怎样查内用哪些用户使用代理服务器

masinfo · 发表于 2009-12-17 12:08:13

怎样查内用哪些用户使用代理服务器，访问外网

qzyuanmu · 发表于 2009-12-17 13:43:28

这个只能自己判断，如果长时间都只跟一个IP通信，而且只使用一个端口等，希望有所帮助

徐徐渐进 · 发表于 2009-12-17 14:27:35

根据TTL值的变化可以查看出一些端倪。

saibei · 发表于 2009-12-17 16:32:54

网络分析可以找到一个代理包中转等

天空之城 · 发表于 2009-12-18 08:57:46

本帖最后由天空之城于 2009-12-18 09:02 编辑

这两天正准备写一篇关于如何使用科来查找网络中使用代理服务访问外网的文章，结果还没等动手，就已经有朋友提出来这个问题了。下面的文章是我在ww.netlord.com.cn所回一个论坛网友所写的，原文请参阅http://www.netlord.com.cn/redire ... o=lastpost#lastpost，并且已经经过测试，完全可以分析到网络中有哪些主机使用了代理服务方式上网。

使用ie设置代理服务器上网的查找方法：

在没设置代理的情况下，打开ie输入网址之后，一般客户端都会向你的dns发送一个dns请求，之后客户端再同从dns所获得的ip服务器端进行连接以获取页面数据。

而在设置代理的情况下，打开ie输入网址之后，客户端只会向你设置好的代理服务器ip发送数据包，而不会同任何其他的ip地址发送数据包，这就是设置代理和没设置代理的区别。

所使用分析软件为科来网络分析系统6.9专家版，所用代理服务器ip地址为221.214.102.99:80，所访问的网站为www.baidu.com。所用浏览器为傲游2.5.8.1332 UNICODE，没设置过滤器选项，数据包内所捕获数据包协议均为http。至于在核心交换或是路由出口处所捕获数据包所使用的协议是http还是http proxy暂时没有测试环境。

由于暂时没能在核心交换或是路由的出口处进行捕获数据，不清楚使用代理时用的是http或是http proxy协议，如果是http proxy就简单了。

所以以下的判断均是根据在本机所做的实验进行的过滤器测试所得的一些规律，不保证使用此过滤规则能捕获到所有使用代理的主机，使用分析软件为科来6.9专家版。

经使用两个代理服务器进行测试，发现这两个代理服务器(分别使用80和3128端口，使用协议为http和tcp)有相同的规律，在数据包字段中均含有MISS from和Proxy-Connection（注意大小写），在科来过滤器中数据包模式匹配里只要分别设置含有这两个关键词匹配即可，其他的分析软件类似。

使用web页面代理访问外网查找的方法：

测试web页面代理访问网站分别为www.proxyie.cn和http://web.proxycn.com，经过分析数据包，发现在数据包中都存在相同的字段，即 Url=http%3A(注意大小写)，设置好过滤器进行捕获即可。

Se7en · 发表于 2009-12-18 11:51:25

本帖最后由 Se7en 于 2009-12-18 11:53 编辑

如何只是判断web代理，比较简单，假设代理端口为2111，设置过滤器：
1.去掉端口80的数据，常规代理端口科来可以自动识别。
2.过滤含有get请求的数据包。（科来数据包重组功能可以发现能还原出get请求、url等信息，随便选择http关键字进行过滤即可）
基本能判断某ip在用代理上网。

天空之城 · 发表于 2009-12-18 16:19:30

本帖最后由天空之城于 2009-12-18 16:26 编辑

如何只是判断web代理，比较简单，假设代理端口为2111，设置过滤器：
1.去掉端口80的数据，常规代理端口科来可以自动识别。
2.过滤含有get请求的数据包。（科来数据包重组功能可以发现能还原出get请求、url等信息， ...
Se7en 发表于 2009-12-18 11:51

针对你提出的这两点，我有些不同的意见，本着共同探讨的精神，一起来交流一下，也希望更多的朋友来讨论。

一、很多代理网站使用的是非80的端口，但是，请记住，也有很多代理网站使用的是80端口，也就是说，你设置的过滤器只能捕获到使用非80端口进行代理的内网主机，而使用80端口进行代理上网的主机你是捕获不到的，设置过滤器的意义就在于捕获到所有我们想要得到的结果，而不只是一部分。

二、没明白你所说的过滤含有get请求的数据包是在日志设置中还是在数据包模式匹配中过滤get、url等关键字进行设置，如果是在日志设置中，那么你捕获到的数据包的协议是tcp，而不是http，是不会有任何的记录的;如果是在数据包模式匹配中设置，还是同第一个同样的问题，你捕获的只是使用非80端口代理上网的主机，而不是全部使用代理进行上网的主机(如果内网中有使用80端口和非80端口进行上网的主机，你只能捕获到一部分，但你能确定所有使用代理上网的都是用的非80端口嘛？)。

下面是我使用百度搜索的网站中随意打开一页所选取的代理服务器地址，大家可以看一下使用80端口的代理服务器有多少：

IP port	Type	Speed	Country/Area
209.197.110.17 :80	HTTP	672,2781,2781	US/CA
189.15.242.73 :223	HTTP	656,2172,2172	Brazil
200.226.251.217 :80	HTTP	437,2469,2469	Sao Paulo,Brazil
212.80.4.224 :3128	HTTP	687,2968,2984	Belgium
87.120.58.161 :8080	HTTP	328,2109,2109	Bulgaria
213.255.218.158 :8080	HTTP	547,2688,2688	Europe
221.130.13.208 :80	HTTP	156,2359,2359	江苏省南京市移动
202.159.216.14 :80	HTTP	421,2390,2390	India
222.124.142.201 :8080	HTTP	578,2343,2343	Indonesia
221.130.13.200 :80	HTTP	141,2641,2641	江苏省南京市移动
69.92.138.195 :8080	HTTP	312,1406,3219	United States
76.169.100.41 :8085	HTTP	984,2625,2625	United States
24.181.69.111 :8085	HTTP	344,2015,2015	美国密苏里州
121.14.158.65 :80	HTTP	47,2063,2063	广东省中山市电信
208.69.231.202 :80	HTTP	281,2250,2250	United States
202.99.29.27 :80	HTTP	78,2438,2453	北京市网通ADSL
187.6.20.210 :80	HTTP	703,2563,2563
77.73.162.21 :3128	HTTP	609,2453,2468	RIPE
58.240.237.32 :80	HTTP	47,2110,2110	江苏省苏州市网通
114.127.246.36 :80	HTTP	266,2172,2172	Indonesia
189.21.126.31 :8080	HTTP	469,2125,2141	Brazil
59.51.60.169 :808	HTTP	63,2016,2016	湖南省衡阳市电信
131.203.76.8 :3128	HTTP	469,2250,2266	New Zealand
200.25.221.19 :3128	HTTP	359,2765,2765	Sao Paulo,Brazil
71.230.132.90 :8085	HTTP	969,2203,2203	United States
82.78.81.166 :3128	HTTP	391,2485,2485	Rumania
211.138.124.196 :80	HTTP	156,2344,2344	浙江省移动(全省通用)

aprilshenju · 发表于 2011-9-19 21:19:06

如果只是 http代理检测。。可以直接对url在进行一次dns查询哈。。然后在与目的IP比较。。
用代理，肯定不一样哈。。
至于其他纯粹的tcp/udp通信，就不能准确判断了。。。检测ip是否始终同一个，，不怎么准确。
可能只是某一个程序在代理通信，也可能确实只有一个进程在通信

怎样查内用哪些用户使用代理服务器

评分

浏览过的版块