文件名称 : 近期突破网络封锁的一些方法
MD5 : 9f79dd8c55fa9d647effa1fa9cc1cd35
SHA1 : acafda5d13bb9ca75ca1fe85cc05e587e4dae974
来源:http://www.tiandixing.org/download/file.php?id=10734
Tor软件教程
进 阶 篇
一、tor常见问题说明
1、tor工作原理图
SocksCap32和Privoxy用于Tor组合,目地是保证安全,保护隐私。
SocksCap32的作用是应用程序的Socks化,它将基于内部的http请求转换为Socks,配合其他软件改变源和目地IP地址,甚至改变TCP或UDP头,从而安全隐身。协议转换、安全匿名是其主要功能。
Privoxy的作用是代理服务,它提供http代理服务(端口8118),通过在浏览器中设置127.0.0.1:8118代理,可将浏览器的HTTP请求经由Privoxy映射到Tor(端口9050),再经Tor访问目标网站。它也能够从发送和接收的数据中清除或抹掉个人隐私数据及一些恶意网页脚本、代码等。
3、出口节点泄密问题
�入Tor网络后,加密信息在路由器间传递,最后到达“退出节点”(exit node),明文数据从这个节点直接发往原来的目的地。
如果“退出节点”(即出口节点)是一个陷阱节点,http明文传输的信息都能被获取。虽然不知信息的来源,但如果明文数据中包括了某些机密信息,如用户ID、密码等,是可以被截获的。
解决方安案一个是使用HTTPS连接,全程加密;另外可以使用破网软件的tor模式,也可以解决这个问题。如登陆明慧信箱可以这样:https://webmail.minghui.org/,注意是https而不是http的形式。
二、Tor组合包的几种使用方式
1、SocksCap32组合
在SocksCap32里打开IE浏览器来浏览被封锁的网站,这种情况是使用SocksCap32通过tor联网,没有使用Privoxy。
2、Privoxy组合
直接启动浏览器,然后设置浏览器使用代理Http代理127.0.0.1:8118来突破封锁。这种情况是使用Privoxy通过tor连网的,没有用到SocksCap32。适合SocksCap与某些软件有冲突的情况下使用。
3、SocksCap32 兼 Privoxy 组合
从Sockscap32中打开IE并设IE代理为127.0.0.1:8118。
这种组合方式比前面2种更安全,其数据流向是IE-> SocksCap32-> Privoxy->Tor->目标网站,返回时循同一路径以相反方向返回IE。
在 测试这个组合中也发现一个有趣的现象,就是如果从Sockscap32启动IE,并设置IE代理为127.0.0.1的本地代理,那么数据流向是不经过 Tor的;比如IE代理设置为MultiProxy的127.0.0.1:8088时,数据流向是:IE-> Sockscap32->MultiProxy-> MultiProxy代理->目标网站,返回时从原路径相反方向返回。当然如果我们使用的是SocksCap32 兼 Privoxy 组合,因为Privoxy设置了要使用Tor,所以会经过Tor访问目标网站。
还有一个现象,就是如果从Sockscap32启动IE,并设置IE使用一个外部代理,这时数据流向:IE-> Sockscap32->Tor->外部代理->目标网站;虽然数据流向经过了Tor,但是Tor提示本地解析DNS,也不安全。
应该说二者各有各的优点,如前所述,非IE类浏览器单独使用SocksCap32组合时,可能存在不遵循设定直接上网和本地DNS解析漏洞等风险;而Privoxy组合应该不存在这个问题,只要在浏览器里设置了使用代理127.0.0.1:8118就一般会经Privoxy->Tor上网并远端解析域名。但是SocksCap32隐藏真实IP的能力比Privoxy要强,在开启浏览器Java、Javascript、VBScritp等选项的情况下到一些网站测试,SocksCap32组合能隐藏IP,而单纯使用Privoxy组合不能隐藏真实IP。根据二者的不同特点,笔者的建议是,上国外禁网使用Privoxy组合或SocksCap32 兼 Privoxy 组合;上国内论坛使用IE浏览器配合SocksCap32组合或者SocksCap32 兼 Privoxy 组合。
笔者倾向于使用IE浏览器,同时无论什么浏览器,都建议使用SocksCap32 兼 Privoxy 组合。尤其火狐(Firefox)等非IE类浏览器,由于使用SocksCap32组合时存在不遵循设定直连上网和DNS本地解析的漏洞,所以不能用于SocksCap32组合。
依据一,是否遵循设定。
系统windows98/2K,经在线网站真实IP测试,我发现Tor组合应用中,浏览器在SocksCap32里启动,有以下现象:
Firefox和Opera中不设置代理,居然不经过设定直连上普通网站。
Firefox中设置本机socks代理127.0.0.1:9050,虽然通过Tor连网,但Tor提示DNS解析在本地,且SocksCap32没有发挥作用,少了一道屏障,不安全。
Firefox中设置外部http代理,也没有经过Tor。
