■河南 劉景云

發(fā)現(xiàn)非法代理服務器蹤跡

非法利用代理服務，雖然為個別用戶隨意上網(wǎng)帶來了方便，不過卻給整個局域網(wǎng)帶來了危險。一旦病毒木馬侵入內(nèi)網(wǎng)，造成內(nèi)網(wǎng)病毒橫行，就會影響單位的日常工作。如何才能從眾多的主機中迅速找到非法的代理服務器呢？這里舉例來分析具體案例，例如，單位內(nèi)網(wǎng)只允許A、B、C、D（代表真實電腦名稱，假設B主機為網(wǎng)關）等電腦返回訪問外網(wǎng)，假設有內(nèi)網(wǎng)用戶利用各種方法（例如物理接觸、內(nèi)網(wǎng)滲透等）在A主機上安裝了CCProxy這款著名的代理服務器軟件，在CCProxy工具欄中點擊設置按鈕，在設置窗口中只勾選“HTTP/RTSP”項，并將端口設置為8080，而不選擇其余服務，之后保存配置信息。

之后該內(nèi)網(wǎng)用戶在本機上打開IE屬性窗口，在“連接”面板中點擊“局域網(wǎng)設置”按鈕，勾選“為LAN使用代理服務器”項，并輸入A主機的IP地 址（假 設 為 192.168.0.10）和8080端口號。這樣，該用戶打開IE，就可以順利地訪問外網(wǎng)了。如果別的用戶如此效仿，內(nèi)網(wǎng)安全性就會大大降低。如何才能快速找到被設置了代理服務的主機呢？我們在B主機上運行代理獵手這款軟件，在其主界面中點擊菜單“系統(tǒng)”-“參數(shù)設置”項，在設置窗口（如圖1所示）中的“驗證數(shù)據(jù)設置”面板中點擊“添加”按鈕，在“驗證名”欄中輸入名稱，這個可以隨意輸入（例如CheckProxy等），在“驗證地址”欄中隨意輸入一個網(wǎng)址，例如“www.xxx.com”等。在“特征字串”欄中輸入“”，這是因為不管內(nèi)網(wǎng)用戶使用代理服務器訪問任意網(wǎng)站，在傳輸?shù)臄?shù)據(jù)中都必然包含上述特征字符串，之后點擊確定按鈕，返回代理獵手主界面。

點擊“添加任務”按鈕，在操作向導界面中的“任務類型”列表中選擇“搜索網(wǎng)址范圍”項，在下一步窗口中點擊“添加”按鈕，在彈出窗口中的“地址范圍類型”列表中選擇“起止地址范圍”，在其下輸入檢測的IP范圍，這可以根據(jù)內(nèi)網(wǎng)地址范圍而定，例如192.168.0.1到192.168.0.99等。在下一步窗口中點擊“添加”按鈕，在添加端口和協(xié)議窗口中選擇“端口范圍”項，輸入搜索的端口范圍，在協(xié)議列表中可以選擇HTTP、SOCKS以及未知等類型，這里選擇“HTTP”，勾選“必搜”項，允許代理獵手搜索指定的端口。當然，您可以根據(jù)需要，添加多個端口和協(xié)議檢測項目。

點擊完成按鈕，在代理獵手工具欄上點擊開始搜索按鈕，該程序就開始在指定的IP范圍內(nèi)，搜索所有各戶條件的代理信息。很快，在“搜索結果”面板中就會將安裝了代理服務器主機顯示出來，在“服務器地址”列中顯示安裝了其具體內(nèi)網(wǎng)地址、端口號等信息。假設為192.168.0.11，該地址和A主機對應。點擊“驗證”按鈕，在彈出窗口中獲取了預設地址的代碼信息，可以很清楚地看到具體的代理服務器地址。

