外网姓名测试 “人肉搜索”背靠灰色江湖：起底神秘外网里的个人隐私交易链

小编 2024年11月23日 20:57 23 0

“人肉搜索”背靠灰色江湖：起底神秘外网里的个人隐私交易链

个人信息贩卖已形成一条完整的产业链，且已由国内转向国外的网络空间。在这个空间里，一个人重要的隐私信息几乎暴露无遗，身份证号、家庭住址、车牌号、手机号、住宿记录，全部“上架”待售

文 | 《财经》记者王勇

编辑 | 张强

3月19日，陆续有微博用户发消息称，出现了疑似用户个人信息泄露的情况，表现为不少人的手机号已经泄露，根据微博账号可以查询到手机号。

对此，微博方面公开回应称，此次数据泄露应该追溯到2018年底。当时，有用户利用微博相关接口通过手机批量上传通讯录，匹配出几百万个账号昵称，再加上其他渠道获取的信息一起对外出售。

但是，《财经》记者深入调查后发现，微博用户信息泄露只是个人信息贩卖这一网络黑灰产的冰山一角。个人信息贩卖已形成一条完整的产业链，且已由国内转向国外的网络空间。

在这个网络空间里，一个人重要的隐私信息几乎全部暴露。卖家个个“神通广大”，身份证号、家庭住址、车牌号、手机号，甚至宾馆住宿记录，全部“上架”待售。

而且这条黑色产业链的交易体系也已升级，从使用传统网络平台及工具转向使用比特币等新型数字货币为代表的新型网络技术。

外网平台和虚拟货币支付，使得整个交易更加隐蔽和难以溯源。

根据调查情况来看，每个人的隐私信息都可能成为待价而沽的商品，这并不是危言耸听。

有关业内专家在接受《财经》记者采访时表示，个人信息泄露一般源于黑客攻击等技术手段、内部人员利用职务便利窃取并流出。存储数据的机构采取各种防范手段，但依然不能保证完全没有漏洞。

黑灰产业链转移

对于这次的微博用户信息泄露事件，微博方面表示，微博一直提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但是，微博并不提供查询用户性别和身份证号等信息，也不提供根据用户昵称查询手机号的服务。3月的这起数据泄露事件，对微博服务没有影响。

同时微博方面强调，此次非法调用微博接口匹配出的信息仅为微博账号昵称，并不涉及身份证、密码等其他隐私数据。目前微博已经及时加强了安全策略，并将不断强化。

3月24日，工业和信息化部发布消息称，工信部网络安全管理局在3月21日对新浪微博相关负责人进行了问询约谈，要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求，对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》，进一步采取有效措施，消除数据安全隐患。

主管部门和企业分别采取措施，使得这起泄露事件暂告段落。

但是《财经》记者循着此次泄露的线索深入调查后发现，这次泄露事件实际只是庞大的个人信息买卖黑灰产市场的冰山一角。

原来出没于国内网络平台的黑灰产人士，纷纷转入以Telegram为代表的国外网络平台，形成了更加隐蔽、更难溯源的新型产业链。

多名知情人士告诉《财经》记者，早先，个人信息贩子一般使用QQ、微信、贴吧等国内网络平台，主要使用微信支付、支付宝等支付工具。但随着腾讯、阿里巴巴等平台企业对黑灰产的打击力度持续加大，黑灰产业在国内的传统平台已难以立足。

而且，在原来的国内平台上，既有真正出售个人信息的贩子，也有以此为幌子的骗子。“有人做广告说有海量且准确的各类个人信息，购买者付了费后却直接被拉黑，这种事情多如牛毛。”有知情人士说。于是，这个产业链开始向外转移，以Telegram为代表的国外软件使用方便，而且引入了虚拟货币等“安全”支付方式，使得个人信息贩卖产业逐渐转至外网平台，并逐渐扩大规模且稳定下来。

从国内转向国外，支付方式更为安全，提供信息和服务越来越可靠，是产业链转移后的新形态。

“这次微博用户信息泄露事件，确实是由来已久，在群组出售查询这些信息，已经不是新鲜事。”前述知情人士告诉《财经》记者。

个人信息应有尽有

从3月27日起，《财经》记者登录Telegram账号，找到了用于出售个人信息的机器人。通过机器人界面，可以加入一个群组。3月28日，这个群组的人数显示为4万人左右，此后，人数一直在持续增长。

在群组里，不断有各类卖家发布消息出售各类个人信息，涵盖了个人户口、家庭户口、手机号查机主、名下银行卡、淘宝收货地址、微博反查、微信反查、快递单号查询收货地址、住宿记录、出行记录等等各类个人信息，几乎无所不包。

形象地说，Telegram平台上的机器人实际就是众多卖家将手中的个人信息建成一个可自动检索的数据库。如果有人想购买或查询信息，一般使用BTC（比特币）或ETH数字货币向机器人提供赞助，相当于充值。最低赞助320元人民币，可折合为260积分。群内提示的积分与数字货币换算率大致为0.358ETH=260积分。

