王琨

(辽宁警察学院公安信息系，辽宁 大连 116036)

1 引言

当今网络组织、机构面临着很多网络安全方面的挑战，其中需要引起重视的一种挑战就来自于网络匿名代理技术。使用网络匿名代理技术，网络用户可以绕过网络组织预先设置的网络监管规则，访问网络管理者禁止访问的网站，严重扰乱了网络社会的正常秩序：用户绕过网络监管自由访问网站会给企业组织带来恶意软件、违法网络内容、数据丢失等风险。而且由于匿名代理技术固有的访问匿名性特征，许多不法分子在进行网络犯罪的时候往往也会使用网络匿名代理技术，委托代理将其固有的ip修改成代理服务器的ip地址，再进行网络犯罪。这样有关部门在对其犯罪行为进行网络侦查和网络取证时，从被害人的角度看，是代理服务器的ip对其进行了不法侵害；从嫌疑人的角度看，嫌疑人仅仅是访问了某个代理服务器，并没有直接与被害人进行网络交互。而在同一个时间点内，往往有多个用户同时访问一台代理服务器发送网络访问请求，这样不法分子就成功地将其自身的ip混淆在同一时间点内访问该服务器的用户集合中，这些都给网络犯罪的侦查和取证造成了极大的困惑。因此网络匿名代理技术已成为网络犯罪的主要技术支持，危害巨大。

本文以网络匿名代理技术作为研究对象，分析归纳出其数据流的几点特征，再由这些特征作为出发点，提出几种监测和阻断网络匿名代理的方法。

2 探查已知代理服务的方法

2.1 黑名单

如果已知某个ip地址是一个代理服务器，可以通过使用黑名单的方法来封锁这个ip，然后在制定过滤规则的时候就将这个黑名单中的网站全部过滤掉。通常来说，黑名单技术在封锁已知的代理服务时是非常高效的。网关要做的仅仅是查询一下当前网络请求的目标ip是否在黑名单列表中，这个查找的时间复杂度是线性的，对于计算机来说开销很小。黑名单的主要缺点是需要及时更新黑名单中的服务器列表，将新搭建的代理服务器探查出来并加入到黑名单列表中。多数匿名代理服务器为了经济收入，需要吸引用户，所以会在网络上发布广告。网络上存在着许多知名的代理服务广告站点，网络管理者应该频繁访问这些站点，实时更新黑名单中的内容。代理广告网站包括mwolk.com、proxy4free.com等。

此外，也可以使用网络爬虫软件设定相关的关键字，定期分析爬虫得到的相关网页，提取出新的代理服务器地址。分析网页的工具包括linux的shell命令等文本处理语言。比如John Brozycki[1]主张使用curl命令将proxy4free上列举的代理服务器url抓取到本地文件，再使用grep和cut命令从本地文件截取出proxy4free上广告的代理服务器地址和端口。

2.2 TOR的识别

TOR[2]是一种以转发志愿者作为协议基础设施，以TLS/SSL加密机制作为安全保障的一种免费的匿名代理技术。正如名字中所描述的那样，在TOR中转发的数据流包含了多个加密层级，每个层级的密钥都不相同，转发者只能解开最外层的加密层，只能知道其直接的前继和后继转发节点，可以说TOR为其使用者提供了非常可靠的匿名服务。众所周知，深网也是以TOR作为基础创建的。

解密和追踪TOR之间的用户数据流是非常困难的，可以从几个特征出发分析出某台计算机是否在使用TOR协议进行通信。比如TOR的证书的颁发机构和拥有者名称满足www.abc.net模式，abc的长度一般在20个字符范围内；证书的序列号与起效时间相近等，一般不超过两个小时[3]。作为网络管理者，持续观察每个外出的数据流的这些字段的特征是否与TOR的特征相符。如果相符则可认定该用户、该数据流具有重大嫌疑，采取丢弃或者路由重定向、DNS污染、中间人攻击等方法进行封锁。

3 未知代理服务的探查方法

匿名代理服务器经常是从同一个代码模板搭建起来的（CGI、PHP脚本语言）。因此可以从这些代码模板入手，了解代理服务器是如何工作的，进而找到与之交互的网络流的特征，并以这些特征作为探查代理服务器的方法。

使用php代理的时候网络请求的URL符合以下模板：{hostname}/index.php?q={obfuscatedURL}&hl={identifier}。其中hostname是代理服务器的域名，obfuscatedURL是经过网络编码等手段混淆后的非法网站的域名或者是非法的URL。这个模板可以归纳出一个正则表达式：（index.php?q=）.+(&h1).*。可以利用该正则表达式与shell的grep命令配合探查web的log文件里是否包含了使用php代理的记录：Grep‘（index.php?q=）.+(&h1).*’log.txt。同时，正则表达式还可以作为入侵检测系统发出警报的特定条件，一旦正则表达式符合要求，入侵检测系统会向网管发出警报，提醒可能的匿名代理行为。除此之外，CGI等其他模板搭建的代理也有类似的特征，只要认真分析也可以提取出特征、归纳出正则表达式，再配合其他的文字查找工具进行代理行为的探查和预警。

4 混淆请求的探查

在实际应用中，许多网站在处理网络请求时都采用几种主要的网络内容混淆方法，比如Base64编码和ROT13编码。可以将黑名单上的网络域名或者URL使用Base64或者ROT13进行编码。将编码后的结果作为特征值在网络记录中进行文字查找，找出请求访问被封锁网站的那些网络记录，进而追查出哪个用户使用了代理服务。

5 结论

网络匿名代理技术已经成为一把双刃剑。一方面，用户需要匿名技术保证个人隐私不泄露；一方面，非法网络用户利用网络匿名技术在实施网络犯罪的同时隐藏其真实身份。保证网络匿名技术的可审查性是解决这一局面的唯一方案。而审查网络匿名技术包含了网络匿名技术的探查和阻断技术。

本文从实际应用角度具体分析了网络用户在使用匿名代理时产生的数据流的特征数据。这些特征既包括网络请求串的字符特征，也包括各层协议的协议参数特征，并以这些数据作为出发点分别提出了不同的网络匿名代理的探查和阻断方法。实验证明这些方法是有效和适用的。应该建立一种可审查的网络匿名机制。在正常情况下保证用户的匿名性和隐私权。在触及法律的情况下，经过合法审批，网络管理者应该具备追究非法匿名用户信息的权利和能力，这将作为后续的研究工作继续开展。

[1] Brozycki J．Detecting and preventing anonymous proxy usage [J]．SANS Institute，2008．

[2] Dingledine R，Mathewson N，Syverson P．Tor：The second-generation onion router[R]．Naval Research Lab Washington DC，2004．

[3]何高峰，杨明，罗军舟，等．T o r匿名通信流量在线识别方法[J]．软件学报，2013，24(3)：540-556．

[4]王秀芝，石志东，房卫东，等．无线A dh o c网络匿名通信技术研究[J]．计算机应用与软件，2016(2)：89-93．

[5]顾晓丹，杨明，罗军舟，等．针对SSH匿名流量的网站指纹攻击方法[J]．计算机学报，2015(4)：833-845．