展开全部说到代理服务器,概念太大了,HTTP Proxy/FTP Proxy/SMTP Proxy/Telnet Proxy/Socks Proxy等等都是代理服务器。我们常用的代理服务器,其实也就是HTTP Proxy,下面将会针对如何发现内部网络的非法HTTP Proxy来进行分析。1) 流量监控若是有条件的话,进行流量监控是个不错的选择,代理别人的机器,其流量会比一般机器的平均流量大几倍,从流量,可以发现可疑的用户,不过,仅仅根据流量,你是没有证据说他用了代理软件的,碰上一些有资历的或者刁蛮的用户,你反而会吃不了兜着走。 2) 端口扫描开一个SuperScan或者你所喜欢的扫描器,对某些网段进行端口扫描,然后再在扫描的结果中人工寻找可疑目标,比如那些开放了8080/3128什么的端口,多半是HTTP Proxy,最后再用代理猎手来确认,或者自己利用HTTP协议来手工确认。不过,端口扫描仅仅是对菜鸟有用,高手会把自己的端口改成一个很怪异很高数值的端口(谁会愿意每隔一段时间去扫描几个网段的IP的1-64K的端口?)甚至,他还可以把代理服务器的端口仅仅开在他的内部IP上(就是那个接其它需要非法上网机器的非法IP),这样你从你的内部网络,是不可能用通常手段扫描到他的内部IP到底开了哪些端口的。3) SNIFFER以上的两个方法对侦测HTTP Proxy都不是太有效,不得已,我们可能需要从HTTP协议本身来下手分析某个HTTP请求是否用了非法的代理服务器。为了分析HTTP协议,首先要做的就是SNIFFER,若你真的是网络管理员,我想你是有办法来搞到某个IP对外的HTTP请求甚至是整个内部网络所有的对外的HTTP请求。(特别提醒:交换环境下做Sinferr监控必须在交换机上配置镜像端口或者在相应出口上接一HUB)首先来看看标准的HTTP协议,HTTP协议分HTTP请求和HTTP应答两部分,在通常的情况下,HTTP请求由浏览器发出,而HTTP应答是由HTTP Server来发出。HTTP Proxy在这里会做一个中间人的位置,以自己的身份向HTTP服务器发起请求,这个HTTP请求的主要内容来自HTTP Client发给HTTP Proxy的请求,但是某些细节可能会有改变,HTTP Proxy甚至会加一些信息进去。这时我们就要对这些数据包进行Sinferr,只要我们发现某个HTTP请求中有HTTP Proxy加进去的信息,那么我们就可以判断某个IP是HTTP Proxy了,甚至可以判断出真正提交这个HTTP请求的非法用户的真实IP。具体进行数据包分析的理论就不贴了,我们大家关心的是怎么去实现它。值得高兴的是,这里已经有人写了一个页面,可以直接检测本机用户是否用了代理,大家可以检查你用的是否是http代理上网: 然后我们就可以改改这个脚本(下载那个proxy-detect.php),让它把log信息记录到一文本文件中,然后伪装成图片(以前版上经常有人搞那玩意儿)或者用其它的形式包含到一个内部网用户都要访问的一个网页上面去。(说白了就是一个陷阱)。我们只需要定期去检查日志文件里有没有人中标就行了。