【长文干货】如何成为大数据的漏网之鱼 ~ 保护IP地址不被泄露 篇

精品贴功能实装了，那就多水俩技术贴，冲击一波本坛第一个满级
LEVEL：5，Exp：3233/3600

在当今大数据（大开盒）时代，保护个人隐私和网络安全变得尤为重要。其中，保护IP地址不被泄露是确保个人在线隐私的关键一环。本文将介绍一些我认为重要的技术措施，防止IP地址的泄露。

心跳文学部论坛那边有人也想开坑写一篇来着，我分别给TA打赏了1、9、8、4分，结果迟迟不见人，估计忙着热爱老大哥去了
既然都是主机玩家，那我默认大家都掌握了基本的网络知识吧。

有人说这简单啊，代理不就行了。
实际上，代理并不总是100%可靠。
如果你是XX黑客组织...的头目，和阔诺赛该为敌 错的不是瓦塔西，是阔诺赛该
那么只靠一两种方案是不够的！你的对手总会试图把你找出来，无论是技术手段还是社会工程学手段，广告商也在不停地收集你的信息，试图喂给AI产生收益，或者精准投放广告。

我才不要！

看一看泄露方式吧！

直接连接目标网站

如题。网站会看到你真实的IP地址和运营商信息，并且能知道你的大致位置。
天气预报网站在没有获取你的位置信息的情况下，通常靠IP属地显示你所在城市的天气。

解决方法 ：通过任意方式代理即可。代理后改变请求IP，网站会看到代理后的IP地址，这一招就足够应对80%以上的情况了。如果你愿意做那20%，那么继续：

Webrtc泄露

假如浏览器设置好了，走本机软件v2ray的10808端口出去（由于这篇文章不打算设置权限，所以这些敏感词手动隐藏 歪楼歪到翻墙了，哎，那我也不遮遮掩掩了。）上网，在默认设置的情况下，访问一些查IP网站，如【匿名代理追踪真实ip】或者是【browserleaks】
然后看到上方显示的【我的IP地址】，正确地显示了代理后的地址。

“我的运营商是Cloudflare，来自澳大利亚……”

正准备心满意足地关掉网页，但是看了网页下方一栏，顿时人傻了：
WebRTC Leak一栏，赫然写着其他两个IP地址，而第二个正是本地运营商的IP。
175.45.176.72 - 我的运营商是星合营会社，来自朝鲜平壤 朝鲜电脑研究中心！
（三胖发现了你在翻墙，超级瞄准已部署，Biang，此贴终结）
顺便一提，把局域网IP都暴露在了公网上。

这是WebRTC干的好事。

WebRTC，名称源自网页即时通信的缩写，是一个支持网页浏览器进行实时语音对话或视频对话的API。它于2011年6月1日开源并在Google、Mozilla、Opera支持下被纳入万维网联盟的W3C推荐标准。 ——维基百科

普通的代理方式、不是特别专业的VPN，都不会对它造成影响，这也就说明为何有人开代理仍然会被探测到真实IP。其实通过WebRTC的探测方法，一般的商业公司也不怎么会用。你值得更强的对手:)

解决方案 ：火狐浏览器在地址栏输入“about:config”，搜索“media.peerconnection.enabled”并双击将值改为“false”即可。谷歌和Edge需要安装 WebRTC Leak Prevent 插件，并在插件设置中，选择“Disable non-proxied UDP (force proxy) ”即可。

注意，禁用后可能会影响浏览器内的一些实时通信，比如Google Voice网页版打电话的流畅性。

DNS泄露

如果代理未正常代理DNS（域名查询）请求，那么，一般情况下系统会把查询信息发送到默认网关（路由器都会通告设备，自己是DNS服务器。收到客户端查询请求后，默认会【不加密地】发给你的本地【运营商】。
嗯，buff叠满，俩都不靠谱。
毕竟三胖盯着你的ISP呢，你干了点什么都会被记录下来。

👆默认DNS是朝鲜权威NS服务器

浏览器（175.45.176.72）：权威服务器175.45.176.15大姐你好，我是175.45.176.72，我想问一下，去nodeseek.com咋走？找不到路了（
175.45.176.15：我找找……（省略递归查询、根域名查询……）找到了，104.26.11.72，[2606:4700:20::681a:a48] 去吧！
浏览器：收到！

由于HTTPS加密的普及，加上我已经开启了不那么可靠的代理方式（没有说CF不好的意思），偷窥狂三胖看不到我具体浏览了哪篇文章，但是她通过DNS查询记录，就知道看到我打算访问nodeseek。

如果DNS服务器（NS1的妹妹NS2）很坏，就想看你找不到路的绝望和无助的表情，或者有人劫持通话，那么就会这样：

浏览器（175.45.176.72）：权威服务器175.45.176.16小妹你好，我是175.45.176.72，我想问一下，去nodeseek.com咋走？找不到路了（
175.45.176.16：我找找……【大气干扰声】找到了，磁—— （雪花屏的声音) 93.46.8.90，8.7.198.46， 去吧！
浏览器：收到！
（此时，远处的声音“104.26.11.72，[2606:4700:20::681a:a48]”才慢慢传来，但是浏览器很猴急，已经挂机了。）
10秒钟后：
对方无应答……www.nodeseek.com 的响应时间过长。

喜闻乐见。

解决方式：开启加密DNS。Chrome、Firefox都可以在设置里面开启。
加密DNS，目前DoT和DoH占了半壁江山，剩下一些DoQ之类的还不是很普及，那么先介绍前两者。
通过TLS和HTTPS加密你的查询请求，DoT采用853端口，DoH采用443端口。
由于前者太明显了，三胖在防火墙上切断一切跨国的853端口请求，就高枕无忧啦。
因此，看上去更像浏览网页的DoH现在更为普及。

