1.使用了VPN或代理并不完全意味着隐私和安全

(1)DNS泄露问题

DNS就像是互联网上的指路牌系统,负责指明某个域名所对应的服务器IP地址。例如,若要访问google.com,则必须先向DNS服务器询问google.com对应的服务器IP地址,才可经过这个IP地址访问到google.com。

DNS的查询与响应都是未加密的。因此,你的网络上游运营商可以不费吹灰之力地检测到你向DNS服务器查询的内容。由于所有的网页/邮件/互联网访问都需要向DNS服务器获取到对应域名的IP地址,因此,运营商可以知道你所访问的每一个站点。

更有甚者,由于DNS数据包并未加密,运营商甚至可以“装作是你查询的DNS服务器”向你发出的请求回复一个错误的IP地址,这就是“DNS劫持”。许多朋友在上网时,虽然直接输入了网址,想要访问对应网站,但仍可能会遇到“您访问的网站已被投诉xxx”之类的提示,这便是遇到了“DNS劫持”,运营商伪装成你的DNS服务器,向你发送了错误的IP地址,把你导向他们部署的“您访问的网站已被投诉”的服务器。

(2)部分VPN加密并不可靠,有些甚至不加密。

尽管VPN全写为 Virtual Private Network,带着Private的字眼,但是其并没有强制的加密要求。

如以往常用的PPTP协议,其加密方式并不可靠,目前已有工具可实现数据包的破解;L2TP协议本身只是对原始数据包再封包,没有任何加密措施,因此在公网裸跑L2TP没有任何的安全性,任何中间路由器/设备都可以轻易截获,审查你的数据包。因此,L2TP常常配合ipsec使用。ipsec是一个加密隧道,L2TP配合ipsec是目前最常用的传统VPN组合,我自己目前也在使用这个组合来进行VPN组网。

(3)要注意VPN/代理提供商的信用与资质

若使用VPN/代理方式翻墙,则可以理解为客户端将所有数据发送给代理服务器后,代理服务器为我们代为转发,从而绕过防火长城。也即是,代理服务器可以看到我们所有的数据包。我们无法知道机场主到底有没有在审查/记录我们的敏感数据,因此要选择信誉良好的机场。

很多朋友在使用“免费机场”“老王免费VPN”这类的免费翻墙软件,这绝对是把自己送给网警当业绩。这些免费的机场或VPN,或许大多数都是警察叔叔的“蜜罐”而已。或许真的有好人免费为大家提供VPN/代理服务器,但互联网的东西,谁又说得准呢?他们免费给你提供服务器供你翻墙,目标可是你的账号密码、敏感的个人信息啊!

(4)小心运营商的光猫

光猫我们每家每户都有,就是那个将光纤和网线相连的白色小盒子(当然,也可能是黑色的)。在光纤刚普及的时期,光猫只是一个简单的光电转换器,它负责将光纤的光信号转换为以太网的电信号。我们在光猫后接一个自己的路由器,或直接链接电脑的网口,即可拨号上网。在这一时期,光猫不会对你的数据包做任何审查。以光猫为界,光猫内侧,是你的家庭网络;光猫外侧,是运营商的公共网络,两侧井水不犯河水。我们称此时地光猫为“桥接”模式,只是简单地连接了两侧。

但数据值钱,运营商肯定会想办法将触手插入到你的家庭网络内部,才能搜集更多的用户信息;且大多数网民并没有基础的网络知识,并不知道如何配置自己的路由器。运营商就顺理成章地将“桥接”模式光猫更换为了“路由”模式光猫。之所以叫做“路由”模式,是因为光猫已经融合了路由器的功能,它既光电转换,又可进行拨号上网,转发数据包。

“路由”模式的光猫可以直接接触到用户家庭网络内部的数据包,使得它可以通过前述的DNS方式审查用户访问的站点,也可以记录/向运营商汇报用户和外部服务器的连接详情。这并不是危言耸听,前些日子,中国移动就被爆出在光猫里安装插件来审查用户的互联网使用情况并上传给服务器。

因此,必须小心运营商的光猫,尤其是“路由”模式的光猫。他们可能不坏,但都不是好东西。

2.如何让自己的网上冲浪变得更加安全与隐私?

(1)使用DOH/DOT以及将DNS请求强制走代理服务器来应对DNS泄露和劫持问题

DOH(DNS over HTTPS)和DOT(DNS over TLS)是DNS的加密版本,它和HTTPS一样,可以防止第三方获取/篡改DNS数据包的内容。 以及,可以将所有的DNS请求数据包通过VPN通道/代理服务器来转发,使得本地ISP无法看到你的DNS数据包。

(2)使用安全的VPN协议,以及安全的代理方式。

优先使用L2TP + ipsec或同等安全性的组合来保障VPN连接的安全性,不要使用安全性不佳的PPTP,或者是裸连的L2TP。若使用的是代理而非VPN,则应当优先选择诸如Shadowsocks/Shadowsocks-R/VMess及其他安全的代理协议等。

(3)不要贪小便宜使用非常廉价甚至免费的机场/代理服务,免费的才是最贵的。

他们不要你的钱,那总要拿走你些什么东西,对吧?

(4)建议将运营商的光猫调整为桥接模式,使用自己的路由器进行拨号上网。

这样不仅在网络拓扑上减少一层网络设备,提高整体网络的稳定性,更可以防止运营商将触手伸进自己的家里,搜集自己的网上冲浪信息。有些运营商不会帮助你设置为桥接模式,这时候就可以自己在网上购买替代光猫后,手动替换掉运营商的光猫了(需要设置LOID/MAC/VLAN等信息)。

标签: 网络