■河南 刘景云

发现非法代理服务器踪迹

非法利用代理服务，虽然为个别用户随意上网带来了方便，不过却给整个局域网带来了危险。一旦病毒木马侵入内网，造成内网病毒横行，就会影响单位的日常工作。如何才能从众多的主机中迅速找到非法的代理服务器呢？这里举例来分析具体案例，例如，单位内网只允许A、B、C、D（代表真实电脑名称，假设B主机为网关）等电脑返回访问外网，假设有内网用户利用各种方法（例如物理接触、内网渗透等）在A主机上安装了CCProxy这款著名的代理服务器软件，在CCProxy工具栏中点击设置按钮，在设置窗口中只勾选“HTTP/RTSP”项，并将端口设置为8080，而不选择其余服务，之后保存配置信息。

之后该内网用户在本机上打开IE属性窗口，在“连接”面板中点击“局域网设置”按钮，勾选“为LAN使用代理服务器”项，并输入A主机的IP地 址（假 设 为 192.168.0.10）和8080端口号。这样，该用户打开IE，就可以顺利地访问外网了。如果别的用户如此效仿，内网安全性就会大大降低。如何才能快速找到被设置了代理服务的主机呢？我们在B主机上运行代理猎手这款软件，在其主界面中点击菜单“系统”-“参数设置”项，在设置窗口（如图1所示）中的“验证数据设置”面板中点击“添加”按钮，在“验证名”栏中输入名称，这个可以随意输入（例如CheckProxy等），在“验证地址”栏中随意输入一个网址，例如“www.xxx.com”等。在“特征字串”栏中输入“”，这是因为不管内网用户使用代理服务器访问任意网站，在传输的数据中都必然包含上述特征字符串，之后点击确定按钮，返回代理猎手主界面。

点击“添加任务”按钮，在操作向导界面中的“任务类型”列表中选择“搜索网址范围”项，在下一步窗口中点击“添加”按钮，在弹出窗口中的“地址范围类型”列表中选择“起止地址范围”，在其下输入检测的IP范围，这可以根据内网地址范围而定，例如192.168.0.1到192.168.0.99等。在下一步窗口中点击“添加”按钮，在添加端口和协议窗口中选择“端口范围”项，输入搜索的端口范围，在协议列表中可以选择HTTP、SOCKS以及未知等类型，这里选择“HTTP”，勾选“必搜”项，允许代理猎手搜索指定的端口。当然，您可以根据需要，添加多个端口和协议检测项目。

点击完成按钮，在代理猎手工具栏上点击开始搜索按钮，该程序就开始在指定的IP范围内，搜索所有各户条件的代理信息。很快，在“搜索结果”面板中就会将安装了代理服务器主机显示出来，在“服务器地址”列中显示安装了其具体内网地址、端口号等信息。假设为192.168.0.11，该地址和A主机对应。点击“验证”按钮，在弹出窗口中获取了预设地址的代码信息，可以很清楚地看到具体的代理服务器地址。

仅仅找到了具体的代理服务器主机还是不够的，还需要顺藤摸瓜将非法使用代理服务的内网用户找出来，这就需要使用嗅探软件了，例如可以使用SpyNet这款局域网抓包工具来完成上述任务。还是在B主机上运行SpyNet，当初次运行SpyNet时，在弹出的操作向导窗口中选择网卡对象，点击确定按钮进入其主界面，在SpyNet主界面左侧点击“Modify filter”按钮，可以设置过滤条件，包括网络协议类型等内容，默认捕获所有的数据包。点击菜单“Capture”-“Start”项，执行嗅探动作。所有进出B主机的网络数据全部显示在监控列表中，从中不难发现连接代理服务器的内网主机信息，例如，内网IP为192.168.0.91的主机和A主机的8080端口进行了通讯，根据该主机的IP信息，很容易找到具体的责任人。

限制代理服务

使用代理服务，虽然可以让内网用户实现穿越防火墙自由上网的目的，但是也会给内网安全带来很大的威胁，而且黑客也会通过Socket代理的方式来对内网进行入侵。因此，为了保障内网的安全，就需要对内网中存在的代理服务进行检测和拦截。使用亿特上网管理专家这款软件，就可以轻松实现上述功能。其使用方法并不复杂，在网关服务器上安装该软件，就可以对内网用户进行有效的管理，而无需在客户端上安装任何软件，当局域网用户试图通过HTTP或者Socks代理服务突破限制随意上网时，该行为就会被该软件检测到并被拦截。

