用虚拟机匿名吧!(5) ——虚拟机的匿名原理!

2015/04/30
系列前几篇都在研究如何用虚拟机匿名,有读者提出问题,说不明白为什么要用虚拟机匿名,“host os中设置Tor+前置代理不是已经安全系数很高了吗?”

我的失误,应该在一开始就把虚拟机匿名的必要性说清楚的。首先,不管用不用虚拟机,host os中都不能有国产软件,否则匿名根本就无从谈起!至于原因吗,请看国产流氓软件恶事专辑电脑小白们,最小特权原则,国产软件,Ghost系统与其他 ,看完之后就再看看替代国产流氓的软件和网络服务把这些该死的国产流氓都请出去吧!至于请不出去的,那就丢到虚拟机里吧! 

然后咱们继续聊匿名:没错,对于一般网友,主系统内Tor+前置代理的确就足够了,但是这样做有几个缺陷:
首先,为了防止真实IP泄露,必须要把浏览器内的所有插件都给禁用了,这样就和只能和flash视频和在线游戏说再见了:( 
 
上图为插件暴露真实IP的原理,图片来自编程随想博客

很不爽吧?很多时候想看个视频都看不了(虽然最新HTML标准HTML5添加了对视频的支持使得flash插件不再成为必须,但是还有很多视频只能在安装flash插件的情况下观看),游戏更是没戏。

然后,如果想要利用国产软件发表“煽动颠覆国家政权”的言论(例如QQ),那就必须要把QQ放在虚拟机里,然后虚拟机设置为host-only模式再走host os中的代理,否则QQ就会偷偷绕过代理设置直接联网从而泄露诸位的真实IP,原理如下图:
 
图片依旧来自编程随想博客

有人会说:“我一不看视频玩游戏,二不想用国产软件发表敏感言论,这样总没必要折腾虚拟机了吧?”

不,实际上还是有必要的:如果把host os当成匿名平台,那么一旦不小心中了木马(访问了挂马网站或下载运行了含有木马的软件),你的防线马上就会全线崩溃,身份会泄露不说,而且主机也基本上废了,又要重装系统,又会丢失储存的资料,绝对是灾难啊!

 而虚拟机就可以完美解决这个问题:VirtualBox有备份功能,只要事先对当前虚拟机状态进行备份,一旦以后不小心中了木马,马上退回备份时的状态即可:





如图操作即可。

虚拟机的host-only模式的特别之处就在于guest os在此模式之下只能访问host os而无法访问外网,同时外网也不知道guest os的存在。在host-only模式下,guest os中的软件只能先访问host os中的代理软件(实际上是代理软件运行之后在本地形成的一个local proxy),然后代理软件再把guest os的通信请求沿着代理路径发送到外网:
 在这种情况下,guest os中的所有软件的网络通信都必须走代理,那么也就不存在插件泄露IP之类的问题了。

有人又会问了:“这样说来,一个虚拟机足够了,为什么要搞什么双虚拟机呢?”

前面说了,匿名的前提是host os里不能有任何国产软件,但是有两种情况很棘手:1,想要用自带客户端的国产VPN或者其他不开源的翻墙软件作为Tor的前置代理;2,有些运营商要求用户安装他们的拨号软件才能上网,这些拨号软件也一样是不可信的。

那么,只能把不可靠的翻墙软件和拨号软件安装在另一个虚拟机(翻墙虚拟机)里,然后把连接共享出来给匿名虚拟机使用,共享方法参看系列第一篇 ,注意一点:翻墙虚拟机的网络连接方式最好设置为桥接(bridge)模式,这样可以直接把连接共享出来;如果设置为NAT模式,还需要添加端口映射(port forwarding)才能共享连接,具体如何做请期待我的研究:)

Whonix的双虚拟机也是同样的原理:Whonix-Gateway就是翻墙虚拟机,可以在里面安装VPN或SSH或其他翻墙工具作为Tor的前置代理(当然在linux下安装国产VPN客户端和只有win平台的翻墙工具并不是什么好主意,只有在wine的帮助下linux才能正常运行exe文件,而且还不一定能成功,敬请期待教程);Whonix-Workstation是匿名虚拟机,里面所有网络通信都只能通过Gateway里的Tor中转,开发者已经预先配置好了网络连接模式。

系列前几篇介绍的匿名系统TailsWhonix都是基于Linux的,我希望诸位能够克服心理障碍,Linux虽然与windows相差很大,但是远远没有很多人想象的难于上手,而且又是自由软件,为什么不去试试呢?Linux平台的软件绝大部分也是自由软件(对于Debian来说全部都是),而且连杀软都省了(Linux太小众以至于都没有针对Linux的病毒木马),系统本身也远没有windows臃肿,强力推荐诸位尝试!

科普文链接集合:https://plus.google.com/+GhostAssassin/posts/a8aKzvZLsuV

Related Posts