今天是2024年11月15日 第46周 星期五

代人,时大变了。

我们生活在大地上,但我们的梦想超越天空。

帮助:用户查核

来自Akarin
跳到导航 跳到搜索

Special:CheckUser这一特殊页面允许拥有用户查核员权限的用户访问诸如用户IP地址CIDR范围的隐私数据。可供查询的数据包括某用户所用IP地址、通过某IP地址或IP段进行编辑的所有用户、由某IP地址或某IP段进行的所有编辑、用户代理(User agent,简称UA)字符串以及X-Forwarded-For(XFF)请求头。

这一工具通常被用于打击恶意创建傀儡账户的用户。(注:checkuser一词可以指访问隐私数据的这一行为、拥有这一权限的用户,或者这一technical flag。)

注意事项

维基媒体的隐私和保密政策

维基媒体基金会下的用户查核员受使用条款隐私政策获取非公开信息政策用户查核政策非公开信息保密协议的限制。除了于上述政策中详述的有限情况外,禁止透露存有的用户机密数据。

如有可能,用户查核员应设法在不透露任何信息的情况下解决问题,或尽可能少透露信息。下面的清单并不全面,且用户查核员不应仅据此作出判断。如果查核员有任何疑问,其不应提供任何细节,如同神奇八号球一样作答。通常允许提供的信息列举如下:

  • 在不提供如IP地址等个人信息的情况下,确定某用户为傀儡账户;
  • 由被查核用户自行发布的信息;
  • 互联网服务供应商(仅当其范围足够广并因此无法用于识别用户精确身份)
  • (通常无法用于识别用户精确身份的)国家或地区。

邮件列表

维基媒体的用户查核员可以查看checkuser-l中的私人邮件列表,此列表可用于讨论或者获得帮助、意见或建议。

备注

  • 用户查核不是维基上的魔法小精灵。几乎所有涉及IP的查询都应出于多个用户的编辑行为表现相同。编辑模式匹配才是最重要的,IP匹配与否其实只应作为额外证据。
  • 大多数拨号网络、许多DSL和许多有线网络的IP是动态的。它们在每个会话、每天、每周、每几个月都可能发生变动,亦或是几乎没有变化。在宣布IP匹配时,用户查核应当谨慎,除非访问时间极其接近。在执行IP相关工作一段时间后,你自然会知道哪些ISP的IP变化快,哪些变化慢。

如果它是代理,它可能不会匹配,这取决于运行代理的组织的规模(根据whois输出)。如果它是ISP代理,那么匹配的概率很小。

  • 如果是AOL地址,那么你很不走运——对于每次页面请求,AOL都会通一个过不同的代理将其发送。
  • 若某用户通过许多来自国家/地区的许多不同IP,那么这些IP很可能是开放的代理。请使用开放代理检查器进行检查。
  • 从分配给主机设施的地址中编辑几乎总是表明用户在滥用主机服务器来达到邪恶的目的。但是,请注意,用户可能在机器上有合法的shell账户。

