V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lymanlee
V2EX  ›  互联网

一直搞不懂翻墙的时候谁能看到我真实访问的网址。

  •  2
     
  •   lymanlee · 116 天前 · 5189 次点击
    这是一个创建于 116 天前的主题,其中的信息可能已经有所发展或是发生改变。
    平常手机是小火箭,电脑是 ClashX Pro ,假如我看推,正常请求的地址大概是 twitter.com/.../.../...

    1.如果流量的环境,那电信运营商看到我流量访问的地址是什么呢?机场的址址?还是真实的 twitter.com/.../.../...

    2.如果 wifi 环境,wifi 提供者看到我请求的是什么地址?运营商看到我请求的是什么地址?

    3.如果不管是 wifi 提供者还是运营商都能看到我真实请求就是 twitter ,那我有办法避免吗?

    平时都不敢在公司连 wifi 看推,都是开流量看,怕网络管理员发现有人看推(当然我这小公司也不一定有网络管理员),虽然我们只是密码连 wifi ,连上就可以用,不用在账号密码登录。

    来人给说说
    第 1 条附言  ·  116 天前
    从各位评论来看,wifi 提供者和电信运营商大概率看到的是机场地址,应该不会知道你访问的什么网址,除非对某一个人特别关注,加上其它的信息分析才能看出来对吧。
    第 2 条附言  ·  116 天前
    从一些大佬的评论来看,好的分流规则也可以避免一些泄漏,想问问你们都从哪里弄的规则?
    43 条回复    2023-10-28 15:53:38 +08:00
    n2l
        1
    n2l  
       116 天前
    来,2 楼给科普一下。
    sentinelK
        2
    sentinelK  
       116 天前   ❤️ 11
    正常情况下(不考虑用户端被挂马、后门,协议被破解等情况),运营商只能看到你在和国内的某个云主机疯狂通信(一般情况下都是中转模式,客户端——国内云——国外云——目标服务器)。
    fengxsong
        3
    fengxsong  
       116 天前
    1. 机场的地址
    2. 机场的地址
    3. ...
    zpaeng
        4
    zpaeng  
       116 天前
    @sentinelK 如果没有中转呢
    proxytoworld
        5
    proxytoworld  
       116 天前
    你都不能直连,要靠梯子,运营商肯定只能看到你跟梯子通信

    WiFi 提供的和运营商看到的一样

    另外能不能看到你看推取决于你的规则,如果属于推特的某个网址没有过梯子,尝试走国内线路就会被看到访问的哪个网站
    sentinelK
        6
    sentinelK  
       116 天前
    @zpaeng 如果没有中转,就是看到你的设备在和一个境外主机疯狂通信。
    lsylsy2
        7
    lsylsy2  
       116 天前
    虽然我们只是密码连 wifi ,连上就可以用,不用在账号密码登录。
    这样的话公司和电信是一样的,假如需要特殊的流程才能联网的话有可能啥都能看到(甚至给你屏幕截图)

    回答:不考虑中毒之类的情况,配置不完善的话很多地方可能能看到“这个人尝试访问 twitter.com”,但是斜杠后面的内容只有你和推特公司能知道。
    proxytoworld
        8
    proxytoworld  
       116 天前
    @lsylsy2 没装根证书没装安全软件在客户端是看不到的
    SenLief
        9
    SenLief  
       116 天前
    看不到,除非接入端有防火墙的流量审计吧,现在包都是加密的,理论上也不能解包拿到实际请求的地址吧?不过倒是能看到你一直和境外服务器疯狂通信。
    datocp
        10
    datocp  
       116 天前
    以前的话把代理叫跳板工具+ssl 加密链路,那么过程就是
    用户访问网址,客户端到 vps 使用加密,vps 再访问 twitter ,能看到真实访问的网址只有 vps 端。运营商,像联通会有日志显示为具体 ip+端口。当然这属于全程加密的链路,我发现大家使用的工具都非常的复杂,还搞分流,谁知道哪些分流会踩进陷阱。

