限制IP訪問網站的限制的方法

路由器IP過濾指的是通過在路由器中加入外網或國外的IP黑名單，使得內網或國內無法訪問外網或國外的這些IP，達到限制訪問的目的。強制使用代理服務器的過濾方式通常只在大型企業中應用，指的是內網必須通過代理服務器才能訪問外網，那麼在代理服務器上可以實現更為複雜的過濾機制。
在很多大型企業中和有些國家中，為了限制員工或人民訪問某些網站或使用某些網絡應用程序，通常做了一些訪問限制。限制的方法通常有路由器IP過濾和強制使用代理服務器等幾種方式。

路由器IP過濾指的是通過在路由器中加入外網或國外的IP黑名單，使得內網或國內無法訪問外網或國外的這些IP，達到限制訪問的目的。強制使用代理服務器的過濾方式通常只在大型企業中應用，指的是內網必須通過代理服務器才能訪問外網，那麼在代理服務器上可以實現更為複雜的過濾機制。本文主要講述IP過濾的攻防戰，關於代理服務器的攻防戰下次討論。下面依次講述網絡訪問攻防戰的不斷升級過程：
首先，如果要禁止人們訪問某些網站，那麼路由器管理者可以在路由器中設置IP過濾規則，把這些網站的IP加入黑名單，自然人們就無法訪問這些網站了。
之後，人們為了繼續訪問這些網站，就會用代理服務器繞過限制。代理服務器的IP成千上萬，而且不停在變化，使得限制網絡訪問的工作處於被動局面。
然而，由於代理服務器協議是明文的，通過監聽網絡數據包並制作自動搜集整理的程序可以知道人們訪問了哪些代理服務器並自動把代理服務器的IP加入到IP黑名單中，這樣使用普通代理服務器繞過訪問限制的方式就失效了，繞過網絡訪問限制的工作處於相當被動的局面。
所以，為了避免被偵測到代理服務器地址，加密代理軟件應運而生。用戶和代理服務器之間的通訊協議進行了加密，使得無法簡單通過偵聽網絡數據包分析出代理服務器的IP地址。又一次使得限制網絡訪問的工作處於被動局面。
但是，加密代理軟件也需要和代理服務器進行通訊，也需要知道加密代理服務器的IP地址。所以加密代理軟件一般會在啟動時去某些發布加密代理服務器IP地址的地方獲得加密代理服務器的IP。那麼，只需要單獨拿出一台計算機，啟動加密代理軟件，對這台計算機的網絡通訊進行監視，那麼即可知道發布加密代理IP地址的地方，從而對發布點進行IP過濾。而且可以做成程序自動啟動加密代理軟件，自動監視數據包，自動把加密代理IP的發布地點的IP加入黑名單，這樣加密代理軟件無法獲得加密代理的IP，加密代理軟件失效，繞過網絡限制的工作又一次處於十分不利的位置。
加密代理軟件為了對付這種情況，就需要把訪問代理IP發布點的流量混雜在訪問非代理IP發布點的流量中。比如，加密代理軟件啟動時，首先訪問其它大量網站，在訪問其它網站之中的某一次訪問代理IP發布點，這樣就把流量進行混雜了，無法通過簡單的網絡數據包偵聽獲得代理IP發布點的IP地址。如果把所有偵聽到的地址全部加入黑名單，那麼將會誤封很多網站。限制網絡訪問的工作又處於不利的位置。
然後，為了能繼續對網絡訪問進行限制，網絡管理員就轉而對加密代理的IP（而非發布點的IP）進行過濾。在加密代理軟件啟動完畢之後，通過加密代理下載一個大文件，那麼流量比較大的IP即為加密代理的IP。通過這種方法，網絡管理員仍舊可以做出自動封鎖加密代理軟件的程序，繞過網絡限制的工作又失敗了。
那麼，加密代理軟件可以采取同樣的思路，把訪問代理IP的流量混雜在其它流量中，並使分散的流量平分並不斷變換代理IP，使得無法通過網絡數據包流量統計獲得加密代理的IP。人們又可以重新繞過網絡訪問限制了。然而，因為對流量進行了平分，所以網速通常只有幾分之一了，大部分流量都耗費在混淆網絡管理員的程序上面了。
到了這裡，網絡訪問攻防戰似乎走到頭了，但是聰明的網絡管理員並不是束手無策了。通過對加密代理軟件進行逆向工程，還是可以找到代理IP的發布點，從而過濾這個發布點。不過，這樣已經不能通過分析網絡流量用程序自動找出IP進行過濾了。
最後，加密代理軟件為了防止被逆向工程，對加密代理軟件本身進行了軟件加密處理，使得逆向工程變得十分困難。接下去就是軟件加密與破解之間的智力較量了。
總結：如果不進行網絡流量混淆，那麼能被程序自動找出有用的IP進行過濾。如果不對加密軟件進行加密，也比較容易被逆向工程，從而找到有用的IP進行過濾。加密代理軟件作者需要時刻提防軟件被破解，一旦被破解，那麼需要對升級加密代理軟件，使得限制網絡訪問的工作需要重新破解軟件才能繼續實施。