僅僅找到了具體的代理服務器主機還是不夠的，還需要順藤摸瓜將非法使用代理服務的內(nèi)網(wǎng)用戶找出來，這就需要使用嗅探軟件了，例如可以使用SpyNet這款局域網(wǎng)抓包工具來完成上述任務。還是在B主機上運行SpyNet，當初次運行SpyNet時，在彈出的操作向導窗口中選擇網(wǎng)卡對象，點擊確定按鈕進入其主界面，在SpyNet主界面左側點擊“Modify filter”按鈕，可以設置過濾條件，包括網(wǎng)絡協(xié)議類型等內(nèi)容，默認捕獲所有的數(shù)據(jù)包。點擊菜單“Capture”-“Start”項，執(zhí)行嗅探動作。所有進出B主機的網(wǎng)絡數(shù)據(jù)全部顯示在監(jiān)控列表中，從中不難發(fā)現(xiàn)連接代理服務器的內(nèi)網(wǎng)主機信息，例如，內(nèi)網(wǎng)IP為192.168.0.91的主機和A主機的8080端口進行了通訊，根據(jù)該主機的IP信息，很容易找到具體的責任人。

限制代理服務

使用代理服務，雖然可以讓內(nèi)網(wǎng)用戶實現(xiàn)穿越防火墻自由上網(wǎng)的目的，但是也會給內(nèi)網(wǎng)安全帶來很大的威脅，而且黑客也會通過Socket代理的方式來對內(nèi)網(wǎng)進行入侵。因此，為了保障內(nèi)網(wǎng)的安全，就需要對內(nèi)網(wǎng)中存在的代理服務進行檢測和攔截。使用億特上網(wǎng)管理專家這款軟件，就可以輕松實現(xiàn)上述功能。其使用方法并不復雜，在網(wǎng)關服務器上安裝該軟件，就可以對內(nèi)網(wǎng)用戶進行有效的管理，而無需在客戶端上安裝任何軟件，當局域網(wǎng)用戶試圖通過HTTP或者Socks代理服務突破限制隨意上網(wǎng)時，該行為就會被該軟件檢測到并被攔截。

先在服務器上安裝該軟件，之后在本地連接屬性中點擊“安裝”按鈕，在彈出窗口中雙擊“服務”項，在選擇網(wǎng)絡服務窗口中點擊“從磁盤安裝”按鈕，選擇億特上網(wǎng)管理專家安裝包中的“netFilter.inf”文件，在安裝過程中忽略系統(tǒng)彈出的驅動未經(jīng)許可的警告提示，之后按照提示選擇安裝包中的“YitSNME.sys”文件，完成安裝操作。在本地連接窗口中的“常規(guī)”面板中顯示名為“億特上網(wǎng)管理專家”的網(wǎng)絡服務項目。注意：在該列表中只保留TCP/IP協(xié)議，其余的協(xié)議應該全部刪除，主要作用就是為了避免內(nèi)網(wǎng)中的有些用戶擺脫該軟件的控制，在CMD窗口中執(zhí)行“C:YitSNMEYitSNMES.exe/install” 和“net start YitSNMEServices”命令，啟動名 為“YitSNMEServices”的服務。這里的“C:YitSNME”為該軟件安裝路徑，如果您改變了其安裝路徑，需要對其進行相應的調整。

啟動安裝包中的“YitSNMEM.exe”程序，在登錄窗口的“用戶名”欄中輸入“admin”，密碼默認為空，點擊登錄按鈕，在自動彈出的向導界面中選擇服務器上連接內(nèi)網(wǎng)的網(wǎng)卡，點擊下一步按鈕，在“IP地址”欄中輸入服務器的內(nèi)網(wǎng)IP地址，在下一步窗口中輸入內(nèi)網(wǎng)的IP地址范圍，點擊下一步按鈕，在系統(tǒng)設置窗口（如圖2所示）中的“代理服務器類型”欄中選擇所需的代理類型，包括應用型代理和網(wǎng)關型代理等，這里選擇后者。

在“身份驗證方式”欄中選擇所需的驗證方式，包括讀取域控制器賬號和自檢賬號庫。如果選擇前者，表示導入本局域網(wǎng)域賬戶名稱，可以將使用已經(jīng)存在賬戶列表。為了方便起見，這里選擇后者。在“控制方式”欄中選擇“用戶通過服務器上網(wǎng)”項，來對其上網(wǎng)行為進行合理控制。在“其他參數(shù)”欄中選擇“登錄賬戶惟一性檢查”項，保證上網(wǎng)的安全性。在“控制方式”欄中可以設置引用控制策略的方式，包括按照IP地址引用控制策略、按照MAC地址引用控制策略、按照用戶賬號引用控制策略等，您可以根據(jù)需要進行選擇，這里選擇按照IP地址引用控制策略，最后點擊完成按鈕，保存配置參數(shù)。

