看一看泄露方式吧!

直接连接目标网站

如题。网站会看到你真实的IP地址和运营商信息,并且能知道你的大致位置。
天气预报网站在没有获取你的位置信息的情况下,通常靠IP属地显示你所在城市的天气。

解决方法 :通过任意方式代理即可。代理后改变请求IP,网站会看到代理后的IP地址,这一招就足够应对80%以上的情况了。如果你愿意做那20%,那么继续:

Webrtc泄露

假如浏览器设置好了,走本机软件v2ray的10808端口出去(由于这篇文章不打算设置权限,所以这些敏感词手动隐藏 歪楼歪到翻墙了,哎,那我也不遮遮掩掩了。)上网,在默认设置的情况下,访问一些查IP网站,如【匿名代理追踪真实ip】或者是【browserleaks
然后看到上方显示的【我的IP地址】,正确地显示了代理后的地址。

“我的运营商是Cloudflare,来自澳大利亚……”

正准备心满意足地关掉网页,但是看了网页下方一栏,顿时人傻了:
WebRTC Leak一栏,赫然写着其他两个IP地址,而第二个正是本地运营商的IP。
175.45.176.72 - 我的运营商是星合营会社,来自朝鲜平壤 朝鲜电脑研究中心!
(三胖发现了你在翻墙,超级瞄准已部署,Biang,此贴终结)
顺便一提,把局域网IP都暴露在了公网上。

这是WebRTC干的好事。

WebRTC,名称源自网页即时通信的缩写,是一个支持网页浏览器进行实时语音对话或视频对话的API。它于2011年6月1日开源并在Google、Mozilla、Opera支持下被纳入万维网联盟的W3C推荐标准。 ——维基百科

普通的代理方式、不是特别专业的VPN,都不会对它造成影响,这也就说明为何有人开代理仍然会被探测到真实IP。其实通过WebRTC的探测方法,一般的商业公司也不怎么会用。你值得更强的对手:)

解决方案 :火狐浏览器在地址栏输入“about:config”,搜索“media.peerconnection.enabled”并双击将值改为“false”即可。谷歌和Edge需要安装 WebRTC Leak Prevent 插件,并在插件设置中,选择“Disable non-proxied UDP (force proxy) ”即可。

注意,禁用后可能会影响浏览器内的一些实时通信,比如Google Voice网页版打电话的流畅性。

DNS泄露

如果代理未正常代理DNS(域名查询)请求,那么,一般情况下系统会把查询信息发送到默认网关(路由器都会通告设备,自己是DNS服务器。收到客户端查询请求后,默认会【不加密地】发给你的本地【运营商】。
嗯,buff叠满,俩都不靠谱。
毕竟三胖盯着你的ISP呢,你干了点什么都会被记录下来。


👆默认DNS是朝鲜权威NS服务器

浏览器(175.45.176.72):权威服务器175.45.176.15大姐你好,我是175.45.176.72,我想问一下,去nodeseek.com咋走?找不到路了(
175.45.176.15:我找找……(省略递归查询、根域名查询……)找到了,104.26.11.72,[2606:4700:20::681a:a48] 去吧!
浏览器:收到!

由于HTTPS加密的普及,加上我已经开启了不那么可靠的代理方式(没有说CF不好的意思),偷窥狂三胖看不到我具体浏览了哪篇文章,但是她通过DNS查询记录,就知道看到我打算访问nodeseek。

如果DNS服务器(NS1的妹妹NS2)很坏,就想看你找不到路的绝望和无助的表情,或者有人劫持通话,那么就会这样:

浏览器(175.45.176.72):权威服务器175.45.176.16小妹你好,我是175.45.176.72,我想问一下,去nodeseek.com咋走?找不到路了(
175.45.176.16:我找找……【大气干扰声】找到了,磁—— (雪花屏的声音) 93.46.8.90,8.7.198.46, 去吧!
浏览器:收到!
(此时,远处的声音“104.26.11.72,[2606:4700:20::681a:a48]”才慢慢传来,但是浏览器很猴急,已经挂机了。)
10秒钟后:
对方无应答……www.nodeseek.com 的响应时间过长。

喜闻乐见。

解决方式:开启加密DNS。Chrome、Firefox都可以在设置里面开启。
加密DNS,目前DoT和DoH占了半壁江山,剩下一些DoQ之类的还不是很普及,那么先介绍前两者。
通过TLS和HTTPS加密你的查询请求,DoT采用853端口,DoH采用443端口。
由于前者太明显了,三胖在防火墙上切断一切跨国的853端口请求,就高枕无忧啦。
因此,看上去更像浏览网页的DoH现在更为普及。

一旦有人试图篡改,就会被检测出来,然后就停止通信,保证查询数据不被非法读取和恶意篡改,广告商也不能和ISP勾结,把你带到沟里了。
缺点:查询速度会慢一点,如果服务器在国外,则有可能把某些站点解析到离自己更远的服务器。