一旦有人试图篡改，就会被检测出来，然后就停止通信，保证查询数据不被非法读取和恶意篡改，广告商也不能和ISP勾结，把你带到沟里了。
缺点：查询速度会慢一点，如果服务器在国外，则有可能把某些站点解析到离自己更远的服务器。

Tor浏览器

Tor浏览器，又称洋葱浏览器，套。

Tor是实现匿名通信的自由软件。其名源于“The Onion Router”（洋葱路由器）的英语缩写。用户可透过Tor接达由全球志愿者免费提供，包含6000多个中继的覆盖网络，从而达至隐藏用户真实地址、避免网络监控及流量分析的目的。Tor用户的互联网活动（包括浏览在线网站、帖子以及即时消息等通信形式）相对较难追踪。Tor的设计原意在于保障用户的个人隐私，以及不受监控地进行秘密通信的自由和能力。 ——维基百科

它基于火狐的长期支持版改进而来，添加了大量的安全措施，包括什么Webrtc，DNS，还有代理功能都包含，并且可以访问.onion TLD后缀的暗网。
暗网属于深网的一部分，所谓深网就是搜索引擎抓不到的网络内容。严格来说，你和对象的聊天记录也算深网。

Onion暗网里面充斥大量的诈骗和令人难以想象的犯罪信息，能把人性的丑恶发挥到极致，当然，那是匿名的。这里就不展开说了。
官网：
https://www.torproject.org/
http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/ （需要Tor访问）

Tor会强制把网络流量加密三次（如果目标网站是暗网，则对方也会加密三次，合计6次。最后三跳将不会显示。），每隔30s/每访问一个新网站，就会使用新的Tor链路。链路来自于全球各地的志愿者节点。
不过由于出口节点承担的责任更多，什么绿尸寒，脏活累活都是它的，所以出口节点比较少，然后早被玩坏了，频繁蹦验证码，而且速度不快。

但是相对的非常安全，如果这都能被发现，好巧不巧，三跳都是攻击者的蜜罐节点。但是这概率几乎为0，就算这真的发生了，由于一条链路只有30s有效期，还有HTTPS兜底，攻击者最多看到你上网的一个小片段。所以比起这个，不如担心你在匿名浏览时候，被别人窥屏、被手机系统偷拍屏幕……来得实在。

大招

既然Tor这么厉害，但是只能用在浏览器上，我能否让全局所有软件都用上呢？

当然可以！

如果我担心tor失效，暴露真实IP，能否再上一层保险？

当然可以！

FINAL SMASH！

篇幅有限，我这里提供一个思路：
虚拟机桥接VPN网卡，作为虚拟机的物理网卡。在这个基础上使用Tor联网，并且把Tor转换为强制全局代理。
有任何一环失误也不怕。如果主系统的VPN断开了，虚拟机桥接网卡直接断网，相当于拔网线了。
如果tor意外退出，那么端口直接失效，在全局模式下，所有的软件也会断网。
如果全局软件意外失效，那么还有VPN的IP兜底。

主系统可能无法直连VPN，还需要射线和飞机这样的前置代理，所以加上Tor的保护，上网会加密五次。
如果嫌Tor出口不干净，还可以自己想办法落地，这个我没成功过，大家可以试试，欢迎你的教程。

Softether VPN是一个好的选择。
首先创建一个虚拟机，桥接主系统的VPN网卡，主系统通过前置代理连接VPN。

然后安装系统，安装完毕进入桌面，安装Tor并正常联网，然后保持Tor窗口开启，安装Proxifier，安装好后输入激活码，激活软件，
在Profile选项卡中选择第一个，设置代理服务器为 127.0.0.1:9150，协议 SOCKS 5.测试连通性，成功。

然后在Profile选项卡中选择第二个，设置代理规则，Default改成经由代理，然后设置Tor的程序直连网络（经由VPN网卡）

需要直连的软件为： tor.exe、obfs4proxy.exe、snowflake-client.exe
如果在主系统用，比如某射线转强制全局，可以输入 v2ray.exe 和 shadowsocks.exe （仅用作示例，此处不提供翻墙教程和节点）
端口确保为Any，Action确保为DIRECT（直连）

然后保存并退出。
在Profile->Advanced中可以进一步增强安全性，勾选DNS and IP Leak Prevention Mode ，使得DNS查询也经过Tor网络（出口节点到DNS服务器之间仍然是明文，但没人知道是你，你在五层加密保护之下。这不是DoT/DoH等加密手段）
选择 Block Traffic to All UDP Ports if Matched the Rule，阻止UDP
选择 Block Non A/AAAA Queries if DNS through Proxy ，阻止DNS返回除了IP地址以外的其他信息。我不知道这具体是什么，但可能会把问路信息暴露得很少，所谓极限精简。

tor出口节点：1.1.1.1，去nodeseek.com？
DNS服务器：104.26.10.72。（嘟嘟嘟……电话已挂机）

好了，匿名冲浪吧。

但如果你都做了这么多，然后注册匿名账号 （只需要用户名密码即可，邮箱都不要时）作死把用户名填了个“Just纱世里”（或者Just夏树、优里、莫妮卡——她们也是文学部成员）……那上帝来了也保不住你。 （社会工程学泄露）

OK，本文结束，喜欢请加鸡腿，也欢迎网安大神贡献新招。