如何检测服务器上有没有人开代理?
说到代理服务器,概念太大了,HTTP Proxy/FTP Proxy/SMTP Proxy/Telnet Proxy/Socks Proxy等等都是代理服务器。
我们常用的代理服务器,其实也就是HTTP Proxy,下面将会针对如何发现内部网络的非法HTTP Proxy来进行分析。
1) 流量监控
若是有条件的话,进行流量监控是个不错的选择,代理别人的机器,其流量会比一般机器的平均流量大几倍,从流量,可以发现可疑的用户,不过,仅仅根据流量,你是没有证据说他用了代理软件的,碰上一些有资历的或者刁蛮的用户,你反而会吃不了兜着走。
2) 端口扫描
开一个SuperScan或者你所喜欢的扫描器,对某些网段进行端口扫描,然后再在扫描的结果中人工寻找可疑目标,比如那些开放了8080/3128什么的端口,多半是HTTP Proxy,最后再用代理猎手来确认,或者自己利用HTTP协议来手工确认。
不过,端口扫描仅仅是对菜鸟有用,高手会把自己的端口改成一个很怪异很高数值的端口(谁会愿意每隔一段时间去扫描几个网段的IP的1-64K的端口?)甚至,他还可以把代理服务器的端口仅仅开在他的内部IP上(就是那个接其它需要非法上网机器的非法IP),这样你从你的内部网络,是不可能用通常手段扫描到他的内部IP到底开了哪些端口的。
3) SNIFFER
以上的两个方法对侦测HTTP Proxy都不是太有效,不得已,我们可能需要从HTTP协议本身来下手分析某个HTTP请求是否用了非法的代理服务器。为了分析HTTP协议,首先要做的就是SNIFFER,若你真的是网络管理员,我想你是有办法来搞到某个IP对外的HTTP请求甚至是整个内部网络所有的对外的HTTP请求。(特别提醒:交换环境下做Sinferr监控必须在交换机上配置镜像端口或者在相应出口上接一HUB)
首先来看看标准的HTTP协议,HTTP协议分HTTP请求和HTTP应答两部分,在通常的情况下,HTTP请求由浏览器发出,而HTTP应答是由HTTP Server来发出。HTTP Proxy在这里会做一个中间人的位置,以自己的身份向HTTP服务器发起请求,这个HTTP请求的主要内容来自HTTP Client发给HTTP Proxy的请求,但是某些细节可能会有改变,HTTP Proxy甚至会加一些信息进去。这时我们就要对这些数据包进行Sinferr,只要我们发现某个HTTP请求中有HTTP Proxy加进去的信息,那么我们就可以判断某个IP是HTTP Proxy了,甚至可以判断出真正提交这个HTTP请求的非法用户的真实IP。
具体进行数据包分析的理论就不贴了,我们大家关心的是怎么去实现它。
值得高兴的是,这里已经有人写了一个页面,可以直接检测本机用户是否用了代理,大家可以检查你用的是否是http代理上网:
http://www.netbuddy.org/tools/proxy-detect.php
然后我们就可以改改这个脚本(下载那个proxy-detect.php),让它把log信息记录到一文本文件中,然后伪装成图片(以前版上经常有人搞那玩意儿)或者用其它的形式包含到一个内部网用户都要访问的一个网页上面去。(说白了就是一个陷阱)。我们只需要定期去检查日志文件里有没有人中标就行了。
检测代理服务器设置
1、首先,打开浏览器,点击“菜单栏”的工具,选择internet选项,
2、如果你没有菜单栏,可以在浏览器空白处点击,选择菜单栏。这样就开启了菜单栏,然后选择工具。
3、进入选项之后,首先我们切换到“连接”选项卡。这里设置代理分两个类别,拨号和局域网,如果你通过拨号上网,如果是通过路由器则选择局域网设置。
4、拨号设置:点击设置进入设置面板,勾选对此连接使用代理服务器,然后输入地址和端口号即可。
5、局域网设置:局域网设置代理和拨号设置一样。其中如果你使用脚本,那么勾选自动配置脚本,系统会自动检测设置。配置完成之后,不要忘了点击确定,使设置生效。