按照规则，10积分可做一次普通查询，大约等于10元人民币可查询一次。如果没有比特币，群组里还有专门的代充值服务。

《财经》记者还在Telegram找到了5个其他类似群组，群组所出售和提供查询的信息与前述群组几乎没有区别，里面打包出售的个人信息价格从几十元到上万元不等，涉及数据动辄大小有几个G。

Telegram平台上出售个人信息的群组截图

那么，这些只要付费就可以随意查询的个人信息都是从哪里来的呢？

《财经》记者询问一些卖家，对方称，信息是从互联网各处“收集”而来。前述知情人士则认为，这些信息有不少是从历次泄露事件中整合而来，也有黑客会继续窃取，使得数据库的规模不断扩大。

《财经》记者经过亲身体验发现，具体交易流程并不复杂，找到机器人，买家充值获得积分后，可以直接用积分进行自动查询。

《财经》记者购买一些比特币，向机器人支付获取了积分。为了测试信息的准确性，《财经》记者向机器人发送了10个近亲属及朋友的手机号码，并支付10个或20个积分进行“绑定查询”，仅3秒左右时间，机器人提供出查询结果。在这10个号码中，有9个手机机主的名字准确无误。 其中还有一个号码查询到准确的微信账号名和微博账号名，另有一个号码则准确查询到一位朋友使用过的邮箱密码和家庭住址。

在Telegram的此类群组中，手机机主信息只是一个入门级别的查询。《财经》记者使用机器人提供的“猎魔查询”（模糊搜索）功能，向其发送一个亲友的名字，随即机器人提示选择男女和省份。在支付100积分后，得到近30条与这名亲友同名的身份证号码信息，记者的亲友也位列其中，且身份证号码准确。

前述知情人士称，“猎魔查询”可以被用于“人肉搜索”，只需要提供被“人肉”的人的名字，就可以通过不同的信息，一步步精准锁定搜索对象。

除了查询和出售业务，《财经》记者还联络了群组中一些出售信息的卖家。记者向一名卖家提供身份证号，表示想查询这个身份证号的住宿信息。卖家表示，此类信息是以一个数据包的形式出售，数据包中包括少则数万条，多则几百万条信息，价格也从几百到几千元不等。

这位卖家称，数据包越大，就能查到越多的准确信息。在买到的一个数据包中，《财经》记者通过身份证号码查询，果真得到几条准确的住宿信息。但住宿时间并不是最新的，基本为2018年以前的信息。

因为机器人充当了第三方的角色，透过机器人查询购买，得到信息的准确性强、可靠性高，不存在传统平台上付款后被卖家拉黑的情况。这对于诸多买家来说，无疑是一种“高品质”而又可靠的服务。

前述知情人士对《财经》记者表示，新的销售方式方便了黑灰产的从业者“开展业务”，这些信息贩子隐匿于平台背后，追踪溯源的难度增大。同时，个人信息贩子预先购置了大量黑灰产“四件套”——身份证、银行卡、手机号、U盾，用以提现。

为了保证安全，“四件套”均非使用者本人信息，而是从另一批专业黑灰产人士那里购得。由此可见，个人信息贩子已非单链条发展，已经发展成为产业网络。

同时，信息贩子利用数字货币交易的特性，可以为每个卖家单独生成地址，以便于交易“安全”和隐匿交易痕迹。

经过多日调查，以及一些知情人士提供的信息，《财经》记者初步掌握这一黑灰产业链条，上游为一些黑客为代表的技术人员，他们通过各类手段获取海量数据。中游即为各类信息贩子，他们从上游购买获取数据，在群组内出售。

购买者根据自身需求购买数据和信息。据知情人士透露，这些购买者主要为三类群体：网贷从业者，购买个人信息用于向借款者追讨借款；私家侦探，购买查询信息用于调查业务；还有一部分散户并无具体目的，把购买、查询自己想要的某个个人的信息当作一种心理需求。

Telegram为何成黑灰产“温床”？

令人觉得讽刺的是，有众多个人隐私信息被交易的网络平台——Telegram，其实是一款对待用户隐私和信息安全高于一切的产品。

2006年，帕维尔·杜罗夫和他哥哥一同创建了俄罗斯版的Facebook——VKontakte。2008年,VK用户超过1000万，成为俄罗斯最大的社交网站，估值达到3亿美元。

2014年，帕维尔因拒绝向俄罗斯政府提交乌克兰反对派数据、关闭俄罗斯反对党领袖页面的要求，被迫离开VKontakte。之后，他和哥哥前往美国纽约州，在那里与团队一起开发了即时加密通讯软件 Telegram。

简单来说，Telegram有一个绝对安全的加密信息传输网络，支持端对端加密。此外，Telegram 提供阅后即焚、私密聊天等功能，可以满足用户保护隐私的需要。

起初，Telegram曾提供了一项功能，即允许用户通过上传电话号码来搜索其他用户，以便让新用户快速了解手机通讯录中的人是否已经在使用这款软件。这项功能会自动将电话号码与群组中的用户名匹配起来，若执法部门向当地电信服务部门询问电话号码的持有者，就可以知道用户的真实身份。