    另外自己用的 stunnel 一直使用 Public Key Infrastructure 对连接的客户端进行认证,不使用这种方式就会发现经常收到一些错误包,提示被中间人。再加上 rr 负载到同一服务器不同端口,不同服务器不同端口,我相信普通人没能力把这些 ssl 加密的数据片断再重新组合解密。
    skateEdison
        11
    skateEdison  
       116 天前   ❤️ 1
    chatgpt:
    当您使用小火箭( Shadowsocks )或 ClashX Pro 等代理工具时,您的网络流量会被加密并通过代理服务器中转。这意味着您的网络请求对于监听者是隐藏的。让我们分别回答您的问题:

    1.在使用流量访问时,电信运营商只能看到您正在连接到代理服务器(即您的机场提供的服务器地址),而不能看到您实际访问的是 Twitter 的具体地址。

    2.在使用 Wi-Fi 环境时,同样地,Wi-Fi 提供者和运营商都只能看到您连接到代理服务器的流量,而无法看到您在访问 Twitter 的具体地址。

    3.由于您已经在使用代理工具,您的实际请求已经被隐藏起来了。Wi-Fi 提供者和运营商都无法直接看到您访问的是 Twitter 。因此,在公司无线网络中使用这些代理工具应该相对安全,不会泄露您访问的具体内容。

    尽管如此,在公司网络中访问非工作相关网站时请务必谨慎。建议您在休息时间或非工作环境下浏览类似网站,确保自己的网络安全和公司网络资源的合规使用。
    344457769
        12
    344457769  
       116 天前
    @zpaeng 无论有没有中转,运营商看到的都是你和节点 Server 配置的服务器之间的通信。

    使用现有的主流协议,不考虑被挂马或者协议被破解的情况下,只能知道你和节点在传输数据,但是数据包内容是不知道的。现在 GFW 的方案是根据数据特征来阻断而非根据内容。

    所以楼主说的 1 、2 、3 对方看到的都是你在和节点服务器通信,看不到你真实浏览到内容。

    出卖你的往往是输入法、浏览器这些客户端程序,他们能知道你输入过或者浏览过哪些网站……并且可以将你的历史记录等隐私内容上传到自己的服务器。这里多说一句,有些浏览器即使使用无痕模式或者删除了历史记录依旧可以被恢复,参考 https://www.163.com/dy/article/IB4KDSML05561G51.html
    344457769
        13
    344457769  
       116 天前   ❤️ 1
    @skateEdison 在本站使用 ChatGPT 回复你的账号会被封禁。不管你是否标注了来自 ChatGPT 的内容。
    opengps
        14
    opengps  
       116 天前   ❤️ 1
    你要给张三打电话。
    为了某些目的你找李四中转,李四接起来电话之后,拨通了张三电话,然后两个电话对着,这时候你就可以跟真正的张三通话了
    sumarker
        15
    sumarker  
       116 天前
    内容加密伪装一般的请求某个地址(中转或者代理),解开然后再到目标,找到目标回到这个地址(中转或代理)加密,然后返回到发送请求的地方解密...
    testonly
        16
    testonly  
       116 天前
    有加密
    但可以解密
    只是对你有没有兴趣,有多大兴趣的问题
    不同姿势的翻越会有不同形式的测漏,有些难破些,有些容易破些,有些可能甚至没加密。
    还有你是自己的还是公共机公共的至少场主理论上可以对你一览无遗。
    RiverMud
        17
    RiverMud  
       116 天前   ❤️ 12
    想起一个笑话,:

    面试官问求职者:浏览器地址栏输入 google.com 然后回车到 Google 主页完全展示,这个过程中发生了什么?

