1. 首页
  2. IT小技能

为什么使用公共代理不安全

对于大多数人来说,科学上网总喜欢省事儿,购买一些公共代理服务,或者使用免费代理,殊不知这样会让你的信息暴露出来,会不会被有心人利用就不得而知了。今天我们模拟一下,我将模拟客户使用代理访问网页,并模拟服务器拥有者在服务端抓取数据,这里我们先说结论,服务端完全可以知道你访问了什么网站,对于http明文访问,甚至可以获取你的用户名密码信息,https则相对安全一些,毕竟是加密的。

公共代理概念

这里我们给公共代理下一个定义,即:服务器归属权不属于自己的代理。例如他人搭建的ss/ssr/v2ray/各种vpn,都算作公共代理。

模拟过程步骤:

模拟服务器的拥有者

1、我将在服务端部署抓包工具,获取所有通过本服务器上网的数据。

2、开启抓包。

 

模拟用户

1、使用代理访问几个网页。

2、使用用户名密码登录某个测试网站。

 

模拟服务器的拥有者

1、停止抓包,并获得已抓包数据。

2、分析数据。

模拟开始

一、在代理服务器上部署抓包工具

1、这里我们使用tcpdump工具进行抓包,首先安装epel源

yum install -y epel-release

2、然后安装tcpdump工具

yum install -y tcpdump

3、使用tcp抓包,这里我只抓TCP包,这命令会显示获取的数量,并保存到文件data.cap,执行下面命令后tcpdump会持续进行抓包,直到我们手动停止它。

tcpdump -vv tcp -w data.cap

为什么使用公共代理不安全

二、在客户端使用代理访问网页

1、使用全局代理访问几个网址,例如baidu.com、github.com、dapeng.cf等

2、使用用户名密码登录zuqiu.cf这个演示站点,此站未启用https,用户名为testuser,密码为testuser。

为什么使用公共代理不安全

三、在服务端获取数据包

1、停止tcpdump抓包工具,获取data.cap的数据文件。

2、将data.cap传输到本地电脑,使用wireshark分析工具查看抓包数据。

为什么使用公共代理不安全

可以看到,zuqiu.cf这个明文传输的用户名和密码是很清楚明确的。

最后

虽然本次只是简单的查看了http的明文信息,各种站也开始启用https,但https也并不是牢不可破,不排除有心人的中间人攻击,当你使用公共代理,遇到提示“安全证书不受信任 证书风险”时,建议不要继续向下访问了。

原创文章,作者:atrandys,如若转载,请注明出处:https://www.atrandys.com/2018/914.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论列表(2条)

  • houshengren 2019年11月22日 下午7:33

    大神您好,我按照您的教程部署了VPS+WS+tls的科学上网,然后自动给VPS生成了一个伪装的网站,但是我还想利用这个VPS搭建wordpress,看了您的一键安装教程,安装成功后,登录域名并未出现搭建wordpress,还是现实那个伪装网站,我该怎么办呢?

    • atrandys 回复 houshengren 2019年11月22日 下午9:11

      俩脚本可能有冲突,配置有问题,有时间写个同时安装wordpress和v2ray的脚本。
      能看明白的话自己手动配置,要不就等一下脚本。