Defensive Research

防御性威胁研究：通过代理隔离访问可疑URL

3 min read Published 2026-05-08 Updated 2026-05-09 654 words

直接从研究工作站访问可疑 URL 是鲁莽的——超过 70% 的恶意着陆页会对连接 IP 进行指纹识别，然后要么提供无害页面，要么完全阻止请求。代理隔离不是可选项；它是任何可信威胁情报收集的基线。没有它，你等于将基础设施的网段拱手交给攻击者，他们会在几分钟内转向攻击你的内部服务。

为何直接浏览对威胁情报无效

现代漏洞利用工具包和钓鱼工具包会检查 REMOTE_ADDR，与威胁情报黑名单、地理位置数据库甚至反向 DNS 查询进行比对。从已知研究 ASN 发起的直接连接会触发重定向到干净页面或返回 404。更糟糕的是，许多工具包使用 JavaScript 通过 WebRTC 泄漏（RFC 8834）枚举客户端的本地 IP——即使在使用 VPN 的情况下也会暴露你的真实网络。代理隔离通过在远程中介处终止连接来打破这一链条，该中介不共享你基础设施的信誉。代理本身必须是可丢弃的：一次性云实例或轮换住宅代理池。来自单一提供商的静态代理会在几天内被标记。

分层隔离：代理 + 虚拟机或容器

如果浏览器通过 DNS、基于时间的侧信道或浏览器指纹泄漏数据，仅靠代理是不够的。将代理与专用虚拟机或容器结合使用，该虚拟机或容器没有持久存储、没有主机文件系统挂载，并且使用精简的浏览器配置文件。在容器上使用 iptables 强制所有出口流量通过代理，并丢弃所有发往 RFC 1918 地址的流量。例如，一个 Docker 容器，带有 --network none 并通过 ssh -D 1080 的 SOCKS5 隧道进入一次性跳板机。这可以防止浏览器通过 WebSocket 或 WebRTC 绕过代理——这是仅使用浏览器级代理设置时的常见失败模式。每次会话后应销毁虚拟机或容器；只有在清除所有 cookie、缓存和 localStorage 后，才可接受快照。

工具：Burp Suite 配合代理链与无头浏览器

对于手动分析，通过配置 User options > Connections > SOCKS Proxy 为 127.0.0.1:1080 并启用 Do DNS resolution via SOCKS proxy，将 Burp Suite 链入 SOCKS5 代理（RFC 1928）。这将强制所有 DNS 查询通过代理，避免 DNS 泄漏。对于自动收集，使用 Puppeteer 或 Playwright 的无头浏览器农场是标准做法。以下是一个最小的 Puppeteer 脚本，它将所有流量路由通过 SOCKS5 代理并禁用 WebRTC：

const puppeteer = require('puppeteer');
const proxy = 'socks5://127.0.0.1:1080';

const browser = await puppeteer.launch({
  args: [
    `--proxy-server=${proxy}`,
    '--disable-webrtc',
    '--no-sandbox',
    '--disable-setuid-sandbox'
  ]
});
const page = await browser.newPage();
await page.authenticate({ username: 'user', password: 'pass' });
await page.goto('http://malicious.example', { waitUntil: 'networkidle0' });
// Capture screenshot, HAR, DOM snapshot
await page.screenshot({ path: 'screenshot.png' });
await browser.close();

这种方法有效，但要注意：许多无头浏览器可通过 navigator.webdriver 和缺少 chrome.runtime 被检测到。使用 puppeteer-extra-plugin-stealth 或 Playwright 内置的隐身补丁来减少指纹识别。即便如此，复杂的工具包仍会通过检查缺少的 window.chrome 属性或异常的 navigator.plugins 长度来检测无头 Chrome。唯一可靠的应对措施是在带有真实显示驱动程序的虚拟机中运行完整浏览器（非无头）——但这扩展性很差。

urlscan.io 的替代方案：自托管分析

urlscan.io 很方便，但会将你的扫描元数据分享给社区并记录你的 IP。对于敏感调查，请自建捕获平台。PhantomJS 已过时；使用 Playwright 配合自定义 HAR 记录器和本地 mitmproxy 实例。mitmproxy（--mode socks5 --listen-port 8080）记录所有请求/响应对，并允许内联修改头部或响应。将其与 wireshark 配合用于 PCAP 分析。另一个选项是 ThreatPinch Lookup——一个查询本地威胁情报源的 Chrome 扩展——但它并非完整的隔离解决方案。对于批量扫描，部署 PhishingKitTracker 或使用 requests 的自定义 Python 脚本，配合来自 proxybroker 的轮换代理列表。权衡：自托管系统需要维护代理池和浏览器配置文件，但能完全控制数据保留，并避免将调查目标泄露给第三方。