ADSL网络安全-突破ISP访问限制

　　我们知道ISP由于各种原因很可能禁止你访问某些网站，ISP所能采取的措施包括对那些禁止访问的网站的IP地址进行封锁，这个方法通过使用代理服务器就可以解决，而且互联网的代理服务器浩如烟海要连代理服务器一起限制，大不了换一个就搞定了。于是目前采用了更先进的IP包特征过滤技术+老的IP地址禁止技术限制访问，IP包特征过滤技术技术就好像防病毒软件一样，根据IP数据包包头的特征字符串来判定是否是不允许访问的网站，因为这些网站IP地址固定，格式固定，数据包包头里面必定有特征可循。符合特征则ISP的服务器把这些数据包丢弃作为用户就无法收到这些数据。

　　 **** 采用IP包特征过滤技术可以说是一个种访问限制技术的重大进步，但是有矛必定有盾，任何技术都有它的局限性，IP包特征过滤技术我们可以从另一个角度来分析它。作为这个技术作基本的工作，它必定要监测流向你计算机的IP数据包，然而当你上网以后可能访问五花八门的网站，对每一个IP包都监测显然是不切实际的，否则严重影响上网速度和服务器负荷过重，毕竟分析IP数据包不是用Word写文档那么轻松，如果ISP为一每个用户都配置一台速度飞快的监测服务器，理论上可以分析所有IP包，但是从经济角度来说，这绝对不可能，况且对于宽带用户来说一个用户的数据量就是xxxKbps，这样大的数据量就够监测服务器受罪的了。那么ISP可以采取的办法就只剩下很多用户用一台监测服务器监测，很多用户同时使用数据量可想而知，监测每个IP包更是不可能，那么ISP只能采取最后一种办法，从发往某个用户计算机的IP包中抽取小部分IP包分析，一旦发现特征，就集中监控发往这个用户的连续的一批IP包，丢弃限制的数据包，这样你就完全不能访问了。等你死心了，没有限制的IP数据流通过了又恢复抽取监测。

　　 **** 使用这种抽取过滤技术我们分析知道了它的工作机制就可以突破它的的限制，原理很简单，只要发送到用户的收到限制的IP数据包不连续，那么分析程序即使抽查发现了但是后面的IP包又不是受到限制，那么只能拦截掉这一个包，放过后面一批数据包，但是不可能每次抽取都能准确唯独地去掉受限制包，这样就必定有一些可以通过监测到达用户，用户的浏览器就可以把这些断断续续的数据最后组合起来最后显示内容，这种方法就像火车站进出站一样，人非常多的时候，你一个人没有票可以混进去也可以混出来一样。

　　 **** 用户怎么能控制让IP数据包不连续并且很多呢？其实也很简单，微软的Windows操作系统不就是一个多任务操作系统，为了说明问题，我们看简单的办法，首先要通过一个普通的代理服务器（这个不用多说了），打开30到50个窗口越多越好Win2000可以更多，每个窗口发一条ping命令就行了，ping -t -l 1024 www.yahoo.com 和其他相似的命令（不受ISP限制的站点），这是就有很多数据不停通过监测服务器，这是再用浏览器来打开受到限制的网站。这是因为这时候流向你的主机的ip数据包数量很多，合法和非法的一起来，分析程序无法对不连续的首限制站点的ip包进行过滤的结果。 (注：这只是为说明问题的试验， 不推荐使用。) 知道了办法，是不是都可以用呢?对于普通56K拨号用户来说也许那些欺骗的IP数据包就把线路带宽全部占用完了，更本没有带宽留给要看的IP数据包，所以充足的带宽是实现的基础，宽带用户就天生具有这个最重要的条件，结合使用传统的代理服务器来对付ISP的IP地址禁止访问就可以达到目的

　　 **** 实际上我们可以用一些程序来产生大量的和各种网站的IP数据包来欺骗IP包特征过滤监测服务器，而且这些程序占用计算机资源小，速度快，产生的IP包数量大。这里我们推荐使用代理猎手，使用代理猎手搜索代理服务器的时候就在不停 的发请求而且是80个线程同时对多个IP地址发送接收数据包，数据量可想而知。试验效果不错，通过同时使用代理猎手和浏览器使用普通的免费代理服务器，你就可以畅游Internet要到哪儿就到哪儿注意，早上一般访问速度没有影响，下午访问时可能要多尝试几次。如果效果不理想，还可以在进一步加大IP数据包流量么时候可以用上FlashGet或者NetAnts之类的多线程下载工具，从不受限制的多个网站同时下载大软件，然后限制下载速度到1K,2K，这样可以延长数据包流量时间，加上FlashGet和NetAnts数据包数量就大的不得了监测服务器更本应付不过来.若如果你还觉得不过瘾，还可以再打开7、8个浏览器随便浏览一些不受限制的站点并不时刷新，这时候就可以达到目的了。

　　 附录：代理服务器介绍及ADSL下代理服务器设置

　　 ****代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器

　　 **** 代理服务器作用很多对于网络安全领域有2个作用比较突出：1、突破IP禁止型的访问限制，2、可以有效隐匿自己的身份。代理服务器这种资源在网上几乎可以说是无限的。获取代理服务器的方法 也很简单。使用搜索引擎例如Yahoo, Lycos, Excite等(查找关键词：Proxy list) 即可搜索出上万个代理服务器地址。也可用以上提到的代理猎手自己查找。搜索到的地址都包括两个部份─ 比如说：“206.1.1.1:8080”，其中206.1.1.1为代理服务器的主机地址，8080为端口地址.需要指出的是，很多代理服务器也是ISP静止访问的，在搜索完以后需要耐心地一个一个试，一定可以找到一个可以使用的代理服务器。

　　 ADSL用户浏览器代理服务器设置：

　　 使用WinPoET(RasPPPoE)

　　 IE设置：选择IE5菜单中的“工具” -> Internet 选项 -> 连接 -> 单击所使用的WinPoET(RasPPPoE)生成的拨号连接 -> 设置 -> 在“使用代理服务器”前打勾 -> 在“地址”栏里填入使用的http代理服务器IP或域名，在“端口”栏中填入所使用的代理服 务器的端口 -> 确定结束 。

　　 Netscape：Edit->Preference->左侧窗口中Advanced->Proxies->在右 侧窗口的Manual Proxy Configuration前标记->点击右侧的“view”键，在 “http:” 窗口左侧填入使用的http代理服务器IP或域名，右侧填上端口号

　　 使用Enternet

　　 IE设置：选择IE5菜单中的“工具” -> Internet 选项 -> 连接 -> 局域网设置-> 在“使用代理服务器”前打勾 -> 在“地址”栏里填入使用的http代理服务器IP或域名，在“端口”栏中填入所使用的代理服 务器的端口 -> 确定结束 。

　　 Netscape：Edit->Preference->左侧窗口中Advanced->Proxies->在右 侧窗口的Manual Proxy Configuration前标记->点击右侧的“view”键，在 “http:” 窗口左侧填入使用的http代理服务器IP或域名，右侧填上端口号

　　 方便使用代理服务器的软件

　　 **** 用代理服务器(proxy)可突破IP禁止型的访问限制，通常在IE中直接加一个代理服务器， 但如果代理被ISP禁止以后，又得更换代理服务器，这样非常不便。Multiproxy是个很方便的proxy管理软件，可以解决这个问题，并且它可以动态切换所使用的代理服务器，同时使用多个代理服务器，对于突破ISP限制非常有帮助。

　　 注意：本文只作为技术探讨，不得利用本技术从事违反国家法律法规的行为，本站不承担、不保证任何责任。