    半个小时过去了,求职者刚讲到当时最流行的 vmess 协议。
    lymanlee
        18
    lymanlee  
    OP
       116 天前
    @testonly 场主对我一览无遗无所谓,我访问什么他应该比我有 B 数,要不我为什么买他机场,当然我用的机场也不是就几个人的那种机场,应该不太会关注我
    lymanlee
        19
    lymanlee  
    OP
       116 天前
    @skateEdison 我怎么没想到问一下 chatgpt 呢,不过我只有免费版的
    titanium98118
        20
    titanium98118  
       116 天前
    @lymanlee #18 自己加一台落地机器做出口
    lymanlee
        21
    lymanlee  
    OP
       116 天前
    @titanium98118 啥意思,我自己搞一个服务器,先代理一手,在走公共机场啊
    jimages
        22
    jimages  
       116 天前
    楼上你们没有考虑到本地分流策略可能会查询本地服务商 dns 吗?

    在查询到本地 dns 结果是特定区域 ip 之后再走其他协议?
    MiketsuSmasher
        23
    MiketsuSmasher  
       116 天前
    相比信息传输方面的风险,楼主应当考虑一下公共场合被窥屏的情况。
    vocaloid
        24
    vocaloid  
       116 天前
    不要忘记还有 dns 泄露这一层风险,代理软件的 dns 请求其实很混乱
    lymanlee
        25
    lymanlee  
    OP
       116 天前
    @344457769 也就是说 wifi 提供者和运营商都是不知道我访问哪个网址,但有心的人可以根据流量特征推断出可能在使用 vpn 。
    lymanlee
        26
    lymanlee  
    OP
       116 天前
    @MiketsuSmasher 窥屏是指肉眼窥屏吗,这个我是会考虑的,周围有人我是不会打开的,怕某个闲的无聊的人给我举报喽,软件层的窥屏在我手机和电脑还是不太可能发生的。
    lymanlee
        27
    lymanlee  
    OP
       116 天前
    @vocaloid
    @jimages 不懂这一层,会引起哪些问题吗?两次能详细说一下吗,有什么避免的方法吗
    Muniesa
        28
    Muniesa  
       116 天前 via Android
    @lymanlee 部分代理工具因为要对国内外网站进行分流,所以需要一个分流规则,国内网站不走代理,国外或者被墙网站走代理。但是分流规则可能并不完善,一些不在规则内的网址,代理工具可能会先在本地请求 DNS ,判断 ip 是国内还是国外,然后再分流。所以如果你用的是没有加密的 DNS ,那么运营商是可以看到你请求的域名的,DNS 提供者也能看到。规避方式就是使用完善的分流规则、使用 dot 或者 doh 请求 DNS ,或者干脆自建 DNS 。
    eDeeraiD0thei6Oh
        29
    eDeeraiD0thei6Oh  
       116 天前
    错了,想找你很容易,给点钱让各个 ISP 分析你的流量就行了。你们要知道这个世界上钱是万能的,你有国家有钱吗?
    Nile20
        30
    Nile20  
       116 天前
    @RiverMud 看到你的问题,我刚想到 DNS 解析,然后就看到你的后一句🤣
    Lightbright
        31
    Lightbright  
       116 天前   ❤️ 1
    开系统代理,用 wireshark 抓系统网卡,抓到的就是你 ISP 看到的
    开透明代理,用 wireshark 抓虚拟网卡,抓到的就是你机场看到的
    Nile20
        32
    Nile20  
       116 天前
    1. 机场的地址。但是还可能知道你访问的站点的域名(如果配置不当或者软件支持优先,在本地解析发生 DNS 解析的话)
    2. 单纯的 WiFi 环境同 1
    3. 正确配置 DNS 避免在本地进行 DNS 解析。另外,如果设备不是你的,比如公司电脑,应当假设监听者(公司)能够看到一切内容。设备不可靠时手段太多样了。关于是否信任手机这样的设备,不同的人有不同观点(几乎难以自行安装原始途径的操作系统)
    2000wcw
        33
    2000wcw  
       116 天前
    OP 这个问题实际上触及到了互联网最根本的隐私和信息保护机制,这个其实也是国内国外各大软件公司、宽带 ISP 和互联网巨头争夺的关键战场,ISP 作为实际用户第一个接入者,基本上决定了用户能看什么不能看什么,靠的就是 DNS 污染和 IP 封锁,所以用户为了避开限制,就会用 TLS 等等加密协议加密了自己的数据包,或者说是伪装了自己的数据包,让 ISP 看不到自己想要去的真正的网站,这里面的加密和反加密、特征码和伪装包都是打了好多年的老对手了。

