被你访问的目标网站要想逆向追溯你的公网IP,难度也非常非常大。

      其实这两点,本文都已经提到了。
      请注意本文末尾的“如何防范”章节

      删除
  27. “◇防范措施之“公共场所上网”

      在家里使用代理上网,可以防止暴露自家老巢的公网IP。但是,你还可以有另外的法子——干脆不在家上网。你可以拿着自个儿的笔记本电脑,到某些带有WIFI热点的公共场所上网,或者到网吧上网。在这些公共场合的网络中,完成某些敏感的操作。如使用这个招数,要牢记“打一枪换一个地方”的原则,以防万一。
      提醒一下:即使在公共场所上网,最好也使用代理,以增强隐匿的效果。在本系列后面的帖子里,俺会单独写一篇,介绍公共场所上网的注意事项。”


    请问楼主,上面一段所说的相关帖子我怎么找不到,有没有,如果有的话,请给个链接。谢谢了!

    回复删除
    回复
    1. TO Xxb nova
      关于“公共场所上网的防范”,还没写。
      俺会抽空,在本系列后续博文中介绍。

      删除
  28. 刚刚在一个QQ群里聊天,群友给我你的Blog,过来顶顶,学习学习

    回复删除
  29. 内什么,gtalk和skype not tomskype是用什么协议传递消息的?我这蹩脚技术也能查得出来,但是要查上个把小时的,不如麻烦您老人家抽1分钟回个帖了。(吐舌头)

    回复删除
    回复
    1. TO Keith
      Skype 用的协议参见 [url]https://en.wikipedia.org/wiki/Skype_protocol[/url]
      Gtalk 用的是 [url=https://en.wikipedia.org/wiki/XMPP]XMPP[/url]

      删除
  30. Po,我会抽空把你的博文全看一篇,然后再说话。。。。免得悲剧

    回复删除


  31. 博主,您的方案是一种高级武器,像俺这种小白看了,差不多一天
    就搞定:单虚和双虚了, 觉得您写的够地道够详细。 真不知有那
    么多豪猪竟然弄这么久还搞不定,只能说中国的笨猪太多,提的问
    题都是以前重复的,个人觉得对待很多的猪头不必过于认真,聪明
    的,是HK的料的,自然一点就通,那些自己不努力动脑,一味提问
    ,一味靠别人,那还活着干嘛?废柴就是学会,也一样爆掉,隐匿
    术只是一个开始,还有别的方面若不聪明,也照样会爆的,所以大
    众化只是一个愿望,很多人学不会是因为本身的问题,是基因太垃
    圾,所以随兄,不要像孔明一样,事必躬亲,如此把身体熬坏了,
    应当有选择性的回答,对于猪头,就是教一辈子,可能你已经累死
    ,而他还没学会。

    本人自学HK4个月,虽小白,但也努力拼命博览大堆大堆的墙内千
    部VIP教程,大堆大堆的几千部文章和博客,下了海量的千G工具。
    在墙内这般折腾后,很多人都是更迷茫,更无方向,还好,在下
    不才,我的意识到还算是比原更清醒了,方向也算更明确了。 但
    深感墙内学习的艰辛和数不清的屏障,HK这东西,已经被墙内的那
    些“名师”误导的太厉害太久了,一般人几乎学不到最重要,最一
    手,最前沿, 最真实的技术和教程。很多人学了一年半载,依然
    是垃圾,原因很简单,因为别人给他的“VIP”资源,全都是已经和
    谐的,过时,早被遗弃的东西, 所以出不了墙内人才。外国牛自
    然是鄙视大陆了, 你想自己的家里人都在自己骗自己,满地的骗
    子横行,GFW又要努力弄瞎你,可想,怎么可能学成功。

    上个月主要研究乌云和知乎的东西,总算是有一些实话了。
    但还是不够······直到最近才着重的看了您的精华, 真心
    感觉到:墙内学十年,还及不上墙外学一个月,我想只有看过大量
    大量的国内VIP教程和文章的人,走过无数歪路的人,才会明白这种
    感受。

    毫无疑问,您教的全是最为核心的一个部分:“翻墙术”。
    并且是真刀真枪的东西,拿来马上就能用,哪像墙内的那些“奇门
    遁甲”教程,只教你玄乎的,渗水,带毒的,倒钩的,骗钱的,害
    人无穷啊。

