WireShark是一款網絡封包分析軟件。它可以通過捕獲本機發送或者接受的網絡封包,對封包進行分層分析。本次利用WireShark工具對三款不同的動態代理軟件(自 由 門、動網通和逍遙游)傳輸的數據進行分析,了解動態代理軟件的實現機制並捕獲代理服務器的IP地址。
為了避免其他網絡應用程序對分析結果的影響,方便對WireShark捕獲的結果進行篩選,開始分析之前盡可能關閉其他聯網程序。
首先對自 由 門這款軟件進行分析,啟動自 由 門,提示正在通過A通道搜索服務器,一段時間過后可以發現已經搜索到了若干可以連接到的代理服務器,如圖1.1所示。
圖1.1 自 由 門搜索到代理服務器
此時瀏覽器也自動啟動,打開了動態網的主頁。自 由 門提示正在運行A通道免設置模式,請在自 由 門程序列表中雙擊IE或其他上網程序,不需要設置代理。啟動WireShark程序,點擊菜單項capture->interfaces或工具欄最左的圖標,彈出網卡列表,如圖1.2所示:
圖1.2 WireShark網卡列表
點擊以太網卡對應的Start按鈕,WireShark開始捕獲該網卡的所有網絡封包。切換到瀏覽器輸入百度的網址,網頁開啟后過5秒左右點擊百度主頁上“貼吧”鏈接,鏈接打開后切換到WireShark,點擊停止。在篩選器欄輸入“ip.src eq 173.26.100.236 or ip.dst eq 173.26.100.236 and tcp”(173.26.100.236為本機IP地址)並回車,WireShark將源或目的IP地址的TCP數據封包篩選出來,如圖1.3所示:
圖1.3 WireShark篩選出來的結果
這里可以簡單說一下網絡代理服務器的原理。網絡代理服務器是介於瀏覽器和Web服務器之間的一台服務器,有了它之后瀏覽器不是將請求直接發給Web服務器,而是先送到代理服務器,代理服務器獲得瀏覽器需要的信息並返回給瀏覽器。簡單來說,代理服務器就是起到了數據傳遞中轉站的作用。這樣一來,我可以根據WireShark篩選出來的信息找到代理服務器的IP地址。即最終給本機返回HTTP數據包的IP地址,響應狀態為200的HTTP數據包。通過查找最終發現了兩次HTTP請求的代理服務器地址分別為119.75.217.109和182.118.9.222。
再來針對動網通這款軟件進行分析,分析過程與上面類似,這里主要說明一下兩者之間的不同之處。第一次啟動動網通軟件,顯示界面如圖1.4所示:
圖1.4 動網通啟動界面
這里采用默認的F2加密通道模式,點擊開始按鈕,提示正在通過F2搜索服務器,過一段時間后代理服務器列表更新了若干個代理服務器信息,此時IE瀏覽器自動啟動,打開了動態網首頁,如圖1.5所示為動網通搜索到的代理服務器列表:
圖1.5 動網通搜索的代理服務器列表
這里我們可以看到代理服務器的IP地址和端口號,使用WireShark對數據包進行分析,如圖1.6所示,此時發現代理服務器的IP和端口號和軟件中顯示的保持一致:
圖1.6 WireShark分析結果
另外,與自 由 門不同的是在代理服務器列表右側有一個加密節點的列表。軟件提示,如果速度慢,請換節點試試。我測試了一下,速度快慢的結果是節點A>節點B>節點C。
最后再分析一下逍遙游這款軟件,分析過程仍然與上面類似。運行逍遙游程序,提示正在通過U通道搜索服務器,一段時間后代理服務器列表更新出來了若干個服務器信息,並自動啟動IE瀏覽器打開動態網主頁。如圖1.7所示是逍遙游搜索到的代理服務器列表:
圖1.7 逍遙游搜索代理服務器列表
在瀏覽網頁的過程中使用WireShark對網絡封包進行捕獲,捕獲結果截圖如圖1.8所示,分析可以發現逍遙游跟前兩個軟件不太一樣的是傳輸網頁數據采用UDP協議,而前兩個軟件(自 由 門和動網通)在傳輸網頁數據時采用HTTP協議。
圖1.8 WireShark捕獲網絡封包
這三款代理軟件的分析大致就是這樣。另外,還想稍微提一下代理服務器的工作層次。通過查閱資料了解到,根據代理服務器工作的層次,一般可分為應用層代理、傳輸層代理和SOCKS代理。應用層代理工作在TCP/IP模型的應用層之上,它只能用於支持代理的應用層協議。它提供的控制最多,但不靈活,並需要有相應的協議支持。如果協議不支持代理,那就只能在應用層以下代理,即傳輸層代理。傳輸層代理直接與TCP層交互,更加靈活。要求代理服務器具有部分真正服務器的功能:監聽特定TCP或UDP端口,接受客戶端請求同時向客戶端發出相應的響應。另一種代理需要改變客戶端的IP棧,即SOCKS代理。它是可用的最強大、最靈活的代理標准協議。SOCK V4允許代理服務器內部的客戶端完全地連接到外部的服務器,SOCK V5增加了對客戶端的授權和認證,因此它是安全性較高的代理。