Help:用户查核
Special:CheckUser这一特殊页面允许拥有用户查核员权限的用户访问诸如用户IP地址或CIDR范围的隐私数据。可供查询的数据包括某用户所用IP地址、通过某IP地址或IP段进行编辑的所有用户、由某IP地址或某IP段进行的所有编辑、用户代理(User agent,简称UA)字符串以及X-Forwarded-For(XFF)请求头。
此工具通常用于打击创建傀儡账户的恶意用户。(注:查核用户可能指访问机密数据之行为、拥有这一权限的用户,或者这一技术特征。)
注意事项
维基媒体的隐私和保密政策
维基媒体基金会下的用户查核员受使用条款、隐私政策、获取非公开信息政策、用户查核政策和非公开信息保密协议的限制。除了于上述政策中详述的有限情况外,禁止透露存有的用户机密数据。
如有可能,用户查核员应设法在不透露任何信息的情况下解决问题,或尽可能少透露信息。下面的清单并不全面,且用户查核员不应仅据此作出判断。如果查核员有任何疑问,其不应提供任何细节,如同神奇八号球一样作答。通常允许提供的信息列举如下:
- 在不提供如IP地址等个人信息的情况下,确定某用户为傀儡账户;
- 由被查核用户自行发布的信息;
- 互联网服务供应商(仅当其范围足够广并因此无法用于识别用户精确身份)
- 通常无法用于识别用户个人身份的国家/地区。
If the checkuser is at all doubtful, they should give no detail and answer like a Magic 8-Ball.
邮件列表
维基媒体的用户查核员可以访问内部私密邮件列表checkuser-l。此列表用于他们讨论或获得帮助、想法、建议。
联系监管员见Stewards/zh#联络。
Best practices
- *用户查核不是维基上的魔法小精灵。几乎所有涉及IP的查询都应出于多个用户的编辑行为表现相同。编辑模式匹配才是最重要的,IP匹配与否其实只应作为额外证据。
- * 大多数拨号网络、许多DSL和许多有线网络的IP是动态的。它们在每个会话、每天、每周、每几个月都可能发生变动,亦或是几乎没有变化。在宣布IP匹配时,用户查核应当谨慎,除非访问时间极其接近。在执行IP相关工作一段时间后,你自然会知道哪些ISP的IP变化快,哪些变化慢。
- 如果它是代理,它可能不会匹配,这取决于运行代理的组织的规模(根据whois输出)。如果它是ISP代理,那么匹配的概率很小。
- * 如果是是AOL地址,那么你很不走运——对于每个页面请求,AOL都会通过一个不同的代理发送。
- *若某用户使用了来自许多国家/地区的不同IP,那么这些IP可能是开放的代理。请使用开放代理检查器进行检查。
- *来自分配给主机设施地址的编辑几乎总是表明用户在滥用主机服务器来达到邪恶的目的。但请注意,用户可能在机器上有合法的shell账户。
- 对于IPv6地址,您可能希望检查用户的整个/64子网,因为用户有可能使用其范围内的多个地址。
实用工具
此处的Unix指代对象包括类Unix、Linux以及Mac OS X电脑。
IP address and domain lookup
- whois: 在Unix新建终端,在命令行中键入
whois [IP address]。其将提供IP所有者和具体的IP段,还可能提供IP的用途。在Windows上,All Net Tools还有基于网页的挺不错的whois,它也会进行一次nslookup。 - nslookup: 在Unix或Windows上的命令行中键入
nslookup [IP address],你将得到与IP相关联的完全限定域名(FQDN)。如果你什么都没得到也请不要担心,因为不是所有IP都有域名。如果你使用Windows,All Net Tools的whois也会提供FQDN信息。 - traceroute: 对于一些互联网服务提供商的IP,使用traceroute命令比较两个或多个IP之间的结果可能会很有用。网站All Net Tools也给你提供了traceroute功能,如果你没有命令行来使用这一命令的话。
Open proxy checking
- Various online proxy checking tools, such as Nmap, can help you determine if a user is connecting via open proxies.
Blacklist checks
- 检查某IP的其他滥用情况: rbls.org可提供实时黑洞列表 (Realtime Blackhole Lists, RBL)内任何IP地址的状态。请注意,部分RBL封禁是必要的,如许多人会屏蔽SMTP的家庭动态IP,但这对于一个维基来说不是问题。如果一个用户只使用开放代理服务器或被标记为滥用源的地址,你应该起疑心。
- 相关的匿名贡献: rangecontribs这一工具可以用来查询某一子网的匿名编辑(失效链接)。
用法
基本界面
- 前往特殊页面Special:CheckUser。请确保你在对应维基上有用户查核权限。
- 在用户一栏中,输入不加user:前缀的用户名、IP地址或CIDR区段。
- 选择你要检索的信息。
- 获取IP (Get IPs) : 返回注册用户使用的IP地址。
- 获取IP的编辑 (Get edits from IP) : 返回一个注册或匿名用户在一个IP地址或IP段内所做的所有编辑。
- 获取用户 (Get users) : 返回在某IP或IP段内编辑的用户。
- 在理由一栏中,输入你要获取这些数据的原因(请尽量简洁地表述,比如填写cross-wiki spam)。这将会被记录到日志中,以满足申诉专员委员会的调查需要。
- Screenshots
-
基本的用户查核界面 -
用户名查询示例 -
IP查询示例 -
日志示例
返回的信息
一条典型的用户查核结果(包含用户信息的摘要)列举如下:
这些信息以一种极易浏览的格式列举,其缺点在于如果你不知道所提供的信息是什么,你将很难阅读。信息以如下方式排列:
- 用户名 (用户相关链接) (用户通过指定IP或IP段编辑的时间段) [用户通过指定IP或IP段的编辑次数]
- 通过XFF编辑的IP地址:提供的XFF信息(可被伪造)
- User agent information
每个用于编辑的IP/XFF组合,依使用顺序列出。
之后会列出每个用户在该IP或IP段内进行编辑的最后十条UA信息(浏览器、操作系统、系统语言以及版本)。
XFF格式
XFF (X-Forwarded-For) 请求头表示从客户端(发起人)到托管MediaWiki的服务器(末端)所使用的一系列IP地址。
在此例中:
aaa.aaa.aaa.aaa XFF: 10.4.46.42, 127.0.0.1, aaa.aaa.aaa.aaa, 208.80.152.46
- 前两个地址10.4.46.42与127.0.0.1对始发网络来说是私有的,无法从公共互联网直接到达;
- 第三个地址aaa.aaa.aaa.aaa是编辑的“公众形象”,通常是宽带、拨号ISP或公司网关的IP地址(但也可能为IP隐藏的工具(anonymizer)或被恶意软件破坏的服务器);
- 最后一个地址208.80.152.46是Wikimedia squids之一(sq36.wikimedia.org)。