有部分公司或者高校上網(wǎng)采用的策略是使用代理服務(wù)器，這樣可以使用一臺(tái)代理主機(jī)和代理軟件進(jìn)行簡(jiǎn)單而有效的上網(wǎng)訪問控制和網(wǎng)絡(luò)監(jiān)控，非常方便的對(duì)公司和校園的上網(wǎng)行為進(jìn)行監(jiān)控。然而使用這樣的代理軟件上網(wǎng)是存在非常大的安全隱患的，當(dāng)然如果代理服務(wù)器主機(jī)的安全防護(hù)措施做的非常好，而且管理員又是一個(gè)自控能力非常強(qiáng)的人，不去主動(dòng)查看你的個(gè)人信息的話，而且網(wǎng)絡(luò)當(dāng)中沒有惡意的偵聽和監(jiān)控，當(dāng)然就沒有什么很大的安全問題；但是反過來，如果你的代理服務(wù)器的管理員是一個(gè)偷窺狂或者局域網(wǎng)中有喜歡偷窺別人或者局域網(wǎng)中有電腦被黑，被黑客控制的電腦，那么整個(gè)局域網(wǎng)的上網(wǎng)安全將面臨極大的挑戰(zhàn)！個(gè)人信息存亡危在旦夕！

首先，來說一下整個(gè)上網(wǎng)流程，來確定你所處的網(wǎng)絡(luò)環(huán)境是否存在這樣的安全隱患。 你在上網(wǎng)的時(shí)候需要使用一款代理軟件，或者需要對(duì)計(jì)算機(jī)的代理進(jìn)行設(shè)置，這樣的設(shè)置絕大多數(shù)是在軟件或者系統(tǒng)里進(jìn)行設(shè)置的。比如w indow s操作系統(tǒng)，設(shè)置全局代理，則只需要在IE的Internet選項(xiàng)里找到連接，再設(shè)置局域網(wǎng)代理即可。 里面可選HTTP代理，socks代理等。這樣設(shè)置好之后操作系統(tǒng)就可以通過代理上網(wǎng)了。 代理服務(wù)器通常是一臺(tái)w indow s主機(jī)，上面運(yùn)行著代理軟件，比如國(guó)內(nèi)使用量比較大的CCProxy這款代理軟件，這款代理軟件對(duì)于HTTP代理的常用端口是808，對(duì)于socks代理的端口是1080。大家也可以根據(jù)808這個(gè)HTTP代理端口來猜測(cè)你的網(wǎng)絡(luò)環(huán)境使用的代理軟件是不是CCProxy代理。

1 .HTTP代理，沒有底線的隱私泄露

為什么HTTP代理會(huì)這樣的不安全呢？源于使用HTTP代理數(shù)據(jù)傳輸?shù)耐该餍?。使用HTTP代理上網(wǎng)，你的所有上網(wǎng)的數(shù)據(jù)都將可能被竊聽，這樣你的所有網(wǎng)絡(luò)數(shù)據(jù)都可以被完全獲取到，而且不需要進(jìn)行反向破解，幾乎都是明文傳輸?shù)?，所以?duì)于監(jiān)聽著來說，似乎就是在你的家里安裝了一個(gè)竊聽！器，時(shí)時(shí)刻刻都在竊聽著你的談話。在這里不進(jìn)行詳細(xì)的講解竊聽的方法，我們是以安全的角度來講解如何防止竊聽，所以只是簡(jiǎn)單的提一下竊聽的方法和防護(hù)措施。

（1）ARP欺騙

局域網(wǎng)中的ARP欺騙攻擊來獲取目標(biāo)主機(jī)的網(wǎng)絡(luò)通信是非常容易實(shí)現(xiàn)而且是非常常見的攻擊方式，通過ARP欺騙攻擊，可以使你的主機(jī)通信全部經(jīng)過欺騙你的主機(jī)，而不是將通信數(shù)據(jù)直接發(fā)送到代理主機(jī)，這樣就實(shí)現(xiàn)了竊聽的功能；這種攻擊方式不僅僅存在于使用代理上網(wǎng)的網(wǎng)絡(luò)環(huán)境，所有上網(wǎng)用戶都可以被此攻擊方式攻擊，所以當(dāng)你所處的局域網(wǎng)是一個(gè)公用局域網(wǎng)的時(shí)候，建議開啟ARP防火墻，并鎖定正確的代理服務(wù)器MAC地址，從而防止被ARP欺騙攻擊，從而導(dǎo)致信息泄露。