后来，Telegram发布更新，允许用户禁用电话号码匹配。这样就增大了锁定使用者身份的难度，以此增强了私密性。在这样的平台规则下，Telegram的群组可自由进入，但用户信息全部很好地得到隐藏。

符合用户期待的隐私理念，安全快速的产品体验，让Telegram迅速得到发展。2018年3月，Telegram宣布其全球用户已超过2亿，每天发送120亿条消息。一年后，其用户数量超过3亿。

然而，也正是基于这样的私密特性，以及可提供虚拟货币交易的功能，致使大量非法交易纷纷在Telegram里出现，包括一些军火交易、色情交易，甚至被恐怖主义组织利用。也就能够理解，Telegram为什么会成为个人信息贩子们的乐土。

在近期轰动韩国的“N号房”事件中，同样涉及Telegram。“N号房”运营者在Telegram上建立按等级付费的私密聊天室，供会员分享女性甚至未成年女被性剥削的照片和视频。

出于绝对保护用户隐私的理念，Telegram拒绝向俄罗斯联邦安全局提供用户加密信息，2018年4月，俄罗斯联邦电信、信息技术和大众传媒监管局宣布全国封锁Telegram。此后，Telegram又在俄罗斯以外的多个国家被禁用。

被“人肉”的调查者

今年29岁的佟林，长期从事数字货币、网络安全等业务，对这些领域的情况轻车熟路。

3月20日左右，微博用户个人信息泄露的消息发出后不久，出于公益目的，佟林立刻潜入前述Telegram群组，观察群组内的活动动态。

佟林接受《财经》记者采访时表示，他其实早已听说，网络黑灰产人士从国内网络平台转往国外平台，这在圈子里并不是秘密，只是普通公众一直尚不知情。

在“潜伏”多日，并尝试着与卖家交易后，佟林将这一类系列情况发布在自己的自媒体平台上，很短时间就获得将近10万的阅读量。

就在佟林继续“潜伏”时，他发现了一个叫“佟林粉丝”的群组，他进群后发现，自己已经被里面的诸多卖家“人肉”了。他的名字、电话、家庭住址、工作机构等个人信息被准确无误地公布出来。连他的身份证原件图片也被晒了出来。 有人还威胁要使用电话、短信骚扰软件对他进行“狂轰滥炸”，彻底“废”了他。

面对这样的报复，佟林没有选择沉默，将自己被“人肉”的情况继续发布在自媒体中，并根据自己的互联网安全经验，提示普通公众在使用互联网时，可以采取一些办法保护自己的个人信息。例如，尽量少使用同一个密码或密码关键词；使用强密码管理工具，为账号开启二次验证；注册使用多个邮箱，有时也可以使用一次性邮箱等等。

佟林告诉《财经》记者，前述Telegram群组中的卖家所提供的个人信息中，很多都是被用于“人肉搜索”。而在这些群组中，真实个人信息公开被称为“出道”。 在佟林看来，自己个人信息的完全泄露，已经意味着任何一个个人都可能已经失去了应有的隐私空间。

佟林对《财经》记者表示，自己既然已经“出道”，就愿意用自己的经历将这些侵犯个人信息的情况更大范围地让公众知晓。但有一点最让他始终难以理解，那就是自己的身份证原件照片也被泄露出来了，“这种应该是管理最为严格的信息，怎么也就这么泄露出来？”

《财经》记者在上述群组中注意到，群内成员对于各类揭露类似个人信息贩卖的报道反应速度极快，报道刊发后不久就会被转到群内，群内成员对这些报道不以为然，发表各类嘲讽，甚至声称会去“人肉”记者。

信息泄露的源头能堵住吗？

个人信息泄露事件近年来屡有发生，已对普通公众产生滋扰，最常见的是很多人经常会接到各类精准营销。而一些由于电信诈骗案件引发的恶性事件更是让公众感到不安。

很多人都存在疑问：个人信息究竟是如何泄露的？究竟有没有办法防止泄露？

中国电子技术标准化研究院信安中心审查部总监何延哲告诉《财经》记者，近几年的个人信息泄露，一般有三个来源。一是“黑客”等外部力量攻击数据库，用技术手段把内部信息盗走；二是存储有海量数据的机构，有内部人员利用系统管理权限将数据获取后流出；三是在使用第三方网络平台时，用户将个人信息提交给平台，但这些平台的防护措施不到位或没有按照约定存储使用数据，导致泄露。

针对这三种情况，想防止数据泄露，掌握海量数据的机构应该加强技术防护，制定严格管理制度，同时严防“内鬼”。 出于对数据安全的考虑，各机构也都在加强防护措施，但在现实中并不可能做到完全没有漏洞。

何延哲向《财经》记者举例，从2019年开始，中央网信办、工信部、公安部、市场监管总局四部门联合展开App个人信息保护治理，对不断提升App个人信息保护水平起到了积极推动作用。但是只要出现一个“内鬼”，大规模泄露立刻出现，防不胜防。