K-Meleon中不设置本机代理和设置外部代理两种情况下,均遵循设定通过:
SocksCap32→Tor→(http代理)→目标网站。
Opera不支持socks代理,不能在浏览器中设置本机代理127.0.0.1:9050。
IE类浏览器就不会出现不遵循设定的现象。
上 述现象的原因,我推想是IE类浏览器因IE内核与系统紧密结合,能与SocksCap32程序高度吻合。Firefox、Opera是非IE内核浏览器独 立于系统之上,与系统之间似有天然屏障,会发生SocksCap32程序捕获不到请求。还有Sockscap32是应用程序级别的socks化工具,如果 换用系统级别的socks化工具,如Permeo Security Driver,就不会发生绕开现象。K-Meleon(K-MeleonCCF)的表现优秀是因为它专门为windows系统设计和优化,新版使用 Windows Native Interface,没有使用XUL,因此K-Meleon虽然基于Firefox 1.0 相同的Mozilla引擎版本Gecko 1.7.5,就没有出现上述现象。
依据二,DNS信息泄漏
如果你要访问一个网页,你的浏览器必须将你输入的网址发送到DNS服务器�行域名查询,转换成IP地址后发送回你的浏览器,这样你的浏览器就通过这个IP地址访问这个网页了。
但这个域名解析的过程中,DNS服务器记录到了你的真实IP和你要访问的网址,破坏了你的匿名性。所以就要求远程解析域名,即用代理服务器来解析域名。
DNS 使用UDP协议,端口53,它存在泄漏主机名和其它信息的安全问题。当对DNS请求区传输(Zone transfer)及两个DNS�行数据动态更新时,则使用TCP协议。非IE浏览器更易出现请求通过本地的DNS或直接的IP访问,可能被入侵者利用。 官方网站有简单说明,另外Tor使用时DOS窗口会有相关提示(如下图)。
Privoxy程序同时支持TCP和UDP协议,通过其代理和映射功能,可以可靠的�行远程域名解析,防止信息泄漏。
Tor 工具在本机运行一个洋葱代理服务器(onion proxy),这个代理周期性地与其他Tor交流,从而在Tor网络中构成虚拟环路(virtual circuit)。Tor是在7层protocol stack中的application layer�行加密(也就是按照’onion’的 模式)。而它之所以被称为onion是因为它的结构就跟洋葱相同,你只能看出它的外表而想要看到核心就必须把它层层的剥开。即每个router间的传输都 经过symmetric key来加密,形成有层次的结构。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包再里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以 保持通讯安全。同时对于客户端,洋葱代理服务器又作为SOCKS接口。一些应用程序就可以将Tor作为代理服务器,网络通讯就可以通过Tor的虚拟环路来 �行。
�入Tor网络后,加密信息在路由器间传递,最后到达“退出节点”(exit node),明文数据从这个节点直接发往原来的目的地。对于目的主机而言,是从“退出节点”发来信息。
Tor为了保证DNS解析的安全,要求“退出节点”(exit node)�行域名解析,因为Tor提供的是Socks代理,Socks代理有三种类型:Socks4、Socks4a和Socks5。
目前已证实:Socks4代理无法将要查询的域名传递到“退出节点”(exit node)�行解析,应用程序根本不经过Tor的代理就直接用了本地的DNS解析域名。
Socks4a代理在Socks4的基础上做了一些改动,可以完全将要查询的域名传递到“退出节点”(exit node)�行解析,不会发生DNS解析泄漏。
Socks5代理就比较复杂了。有些程序可以,有些程序不行。据Tor的研究人员发现:目前用Socks 5代理不会发生DNS解析泄漏的应用程序只有苹果公司的Safari浏览器,绝大多数的应用程序都有可能跳过代理设置,直接解析。或多或少都存在DNS泄漏的问题。
四、如果局域网通过代理上网,如何使用Tor
可在torrc文件中作如下设置一试:
HttpProxy host:port Tor 访问目录服务器将使用该代理; HttpProxyAuthenticator username:password 若该代理需要“用户名/密码”认证,就增加这一行;
HttpsProxy host:port Tor 访问节点服务器的代理设置,需支持 https 通过;
HttpsProxyAuthenticator username:password 若该代理需要“用户名/密码”认证,就增加这一行;
以添加莲花代理为例,使用莲花代理里的有效代理寻找tor节点是常用的方法,当然也可以其它代理调度软件或破网软件的代理。前提是莲花代理中有有效的SSL代理。
设置莲花代理,在torrc文件中添加两行:
Httpproxy 127.0.0.1:808
Httpsproxy 127.0.0.1:808
在torrc文件中增加内容操作方法:
1、torrc文件在tor软件包的tor目录里,找到后,双击打开