（2）鏡像端口偵聽

這種攻擊方式的出現(xiàn)，常見于企業(yè)內(nèi)部或者學(xué)校內(nèi)部的路由器或者交換機(jī)被入侵的時(shí)候，在路由器或交換機(jī)上被開設(shè)鏡像端口，這個(gè)時(shí)候所有通過路由器或者交換機(jī)的網(wǎng)絡(luò)通信的數(shù)據(jù)包都將被發(fā)往該鏡像端口，此時(shí)只要有電腦通過此鏡像端口偵聽數(shù)據(jù)，所有的數(shù)據(jù)都將被聽到， 而且如果你使用的是HTTP代理上網(wǎng)，那么就好像是你在家里打電話，而你的電話線路被人直接監(jiān)聽一樣，你的所有的通話一字不漏的被別人直接聽到，不需要復(fù)雜的破解。而如何使用socks代理進(jìn)行通信，則可以相對(duì)來說提高一點(diǎn)安全性，但是現(xiàn)在的協(xié)議分析工具也非常的強(qiáng)大，即便是對(duì)方只聽到了你的通信數(shù)據(jù)，通過協(xié)議分析也可以很輕松的分析出你的通信協(xié)議，進(jìn)而反向你的通信數(shù)據(jù)，獲取到你的通信內(nèi)容。

2 .Socks代理，相對(duì)安全的上網(wǎng)方式

在前面已經(jīng)講到了socks代理的方式上網(wǎng)，雖然這種方式相對(duì)于HTTP上網(wǎng)來說安全一些，因其數(shù)據(jù)通信相對(duì)與HTTP更為低一層，而且如果是多種協(xié)議的混雜方式上網(wǎng)，也是比較難以破解的一種方式。但是這種上網(wǎng)方式隨著協(xié)議分析軟件的出現(xiàn)，也可以較為容易的被分析，進(jìn)而獲取到部分信息。所以，如果同時(shí)有HTTP代理和socks代理兩種上網(wǎng)方式的情況下，建議首選socks代理上網(wǎng)。

3 .加固上網(wǎng)安全之安全分析

在這里的小編為大家提供的加固上網(wǎng)安全的方法并非適合于所有的用戶，因?yàn)榍疤崾悄阕约河幸慌_(tái)自己可信的ssh服務(wù)器。也就是說，你的所有的網(wǎng)絡(luò)通信都將通過ssh隧道，提交給你的服務(wù)器，進(jìn)而讓服務(wù)器去取你要獲取的數(shù)據(jù)通過ssh的加密隧道傳送給你。 筆者經(jīng)常游際于各種地方上網(wǎng)，需要在各種網(wǎng)絡(luò)環(huán)境下上網(wǎng)，有的時(shí)候有免費(fèi)的w ifi上網(wǎng)也有收費(fèi)的但小編沒有帳號(hào)密碼的無線網(wǎng)絡(luò)或者有線網(wǎng)絡(luò)，所以筆者經(jīng)常需要一些方法來在這些場(chǎng)合上網(wǎng)，但是小編為了自身的安全，經(jīng)常會(huì)使用下面將要說到的方式上網(wǎng)，來保護(hù)自己的安全。 首先來說一下上面這些場(chǎng)合上網(wǎng)的安全隱患，本文最初是要說明代理上網(wǎng)的安全性的，其實(shí)代理上網(wǎng)沒有什么安全性可言，基本上就是你借別人家的電話在別人家里打電話一樣，別人想看什么想聽什么，都可以，在這里我先為大家介紹一下上面的上網(wǎng)的安全隱患，然后給有自己的ssh服務(wù)器的朋友講解一下如何使用ssh隧道在各種網(wǎng)絡(luò)環(huán)境下安全上網(wǎng)。

（1）免費(fèi)w ifi上網(wǎng)