以酒店住宿信息为例，近两年已有多起大规模泄露事件。

2018年8月，华住酒店集团发生泄露事件，涉及的个人信息数量超过5亿条。华住旗下的酒店品牌包括汉庭、美爵、桔子、全季、宜必思等，门店数量数千家。

2018年12月，国际酒店巨头万豪对外披露，其旗下品牌酒店的客人入住信息系统遭黑客入侵，数亿条个人入住信息和身份信息被泄露。

就在2020年3月末，万豪再次公告称，约520万名客户的资料可能被泄露。这次泄露的原因则为可能有人使用集团旗下一家特许经营酒店的两个员工的登录凭据，访问了数量众多的客户信息。万豪方面发现后，已禁用相关登录凭据，并通知有关部门展开调查。

检索中国裁判文书网可知，顺丰速运曾发生的一起内部员工泄露个人信息的案件。这是近年来快递行业涉及泄露个人信息的一起重大案件。

湖北省荆州中级法院2018年5月的一份判决书显示，顺丰速运员工杜立明、冯丹等11人分别就职于河北顺丰速运有限公司和荆州顺丰速运有限公司，职位涵盖安保部主管、市场部专员、仓管、快递员等。

2015年以来，杜、冯等人为谋取非法利益，利用微信、QQ等软件平台，出售、提供、非法获取包含顺丰快递单号、面单（即包含顺丰快递单号、地址、电话号码的图片）中公民的个人信息。案件涉及被泄露的公民个人信息超过千万条，涉案金额200余万元。如果折合成单条信息，每条价格仅有约0.2元。

除了酒店业、快递业，同样掌握有海量数据的一些行政机关工作人员也成为个人信息泄露的“内鬼”。

2020年4月初，湖南省衡阳市公安局刑侦支队五大队原民警肖某二审获刑四年半。衡阳中院判决认定，2017年3月，肖某发现出售公民个人信息可以赚钱，便开始利用职务便利，出售个人信息牟利。

由于肖某自己的数字证书无高级查询权限，他盗用同事的数字证书，通过登录公安机关相关信息平台，将查询到的公民户籍信息或行踪轨迹信息出售。肖某先后出售过的个人信息包括公民户籍信息、公民个人行踪轨迹信息、车辆轨迹信息、住宿信息。他设定的价格为公民个人行踪轨迹信息每条300元，车辆轨迹信息每条100元，住宿信息每条100元。

在交易过程中，肖某曾使用国内软件进行交易。出于安全考虑，他也改用一些国外软件进行联络和交易。法院审理认定，自2017年3月至2018年12月，肖某盗取公民个人信息出售给他人，违法所得总计180余万元。

正是由于国内对于信息泄露和贩卖等非法行为的治理，这些黑灰产从业者转移到Telegram这样的国外平台，以逃避打击。

截至发稿时，前述Telegram群组的参与人数仍处于不断增长中，而各种个人信息交易依然活跃。

ikuai进阶搞定外网高速访问家庭内网：公网IP、光猫桥接、域名等

本内容来源于@什么值得买APP，观点仅代表作者本人｜作者：纵笔浮生

写在前面

前面讲完了软路由的搭建及内网部署，一直没有设置外网穿透，最近有空，再折腾一下。

DDNS和域名还是非常关键的，无论你是折腾软路由、安装windows虚拟机、远程访问NAS、远程访问摄像头，都需要此配置部署。而且还将域名注册给大家做个简单分享，本文可以通过几部简单的设置就可以实现随时在外面随时访问家里的设备，还增加了威联通、群晖NAS、软路由、emby等系统的远程访问。

感兴趣的可以收藏备用哦~~

一、何为公网 IP ？

1.内网与公网？

内网俗称为局域网、私网和 LAN，相对公网而言，内网是指小范围内的计算机、手机等设备的网络互联。例如路由器和连接路由器的手机、平板、电脑就组成了一个家庭内网。

公网IP简单来说就像家里的地址一样，如果想从外面访问家里的NAS，首先要有一个地址，这个地址就是公网IP。但是公网 IP 数量有限，运营商很多时候只给的内网IP。家里安装的是上海电信黑色的 SDN 光猫，也叫 SDN 网关，其网页后台没有任何设置功能，并且是由光猫进行PPPOE拨号，那么下面要做的就是下面三个：

①获取电信提供的上网账号密码。

②光猫改桥接

③让电信分配公网IP地址。

2.光猫桥接

光猫的作用是进行光电转换，将光纤传输的光信号转成电信号。现在很多光猫还包含无线路由器和智能网关等功能，满足家庭基础的上网需求。光猫要进行PPPoE 拨号和 NAT 转换，由于光猫配置不高导致执行这些工作的效率降低，也会影响网络性能。

光猫桥接最根本的原因就是让处理能力更强的路由器分担压力，光猫桥接后光猫将不再承担路由处理功能，仅担任光电转换和信号传输功能，这样就能充分发挥无线路由器的性能了。

光猫修改桥接模式，最简单的方式就是拨打客服电话，让客服人员远程修改，修改后重启一下光猫就可以了，然后无线路由器设置上网方式为 PPPOE，输入宽带的账号和密码就可以上网了。

