代理网际网络服务器
隐藏攻击行为对骇客来说是很重要的,而模糊攻击的来源也是同等重要。如果攻击者可以隐藏其来源IP地址,他将可以任意入侵系统而不用担心法律责任。隐藏来源IP地址的其中一种方式就是使用代理服务器(Proxy Servers)。
代理服务器是用来合法地使用一个通讯节点来过滤各种不同的通讯协议。一般来说,内部网络的使用者需要经过代理服务器使用外部网际网络,如此一来网管人员才能严格过滤收发的资料。当使用者连上代理服务器,它就会将使用者的请求转送至目的地。目的端的服务器只会记录代理服务器的网址,而不是使用者所用的计算机之网址。
问题是有些代理服务器会因为人为疏忽而被放至网际网络上。 (你可以到Proxys-4-All 查看有问题的服务器的列表。) 这些服务器因为不当的设定致使任何一个网络使用者都可透过它们连接上网。当网络使用者藉由代理服务器联机上网,目的端的服务器就会记下代理服务器的网址而不是使用者的原始网址。所以恶意的攻击者可能会在纪录文件中留下无辜的代理服务器的网址,而不是攻击者的真实网址。
在下面例子中,我们来看看攻击者的请求信息,以及纪录文件中的请求讯息:
攻击者
[root@10.1.1.1 /]# nc -v 10.8.8.8 80
HEAD / HTTP/1.0
纪录文件
10.1.1.1 - - [18/Oct/2000:03:31:58 -0700] "HEAD
/ HTTP/1.0" 200 0
在下面例子中,我们来看看攻击者如何透过代理服务器来达到相同目的。
攻击者:
[root@10.1.1.1 /]# nc -v 216.234.161.83 80
HEAD http://10.8.8.8/ HTTP/1.0
纪录文件:
216.234.161.83 - - [18/Oct/2000:03:39:29 -0700]
"HEAD / HTTP/1.1" 200 0
在这个例子里,网页服务器的纪录文件记着代理服务器的网址(216.234.161.83, proxy.proxyspace.com)而不是攻击者的网址(10.1.1.1)。如此一来,攻击者就成功地隐藏了他的真实网址。如果代理服务器的管理人员配合,网管人员就有办法可以追踪到攻击者的真实网址。因为大部分代理服务器的管理人员会保存非常详细的纪录,所以攻击者的原始网址应该也在纪录文件中。不过,骇客们还是有更高明的办法:透过一连串的代理服务器进行攻击行动。为了查出攻击者的真实来源网址,一定要每一个代理服务器的网管人员配合。骇客们都知道使用多重代理服务器的程序,其中一个自动执行这个程序的工具软件是 SocksChain for Windows。
