Vin*_*yak 16 virtualization web-filtering hosts-file bypass
我正在阅读这篇Net Nanny 文章,其中提到了孩子们可以绕过其网络过滤器的各种方式。
在其他方法中,我看到了这一点:
青少年可以完全绕过过滤器的一种方法是安装一个程序,该程序在计算机上运行虚拟机,本质上是计算机中的一台计算机。因此,例如,如果您的计算机的操作系统是 Windows,狡猾的青少年可以下载一个运行虚拟 Windows 操作系统的程序,该程序不会安装 Net Nanny,然后在没有过滤器的情况下上网。
现在我想知道如果主机操作系统上的主机文件阻止了对所有不需要的网站的访问(让我们暂时假设确实存在如此庞大的、定期更新的主机文件),包括包含成人内容的网站,这是否仍然可能, Web 代理、P2P 文件共享站点等。
现在是否可以从 VM 中运行的 Web 浏览器中访问那些被阻止的站点?我们还假设没有使用 VPN,也没有使用 Tor 或 Google 的网页“缓存”视图。
Dar*_*oid 26
是的。该hosts文件不会阻止任何内容,它只是告诉计算机它可以在何处找到指定的网站。当您尝试转到 时google.com,系统将检查hosts该名称的文件,如果存在,它将使用那里的 IP,而不是从 DNS 服务器查找 IP。
虚拟机拥有自己的主机文件,并独立于主机计算机执行自己的名称解析(即检查自己的主机文件并联系自己的 DNS 服务器)。
即使您重定向google.com到127.0.0.1(“阻止”网站的常见方式),您仍然可以通过173.227.93.99在网络浏览器中输入内容来访问 google 。
此外,根据 VM 网络的配置方式,主机操作系统上基于 IP 的过滤器可能无用。通常,VM 与主机网络“桥接”,这意味着所有传入流量都被复制并发送到 VM,以便它可以看到主机执行的所有网络流量。即使主机配置为阻止或过滤某些 IP(例如使用防火墙),VM 仍将看到其数据的“副本”,这将允许 VM 浏览 Internet 并忽略安装在其上的过滤器主机。
记住计算机和安全的基本规则:如果我可以物理接触计算机系统,那么只要有时间我就可以完全控制它;孩子们有很多空闲时间,他们绝不是这个规则的例外。将系统重新启动到安全模式并删除 NetNanny 或安装在其上的任何其他软件是微不足道的。
如果您希望过滤/限制/监控您的孩子在互联网上的行为,您需要在网络级别而不是系统级别执行此操作。查看您的路由器支持哪些功能(例如@Keltari 建议的 NetNanny 集成),以及它是否支持备用路由器固件,例如DD-WRT,它可以按计划断开孩子的计算机(例如,每天晚上 10 点到早上 6 点) )。
即便如此,网络过滤也常常是打地鼠游戏,而且经常很容易被 Tor 等代理阻止;阻止某人访问真正想要访问的互联网几乎是不可能的(问问中国或其他拥有大量防火墙但最终无法完美运行的国家)。
对于孩子,您要么必须与他们交谈并向他们解释 Internet 的危险,并有足够的信心,他们不会故意去寻找不良网站(然后仅使用 NetNanny 作为阻止意外导航的备份),要么你不能让他们在无人监督的情况下使用连接的计算机。