网络安全 ProxyChains：匿名的面具

Source: Dev.to

ProxyChains：它们是什么？

ProxyChains 是一个 UNIX/Linux 实用工具，能够强制特定应用程序发出的任何 TCP 连接通过一系列代理（例如 SOCKS 或 HTTP）。这使你能够隐藏自己的 IP 地址，并在连接到达目标服务器之前通过多个中间人转发，从而提升匿名性并让追踪请求真实来源变得更加困难。

ProxyChains 的工作原理

ProxyChains 通过修改动态链接程序的链接器设置来工作。它拦截出站的 TCP 连接并将其路由到已配置的代理链。典型的流程如下：

1. 应用程序发起 TCP 连接。
2. ProxyChains 拦截该请求。
3. 请求按照定义的顺序通过代理转发。
4. 最终目标从最后一个代理收到流量。

当与 Tor（The Onion Router）结合使用时，IP 地址不仅被隐藏，还会通过分布式的志愿者中继网络进行重定向，进一步提升匿名性。

实际案例：俄罗斯军方网络行为者（2024 年）

根据 CISA 发布的联合通报，俄罗斯军方网络行为者在使用 CrackMapExec 等工具进行大规模 Active Directory 环境评估时，配合 ProxyChains 以规避检测。通过链式代理，威胁行为者能够：

• 冒充内部受害者的 IP 地址。
• 在网络中隐蔽地横向移动。

此事件展示了对手如何利用代理链深入关键基础设施，同时逃避检测。

示例配置

ProxyChains 的配置文件通常位于 /etc/proxychains.conf。以下是一个基本示例：

# /etc/proxychains.conf
[ProxyList]
# format:  type  ip  port
socks5  127.0.0.1 9050
http    192.168.1.100 8080
socks4  10.0.0.5 1080

链接方式

• Dynamic Chain – 按列出的顺序尝试代理，跳过失败的代理。
• Strict Chain – 必须严格按照顺序使用代理；若有任意一个失败则中止。
• Random – 为每个连接随机选择一个代理。

注意： ProxyChains 仅在 Linux 发行版上得到完整支持。

ProxyChains 实战

通过 ProxyChains 使用 Nmap

proxychains nmap -sT -Pn scanme.nmap.org

通过 ProxyChains 启动 Firefox

proxychains firefox

为什么使用 ProxyChains？

• 匿名性： 隐藏原始 IP 地址。
• 绕过基于 IP 的限制： 规避 IP 过滤和地域封锁。
• 规避检测： 帮助攻击者和渗透测试人员保持隐蔽。
• 与 Tor 链接： 通过 Tor 网络路由进一步提升匿名性。

限制

• 仅适用于 TCP 流量。
• 可能显著降低连接速度。
• 需要手动更新代理列表。
• 与静态编译的二进制文件不兼容。

结论

当隐蔽性和匿名性至关重要时，ProxyChains 是任何网络安全工具箱的有效补充。无论你是网络研究员、渗透测试员还是红队成员，掌握 ProxyChains 的使用都能帮助你洞悉对手的战术，并制定相应的防御措施。

保持隐蔽。保持安全。

参考文献

• CISA Advisory on Russian Cyber Activity
• The Evolution and Abuse of Proxy Networks（未提供链接）

上述信息和方法仅用于教育目的。未经授权的黑客行为是非法的。作者和出版方对本内容的任何误用不承担责任。