【超详细拆解】跳板机如何规避安全和延迟

zxfast123 23天前 1053

跳板机相信在9c的朋友应该早就不陌生了,他的目的无非就是提高安全性,当然有些时候安全和速度是互斥的,需要综合自己的实际情况做出最合适自己的选择,为什么小丫要今天要来跟大家谈跳板机安全性问题呢?

让我们来看看这两篇文章:

看看网警监控如何找到你

入侵必读:网警如何找到你

俗话说会攻才会防,知彼知己,百战不殆,如果你嫌本文长或者对安全不在乎的话,可以直接关掉本页面,接下来本文将深入解析跳板机上的攻防,长话短说让我们直接送上满满的干货,希望能对各位有所帮助。


一。跳板机系统选择

建议大家使用目前最新版Windows Server 2019,因为相对老版本来说已曝光出来的漏洞最新版最少;当然如果你是一位很熟悉Linux的站长,那可以直接用SSH隧道建立跳板,全程用SSH Terminal来操作你的真实服务器,然后浏览器也用SSH隧道做代理,那小丫也服。


二。跳板机应用软件操作规范

尽量不要在跳板机上安装不知名的软件,或是破解软件,能用开源程序尽量用开源程序,实在没有开源退而求其次社区免费版,再没有再考虑付费购买正式版;另外切忌一定不要在跳板机上安装任何国产软件或者中资背景的软件(包括输入法),原因很简单就是这些软件会搜集你的用户使用行为记录(包括IP)然后上传到他们服务器去,不排除jc会有后台可以直接查阅这些记录。


三。跳板机修改3389端口

一般机房拿来的Windows机器,都是远程桌面3389默认端口,别傻乎乎直接用!一定要修改成其他端口,因为在互联网上有太多端口扫描机24小时不分昼夜的扫漏洞,建议换成10000以上大端口,记得同时要修改Windows防火墙启用新TCP端口,以免重启后就连不上就尴尬了,修改端口和防火墙的方法可以在网上搜到很多教程这里就不再阐述了。


四。跳板机浏览器注意事项

1.敏感网站使用Tor访问

访问任何敏感网站(包括访问其他友站)都建议使用Tor(洋葱)浏览器

曾经黑客透过Tor偷偷下载美国总统候选人希拉里的邮件,具体可以参见“希拉里邮件门”,然后散播出来害希拉里败选特朗普,至今CIA也没追查到那位黑客,可见Tor的隐蔽性安全性是有多高。

小丫并且建议把网桥打开,定期更换网桥,因为你不知道你的跳板机所在的网络提供商是否有钓鱼蜜罐Tor节点。

Tor(洋葱)浏览器下载地址:https://www.torproject.org


2.常规一般网站使用Firefox访问

这个网站是可以查询出来你是否存在DNS泄露:https://www.dnsleaktest.com

不过小丫觉得这种这种测试网站都模糊了焦点,其实作为X站的站长要关心的是运营商是否知道我经常在查某个DNS的域名,假设我是jc现在要来查abcd.com是谁搞的,直接调阅国内公共DNS 100%是记录了好几年的所有查询记录,只要找到谁经常查abcd.com和最早查abcd.com这个域名的IP,然后去运营商查询路由记录确定再那个时间段是属于谁名下的,一查一个准。

那么问题来了,有些朋友以为挂了ssr或者v2ray,然后给浏览器套一个代理就可以神不知鬼不觉,如果你也是这么想的就相当危险!!!因为电脑上的所有软件的DNS查询都是会通过本地ISP运营商所提供的DNS Server交换数据,除非你用的是支持DoHDoT功能的浏览器就会加密传输你的DNS查询,又除非你是开着喂匹恩全局代理了系统的所有流量包括DNS查询,这样你的DNS查询记录就不会出现本地运营商手里。

许多朋友喜欢用Chrome,首先Chrome并不是开源的,它只是个拥有开源Chromium 99%的代码,商业公司就说明一定是会以盈利为目的,都不是以隐私和安全作为首要目标,Chrome浏览器目前不支持DoH功能,所以建议各位9c的站长访问常规网站建议使用带有DoH功能的Firefox浏览器,记得不要下载国内版火狐,最建议下英文版本,如果英文不熟悉者也可以下载繁体中文版。Firefox繁体中文下载地址

Firefox安装好之后默认是未开启DoH的,DoH功能需要手动启用,它可以有效的防止DNS泄露以及DNS污染问题,如何启用DoH


3.禁用WebRTC

WebRTC是一套支持网页浏览器进行实时语音对话或视频对话的API。它于201161日开源并在GoogleMozillaOpera支持下被纳入万维网联盟的W3C推荐标准