2、然后在打开方式里选择记事本,双击打开
3、打开后添加我们需要的内容,退出时保存即可。
这样设置后,每次先启动莲花代理,再打开tor软件就可以了。莲花代理中要有效的SSL代理即可。tor连接远程机器的端口太有特征,这样做更加隐蔽一些,最起码ISP不容易知道你在使用tor。下载大文件也较安全多了。
第五章 附录
一、常用破网软件默认代理设置
破网软件 | 通道/模式 | 默认代理设置 |
自由门(freegate) | F2通道 F3通道 | |
无界浏览(Ultrasurf) |
| |
花园(Gtunnel) | 标准/skype/TOR模式 | |
Tor+SocksCap32+Privoxy组合包 | HTTP代理 Socks代理 | |
世界通(Gpass) | 标准/skype/TOR模式 | |
火凤凰(firephoenix) |
| 无 |
备注:自由门自6.77版本后8580/8567不再是区分F2/F3通道的标志,端口可以通用,通道状态需自行选择。
二、浏览器类软件代理设置
我们以设置自由门6的代理,以代理设置127.0.0.1:8567为例作说明,也可以设置为普通海外代理、代理调度软件或其它的破网软件,更改对应的IP地址和端口就可以。内容参照上一节的列表。
这里讲解的是设置方法,取消代理时按原路径返回更改即可。
1、IE浏览器:
(1)、微软Internet Explorer (IE)6.0版。
打开IE浏览器,依次点击工具----Internet选项,如图
图 1
在选项界面中点击连接,如果是单机ADSL上网,点击设置;如果是局域网,点击下面的局域网设置。
图 2
在弹出的adsl设置界面中,点击对此连接使用代理设置。在地址和端口中分别填入自由门的默认代理设置。
如果是局域网,在图 2中点击局域网设置,在弹出窗口中如图设置即可。
最后点击确定,完成设置。
(2)、微软Internet Explorer (IE)7/8版
在浏览器面板上点击工具----Internet选项,同IE6的设置,以下略。
2、非IE类
说明: 非IE类浏览器在与破网软件配合时,应该关闭破网软件自动打开的主页,设置好对应代理后,再打开海外网站。
(1)、Firefox 2/3/3.5中文版
在浏览器菜单上点击工具----选项
在选项中,依次点击高级-----网络----设置------手动配置代理
填入破网软件代理,这里用的是自由门,在HTTP代理后的方框里填入自由门F2通道代理127.0.0.1:8567
注意要勾选为所有协议使用相同代理。最后点击确定,完成设置。
三、skype软件4.0及以下版本调用Gtunnel/Gpass软件的方法。
说明:skype软件4.0以下版本与4.1版在调用外部程序时界面有所不同。有些skype版本会默认阻止调用外部程序,导致无法使用破网软件的skype模式。方法请参考以下内容,个别版本可能会有小的差异。以Gtunnel的skype模式为例说明:
(1)、运行一次skype模式,在skype模式中添加调用记录,如果是skype软件3.6以前版本,就可以直接使用Skype模式了,3.6版以后继续设置。
(2)、在skype软件面板上会出现一条新事件,提示插件授权给Gtunnel,点击新的事件--Gtunnel.exe这个链接。
(3)、弹出管理API的窗口,可以看到默认阻止使用Gtunnel软件,点击右侧更改
(4)、在管理访问窗口中,点选允许此程序使用skype,最后点击确定就可以了。这样设置后,我们就可以顺利使用Gtunnel的skype模式了。
另外一种方法是依次点击skype软件界面的工具---选项;
在弹出的选项窗口,依次点击高级—高级选项,点击管理其它程序对Skype的访问,作同样的设置也可以。此处略过。
--
Posted By GFW Blog to GFW BLOG at 9/28/2009 07:05:00 A
--~--~---------~--~----~------------~-------~--~----~
1、请点击www.chinagfw.org访问我们,订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、需要Psiphon2注册邀请的朋友,请向english@sesawe.net发送电子邮件请求,说明 "can I have psiphon2 access" 并告诉您所在的国家。也可以使用Twitter Direct Messages或登陆Psiphon网站直接向Psiphon索取使用邀请。3、GFW Blog现提供最新翻墙工具下载(地址一、二、三),翻墙(突破网络封锁)方法介绍请见本站anti-censorship部分。4、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。5、敬请关注、支持、参与Sesawe和黑箱监管集体诉讼。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN
-~----------~----~----~----~------~----~------~--~---
没有评论:
发表评论