鹿冰 /身份證號：130682198708110612

典型翻墻軟件的網絡通信特征分析

鹿冰 /身份證號：130682198708110612

隨著互聯網對于不良信息的屏蔽工作的不斷發(fā)展,網民翻墻上網行為逐漸成為社會的熱點話題,如何有效地抵制翻墻行為已經成為網絡管理者目前尤為關注的問題。本文通過對翻墻行為以及翻墻軟件的工作原理進行分析,談論了翻墻行為的上線特征及對于翻墻軟件的有效檢測。

翻墻軟件;工作原理;網絡通信特征

近年來,網絡不良信息的迅速泛濫使得管理人員不得不實施采取屏蔽手段對網絡環(huán)境進行凈化,而網民為了滿足其好奇心及探索欲則開始突破層層網絡屏蔽進行翻墻上網,對網絡屏蔽工作造成了極大的損害。網絡安全管理研究人員為了徹底的抵制網絡翻墻行為,目前逐漸開展了對于翻墻軟件的研究工作。而本文則首先分析了翻墻行為的含義以及翻墻軟件的相關工作原理,然后談論了翻墻軟件的網絡上線行為特征與對翻墻軟件上線進行檢測的方式,希望能夠為相關的網絡管理人員提供一定的幫助。

一、翻墻行為的含義及翻墻軟件的工作原理分析

網絡翻墻行為指的是某些網絡用戶對于被屏蔽網絡的非法訪問,網絡用戶以特定的軟件作為工具繞過網絡層層的IP封鎖、流量限制及域名劫持和內容過濾等屏蔽墻順利地進入到那些已被屏蔽或隔離的網絡,最終能夠非法的閱覽其中的信息。目前較為流行的軟件工具有逍遙游、自由門等,這些軟件專門為沖破網絡封鎖而設計,能夠幫助非法的用戶對敏感網站或者是郵件等進行有效獲取,而且這些軟件處于時刻不停地升級中,網絡安全管理人員采取有效的措施來抵制翻墻軟件工作,已經成為網絡時代的社會熱點。

目前翻墻用戶應用的翻墻工具大致分為普通的代理站點以及特殊翻墻軟件兩種,代理站點只需要用戶注冊可用服務器及端口號,就能夠實現翻墻上網。而就翻墻軟件來講,它通過在境內外的網絡服務器之間構建安全的通行隧道,為有需求的網絡用戶提供代理服務器,以幫助他們訪問敏感的數據,而用戶首先通過將瀏覽需求傳遞到代理服務器,再由服務器獲取對其所要瀏覽的內容進行獲取,最終傳遞給網絡用戶。而且這種代理服務器還具備極強的緩沖儲存功能,其已獲取到的信息可以直接提供給其他的網絡用戶使用。

翻墻軟件的工作流程大致由以下三個步驟完成,首先,上線軟件持續(xù)地對境內外的網站發(fā)送數據流量,以檢測網絡主機有無接入到互聯網,進而掌握網絡的暢通程度。其次,翻墻軟件通過對自己專有的DNS服務器進行訪問,以獲取其關于更新升級。從而生成自動的更新。最后,翻墻軟件對某些加密的代理服務器進行訪問,以獲取網頁中具備的數據信息,進而為翻墻網絡用戶提供其需要的訪問內容。

二、翻墻軟件網絡通信特征及翻墻行為檢測方式

本文主要是以逍遙游這一翻墻軟件為例,分析了翻墻軟件網絡通信的特征,并針對其上線的特征談論了管理人員對于翻墻行為的檢測方式。本文下面就對這兩個問題進行詳細的談論:

(一)翻墻軟件網絡通信上線行為的特征分析

每一個翻墻軟件在接入網絡以上線時,都會產生具備固定特征的某些數據包,而這些數據包既是翻墻行為的主要通信保證,也是檢測者的檢測工作主要借助的工具。具體而言,其特征表現為以下三個方面:

一方面,逍遙游軟件在上線時,會對固定的IP地址連續(xù)發(fā)送兩次請求回送數據包的指令,在這一發(fā)送過程中網絡路由器會自主的對其發(fā)送的超時信息進行查詢檢測,然后逍遙游軟件就會知道目的主機有沒有接收到數據包請求回送信息的相關指令,以及其自身是否已對目的主機的返回指令實現了有效接受,進而能繼續(xù)進行其他的工作。

另一方面,逍遙游軟件在登錄過程中,會利用迭代查詢方式對具備固定網絡號的兩個域名服務器進行連續(xù)四到六次的數據傳輸,并請求服務器對其所傳送的數據包的域名進行解析,而被請求的服務器將會已經解析完成的域名值以及IP地址數值返還給逍遙游軟件的主機。

再一方面,逍遙游軟件還以UDP協議作為傳輸工具來對數據進行傳送,逍遙游軟件的代理服務器能夠實現對于數據的有效緩存,測試主機不需要每次都對域名進行解析,只要在其緩存期結束時第一次進行登錄時對域名解析即可。測試者如果想要攔住其服務器發(fā)送的數據包,就必須在其進行域名解析的登錄過程中,對數據包進行攔截。

(二)翻墻軟件網絡通信上線行為的有效檢測

網絡管理人員對翻墻軟件進行檢測,必須全面地應對翻墻軟件實施網絡通信的上線行為特征來具體開展,而當前的行為檢測系統(tǒng)主要分為四個模塊,通過這四個模塊的工作,工作人員可以及時掌握翻墻軟件的運行狀況。

首先,這四個模塊分別為特征查找、上線檢測、Web顯示以及界面管理,特征查找主要是對固定的網絡位置以及浮動位置所浮現的相同字段進行查找,并將相關的特征載入檢測模塊的特征文件上。而上線檢測模塊則對特征查找所發(fā)現的符合特征進行掃描,然后再將掃描出的有效信息與符合翻墻軟件字段特征的指令進行匹配,最終得出這些字段是否是翻墻軟件的數據指令。而Web顯示及界面管理則利用符合的信息檢測軟件的上線狀況,最終將檢測到的結果記錄在數據庫中,并由顯示器將其展現出來并由固定界面對其實施管理。

其次,就檢測系統(tǒng)各模塊工作的檢測結果來講,系統(tǒng)各個子模塊通過對翻墻軟件的數據包進行抓包、分析、測試等工作,可以最終知道翻墻軟件的登錄時間以及其源主機和目的主機的IP地址,還有源主機和目的主機的端口號。而管理人員則可以利用這些信息,對翻墻行為進行有效的處理。

三、結語

翻墻行為對于安全清潔的網絡環(huán)境的構建起著極大的阻礙,網絡安全管理的研究人員對典型的翻墻軟件進行測試與分析,能夠實現對翻墻行為的有效應對。所以,研究人員今后應該進一步強化對于翻墻軟件的研究。