2015年,TorrentFreak报告了一个WebRTC的安全漏洞,该漏洞会致使安装有WebRTC的用户泄露真实IP,即使用户已经使用喂匹恩仍然可以暴露真实IP参考链接

另外基本上使用这个技术的把它用在原本的用途(语音视频对话)的网站很少,现阶段一般在用到WebRTC的场景都是想要获取用户本地真实IP,浏览器默认又是启用的,所以请立即禁用它。

不会如何禁用的9c朋友可以去Google搜:disable webrtc,有大量如何禁用教程,本文就不阐述了。


4.千万不要在跳板机上访问国内网站

不要在跳板机上访问国内网站,更不要去登录国内账号!!!因为国内账号一般都是实名制的,你只要登录过一次国内网站那个跳板机的出口IPGG了,jc就可以通过他们内部后台通过原本可疑的IP而查询到同一个IP也曾经登录过国内账号,就可以跨区域查水表了。。。


五。跳板机的机房&地区的选择

对跳板机的使用体验如果想要效果最佳的话,强烈建议选择香港的跳板机,硬件配置也不用太高48G内存一般就完全足够了,带宽有10Mbps都够,最重要的是低延迟要在1~24ms以内,主要是网络到大陆有做路由优化带宽才好,操作才能流畅。

所以用香港的喂匹恩去连香港的跳板机,体验best。

有些朋友可能不是很清楚“延迟”和“带宽”的含义,小丫举个形象的例子:

有一批口罩要从中国运往美国 有两个选择:海运 空运

空运只需要10多个小时,一次只能放1~2个集装箱体积的货物,则相当于是“小带宽低延迟”。

海运需要15~25天时间,但是一次可以拖几千个集装箱,海运就相当于是“大带宽高延迟”。

为什么说跳板机延迟最重要呢?因为你每在跳板机上点击一次鼠标或者按下一个按钮,都会在心理预期屏幕上有所反应,如果每一个I/O操作都要卡(等)上一段时间,那就说明延迟很大,体验就相当差,非常影响心情,更影响工作效率,真正IPLC专线线路的低延迟是能够让你操作跳板机像操作本地机器一样的快捷,如果你有遇到此类问题不妨在这部分下点工夫。


1.最下下策(很卡也不安全但便宜)的选择

购买美国的廉价机房的单IP机器作为跳板机,然后在国内直连它IP

因为光速的限制(光速一秒钟只能绕地球赤道7.5圈),理论最短时间从中国到美国的往返也要赤道一周,理论速度都要延迟将要133ms,现实可能还要乘以1.5倍了,简直卡成马了。


2.稍微安全点(很卡较安全)的选择

购买美国的双(多)IP机器作为跳板机,然后在国内直连(入IP)进行远程操作。

假设你在北京,你的源站真实IP是在美国,中间将经过2

北京宽带 → 美国(跳板IP) → 美国(跳板IP) → 美国源站IP

还是不推荐使用美国的机器做跳板机,同等价位的或者贵一些的,可以考虑新加坡、日本、台湾的。


3.稍微快点也不失安全(比较贵)的选择

购买香港的CN2 GIAIP机器作为跳板机,然后在国内直连(入IP)进行远程操作。

假设你在北京,你的源站真实IP是在美国,中间将经过2
北京宽带 → 香港(跳板IP) → 香港(跳板IP) → 美国源站IP


4.最奢侈(最贵)的选择

就是直接购买有提供IPLC的香港跳板机,专线带宽费用大概200~300/1Mbps,再加上深圳和香港两台机器的租金,就算只买10Mbps每月要花费好几千/月;然后在国内直连(入IP通常在国内)进行远程操作。

假设你在北京,你的源站真实IP是在美国,中间将经过2
北京宽带 → 深圳(跳板IP) → 香港(跳板IP) → 美国源站IP


5.推荐的最经济选择

本地电脑开着IPLC专线喂匹恩 ,使用香港IPLC节点,然后租一个香港的国际带宽(不需要针对中国大陆路由优化)的双IP机器做跳板机。

假设你在北京,你的源站真实IP是在美国,中间将经过4
北京宽带 → 深圳( 喂匹恩 IP) → 香港(喂匹恩 IP) → 香港(跳板IP) → 香港(跳板IP) → 美国源站IP