    哎·······,墙内形势之一片混沌啊!犹如水浒中的
    南宋········

    特别对于小白,若聪明的,用心精研您的教程的话,那真是
    质的飞跃。
    我是一直注重国外的先进科技的,国内差的不止200年。本身
    HK的原产地就是正宗的老美帝, 可见, 学到国外前沿的技术,那
    才是真正的捷径。大牛们都一样的英语极佳,所以不少的都是移植
    国外的东西,但虽如此,对我等屁民来说,看懂英文教程犹如天书
    ········,总算有幸,能遇上像您这般高手而且还愿教人
    的。墙内估计一辈子也碰不上······
    本人看过无数教程。像您这般简洁,锐利,实战,威力的教程
    。还真没见过,果然是“墙外又一片天”啊。还算走运,俺在挂掉
    前,总算是看到了,算是苍天的一点回报吧,呵呵·······
    ·
    在墙内本身都没有下功夫去研习黑攻的人,我想他们是不会重
    视和珍惜你所给予的“真经”。因为他们经历的还太少,看得还太
    少,不会明白,什么才叫做真正的重点,什么才是次要和垃圾。呵
    呵······ 哪怕是黄金送到眼前,很多人依然弃之如土,原
    因是根本没有花90%的去重视,只要你懂,重视了,再笨都能自己学
    会。

    一点挫折就去问,还一味提问,只能导致你独立能量越来越
    弱化。这个世界从来没人可怜弱者。
    真心希望大家,用心的,单一的,老老实实的先看上教程数
    遍,把动作都模仿会了,评论都看过了,弄熟了,再来发发言,交
    流,
    否则人家随老师也是人,也要吃饭睡觉的,出了大堆珍贵的“真经
    ”难道还不够?你还想怎样。墙内有几人能做到??(我就做不到
    这种奉献·······呵呵,本人较邪恶,呵呵)
    在墙外见随兄犹如:郭靖遇到七公,一招扫半片天。 在墙
    内拜师则:郭靖苦学“黄河四鬼“(甚至还不如)。一辈子下来·
    ······仍然白搭!

    呵呵,本人罗嗦大堆,没和大家分享技术心得,但我想”重视
    “比”学习“更重要。希望大家真心珍惜这些帖子和这个博客,毕
    竟这么好的宝贝已经很少见很少见了,特别对于中国人来说。

    最后想说,对于随兄的付出无以言表,犹如雷雨中的一盏明灯
    。给了我们,这些底层的废菜很多真心实意的东西,很多别人不会
    给的东西,也给了我们继续下去的希望和信心。

    本人:踩石。 献丑了!

    回复删除
  32. 呵呵,总算发成功了,哈哈,多谢随老师和大家

    回复删除
  33. 作为一个的互联网爱好者,保护隐私还是很重要的,博主的文章很获益匪浅.昨天看斯诺登在TED的演讲,作为一个技术人员, 似乎对互联网隐私有了新的认识,

    回复删除
  34. 感觉暂时还没有隐匿的需要,不过看了你推荐的VPN Gate,现在翻墙速度快的飞起~感谢!

    回复删除
  35. 没有前置代理,或者tor网络,用代理软件,或者在公共网络用代理软件对网络隐匿的效果很小吧,网络流量很可能先走本地再走代理,这样很容易暴露行踪吧。

    回复删除
  36. 请问博主大大,现在我是使用的SS+finalspeed的,我现在也只是阅读或者观看之类的举动,并未发布任何信息,如果发布不良信息,在不使用虚拟机的情况下,这样的爬墙方式是否安全呢。

    回复删除
  37. 创建没有电话号码验证的Gmail帐户:
    [url=https://www.earngurus.com/create-gmail-account-without-phone-number/]Create Gmail Account Without Phone Number Verification[/url]

    回复删除
    回复
    1. 这一切都是在未加tor的情况下进行的。
      不加tor的情况下逃过电话验证不是大的难事,如果不加tor就算不要电话验证意义也不大。
      而如果加tor肯定是要电话号码验证的。

      删除
  38. 谢谢编程兄。
    请教以下两种方式,哪种匿名性更好,更难被定位:
    1、笔记本使用有线宽带连网(公司路由)
    2、笔记本使用移动或联通4G网络连网

    回复删除
    回复
    1. 入口現在大多都是實名,真的介意可以隨意找個公衆網。
      高危搞運動的人士建議放棄Windows,多少層代理也可以找到真實IP。

      删除
  39. 博主,请问一下,我是不是去买个MACbook,专职一些敏感工作,平常日常工作学习用主电脑,上一些敏感网站用MacBook,挂上ssr,做好各种防护措施,如果有人来敲门,直接把MacBook藏起来,如果出大事了就偷偷销毁,这样的处理是不是比较好

    回复删除