This page is a translated version of the page Help:CheckUser and the translation is 100% complete.
此页为有关特殊页面CheckUser的介绍,此外还包括了有关其在维基媒体基金会上使用的注意事项。关于CheckUser这一扩展,请访问www.mediawiki.org上的扩展页面

Special:CheckUser这一特殊页面允许拥有用户查核员权限的用户访问诸如用户IP地址CIDR范围的隐私数据。可供查询的数据包括某用户所用IP地址、通过某IP地址或IP段进行编辑的所有用户、由某IP地址或某IP段进行的所有编辑、用户代理(User agent,简称UA),X-Forwarded-For(XFF)请求头及用戶端提示

此工具通常用于打击创建傀儡账户的恶意用户。(注:查核用户可能指访问机密数据之行为、拥有这一权限的用户,或者这一技术特征。)

注意事项

维基媒体的隐私和保密政策

维基媒体基金会下的用户查核员受使用条款隐私政策获取非公开信息政策用户查核政策非公开信息保密协议的限制。除了于上述政策中详述的有限情况外,禁止透露存有的用户机密数据。

如有可能,用户查核员应设法在不透露任何信息的情况下解决问题,或尽可能少透露信息。下面的清单并不全面,且用户查核员不应仅据此作出判断:

  • 在不提供如IP地址等个人信息的情况下,确定某用户为傀儡账户;
  • 已經由被查核用户自行发布的信息;
  • 互联网服务供应商(仅当其范围足够广并因此无法用于识别用户精确身份)
  • 通常无法用于识别用户个人身份的IP地址所在的国家/地区。

如果使用者查核員有任何疑問則不應提供任何細節與答案就像8號魔術球

邮件列表

维基媒体的用户查核员可以访问内部私密邮件列表checkuser-l。此列表用于他们讨论或获得帮助、想法、建议。

联系监管员见Stewards/zh#联络

最佳實踐

  • 注意行為模式:用户查核不是维基上的魔法小精灵。几乎所有涉及IP的查询都应出于多个用户的编辑行为表现相同。编辑模式匹配才是最重要的,IP匹配与否其实只应作为额外证据。
  • 動態IP地址: 大多数拨号网络、许多DSL和许多有线网络的IP是动态的。它们在每个会话、每天、每周、每几个月都可能发生变动,亦或是几乎没有变化。在宣布IP匹配时,用户查核应当谨慎,除非访问时间极其接近。在执行IP相关工作一段时间后,你自然会知道哪些ISP的IP变化快,哪些变化慢。
  • 代理的處理:如果它是代理,它可能不会匹配,这取决于运行代理的组织的规模(根据whois输出)。如果它是ISP代理,那么匹配的概率很小。做出結論前先調查使用的代理類型。
  • AOL使用者: 如果是是AOL地址,那么你很不走运——对于每个页面请求,AOL都会通过一个不同的代理发送。
  • 使用開放代理:若某用户使用了来自许多国家/地区的不同IP位置,那么他們可能是开放的代理。请使用开放代理检查器进行检查。
  • 代理伺服器:来自分配给主机设施地址的编辑几乎总是表明用户在滥用主机服务器来达到邪恶的目的。但请注意,用户可能在机器上有合法的shell账户。
  • IPv6子網: 对于IPv6地址,您可能希望检查用户的整个/64子网,因为用户有可能使用其范围内的多个地址。

实用工具

此处的Unix指代对象包括类UnixLinux以及Mac OS X电脑。

IP位置和網域查找

  • whois: 在Unix新建终端,在命令行中键入whois [IP address]。其将提供IP所有者和具体的IP段,还可能提供IP的用途。在Windows上,All Net Tools还有基于网页的挺不错的whois,它也会进行一次nslookup。
  • nslookup: 在Unix或Windows上的命令行中键入nslookup [IP address],你将得到与IP相关联的完全限定域名(FQDN)。如果你什么都没得到也请不要担心,因为不是所有IP都有域名。如果你使用Windows,All Net Tools的whois也会提供FQDN信息。
  • traceroute: 对于一些互联网服务提供商的IP,使用traceroute命令比较两个或多个IP之间的结果可能会很有用。网站All Net Tools也给你提供了traceroute功能,如果你没有命令行来使用这一命令的话。
    • tcptraceroute: 这是一个使用TCP数据包的traceroute版本,可以通过一些防火墙和阻止ICMP数据包的数据包过滤器。你可以在这里获取类Unix版本的源码;此外,大多数Linux发行版都有可用的软件包。