跳数越多越不容易被追查到,而且速度也跟第4种一样IPLC专线喂匹恩 价格也相当便宜20/月,香港国际带宽的跳板机也不贵,$20~$50/月就搞定了


六。结语

有些人追求事情100%合格100件事情99件事情做对了只有一件事情没有做对但这一件事就有相当一部分人做到了99%就差1%但就是这点细微的区别使他们在事业上很难取得突破和成功。如果以上文章说的哪些地方不正确的或者有遗漏点,或者有疑问希望跟小丫讨论的,欢迎留言批评指正或者私聊小丫电报账号;最后感谢狮子大佬提供此交流平台让我结识各位大佬。



最后于 23天前 被zxfast123编辑 ,原因:
最新回复 (11)
  • 0 引用 2
    感谢站长分享,同时您可以在群里聊聊这个安全问题

    再次感谢您的分享
    23天前 收起回复
    zxfast123: 感谢狮子大佬提供此交流平台让我结识各位大佬。
    23天前回复
  • 1
    0 引用 3
    讲的真好


    http://suo.im/6fOsny
    洛杉矶去程三网直连 回程GIA的机器 带50G防御
    2核2G仅需40R
    国内三网都是秒开的
    支持加IP 加内存 加硬盘 自定义服务
    23天前 回复
  • 0 引用 4
    学到了,感谢分享~
    23天前 收起回复
    zxfast123: 客气客气,有什么疑问可以直接在留言中回复
    22天前回复
  • 0 引用 5
    受教了
    23天前 收起回复
    zxfast123: 有什么疑问可以直接在留言中回复哦
    22天前回复
  • 0 引用 6
    做好的办法,出国啦,
    23天前 收起回复
    zxfast123: 呃,但是成本最高呃,如果PV达不到某个量的话,是不划算的
    22天前回复
    十字路口: 在国内月入百万的也不少,量不起来,不要茫贸然出国
    22天前回复
  • 0 引用 7
    我曹,不要夏我,火狐大陆版也不安全?这个也相当于国产软件吗?被jc控制了啊?
    22天前 收起回复
    十字路口: 跳板机
    22天前回复
    zxfast123: 火狐中国版是北京谋智火狐信息技术有限公司的fork版,是不应该被信任的,虽然没有证据证明数据会共享给zf,不过还是建议装国际版火狐
    22天前回复
  • 0 引用 8
    大佬问一下,本机喂匹恩是要使用国内节点吗,还有是用机场还是自建=-= 
    谢谢大佬
    22天前 收起回复
    zxfast123: 用机场和自建的需要再配合SSTAP和tun2socks等工具,才能让远程桌面被代理,自建的IPLC成本有点高,合租比较好,或者直接用中信VPN的IPLC香港节点都可以
    22天前回复
    发酵饲料发酵饲料: 回复 zxfast123: 大佬,sstap可以信任吗?有人说他的流量也被政府监控了,因为政府把作者喝茶了,我有他之前发布的SSTap-beta-setup-1.0.9.7这个版本
    22天前回复
    zxfast123: 回复 发酵饲料发酵饲料: sstap它没有开源,作者好像也停止维护了,应该跟zf没有多大关系。
    22天前回复
    发酵饲料发酵饲料: 回复 zxfast123: 我一般是虚拟机里面开sstap全局,ss挂到国外ip,这样相当于虚拟机全局都走国外ip了吧?应该还是安全的吧
    22天前回复
    zxfast123: 回复 发酵饲料发酵饲料: 开SSTAP全局,把UDP也要代理起来,这样就在DNS这一层面来说安全
    22天前回复
    还有2条回复,查看
  • 0 引用 9
    大佬,那些dns污染的域名,是不是设置了doh,就可以正常访问了?
    16天前 收起回复
    zxfast123: 不一定,DNS污染只是墙的机制里面的一种,还有SNI检测、封IP、封端口 等等机制。
    15天前回复
  • 0 引用 10
    老哥再请教一个,如何代理国内IP,就是本地换国内节点,这样发帖推广什么的方便也安全一点,看了几款V批N都没有国内节点或者比较少
    14天前 收起回复
    zxfast123: 中信VPN的IPLC的回国节点就挺快的
    10天前回复
  • 0 引用 11
    很受用, 感谢分享  
    12天前 收起回复
    zxfast123: 感谢阅读,欢迎批评指正
    10天前回复
  • 0 引用 12
    感谢分享,人在国外用这么复杂吗
    9天前 收起回复
    十字路口: 多一层安全考虑
    9天前回复
    zxfast123: 在任何地方都不能掉以轻心
    9天前回复
    davidh: 回复 十字路口: 谢谢狮子老大,跳一次,再用洋葱操作可以嘛
    9天前回复
    十字路口: 回复 davidh: 看个人习惯,我没有用
    9天前回复
返回
发新帖