我正在构建一个个人服务器。我希望能够从任何地方访问此服务器,并且我不希望此服务器被阻止。据我所知,HTTPS 会加密我的流量,但我也听说它不会完全加密。我听说如果您访问带有域名的网站,则会执行不加密的 DNS 查找,因此 ISP 可以找出我的个人服务器在哪个域上(以及它的 IP 是什么)。但如果我从它的 IP 地址访问我的服务器会怎样?
问题:如果我通过 IP 地址访问服务器,并且使用 HTTPS(因此 URL 类似于https://###.###.###.###/),是否有可能任何人(包括 ISP 和“与我使用同一路由器的人”)来找出我所访问的服务器的 IP 地址?如果是这样,我应该使用 SSL1/SSL2/SSL3 还是应该使用 TLS1/TLS1.1/TLS1.2,或者这无所谓?
顺便说一下,服务器的证书将是自签名的,并且该服务器只能在端口 443(HTTPS)上访问。
答案1
回答:是的。您的浏览器仍将立即与 ###.###.###.### 处的服务器进行三次 TCP 握手,您的 ISP 可以看到这一点。建立连接后,您的浏览器将与服务器进行 SSL 握手,您的 ISP 可以看到这一点。协商会话密钥后,您的浏览器将继续与服务器交换 SSL 加密数据包,您的 ISP 可以看到这些数据包。它看不到数据包中的内容,但源地址和目标地址是未加密的,并且必须保持未加密状态。
如果您想私下浏览,请查看 privoxy + TOR。
答案2
是的,这完全有可能,而且事实上任何流量到达您的服务器都需要这样做。
答案3
“加密 IP”在技术上是无稽之谈。SSL 加密的 https TCP 流仍然是 TCP 流,没有 IP 地址就无法建立连接。 每个人能够观察流量的人可以轻松记录源 IP、源端口、目标 IP、目标端口以及每个方向发送的字节数。记录的内容和记录时间取决于观察者,以及他们是否受到威胁或是否受到传票的约束。
假设你连接到一个 WiFi 接入点,而该接入点又连接到一个 ISP,该 ISP 正在通过主干网将你的流量路由到提供虚拟或共置主机的托管 ISP,这归结为:
- 您的 WiFi 路由器(以及连接到该路由器的所有人)可以看到:
- 您的 MAC 地址,可以唯一地标识您的物理硬件。
- 您的服务器的 IP、端口以及与其交换的流量。
- 您的路由器的 ISP(和网络主干)可以看到:
- 您的路由器的公共 IP。如果这是美国住宅连接,他们可能会记录公共 IP 和帐户持有人,并将这些记录保留 6 个月。
- 您的服务器的 IP、端口以及与其交换的流量。
- 您的托管公司(可能知道您是谁)可以看到:
- 您的路由器的公共 IP、端口以及您与服务器交换的流量量。
如果你想隐藏与它的连接,请使用Tor,正如 MadHatter 所提到的。Tor 入口节点之前的每个人都知道您正在使用 Tor,但不知道您正在连接到什么。Tor 出口节点之后的每个人都知道有 Tor 用户连接到您的服务器,但不知道是谁。
在正常情况下,受损的出口节点记录或修改会话内容会带来一些危险,但使用 SSL 大多可以缓解这种危险。
如果你想进一步隐藏你的服务器,可以将其设置为 Tor隐藏服务。在这种情况下,没有 Tor 出口节点,并且可能需要 shell 访问您的服务器才能识别它正在运行 Web 服务,特别是如果您还将其配置为 Tor 中继以屏蔽流量。然后您需要以以下身份访问它:https://blahblah.onion,所以您的电脑甚至不知道您网络访问的 IP。