3.获取公网IP

在获取公网IP之前在网上也是做了多攻略的，看了很多网友的分享。致电 10000 要求改为公网 IP，理由可以说家里有老人、小孩要装监控做外网访问，一般不会被拒绝，可以多打几次。最稳妥的方法是报故障，让电信派单，等本地的电信联系的时候，说需要公网IP，并设置桥接。实在不行就威胁投诉，不解决就投诉到工信部，一般是到不了这步的。

新装网线的用户也是比较方便的，用两包烟，跟上门安装的师傅好好沟通下感情，最好加个微信，后面有啥问题也可以沟通请教。

打电话给电信客服要公网IP，并且改桥接，原因是家里有老人需要照顾，要安装监控，结果客服二话没说，一个小时就设置好了。楼主也准备好跟电信周旋一番了，结果没想很顺利就搞定了。

上海电信拥有较多公网 IP的，给分配公网 IP的几率还是很大的。电信客服说改桥接之后据说会影响网速，家里1000M的网络也要打个六七折，比较坑的是楼主办的这个宽带套餐有1TB的流量限制，超过后限速300M，目前无法解决，正在跟电信battle中。

搞定之后顺便跟客服要了家里桥接拨号的账号和密码。然后在ikuai软路由内改外网模式为PPPOE拨号上网就可以了。

4.确定是否为公网IP

①如果你也是通过路由器直接插光猫 LAN 口，不用拨号可以上网，可以按照如下方法测试光猫的 IP 是否为公网 IP。打开IPIPnet 获取宽带的外网IP，图例 IP 是116.233.XXX.XXX。

②从网上查询，电信内网的常用IP段为下面三个IP段。 这 3 个地址段可以在任何组织或企业内部使用，仅在内部使用，所以它们属于内网 IP。

10.0.0.0-10.255.255.255；

172.16.0.0-172.31.255.255；

192.168.0.0-192.168.255.255

116.233.XXX.XXX的IP不属于上面IP段，是电信公网IP。

又从网上查找了第二种测试公网IP的方法：将该 IP 粘贴到网络测试点击回车键，如果丢包率为0，这个 IP 应该就是公网 IP了。

③万网查看获得的 IP 地址：

登录万网查看获得的 IP 地址如万网获取 IP 是二个，则是 IP 经运营商转换的内网环境）。

二、什么是DDNS动态域名解析？

1.动态公网 IP

虽然获得了公网IP地址，但是，这个IP地址是动态发放的，不是一直保持不变的，每次我们重启光猫或者重新拨号后，电信会重新给我们一个公网IP，每次的IP地址都是不一样的。也就是说每次我们外网访问的时候都要重新查询到这个新的公网IP地址，加上端口号才能进行访问，就比较麻烦了，要么在家的时候查看，要么让家里人查看。要解决这个问题就需要DDNS 动态域名服务了，可以把变化的 IP 自动动态地映射到域名上，通过不变的域名访问变化 IP 的主机。

2.DDNS 可以解决什么？

DDNS（Dynamic Domain Name Server，动态域名服务）是将用户的动态 IP 地址映射到一个固定的域名解析服务上，用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态 IP 地址传送给位于服务商主机上的服务器程序，服务器程序负责提供 DNS 服务并实现动态域名解析。

简单点说，就是通过DDNS功能，可以自动实现我们域名和家里公网IP地址的绑定。无论公网IP怎么变化，都会自动对应到我们的域名上面，外网访问家里的设备，只要输入域名+端口号就可以解析对应家里的公网IP地址。

三、DDNS动态域名解析需要什么

首先我们看下ikuai内设置DDNS动态域名解析需要什么？

楼主将iKuai软路由设置为主路由，因此动态解析也放在iKuai软路由。首先浏览器输入192.168.50.1，打开iKuai软路由的后台：

找到高级应用——动态域名，点击左上角绿色的添加，准备添加：

在添加页面可以看到iKuai的动态域名支持3322、oray、dnspod、aliyun、huanweicloud、cloudflare等平台下的解析，也就是说你申请的域名挂在这些平台内，都可以通过iKuai的动态域名实现解析。

同样在ikuai动态域名可以看到，腾讯云解析的域名实现DDNS是通过dnspod.cn解析的，需要准备以下内容：

四、每年7元不到在namesilo搞定域名

1.域名注册购买

域名可以说是一个 IP 地址的代称，目的是为了便于记忆这个 IP。例如，xxx.com 是一个域名。人们可以直接访问 xxx.com 来代替 IP 地址，然后域名系统（DNS）就会将它转化成便于机器识别的 IP 地址。这样，人们只需要记忆 xxx.com 这一串带有特殊含义的字符，而不需要记忆没有含义的数字。

域名的话，国内可以直接去腾讯云或者阿里云网站申请即可，域名是需要收费的，根据自己的需求，可以买好一点的域名贵一点，也可以买一些普通的域名很便宜，毕竟只用来远程访问用，这个就不多说了，国内域名就需要实际备案，备案下来也是比较麻烦的，而且折腾软路由的朋友来说，肯定是有一些特殊需求的，在国内域名解析网站上折腾略有不便，这个你懂的。如果不怕折腾也可以留学去申请一些免费的域名。