    实际上,我们现在还能翻墙,还真要感谢微软,如果微软屈服于 ZF 的压力,直接把 WIN10 和 WIN11 的出厂可信任 CA 证书换成国内 ISP 所发的证书,那么我们所有的加密手段都会被渗透,那时你的所有访问内容都会被看的清清楚楚。

    这个问题解释起来过于庞大,就像上面一位大佬说的一样,你输入 google 网址敲回车,直到屏幕显示谷歌页面,这中间的各种加密和解密、IP 过滤、DNS 欺骗都是反复进行了很多遍,过程很复杂,结果很简单。
    xywanghb
        34
    xywanghb  
       116 天前
    简单理解一下是不是我开全局代理, 假设 isp 可信, 机场可信 就没有问题了
    vocaloid
        35
    vocaloid  
       115 天前
    @lymanlee 简单的方法,真想完全避免就用国外的 DoH/DoT ,但是这样网络体验不太好。另外一种办法是将你经常访问的一些敏感国外网站全部加到规则列表里进行远程 DNS 解析
    vocaloid
        36
    vocaloid  
       115 天前
    @lymanlee 实际上就是如果你没有正确配置好 dns 的话,代理软件很可能会向本地服务商 dns 进行请求,这个过程会泄露访问的域名(毕竟不是加密的)
    EricTou
        37
    EricTou  
       115 天前
    你能访问 twitter 或者 google 所有的域名前,本地都要先知道对应的 ip 地址是多少。如果本地没有缓存的话,就会在本地发送 dns 解析请求,然后根据你请求回来的 ip 做分流,如果 ip 符合你代理的规则就把 ip 交给机场由机场代你访问网址。所以如果你的 dns 服务器是默认本地分配的或者普通的 dns 服务器的话,那么你本地的 dns 服务器就知道你在请求什么网站。
    Ryan52
        38
    Ryan52  
       115 天前
    简单的办法,直接远程一台小机,在上面访问网站即可
    xiaohusky
        39
    xiaohusky  
       115 天前
    能猜到你在翻,但是看不到你在具体翻什么网站看什么内容,但是一般公司会提供办公电脑吧,办公电脑内置管理软件或者证书的话是可以看到的
    Tony4ee
        40
    Tony4ee  
       115 天前 via iPhone
    别忘了 referrer
    lymanlee
        41
    lymanlee  
    OP
       115 天前 via iPhone
    @xiaohusky 我是用的自己电脑,macbook pro ,暂时公司还没让安装一些安全软件
    slrey
        42
    slrey  
       115 天前
    @sentinelK 请教一下,中转模式怎么实现?就是国内云和国外云通过什么方式连接?
    emma3
        43
    emma3  
       115 天前   ❤️ 1
    还有一个,如果默认使用本地 DNS 解析的,很可能是使用运营商提供的 DNS 服务器,尤其是在公共 WiFi 环境下,这就提供了 DNS 泄露环境。尽可能国外网站使用国外 DNS 解析或者使用国外的 DOH ,但由于延时明显比国内长,估计实际使用体验可能并不很好,如果是频繁访问某一个网站(例如 twitter.com),由于 DNS 缓存的存在,能解决一部分问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   947 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:40 · PVG 06:40 · LAX 14:40 · JFK 17:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.