開放代理檢查

  • 各種線上代理檢查工具可以幫助你確認使用者是否透過代理編輯,如Nmap

黑名單檢查

  • 检查某IP的其他滥用情况: rbls.org可提供实时黑洞列表 (Realtime Blackhole Lists, RBL)内任何IP地址的状态。请注意,部分RBL封禁是必要的,如许多人会屏蔽SMTP的家庭动态IP,但这对于一个维基来说不是问题。如果一个用户只使用开放代理服务器或被标记为滥用源的地址,你应该起疑心。
  • 相关的匿名贡献: rangecontribs这一工具可以用来查询某一子网的匿名编辑(失效链接)。

用法

基本界面

  1. 前往特殊页面Special:CheckUser。请确保你在对应维基上有用户查核权限。
  2. 用户一栏中,输入不加user:前缀的用户名、IP地址或CIDR区段。
    • IP地址: 任何IPv4 (较常见) 或IPv6地址。
    • CIDR: 你可以通过添加CIDR前缀来查询IP区段。对于IPv4,其上限是/16(查询65,536个地址);对于IPv6,其上限是/48(1,208,925,819,614,629,174,706,176个地址)。关于这一前缀的信息参见IP段封禁
    • XFF: 你可以通过添加/xff检查由XFF请求头提供的客户端IP地址,如127.0.0.1/xff
  3. 选择你要检索的信息。
    • 获取IP (Get IPs) : 返回注册用户使用的IP地址。
    • 获取IP的编辑 (Get edits from IP) : 返回一个注册或匿名用户在一个IP地址或IP段内所做的所有编辑。
    • 获取用户 (Get users) : 返回在某IP或IP段内编辑的用户。
  4. 理由一栏中,输入你要获取这些数据的原因(请尽量简洁地表述,比如填写cross-wiki spam)。这将会被记录到日志中,以满足申诉专员委员会的调查需要。

返回的信息

一条典型的用户查核结果(包含用户信息的摘要)列举如下:

  • 示例用户 (讨论 | 贡献) (20:11, 02 12月 2024 -- 20:12, 02 12月 2024) [5]
    1. 127.0.0.37 XFF: 127.0.0.1, 127.0.0.5
    2. Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.11) Gecko/20070312 Firefox/1.5.0.11

这些信息以一种极易浏览的格式列举,其缺点在于如果你不知道所提供的信息是什么,你将很难阅读。信息以如下方式排列:

  • 用户名 (用户相关链接) (用户通过指定IP或IP段编辑的时间段) [用户通过指定IP或IP段的编辑次数]
    1. 使用者編輯所使用與任何透過XFF(X-Forwarded-For)開頭编辑使用的IP地址。提供的XFF信息(可被伪造)
    2. User agent information

每个用于编辑的IP/XFF组合,依使用顺序列出。

之后会列出每个用户在该IP或IP段内进行编辑的最后十条UA信息(浏览器、操作系统、系统语言以及版本)。

XFF格式

XFF (X-Forwarded-For) 请求头表示从客户端(发起人)到托管MediaWiki的服务器(末端)所使用的一系列IP地址。

在此例中:

aaa.aaa.aaa.aaa XFF: 10.4.46.42, 127.0.0.1, aaa.aaa.aaa.aaa, 208.80.152.46

  • 前两个地址10.4.46.42与127.0.0.1对始发网络来说是私有的,无法从公共互联网直接到达;
  • 第三个地址aaa.aaa.aaa.aaa是编辑的“公众形象”,通常是宽带、拨号ISP或公司网关的IP地址(但也可能为IP隐藏的工具(anonymizer)或被恶意软件破坏的服务器);
  • 最后一个地址208.80.152.46是Wikimedia squids之一(sq36.wikimedia.org)。

See also