Tor浏览器

Tor浏览器,又称洋葱浏览器,套。

Tor是实现匿名通信的自由软件。其名源于“The Onion Router”(洋葱路由器)的英语缩写。用户可透过Tor接达由全球志愿者免费提供,包含6000多个中继的覆盖网络,从而达至隐藏用户真实地址、避免网络监控及流量分析的目的。Tor用户的互联网活动(包括浏览在线网站、帖子以及即时消息等通信形式)相对较难追踪。Tor的设计原意在于保障用户的个人隐私,以及不受监控地进行秘密通信的自由和能力。 ——维基百科

它基于火狐的长期支持版改进而来,添加了大量的安全措施,包括什么Webrtc,DNS,还有代理功能都包含,并且可以访问.onion TLD后缀的暗网。
暗网属于深网的一部分,所谓深网就是搜索引擎抓不到的网络内容。严格来说,你和对象的聊天记录也算深网。

Onion暗网里面充斥大量的诈骗和令人难以想象的犯罪信息,能把人性的丑恶发挥到极致,当然,那是匿名的。这里就不展开说了。
官网:
https://www.torproject.org/
http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/
(需要Tor访问)

Tor会强制把网络流量加密三次(如果目标网站是暗网,则对方也会加密三次,合计6次。最后三跳将不会显示。),每隔30s/每访问一个新网站,就会使用新的Tor链路。链路来自于全球各地的志愿者节点。
不过由于出口节点承担的责任更多,什么绿尸寒,脏活累活都是它的,所以出口节点比较少,然后早被玩坏了,频繁蹦验证码,而且速度不快。

但是相对的非常安全,如果这都能被发现,好巧不巧,三跳都是攻击者的蜜罐节点。但是这概率几乎为0,就算这真的发生了,由于一条链路只有30s有效期,还有HTTPS兜底,攻击者最多看到你上网的一个小片段。所以比起这个,不如担心你在匿名浏览时候,被别人窥屏、被手机系统偷拍屏幕……来得实在。

大招

既然Tor这么厉害,但是只能用在浏览器上,我能否让全局所有软件都用上呢?

当然可以!

如果我担心tor失效,暴露真实IP,能否再上一层保险?

当然可以!

FINAL SMASH!

篇幅有限,我这里提供一个思路:
虚拟机桥接VPN网卡,作为虚拟机的物理网卡。在这个基础上使用Tor联网,并且把Tor转换为强制全局代理。
有任何一环失误也不怕。如果主系统的VPN断开了,虚拟机桥接网卡直接断网,相当于拔网线了。
如果tor意外退出,那么端口直接失效,在全局模式下,所有的软件也会断网。
如果全局软件意外失效,那么还有VPN的IP兜底。

主系统可能无法直连VPN,还需要射线和飞机这样的前置代理,所以加上Tor的保护,上网会加密五次。
如果嫌Tor出口不干净,还可以自己想办法落地,这个我没成功过,大家可以试试,欢迎你的教程。

Softether VPN是一个好的选择。
首先创建一个虚拟机,桥接主系统的VPN网卡,主系统通过前置代理连接VPN。

然后安装系统,安装完毕进入桌面,安装Tor并正常联网,然后保持Tor窗口开启,安装Proxifier,安装好后输入激活码,激活软件,
在Profile选项卡中选择第一个,设置代理服务器为 127.0.0.1:9150,协议 SOCKS 5.测试连通性,成功。

然后在Profile选项卡中选择第二个,设置代理规则,Default改成经由代理,然后设置Tor的程序直连网络(经由VPN网卡)

需要直连的软件为: tor.exeobfs4proxy.exesnowflake-client.exe
如果在主系统用,比如某射线转强制全局,可以输入 v2ray.exeshadowsocks.exe (仅用作示例,此处不提供翻墙教程和节点)
端口确保为Any,Action确保为DIRECT(直连)

然后保存并退出。
在Profile->Advanced中可以进一步增强安全性,勾选DNS and IP Leak Prevention Mode ,使得DNS查询也经过Tor网络(出口节点到DNS服务器之间仍然是明文,但没人知道是你,你在五层加密保护之下。这不是DoT/DoH等加密手段)
选择 Block Traffic to All UDP Ports if Matched the Rule,阻止UDP
选择 Block Non A/AAAA Queries if DNS through Proxy ,阻止DNS返回除了IP地址以外的其他信息。我不知道这具体是什么,但可能会把问路信息暴露得很少,所谓极限精简。

tor出口节点:1.1.1.1,去nodeseek.com
DNS服务器:104.26.10.72。(嘟嘟嘟……电话已挂机)

好了,匿名冲浪吧。

但如果你都做了这么多,然后注册匿名账号 (只需要用户名密码即可,邮箱都不要时)