2.以namesilo为例购买

今天特别说一下在namesilo进行域名购买和注册，然后用cloudflare进行解析。

namesilo是国外域名注册商，一向以价格实惠著称，尽管成立的时间不久，但在国内玩家这家域名注册商家的口碑还是非常不错的。namesilo有什么好处呢，这里注册域名之后不需要实名、不必关联手机、不用上传身份证、转出转入自由，而且、还提供永久免费的域名隐私保护，防止别人通过 WHOIS 查询获取域名所有者的个人注册信息。作为对比，Godaddy 的隐私保护是 60 元 / 年。这个功能就很重要了，尤其是家里有NAS，并且住了很多小姐姐，时不时想远程或者通过手机，找小姐姐见见面的，用国内的域名解析就比较危险了，^_^。

缺点就是域名管理后台风格过时简陋、是全英文的、功能繁多、纯英文版面板功能不好找、自带的 DNS 解析生效很慢、TTL 最低 3600 秒(TTL 可以免费使用CloudFlare 解决)打开速度可能较慢，而且这里注册的域名国内是不能备案的，只能将域名转入国内之后才可以备案，不过我们用来进行DDNS访问啥的是不影响的。如果你要问国内的和namesilo什么区别，基本上优缺点倒置过来就是了。

首先打开主页，首先注册账号。在右边的窗口，输入用户名、电子邮箱，设置密码和重复密码，点击 “进行人机身份验证” 进行验证，最后点击 “CREATE ACCOUNT” 按钮注册账户。注册成功后界面跳转到账号主页，同时邮箱会收到两封邮件：一封账号创建成功通知邮件，一封邮件验证邮件，邮件标题是：Action required – WHOIS Verification，打开邮件，点击里面的验证链接，就完成了账户注册。注册过程中如果使用地址的话，可以去邮编库，地址不影响使用。

第一行：门牌号 + 街道地址；第二行：城市 + 州 + 邮编；第三行：国家名称。

166 EAST

5300 SOUTH MURY UT 84107

USA

然后输入想注册的域名，可以看到价格，和可以选择注册的域名，不同后缀的域名价格不一样。一般选择比较便宜的就可以了，蓝色的是第一年的价格，红色的就是后面续费的价格。

像这种.top的域名，首年1.88美元，后面续费4.88每年。如果不怕麻烦可以每年注册一个域名。

如果不差钱，还是建议大家优先考虑注册.com 的域名，域名前缀可以考虑长一下或者生僻点。

选择域名，选择可以注册的域名（如果不满意又重新搜索其他域名即可），点击 Add 按钮后，接着点击红色结账按钮。点击进入下一步：

在这步可以看到价格，和免费的WHOIS服务，下面两个服务不用添加。先不要点红色的 “Checkout” 按钮进入结账界面。可以找一下优惠码。

WHOIS(翻译下免费WHOIS的作用)

与所有域名和注册商一样，我们需要通过名为 WHOIS 的公开服务发布有关您的域名的信息。WHOIS 服务允许任何人查看您的姓名、电子邮件、地址、电话号码、域名注册时间和过期时间等信息。不幸的是，垃圾邮件发送者利用了 WHOIS 的这一要求，这几乎总是导致针对 WHOIS 中发现的信息的垃圾邮件。因此，我们提供以下选项来保护您的信息：WHOIS无隐私（免费）您的所有信息将通过 WHOIS 提供・WHOIS 隐私（自由）使用此选项，我们将对所有适用的 WHOIS 字段使用默认信息。这将向 WHOIS 隐藏您的所有 “真实” 信息。选择此选项时，请务必阅读我们服务条款中有关域隐私选项的部分。请记住，您也可以在下单后随时更改隐私设置。

“Have a Coupon” 处可以输入优惠码，然后点击 “apply” 应用。订单金额大于 1 美元的情况下能优惠一美元。下面的优惠码，随便选择一个都可以如果过期了可以搜索下关键词，Namesilo优惠码2023，有很多。

