GFW BLOG（功夫网与翻墙）: 近期突破网络封锁的一些方法（0928更新，最后部分）

全文下载：http://www.boxcn.net/shared/qp6bcsuq66

文件名称 : 近期突破网络封锁的一些方法
MD5 : 9f79dd8c55fa9d647effa1fa9cc1cd35
SHA1 : acafda5d13bb9ca75ca1fe85cc05e587e4dae974

来源：http://www.tiandixing.org/download/file.php?id=10734

Tor软件教程

进 阶篇

一、tor常见问题说明

1、tor工作原理图

2、tor组合工具介绍

SocksCap32和Privoxy用于Tor组合，目地是保证安全，保护隐私。

SocksCap32的作用是应用程序的Socks化，它将基于内部的http请求转换为Socks，配合其他软件改变源和目地IP地址，甚至改变TCP或UDP头，从而安全隐身。协议转换、安全匿名是其主要功能。

Privoxy的作用是代理服务，它提供http代理服务（端口8118），通过在浏览器中设置127.0.0.1:8118代理，可将浏览器的HTTP请求经由Privoxy映射到Tor（端口9050），再经Tor访问目标网站。它也能够从发送和接收的数据中清除或抹掉个人隐私数据及一些恶意网页脚本、代码等。

3、出口节点泄密问题

進入Tor网络后，加密信息在路由器间传递，最后到达“退出节点”（exit node），明文数据从这个节点直接发往原来的目的地。

如果“退出节点”（即出口节点）是一个陷阱节点，http明文传输的信息都能被获取。虽然不知信息的来源，但如果明文数据中包括了某些机密信息，如用户ID、密码等，是可以被截获的。

解决方安案一个是使用HTTPS连接，全程加密；另外可以使用破网软件的tor模式，也可以解决这个问题。如登陆明慧信箱可以这样：https://webmail.minghui.org/，注意是https而不是http的形式。

二、Tor组合包的几种使用方式

1、SocksCap32组合

在SocksCap32里打开IE浏览器来浏览被封锁的网站，这种情况是使用SocksCap32通过tor联网，没有使用Privoxy。

2、Privoxy组合

直接启动浏览器，然后设置浏览器使用代理Http代理127.0.0.1:8118来突破封锁。这种情况是使用Privoxy通过tor连网的，没有用到SocksCap32。适合SocksCap与某些软件有冲突的情况下使用。

3、SocksCap32 兼 Privoxy 组合

从Sockscap32中打开IE并设IE代理为127.0.0.1:8118。

这种组合方式比前面2种更安全，其数据流向是IE-> SocksCap32-> Privoxy->Tor->目标网站,返回时循同一路径以相反方向返回IE。

在测试这个组合中也发现一个有趣的现象，就是如果从Sockscap32启动IE，并设置IE代理为127.0.0.1的本地代理，那么数据流向是不经过 Tor的；比如IE代理设置为MultiProxy的127.0.0.1:8088时，数据流向是：IE-> Sockscap32->MultiProxy-> MultiProxy代理->目标网站，返回时从原路径相反方向返回。当然如果我们使用的是SocksCap32 兼 Privoxy 组合，因为Privoxy设置了要使用Tor，所以会经过Tor访问目标网站。

还有一个现象，就是如果从Sockscap32启动IE，并设置IE使用一个外部代理，这时数据流向：IE-> Sockscap32->Tor->外部代理->目标网站；虽然数据流向经过了Tor，但是Tor提示本地解析DNS，也不安全。

4、Privoxy和SocksCap32相比哪个更安全点？

应该说二者各有各的优点，如前所述，非IE类浏览器单独使用SocksCap32组合时，可能存在不遵循设定直接上网和本地DNS解析漏洞等风险；而Privoxy组合应该不存在这个问题，只要在浏览器里设置了使用代理127.0.0.1:8118就一般会经Privoxy－>Tor上网并远端解析域名。但是SocksCap32隐藏真实IP的能力比Privoxy要强，在开启浏览器Java、Javascript、VBScritp等选项的情况下到一些网站测试，SocksCap32组合能隐藏IP，而单纯使用Privoxy组合不能隐藏真实IP。根据二者的不同特点，笔者的建议是，上国外禁网使用Privoxy组合或SocksCap32 兼 Privoxy 组合；上国内论坛使用IE浏览器配合SocksCap32组合或者SocksCap32 兼 Privoxy 组合。

三、Tor组合包配合什么浏览器使用

笔者倾向于使用IE浏览器，同时无论什么浏览器，都建议使用SocksCap32 兼 Privoxy 组合。尤其火狐(Firefox)等非IE类浏览器，由于使用SocksCap32组合时存在不遵循设定直连上网和DNS本地解析的漏洞，所以不能用于SocksCap32组合。

依据一，是否遵循设定。

系统windows98/2K，经在线网站真实IP测试，我发现Tor组合应用中,浏览器在SocksCap32里启动，有以下现象：
Firefox和Opera中不设置代理，居然不经过设定直连上普通网站。
Firefox中设置本机socks代理127.0.0.1:9050，虽然通过Tor连网，但Tor提示DNS解析在本地，且SocksCap32没有发挥作用，少了一道屏障，不安全。
Firefox中设置外部http代理，也没有经过Tor。
K-Meleon中不设置本机代理和设置外部代理两种情况下，均遵循设定通过:

SocksCap32→Tor→（http代理）→目标网站。
Opera不支持socks代理，不能在浏览器中设置本机代理127.0.0.1:9050。

IE类浏览器就不会出现不遵循设定的现象。

上述现象的原因，我推想是IE类浏览器因IE内核与系统紧密结合，能与SocksCap32程序高度吻合。Firefox、Opera是非IE内核浏览器独立于系统之上，与系统之间似有天然屏障，会发生SocksCap32程序捕获不到请求。还有Sockscap32是应用程序级别的socks化工具，如果换用系统级别的socks化工具，如Permeo Security Driver，就不会发生绕开现象。K-Meleon（K-MeleonCCF）的表现优秀是因为它专门为windows系统设计和优化，新版使用 Windows Native Interface，没有使用XUL，因此K-Meleon虽然基于Firefox 1.0 相同的Mozilla引擎版本Gecko 1.7.5，就没有出现上述现象。

依据二，DNS信息泄漏

如果你要访问一个网页，你的浏览器必须将你输入的网址发送到DNS服务器進行域名查询，转换成IP地址后发送回你的浏览器，这样你的浏览器就通过这个IP地址访问这个网页了。

但这个域名解析的过程中，DNS服务器记录到了你的真实IP和你要访问的网址，破坏了你的匿名性。所以就要求远程解析域名，即用代理服务器来解析域名。

DNS 使用UDP协议，端口53，它存在泄漏主机名和其它信息的安全问题。当对DNS请求区传输（Zone transfer）及两个DNS進行数据动态更新时，则使用TCP协议。非IE浏览器更易出现请求通过本地的DNS或直接的IP访问，可能被入侵者利用。官方网站有简单说明，另外Tor使用时DOS窗口会有相关提示(如下图)。

Privoxy程序同时支持TCP和UDP协议，通过其代理和映射功能，可以可靠的進行远程域名解析，防止信息泄漏。

Tor 工具在本机运行一个洋葱代理服务器(onion proxy)，这个代理周期性地与其他Tor交流，从而在Tor网络中构成虚拟环路（virtual circuit）。Tor是在7层protocol stack中的application layer進行加密（也就是按照’onion’的模式）。而它之所以被称为onion是因为它的结构就跟洋葱相同，你只能看出它的外表而想要看到核心就必须把它层层的剥开。即每个router间的传输都经过symmetric key来加密，形成有层次的结构。它中间所经过的各节点，都好像洋葱的一层皮，把客户端包再里面，算是保护信息来源的一种方式，这样在洋葱路由器之间可以保持通讯安全。同时对于客户端，洋葱代理服务器又作为SOCKS接口。一些应用程序就可以将Tor作为代理服务器，网络通讯就可以通过Tor的虚拟环路来進行。

進入Tor网络后，加密信息在路由器间传递，最后到达“退出节点”（exit node），明文数据从这个节点直接发往原来的目的地。对于目的主机而言，是从“退出节点”发来信息。

Tor为了保证DNS解析的安全，要求“退出节点”（exit node）進行域名解析，因为Tor提供的是Socks代理，Socks代理有三种类型：Socks4、Socks4a和Socks5。

目前已证实：Socks4代理无法将要查询的域名传递到“退出节点”（exit node）進行解析，应用程序根本不经过Tor的代理就直接用了本地的DNS解析域名。

Socks4a代理在Socks4的基础上做了一些改动，可以完全将要查询的域名传递到“退出节点”（exit node）進行解析，不会发生DNS解析泄漏。

Socks5代理就比较复杂了。有些程序可以，有些程序不行。据Tor的研究人员发现：目前用Socks 5代理不会发生DNS解析泄漏的应用程序只有苹果公司的Safari浏览器，绝大多数的应用程序都有可能跳过代理设置，直接解析。或多或少都存在DNS泄漏的问题。

四、如果局域网通过代理上网，如何使用Tor

可在torrc文件中作如下设置一试:

HttpProxy host:port Tor 访问目录服务器将使用该代理； HttpProxyAuthenticator username:password 若该代理需要“用户名/密码”认证，就增加这一行；

HttpsProxy host:port Tor 访问节点服务器的代理设置，需支持 https 通过；

HttpsProxyAuthenticator username:password 若该代理需要“用户名/密码”认证，就增加这一行；

以添加莲花代理为例，使用莲花代理里的有效代理寻找tor节点是常用的方法，当然也可以其它代理调度软件或破网软件的代理。前提是莲花代理中有有效的SSL代理。

设置莲花代理，在torrc文件中添加两行：

Httpproxy 127.0.0.1:808

Httpsproxy 127.0.0.1:808

在torrc文件中增加内容操作方法：

1、torrc文件在tor软件包的tor目录里，找到后，双击打开

2、然后在打开方式里选择记事本，双击打开

3、打开后添加我们需要的内容，退出时保存即可。

这样设置后，每次先启动莲花代理，再打开tor软件就可以了。莲花代理中要有效的SSL代理即可。tor连接远程机器的端口太有特征，这样做更加隐蔽一些，最起码ISP不容易知道你在使用tor。下载大文件也较安全多了。

第五章附录

一、常用破网软件默认代理设置

破网软件	通道/模式	默认代理设置
自由门（freegate）	F2通道 F3通道	127.0.0.1:8567 127.0.0.1:8580
无界浏览（Ultrasurf）		127.0.0.1:9666
花园（Gtunnel）	标准/skype/TOR模式	127.0.0.1:8081
Tor+SocksCap32+Privoxy组合包	HTTP代理 Socks代理	127.0.0.1:8118 127.0.0.1:9050
世界通（Gpass）	标准/skype/TOR模式	127.0.0.1:8000
火凤凰（firephoenix）		无