对于IPv6地址,您可能希望检查用户的整个/64子网,因为用户有可能使用多个超出其范围的地址。

实用工具

此处的Unix指代对象包括类UnixLinux以及Mac OS X电脑。

  • whois: 在Unix新建终端,在命令行中键入whois [IP address]。其将提供IP所有者和具体的IP段,还可能提供IP的用途。在Windows上,All Net Tools还有基于网页的挺不错的whois,它也会进行一次nslookup。
  • nslookup: 在Unix或Windows上的命令行中键入nslookup [IP address],你将得到与IP相关联的完全限定域名(FQDN)。如果你什么都没得到也请不要担心,因为不是所有IP都有域名。如果你使用Windows,All Net Tools的whois也会提供FQDN信息。
  • traceroute: 对于一些互联网服务提供商的IP,使用traceroute命令比较两个或多个IP之间的结果可能会很有用。网站All Net Tools也给你提供了traceroute功能,如果你没有命令行来使用这一命令的话。
    • tcptraceroute: 这是一个使用TCP数据包的traceroute版本,可以通过一些防火墙和阻止ICMP数据包的数据包过滤器。你可以在这里获取类Unix版本的源码;此外,大多数Linux发行版都有可用的软件包。
  • 检查开放代理: David还没有找到一个好用的工具。(proxycheck的效果不尽人意。) 这里有一些在线代理检查器:比如Nmap([1])。(我并没试过。) wikipedia:User:Tawker运行一个在线的代理检查器。要使用它,请在他的用户讨论页上联系他。
  • 检查某IP的其他滥用情况: rbls.org可提供实时黑洞列表 (Realtime Blackhole Lists, RBL)内任何IP地址的状态。请注意,部分RBL封禁是必要的,如许多人会屏蔽SMTP的家庭动态IP,但这对于一个维基来说不是问题。如果一个用户只使用开放代理服务器或被标记为滥用源的地址,你应该起疑心。
  • 相关的匿名贡献: rangecontribs这一工具可以用来查询某一子网的匿名编辑(失效链接)。

用法

基本界面

  1. 前往特殊页面Special:CheckUser。请确保你在对应维基上有用户查核权限。
  2. 用户一栏中,输入不加user:前缀的用户名、IP地址或CIDR区段。
    • IP地址: 任何IPv4 (较常见) 或IPv6地址。
    • CIDR: 你可以通过添加CIDR前缀来查询IP区段。对于IPv4,其上限是/16(查询65,536个地址);对于IPv6,其上限是/48(1,208,925,819,614,629,174,706,176个地址)。关于这一前缀的信息参见IP段封禁
    • XFF: 你可以通过添加/xff检查由XFF请求头提供的客户端IP地址,如127.0.0.1/xff
  3. 选择你要检索的信息。
    • 获取IP (Get IPs) : 返回注册用户使用的IP地址。
    • 获取IP的编辑 (Get edits from IP) : 返回一个注册或匿名用户在一个IP地址或IP段内所做的所有编辑。
    • 获取用户 (Get users) : 返回在某IP或IP段内编辑的用户。
  4. 理由一栏中,输入你要获取这些数据的原因(请尽量简洁地表述,比如填写cross-wiki spam)。这将会被记录到日志中,以满足申诉专员委员会的调查需要。

返回的信息

一条典型的用户查核结果(包含用户信息的摘要)列举如下:

  • 示例用户 (讨论 | 贡献) (20:11, 14 11月 2024 -- 20:12, 14 11月 2024) [5]
    1. 127.0.0.37 XFF: 127.0.0.1, 127.0.0.5
    2. Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.11) Gecko/20070312 Firefox/1.5.0.11

这些信息以一种极易浏览的格式列举,其缺点在于如果你不知道所提供的信息是什么,你将很难阅读。信息以如下方式排列:

  • 用户名 (用户相关链接) (用户通过指定IP或IP段编辑的时间段) [用户通过指定IP或IP段的编辑次数]
    1. (通过XFF编辑的IP地址) XFF: (由客户端提供的XFF信息,可能存在恶搞)

每个用于编辑的IP/XFF组合依使用顺序列出。

后面会列出每个用户在IP或IP段内进行编辑的最新十条UA信息(浏览器、操作系统、系统语言以及浏览器版本)。

XFF格式

XFF (X-Forwarded-For) 请求头表示从客户端(首项)到托管MediaWiki的服务器(末项)所使用的一系列IP地址。

在此例中:

aaa.aaa.aaa.aaa XFF: 10.4.46.42, 127.0.0.1, aaa.aaa.aaa.aaa, 208.80.152.46

  • 前两个地址10.4.46.42与127.0.0.1对始发网络来说是私有的,无法从公共互联网直接到达;
  • 第三个地址aaa.aaa.aaa.aaa是编辑的“公众形象”,通常是宽带、拨号ISP或公司网关的IP地址(但也可能为IP隐藏的工具(anonymizer)或被恶意软件破坏的服务器);
  • 最后一个地址208.80.152.46是Wikimedia squids之一(sq36.wikimedia.org)。