今天我连接到一个免费的 socks 代理并检查了 dns,发现服务器主机名是 prism1.nsa.gov!我想知道这是 nsa 试图对客户端进行中间人攻击的方式吗?大多数人都知道 nsa 已经通过利用用于到达明处的出口节点成功利用了 tor 用户……但他们是否对 socks 用户也使用同样的方法?他们是否希望一些恶意用户在不知情的情况下连接到他们的服务器并通过他们的服务器进行恶意行为,并且一切都会被记录下来?诱捕? https://i.stack.imgur.com/Ss7B3.jpg(nsa socks 主机名的截图)
答案1
如果它们充当 DNS 服务器,那么它们可以记录客户端尝试连接的每个主机名(因为它们是主机名到 IP 地址解析的资源)。
这意味着他们也可以改变请求的主机名的 IP 地址被发送到他们想要的任何服务器(他们自己的服务器)。从那里他们可以创建受害者试图访问的网站的假副本并获取登录凭据,同时向用户返回一个模糊的(虚构的)错误消息,例如“请刷新页面”。
受害者会刷新页面,然后 NSA 会将主机 IP 改回合法 IP,并窃取受害者的帐户。
在这种情况下,我相信它针对的是那些不熟悉此类工作原理的用户。不过你发现了……
但另一方面,这可能只是你的代理主机在欺骗你。主机 prism1.nsa.gov 将是痛苦地即使对于未受过教育的用户来说,使用 NSA 也是显而易见的。
这里有一个很棒的文章OccupyTheWeb 在 WonderHowTo 的 Null Byte 上介绍了他们实现这一目标的另一种方法,称为量子插入 (Quantum Insert)。