先在服务器上安装该软件，之后在本地连接属性中点击“安装”按钮，在弹出窗口中双击“服务”项，在选择网络服务窗口中点击“从磁盘安装”按钮，选择亿特上网管理专家安装包中的“netFilter.inf”文件，在安装过程中忽略系统弹出的驱动未经许可的警告提示，之后按照提示选择安装包中的“YitSNME.sys”文件，完成安装操作。在本地连接窗口中的“常规”面板中显示名为“亿特上网管理专家”的网络服务项目。注意：在该列表中只保留TCP/IP协议，其余的协议应该全部删除，主要作用就是为了避免内网中的有些用户摆脱该软件的控制，在CMD窗口中执行“C:YitSNMEYitSNMES.exe/install” 和“net start YitSNMEServices”命令，启动名 为“YitSNMEServices”的服务。这里的“C:YitSNME”为该软件安装路径，如果您改变了其安装路径，需要对其进行相应的调整。

启动安装包中的“YitSNMEM.exe”程序，在登录窗口的“用户名”栏中输入“admin”，密码默认为空，点击登录按钮，在自动弹出的向导界面中选择服务器上连接内网的网卡，点击下一步按钮，在“IP地址”栏中输入服务器的内网IP地址，在下一步窗口中输入内网的IP地址范围，点击下一步按钮，在系统设置窗口（如图2所示）中的“代理服务器类型”栏中选择所需的代理类型，包括应用型代理和网关型代理等，这里选择后者。

在“身份验证方式”栏中选择所需的验证方式，包括读取域控制器账号和自检账号库。如果选择前者，表示导入本局域网域账户名称，可以将使用已经存在账户列表。为了方便起见，这里选择后者。在“控制方式”栏中选择“用户通过服务器上网”项，来对其上网行为进行合理控制。在“其他参数”栏中选择“登录账户惟一性检查”项，保证上网的安全性。在“控制方式”栏中可以设置引用控制策略的方式，包括按照IP地址引用控制策略、按照MAC地址引用控制策略、按照用户账号引用控制策略等，您可以根据需要进行选择，这里选择按照IP地址引用控制策略，最后点击完成按钮，保存配置参数。

亿特上网管理专家提供了非常强悍的网络管理功能，可以控制内网中各账户的上网时间、流量、使用的端口、过滤IP、强制Web登录等，为管理员提供了完美的日志记录功能。和大多数安全软件类似，亿特上网管理专家也是通过安全策略，来对用户的上网行为进行管理的。例如，要使用代理控制控制功能，需要添加对应的控制规则，在窗口左侧点击“控制策略”按钮，在右侧窗口中点击“添加用户策略”按钮，在增加控制策略窗口（如图3所示）中的“策略编号”栏中输入对应的编号，例如“1”。“策略名称”栏中输入策略名（例如“控制代理服务”），在“策略描述”栏中输入描述信息。在“控制策略”栏中选择“禁止使用HTTP代理”和“禁止使用SOCKS代理”项。当然，也可以选择“启用时间限制”、“启用目的端口限制”、“启用目的地址限制”、“启用连接数限制”、“启用带宽分配”、“启用网址过滤”、“禁止新版QQ使用TCP协议登录”等控制项目，来实现更加复杂的控制功能。点击确定按钮，完成本规则的创建操作。

当亿特上网管理专家运行后，服务器的代理上网功能已经被其接管，如果内网用户想顺利上网，必须使用预设的账户才可以通过其审核，该软件采用了分组管理上网账号的方式，便于有效管理内网用户的上网需求。例如，将需要控制的内网用户添加到指定的组中，便于为其指派上网策略，在左侧窗口中点击“时间策略”项，在右侧工具栏上点击“添加时间策略”按钮，在弹出窗口中的输入该策略名称，例如“全部时间”。之后点击右侧窗口中的“添加时间策略”项目按钮，在打开窗口中的设置和结束的星期数，例如从星期一到星期七，输入开始和结束时间，例如从“00:00:00” 到“23:59:59”，在“控制策略”列表中选择上述名为“控制代理服务”的策略，点击确定按钮，完成该时间策略项目的配置。

在窗口左侧点击“账户管理”项，在右侧工具栏上点击“添加账户”-“新建组账号”按钮，在弹出窗口中设置合适的组编号，输入组名称和描述信息，在“时间策略”列表中选择上述名为“全部时间”的策略项，点击确定按钮，就可以让该组中的所有账户在全部的时间段中接受预设的代理策略的管控。在该组名的右键菜单上点击“新建个人账户”项，在弹出窗口照片那个输入其编号、账户名、全名、密码、域名、描述信息等参数。如果允许其自行更改密码，可以取消“用户不得更改密码”项的选择状态，取消“账号永久有效”项的选择状态，在“有效期”栏中设置其有限期限，其余的设置项目保持默认，点击确定按钮，完成该账户的创建操作。按照同样的方法，可以为内网中的全部用户分别创建上网账号，当这些账户上网后全部受到预设策略的约束，不管其使用的HTTP代理或者SOCKS代理，都会被亿特上网管理专家检测到并被拦截。当然，黑客试图通过Socket代理入侵内网的企图也会被该软件粉碎。