如何让流氓软件难以联网作恶
1月28 Posted by misakamm in Network | 12 Comments
流氓软件,就是指瓷器国内的公司大多数软件,尤其是安全软件(那你不要安装不就好了噗)。问题是如果某流氓软件你不得不安装,又不想让它直接外连网络(不然等于直接开后门了),又或者你只希望得到你允许的软件才能联网,怎么办呢?
如果局域网内你有两台机子(或者一台机子能轻松带一个虚拟机),那么就比较简单了。先命名一下常用那一台(需要做保护的)为A机器,另一台(真实机器或虚拟机)为B机器,B机器若为虚拟机则联网方式要设置为桥接。首先在B机器上架设一个socks5或http代理服务器,比如在windows下可以使用TightSocks5或CCProxy或Privoxy,linux下可以用Squid或ssh-server等等。
然后在A机器上设置ip地址为手动设置,需要故意把网关地址配置错误。
例如你的路由配置是192.168.0.1,掩码255.255.255.0,B机器的IP为192.168.0.100,A机器的IP为192.168.0.101,把A机器的网关IP从原来的192.168.0.1改为192.168.0.2,这样A机器就会成为只能访问内网的状态。假如B机器配置的是http代理,端口号为8080,那么A机器需要配置好代理地址和端口。具体配置如下:
B:
IP 192.168.0.100
Mask 255.255.255.0
Gateway 192.168.0.1
Http proxy listen: 8080
Socks5 proxy listen: 1080 (以上二选一就行了)
A:
IP 192.168.0.101
Mask 255.255.255.0
Gateway 192.168.0.2
Proxy setting: 192.168.0.100:8080 or 192.168.0.100:1080
如果是firefox,在选项->高级->网络->配置,填写B机器的ip 192.168.0.100,端口号8080,协议为http即可。如果是IE浏览器,因为IE不支持Socks5代理,如果B机器配置的是Socks5代理,那么A机器上需要安装Privoxy把它转换为http代理再使用。如果是linux开的ssh-server,那么在A机器上建立一个ssh-tunnel转为Socks5代理使用即可。
对于支持自定义代理的软件可以使用以上设置,但如果不支持自定义代理的软件呢?比如QQ(别和我说QQ那个配置代理的功能,那个是残废的,QQ一样会走直连,你试试就知道了,群文件群图片都收不到的),比如QQGame(它有非常多依赖IE显示的页面,这些不走代理),又比如网游,怎么办呢?这个时候可以用Proxifer或Proxycap,指定代理规则,强行让某些程序通过你指定的代理。
这种做法会比双虚拟机法更节省资源,不过因为能直接访问同网段的机器,如果中了ARP病毒的话这部分则没有保护(可以考虑用双路由来实现)。以上做法能同时让一部分木马失去作用(除非它注入到你能通过代理连接的进程里,而那个进程又是用Proxifer强行走代理的话),不是万能,安全什么的还是得自己小心再小心。
2015/02/07补充:
最近爆出了WebRTC漏洞,窝经过测试发现这样配置下能屏蔽掉这个漏洞的影响;而使用一般工具控制应用程序的连网的情况下,还是会泄露公网真实IP。另外这个配置还能防止flash方式泄露真实IP
(来源:https://web.archive.org/web/20161120142409/https://misakamm.com/blog/)
流氓软件,就是指瓷器国内的公司大多数软件,尤其是安全软件(那你不要安装不就好了噗)。问题是如果某流氓软件你不得不安装,又不想让它直接外连网络(不然等于直接开后门了),又或者你只希望得到你允许的软件才能联网,怎么办呢?
如果局域网内你有两台机子(或者一台机子能轻松带一个虚拟机),那么就比较简单了。先命名一下常用那一台(需要做保护的)为A机器,另一台(真实机器或虚拟机)为B机器,B机器若为虚拟机则联网方式要设置为桥接。首先在B机器上架设一个socks5或http代理服务器,比如在windows下可以使用TightSocks5或CCProxy或Privoxy,linux下可以用Squid或ssh-server等等。
然后在A机器上设置ip地址为手动设置,需要故意把网关地址配置错误。
例如你的路由配置是192.168.0.1,掩码255.255.255.0,B机器的IP为192.168.0.100,A机器的IP为192.168.0.101,把A机器的网关IP从原来的192.168.0.1改为192.168.0.2,这样A机器就会成为只能访问内网的状态。假如B机器配置的是http代理,端口号为8080,那么A机器需要配置好代理地址和端口。具体配置如下:
B:
IP 192.168.0.100
Mask 255.255.255.0
Gateway 192.168.0.1
Http proxy listen: 8080
Socks5 proxy listen: 1080 (以上二选一就行了)
A:
IP 192.168.0.101
Mask 255.255.255.0
Gateway 192.168.0.2
Proxy setting: 192.168.0.100:8080 or 192.168.0.100:1080
如果是firefox,在选项->高级->网络->配置,填写B机器的ip 192.168.0.100,端口号8080,协议为http即可。如果是IE浏览器,因为IE不支持Socks5代理,如果B机器配置的是Socks5代理,那么A机器上需要安装Privoxy把它转换为http代理再使用。如果是linux开的ssh-server,那么在A机器上建立一个ssh-tunnel转为Socks5代理使用即可。
对于支持自定义代理的软件可以使用以上设置,但如果不支持自定义代理的软件呢?比如QQ(别和我说QQ那个配置代理的功能,那个是残废的,QQ一样会走直连,你试试就知道了,群文件群图片都收不到的),比如QQGame(它有非常多依赖IE显示的页面,这些不走代理),又比如网游,怎么办呢?这个时候可以用Proxifer或Proxycap,指定代理规则,强行让某些程序通过你指定的代理。
这种做法会比双虚拟机法更节省资源,不过因为能直接访问同网段的机器,如果中了ARP病毒的话这部分则没有保护(可以考虑用双路由来实现)。以上做法能同时让一部分木马失去作用(除非它注入到你能通过代理连接的进程里,而那个进程又是用Proxifer强行走代理的话),不是万能,安全什么的还是得自己小心再小心。
2015/02/07补充:
最近爆出了WebRTC漏洞,窝经过测试发现这样配置下能屏蔽掉这个漏洞的影响;而使用一般工具控制应用程序的连网的情况下,还是会泄露公网真实IP。另外这个配置还能防止flash方式泄露真实IP
(来源:https://web.archive.org/web/20161120142409/https://misakamm.com/blog/)
2 个评论
最根本解決辦法,不要用任何牆國開發的軟件
关在没有网络连接的虚拟机里最保险吧。不然QQ完全可以劫持浏览器访问网络,甚至搜罗硬盘上的各种信息。