免費(fèi)w ifi一直以來是一個(gè)非常不安全的上網(wǎng)方式，這種上網(wǎng)方式跟代理上網(wǎng)的安全性差不多，別人可以隨意的監(jiān)聽你的網(wǎng)絡(luò)通信，甚至免費(fèi)w ifi有的本來就是為了來做釣魚網(wǎng)站的，所以使用免費(fèi)w ifi上網(wǎng)，登錄網(wǎng)上銀行很可能登錄的也非真實(shí)的銀行。 你可能會(huì)問，域名正確啊，我確信我的域名正確，我確信我沒有被釣魚，但是你知道嗎？域名正確難道就一定不是釣魚網(wǎng)站嗎？你使用的免費(fèi)w ifi上網(wǎng)肯定是通過DHCP獲取到的IP地址，如果你的域名服務(wù)器沒有被手工指定，那么你的域名服務(wù)器也會(huì)在獲取IP地址的時(shí)候一并獲取到，這個(gè)時(shí)候，如果該域名服務(wù)器給你所請(qǐng)求的域名提供一個(gè)假的IP回響數(shù)據(jù)包，那么即便你的域名是正確的而你登錄的目標(biāo)主機(jī)也可能非目標(biāo)主機(jī)。這是在HTTP下很容易被利用的。但是為了安全，絕大多數(shù)的網(wǎng)上銀行都會(huì)采用https的方式上網(wǎng)，使用證書的方式來讓你的電腦確認(rèn)你登錄的網(wǎng)站是目標(biāo)服務(wù)器，那你真的安全了嗎？ 首先，你要確信你的瀏覽器真的能夠正確的識(shí)別網(wǎng)站證書，前一陣每日經(jīng)濟(jì)新聞報(bào)道某公司的瀏覽器就摒棄了這個(gè)功能，所以如果你被釣魚，你的瀏覽器完全不會(huì)給你任何提示這是釣魚網(wǎng)站，因?yàn)樵摓g覽器沒有使用安全證書。

（2)公用非免費(fèi)w ifi上網(wǎng)

這種上網(wǎng)的安全性問題的出現(xiàn)大多是在人較多的地方，而且偷窺者往往就是你身邊的人。這種攻擊手段常見于KFC 等類似的公共場(chǎng)合，攻擊者通過偽造與KFC里相同的無線SSID，使你的計(jì)算機(jī)自動(dòng)漫游到攻擊者的計(jì)算機(jī)，此時(shí)你感覺不到任何的異樣，因?yàn)槟愕纳暇W(wǎng)過程完全跟原來一樣，只是在AP間作了漫游，絲毫不會(huì)引起你的計(jì)算機(jī)和計(jì)算機(jī)用戶的察覺。然而攻擊者卻通過截獲你上我數(shù)據(jù)包來竊取你的個(gè)人信息。甚至可以通過網(wǎng)頁攻擊，比如篡改網(wǎng)頁，加入惡意js代碼，竊取cookie等，來非法進(jìn)入你的某些賬戶。這樣的攻擊行為非常的容易操作而且成本較低，見效快，所以許多類似KFC等的公共場(chǎng)合成為攻擊者的首選攻擊場(chǎng)合，而來這些地方上網(wǎng)的用戶則成為首選的攻擊對(duì)象。

（3）其他方式攻擊

其實(shí)黑客的攻擊遠(yuǎn)遠(yuǎn)多于能夠列舉的方式，黑客攻擊的手段繁多而且復(fù)雜，有的時(shí)候他們也會(huì)采取一些有效的社會(huì)工程學(xué)方法，來竊取用戶的個(gè)人信息或者獲取盡可能多的攻擊目標(biāo)信息，來增加攻擊成功的概率。

上面已經(jīng)給大家列舉了一些基本的簡(jiǎn)單的常見的攻擊方式，和基本攻擊原理。下面就要為大家介紹一種非常有效的防護(hù)措施，當(dāng)然此種防護(hù)措施不是適合于所有人，因?yàn)槟阈枰慌_(tái)屬于自己的安全的ssh服務(wù)器，這臺(tái)服務(wù)器最好是Linux操作系統(tǒng)當(dāng)然w indow s操作系統(tǒng)也是可以的，你可以安全ssh遠(yuǎn)程登陸軟件，并添加一個(gè)系統(tǒng)賬號(hào)來允許你進(jìn)行遠(yuǎn)程登陸。我們都知道ssh是一種非常安全的上網(wǎng)方式，只要你能確保你的網(wǎng)絡(luò)傳輸?shù)臅r(shí)候不被竊取你的個(gè)人私鑰就再加上密碼保護(hù)，安全性可以大大提高，尤其是在這種不算安全的公共場(chǎng)合更可以提高上網(wǎng)的安全性，大大減少被攻擊的可能性。 在這里為大家提供一下基本的思路，即通過ssh強(qiáng)加密的隧道來安全連接自己的服務(wù)器，然后通過自己的服務(wù)器中轉(zhuǎn)自己的上網(wǎng)數(shù)據(jù)，從而達(dá)到不被偵聽的目的。