億特上網(wǎng)管理專家提供了非常強悍的網(wǎng)絡管理功能，可以控制內(nèi)網(wǎng)中各賬戶的上網(wǎng)時間、流量、使用的端口、過濾IP、強制Web登錄等，為管理員提供了完美的日志記錄功能。和大多數(shù)安全軟件類似，億特上網(wǎng)管理專家也是通過安全策略，來對用戶的上網(wǎng)行為進行管理的。例如，要使用代理控制控制功能，需要添加對應的控制規(guī)則，在窗口左側點擊“控制策略”按鈕，在右側窗口中點擊“添加用戶策略”按鈕，在增加控制策略窗口（如圖3所示）中的“策略編號”欄中輸入對應的編號，例如“1”?！安呗悦Q”欄中輸入策略名（例如“控制代理服務”），在“策略描述”欄中輸入描述信息。在“控制策略”欄中選擇“禁止使用HTTP代理”和“禁止使用SOCKS代理”項。當然，也可以選擇“啟用時間限制”、“啟用目的端口限制”、“啟用目的地址限制”、“啟用連接數(shù)限制”、“啟用帶寬分配”、“啟用網(wǎng)址過濾”、“禁止新版QQ使用TCP協(xié)議登錄”等控制項目，來實現(xiàn)更加復雜的控制功能。點擊確定按鈕，完成本規(guī)則的創(chuàng)建操作。

當億特上網(wǎng)管理專家運行后，服務器的代理上網(wǎng)功能已經(jīng)被其接管，如果內(nèi)網(wǎng)用戶想順利上網(wǎng)，必須使用預設的賬戶才可以通過其審核，該軟件采用了分組管理上網(wǎng)賬號的方式，便于有效管理內(nèi)網(wǎng)用戶的上網(wǎng)需求。例如，將需要控制的內(nèi)網(wǎng)用戶添加到指定的組中，便于為其指派上網(wǎng)策略，在左側窗口中點擊“時間策略”項，在右側工具欄上點擊“添加時間策略”按鈕，在彈出窗口中的輸入該策略名稱，例如“全部時間”。之后點擊右側窗口中的“添加時間策略”項目按鈕，在打開窗口中的設置和結束的星期數(shù)，例如從星期一到星期七，輸入開始和結束時間，例如從“00:00:00” 到“23:59:59”，在“控制策略”列表中選擇上述名為“控制代理服務”的策略，點擊確定按鈕，完成該時間策略項目的配置。

在窗口左側點擊“賬戶管理”項，在右側工具欄上點擊“添加賬戶”-“新建組賬號”按鈕，在彈出窗口中設置合適的組編號，輸入組名稱和描述信息，在“時間策略”列表中選擇上述名為“全部時間”的策略項，點擊確定按鈕，就可以讓該組中的所有賬戶在全部的時間段中接受預設的代理策略的管控。在該組名的右鍵菜單上點擊“新建個人賬戶”項，在彈出窗口照片那個輸入其編號、賬戶名、全名、密碼、域名、描述信息等參數(shù)。如果允許其自行更改密碼，可以取消“用戶不得更改密碼”項的選擇狀態(tài)，取消“賬號永久有效”項的選擇狀態(tài)，在“有效期”欄中設置其有限期限，其余的設置項目保持默認，點擊確定按鈕，完成該賬戶的創(chuàng)建操作。按照同樣的方法，可以為內(nèi)網(wǎng)中的全部用戶分別創(chuàng)建上網(wǎng)賬號，當這些賬戶上網(wǎng)后全部受到預設策略的約束，不管其使用的HTTP代理或者SOCKS代理，都會被億特上網(wǎng)管理專家檢測到并被攔截。當然，黑客試圖通過Socket代理入侵內(nèi)網(wǎng)的企圖也會被該軟件粉碎。