wht1off

happyholiday

holidaygift

leb1off

pianyivps

oldtang

查验完毕后，可以看到减少了0.88美元，苍蝇腿也是肉，能减一点算一点了，点击域名右侧红色的 “Checkout” 按钮进入结账界面。

接着会跳转到付款页面，有多种付款方式可以选择，最方便的就是支付宝了，这里我们用支付宝付款，点右侧红色的Selcet，进入下一步：

这里可以看到付款方式、刚才的优惠码和总价，点pay，进入下一步：

用手机支付宝扫一下即可完成付款。

到这里就购买成功了，购买完成后，一般会自动转到管理页面。如果没有转过去，就点主页，然后点【My Account】。

进入我的账户，往下拖动网页，这里就可以看到已经有一个域名了：

这里可以看到你拥有的域名：

3.namesilo删除默认解析：

域名注册好了过后，还需要对域名进行解析，域名才能够起作用。点击蓝色小圆点进行DNS设置：

弹出的页面，删除全部解析，点击保存后退出。

4.域名托管 Cloudflare

打开cloudflare，右上角选择简体中文：

进入主页后，点击添加站点：

在弹出的网页里输入上面刚刚注册的域名，点击添加：

会让我们选择托管计划。直接选择最下面不要钱的，点下一步：

等待扫描导入：

看到这一步，再点继续：

可以看到网站给出的解析信息：

回到DNS记录也可以看到cloudflare删除提醒的服务器：

Cloudflare新分配的服务器名称：

类型

值

alina.ns.cloudflare.com

anirban.ns.cloudflare.com

回到namesilo账户的域名列表，点击最左边的三个轮胎形状的标志进行，进行DNS服务器设置，将上面给的两个DNS服务器加入进入。

在这里可以看到cloudflare让我们删掉的三个服务器名字：

将三个服务器删掉，填入cloudflare给的两个服务器名字，填入后保存。复制这两条，然后点SUBMIT保存：

alina.ns.cloudflare.com

anirban.ns.cloudflare.com

如果你看不到这个图标，而是像汽车图标，那么就先点击蓝色地球图标进去把所有解析记录删除，然后就可以看到上面的轮胎图标了。

回到namesilo域名管理，可以看到刚才添加的两个服务器已经生效，现在是Active状态，域名注册及托管完毕。

回到cloudflare，发现已经生效了：

5.Cloudflare添加A记录

在域名系统系统内，可以添加DNS解析记录：

为了方便讲述，后面有关于域名的表述，统一假设我们申请的域名是zhongbifusheng.top。zhongbifusheng.top可以直接替换成自己的

①打开DNS,选择记录

②类型选择A

②名称选择@

④IP地址先随便填一个108.108.168.108，等设置好了会自动匹配家里的IP地址。

⑤CloudFlare代理关掉，status 一列对应域名的图标要是灰色的。

⑥TTL选择自动或者设置120秒也可以。也可以自己选择时间。

在【名称】填写的时候，相当于我们国内【主机记录】，有www、@和*三种解析方式，也可以在这里自定义名称。但是输入的时候要输入自定义的域名。比如名称里我们自定义写入fly，后面访问的时候就要使用fly.zhongbifusheng.top。

【名称】（主机记录）就是域名前缀，常见用法有：

www ：解析后的域名为 www.你的域名。也就是访问的时候域名前面必须加上www.才可以访问。也就是输入www.zhongbifusheng.top，才可以生效。如果要带上端口的话就是www.zhongbifusheng.top:443

@：直接解析主域名，浏览器直接输入你的域名就可以访问。也就是输入zhongbifusheng.top，才可以生效。如果要带上端口的话就是zhongbifusheng.top:443

*：泛解析，匹配其他所有域名，也就是你主域名下的其他二级、三级域名都可以自动匹配。

点击保存生效：

6.获取 Global API

需要打开【我的个人资料】，寻找通过一下方式，首先将网页拖到底部，看到有个API

然后点击mycount，进入到【我的个人资料】

Cloudflare我的个人资料，选择【API 令牌】。

点击【创建令牌】，选择【编辑区域 DNS】的【使用模板】：

在此处选择你允许该子 API（令牌）访问的账户和域名，按照你的需要进行配置即可。它的配置很灵活，选择好授予的权限范围拿来共享给其他人都很方便。

权限默认即可。

区域资源，选择所有区域：

点击继续：

创建令牌：

然后就可以看到令牌了，这个不是ikuai需要的，不用管，我们接着点下边的【查看所有API令牌】：

点击查看：

可以看到弹出的API密钥，把 API 一长串字符复制保存下来。注意，这串 API 不要泄露给其他人。

7.填入ikuai DDNS

打开IKUAI动态域名：

服务商选择：cloudflare

域名我们前面解析的是主域名，直接填入zhongbifusheng.top。

主域名填写：zhongbifusheng.top

邮箱随便填一个。

API Key选择上面复制的。

解析设置选择：外部网络

解析网卡选择：wan1

记录类型选择A记录(IPv4)。如果是IPv6的话选择选择4A。

保存生效：

转到界面后，我们可以看到已经生效了，IP地址已经更新出来：

百度搜索【本机IP】，可以看到反馈的IP一样的：

再到Cloudflare解析页面看下，可以看到域名对应的IP地址，也已经和家里的IP对应上了。

再简单说一下，每次重启之后或者重新拨号以后，电信会重新给ikuai wan口一个新的动态公网IP地址，这时候ikuai内的DDNS（动态域名）服务就会自动读取wan口分配到的那个新IP地址，然后通过API到Cloudflare去识别对应的域名，然后将整个新的IP地址对应给域名。

五、以腾讯云为例设置DDNS

1.以腾讯云为例添加解析记录

首先，在域名的DNS 解析 DNSPod内添加一条A记录，

①主机记录

主机记录www或者@，因为楼主使用了七牛云需要解析子域名，如果没有特殊要求可以直接填入@，解析主域名即可。

记录类型A。

线路类型默认。

记录值写当前的IP地址即可，点击添加记录填写对应信息后点击保存完成添加。

PS: 在填写主机记录的时候会碰到:www、@和*三种解析方式：

主机记录就是域名前缀，常见用法有：

www ：解析后的域名为 www.你的域名。也就是访问的时候域名前面必须加上www.才可以访问。

@：直接解析主域名，浏览器直接输入你的域名就可以访问。

*：泛解析，匹配其他所有域名，也就是你主域名下的其他二级、三级域名都可以自动匹配。

下面是各个记录值的意思，大家可以根据需求选择。

②记录值、记录类型

记录值：随便填一个 IPv4，例如 127.0.0.1 (若使用 IPv6，请随便填一个 IPv6 地址，例如 fe80::0)

