WireShark是一款网络封包分析软件。它可以通过捕获本机发送或者接受的网络封包,对封包进行分层分析。本次利用WireShark工具对三款不同的动态代理软件(自 由 门、动网通和逍遥游)传输的数据进行分析,了解动态代理软件的实现机制并捕获代理服务器的IP地址。
为了避免其他网络应用程序对分析结果的影响,方便对WireShark捕获的结果进行筛选,开始分析之前尽可能关闭其他联网程序。
首先对自 由 门这款软件进行分析,启动自 由 门,提示正在通过A通道搜索服务器,一段时间过后可以发现已经搜索到了若干可以连接到的代理服务器,如图1.1所示。
图1.1 自 由 门搜索到代理服务器
此时浏览器也自动启动,打开了动态网的主页。自 由 门提示正在运行A通道免设置模式,请在自 由 门程序列表中双击IE或其他上网程序,不需要设置代理。启动WireShark程序,点击菜单项capture->interfaces或工具栏最左的图标,弹出网卡列表,如图1.2所示:
图1.2 WireShark网卡列表
点击以太网卡对应的Start按钮,WireShark开始捕获该网卡的所有网络封包。切换到浏览器输入百度的网址,网页开启后过5秒左右点击百度主页上“贴吧”链接,链接打开后切换到WireShark,点击停止。在筛选器栏输入“ip.src eq 173.26.100.236 or ip.dst eq 173.26.100.236 and tcp”(173.26.100.236为本机IP地址)并回车,WireShark将源或目的IP地址的TCP数据封包筛选出来,如图1.3所示:
图1.3 WireShark筛选出来的结果
这里可以简单说一下网络代理服务器的原理。网络代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后浏览器不是将请求直接发给Web服务器,而是先送到代理服务器,代理服务器获得浏览器需要的信息并返回给浏览器。简单来说,代理服务器就是起到了数据传递中转站的作用。这样一来,我可以根据WireShark筛选出来的信息找到代理服务器的IP地址。即最终给本机返回HTTP数据包的IP地址,响应状态为200的HTTP数据包。通过查找最终发现了两次HTTP请求的代理服务器地址分别为119.75.217.109和182.118.9.222。
再来针对动网通这款软件进行分析,分析过程与上面类似,这里主要说明一下两者之间的不同之处。第一次启动动网通软件,显示界面如图1.4所示:
图1.4 动网通启动界面
这里采用默认的F2加密通道模式,点击开始按钮,提示正在通过F2搜索服务器,过一段时间后代理服务器列表更新了若干个代理服务器信息,此时IE浏览器自动启动,打开了动态网首页,如图1.5所示为动网通搜索到的代理服务器列表:
图1.5 动网通搜索的代理服务器列表
这里我们可以看到代理服务器的IP地址和端口号,使用WireShark对数据包进行分析,如图1.6所示,此时发现代理服务器的IP和端口号和软件中显示的保持一致:
图1.6 WireShark分析结果
另外,与自 由 门不同的是在代理服务器列表右侧有一个加密节点的列表。软件提示,如果速度慢,请换节点试试。我测试了一下,速度快慢的结果是节点A>节点B>节点C。
最后再分析一下逍遥游这款软件,分析过程仍然与上面类似。运行逍遥游程序,提示正在通过U通道搜索服务器,一段时间后代理服务器列表更新出来了若干个服务器信息,并自动启动IE浏览器打开动态网主页。如图1.7所示是逍遥游搜索到的代理服务器列表:
图1.7 逍遥游搜索代理服务器列表
在浏览网页的过程中使用WireShark对网络封包进行捕获,捕获结果截图如图1.8所示,分析可以发现逍遥游跟前两个软件不太一样的是传输网页数据采用UDP协议,而前两个软件(自 由 门和动网通)在传输网页数据时采用HTTP协议。
图1.8 WireShark捕获网络封包
这三款代理软件的分析大致就是这样。另外,还想稍微提一下代理服务器的工作层次。通过查阅资料了解到,根据代理服务器工作的层次,一般可分为应用层代理、传输层代理和SOCKS代理。应用层代理工作在TCP/IP模型的应用层之上,它只能用于支持代理的应用层协议。它提供的控制最多,但不灵活,并需要有相应的协议支持。如果协议不支持代理,那就只能在应用层以下代理,即传输层代理。传输层代理直接与TCP层交互,更加灵活。要求代理服务器具有部分真正服务器的功能:监听特定TCP或UDP端口,接受客户端请求同时向客户端发出相应的响应。另一种代理需要改变客户端的IP栈,即SOCKS代理。它是可用的最强大、最灵活的代理标准协议。SOCK V4允许代理服务器内部的客户端完全地连接到外部的服务器,SOCK V5增加了对客户端的授权和认证,因此它是安全性较高的代理。