我想知道 Unix 是否可以设置为避免代理服务器(中间人攻击),该代理服务器可能已经物理地建立在极地的电缆互联网线路上(通过物理“跳线”或类似的方式)。
我通过不具备 WiFi 功能的电缆调制解调器连接到互联网。
问题:
Unix 可以设置为域控制器来通过像这样的代理设置路由流量吗?
Unix 能否用于拒绝进出代理服务器的流量并仅直接连接到已知的合法 IP 或 Web 地址?不需要随机上网。
感谢您的任何帮助。
答案1
这有可能吗?
这是一个有趣的观点。如今(2022 年),这种方式的攻击可能仍然可行,但在过去十年中,它们变得更加困难且效率更低。
原因是,那么便宜(自由的)加密是如此容易实现,以至于大多数服务现在都已加密。这意味着您的浏览器将与网络服务器打开一个加密通道,然后要求网络服务器证明它有权充当您连接的域名。
“中间人”可以:
- 与您打开加密通道,但无法证明它已被授权为您想要的网站(无用)
- 记录加密的您和服务器之间的流量,但无法解密,因此无法知道实际发送的内容。 (无用直到科学家破解量子计算)
- 在一个真的真的真的检测通过加密通道发送的协议类型的方法有限。例如,中国的防火墙显然可以检测加密通道是否被用作VPN(是/否)通过分析数据包长度/计时而不解密它们。 (无用除了中国当局)
您连接的 IP 地址和域名可能会在正常浏览下暴露,但仅此而已。
检查浏览器中域名旁边的小挂锁。如果存在,那么中间人攻击很可能无法窥探您在那里浏览的内容。
唯一的风险是...如果有人可以欺骗您安装新的CA证书到您的计算机上,那么该计算机可能会面临中间人攻击的风险。这是因为您的计算机将信任黑客,就好像他们是证书颁发机构一样。
什么是不可能的
我想知道 Unix 是否可以设置为避免代理服务器(中间人攻击),该代理服务器可能已经物理地建立在极地的电缆互联网线路上(通过物理“跳线”或类似的方式)。
“避免”就像简单地过去一样?不,很可能不是。原因是可能不再有任何不通过攻击者设备的连接。
攻击很有可能是通过一种侵入性较小的方式欺骗 ISP 的 DHCP 服务器来执行的。这可用于重新配置您的电缆调制解调器(路由器)以使用错误的默认网关地址和/或 DNS 服务器。唯一的证据是在您的电缆调制解调器(路由器)上,并且您的家庭网络上没有任何东西能够检测到它。
理论上,可以重新配置电缆调制解调器以避免此类 DHCP 攻击(对 DNS 和默认网关进行硬编码)。然而,如果攻击者实际上设法以物理方式重新连接您的互联网,这并不能为您提供太多保护。
Unix 能否用于拒绝进出代理服务器的流量并仅直接连接到已知的合法 IP 或 Web 地址?不需要随机上网。
您所描述的中间人攻击可能不会更改任何 IP 地址,除非它欺骗您的 DNS 服务器。
也就是说,可以使用 iptables 防火墙规则将传入流量限制为只有少量“已知”IP 地址。我不会在这里举例,因为我认为它并不真正有效。
可以采取什么保护措施。
可以避免此类局部攻击的一件事是使用正确设置的加密 VPN。这将路由全部您的互联网流量通过加密通道传输至 VPN 服务器。这将问题转移到 VPN 服务器的安全性上。
如果您担心,您可能还想查找“TOR”。