记录类型：默认为 A 即可 (若使用 IPv6 请选择 AAAA 记录) ，其中A记录用来指定IPv4地址，我们要做的就是将域名指向家里的公网IP。

线路类型：无特殊需求默认即可

权重：默认不用填

TTL：无特殊需要默认即可

2.获取DNSPod Token密钥申请

①腾讯云 API 密钥

在弹出的新建密钥窗口中，单击确认新建如下图所示：

说明：

一个主账号最多可以创建两个 API 密钥。

主账号 API 密钥代表您的账号身份和所拥有的权限，等同于您的登录密码，切勿泄露他人。

API 密钥是构建腾讯云 API 请求的重要凭证，为了您的财产和服务安全，请妥善保存和定期更换密钥，当您更换密钥后，请及时删除旧密钥。

②创建Token

在弹出的创建密钥窗口中，输入密钥名称，密钥名称仅用来标记 Token，方便用户管理 Token ，不参与鉴权。如下图所示:

输入密钥名称后，单击确定，会弹出如下提示框。

为了保证数据安全，DNSPod 不会存储原始密钥，以上信息仅在创建时候显示一次，请务必妥善保存好。

③ikuai填写

输入账户密码，输入token提交后配置完成。这里域和主域名的填写，注意一下，主域名前面不要添加任何前缀或者后缀。域名那里，上面如果你填写的主机记录 是什么就填写什么。比如你写的www，域名这里要填写www.你的域名，选的@就直接输入你的域名就好了。

退出之后可以看到更新结果显示成功状态：

回到腾讯云可以看到解析正常，每次家里光猫重启后，可以自动解析出家里的公网IP，将公网IP和自己的域名对应。

七、端口映射

因为家里的设备都是连接在路由器上的，我们上面设置好了路由的IP地址和网络对应后，就需要把公网IP地址映射到各个端口。

打开网络设置——端口映射——添加

可能大家刚开始为了方便直接设置成了动态IP地址，这样存在一个问题，就是每次路由器重启之后，可能分配的这个IP地址就会变化。为了访问方便，建议单独指定NAS的IP，这样每次重启路由IP地址就不会变化了。

1.威联通NAS端口映射

①固定IP

打开QNAP Qfinder，进入设定，指定NAS的固定IP地址。在威联通后台的网络和虚拟交换机也可以设置。

②设置端口

设置TS451D的端口，打开控制台，选择系统——常规设置——系统管理。这里填写一个自己好记的端口号就可以了。访问端口HTTP为5000端口，HTTPS为5001端口：

③iuai内添加添加两个端口映射：

外网测试：

HTTP访问正常：

HTTPS访问正常：

2.添加群晖DS918端口映射

①群晖设置静态IP地址

登录群辉 —— 网络 —— 网络界面 —— 局域网：编辑

修改为新网段的静态 IP，点确定，等待系统设置。

设置内外部登录端口：为了和威联通进行区别，对群晖的端口进行了修改，为了保持登录的一致性，内外登录的网口都设置统一。

内部访问http端口8806

内部访问https端口8807

外部https访问测试：

外部http访问测试：

3.emby端口映射

打开emby——设置——网络，可以看到http端口8093，https端口：8920。

添加映射：

外网访问正常：

4.Esxi远程访问

首先做Esxi远程访问，可以看到Esxi使用的是https的443默认端口，Esxi修改端口比较麻烦，所以懒得改了，就直接将192.168.50.3:443映射出去。

443 端口:即网页浏览端口，主要是用于 HTTPS 服务，是提供加密和通过安全端口传输的另一种 HTTP。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用 HTTPS 服务，这样在这些网站上的交换信息，其他人抓包获取到的是加密数据，保证了交易的安全性。网页的地址以 https:// 开始，而不是常见的 http://。

好在可以通过内网的IP地址进行区别映射，因为Esxi的IP地址是，192.168.50.3，那我们就可以通过添加192.168.50.3:443的端口映射出去，为了防止外部端口访问冲突，将外网端口设置为444。按照下面设置，在ikuai内添加映射：

远程https访问，只要在浏览器内输入：域名+444端口号，即正常可远程访问：

5.ikuai远程访问

打开ikuai远程访问进行设置，可以看到ikuai占用了http的80端口和https的443端口，80 端口是为 HTTP（HyperText Transport Protocol) 即超文本传输协议开放的，此为上网冲浪使用次数最多的协议，主要用于 WWW（World Wide Web）即万维网传输信息的协议。可以通过 HTTP 地址（即常说的 “网址”）加 “: 80” 来访问网站，因为浏览网页服务默认的端口号都是 80，因此只需输入网址即可，不用输入 “: 80” 了。