通信时间与行为模式的关联
在匿名性中,不只是发送了什么,什么时候通信也很重要。
即使通信内容被加密,连接发生的时刻、通信量、连接间隔、发帖时间、现实行为时间也会成为线索。
例如,某个现场发生事件后立刻出现匿名发帖,而那个时间段又有通信从特定网络发出,候选范围就会缩小。
本文整理通信时间和行为模式如何关系到匿名性。
通信时间会形成行为轮廓
通信时间是指通信发生的时刻或时间段。
Web 访问、发帖、登录、文件发送、消息发送、 连接、 连接、DNS 查询等都与时刻有关。
| 时间信息 | 可见内容 | 匿名性中的注意点 |
|---|---|---|
| 连接开始时刻 | 什么时候通信 | 会与现实行为核对 |
| 通信量 | 发送和接收了多少 | 成为推测文件发送或视频观看的材料 |
| 连接间隔 | 定期行为 | 习惯或自动处理可见 |
| 发帖时刻 | 公开行为 | 与实名侧或现实事件重合 |
| VPN 连接时刻 | 匿名环境的使用 | ISP 侧能看到 VPN 使用时间 |
时间信息本身并不指向本人。
但是,它会成为与其他日志核对的轴。
即使加密,时间也会留下
HTTPS 和 TLS 对保护通信内容很重要。
但是,它们不会完全消除通信什么时候发生、通信量有多大、连接到了哪个 IP 地址。
| 信息 | 是否会被加密隐藏 | 说明 |
|---|---|---|
| 页面正文 | 在通信途中受保护 | 由 HTTPS 保护 |
| 表单内容 | 在通信途中受保护 | 会到达连接目标服务 |
| 连接时刻 | 不会隐藏 | 通信发生会被观察 |
| 通信量 | 不会隐藏 | 数据量趋势可见 |
| 连接目标 IP | 不会隐藏 | 数据包投递需要 |
加密和匿名化不同。
即使通信内容不可读,通信事实和时间也是另一种线索。
与现实行为连接
通信时间会与现实行为连接。
如果通信发生在通勤、上课、工作、会议、活动、现场参加、移动、住宿、支付、出入记录的同一时间段,候选范围就会缩小。
| 现实行为 | 与通信时间的关联 | 注意点 |
|---|---|---|
| 会议刚结束 | 看起来像参与者进行了匿名发帖 | 隔一段时间 |
| 活动现场 | 现场停留与发帖重合 | 也要看位置信息和照片 |
| 通勤时间 | 移动路径可见 | 注意固定时间发帖 |
| 夜班结束后 | 工作形态可见 | 与职业信息组合 |
| 学校下课后 | 学生或教师被缩小 | 不写年级或课程名 |
匿名发帖时,事件刚发生后的发帖是强线索。
越有现场感的文字,与时刻的连接也越强。
与实名侧活动时间重合
匿名账号的活动时间与实名账号的活动时间重合时,会显出同一人物的感觉。
在实名侧发帖数分钟后又在匿名侧发帖。匿名侧写完长文后马上在实名侧回应同一话题。每天同一休息时间两个账号都活动。
| 重合行为 | 可见内容 | 对策 |
|---|---|---|
| 交替发帖 | 看起来像同一个人在切换 | 分开时间段 |
| 同时回应同一话题 | 兴趣和时间一致 | 话题也分开 |
| 相同休止时间 | 生活节奏一致 | 用长期历史确认 |
| 同一活动后的发帖 | 看起来在同一地点 | 与事件保持距离 |
即使分开账号,只要行为时间相同,关联仍会留下。
通信日志和发帖时刻
Web 服务、VPN、ISP、职场网络、学校网络、路由器、DNS 解析器可能留下通信相关日志。
日志内容和保存期限因环境而异,但时刻在许多日志中都是重要轴。
| 观察点 | 可能可见的时间信息 | 注意点 |
|---|---|---|
| 连接目标服务 | 发帖、登录、请求时刻 | 与账号连接 |
| ISP | VPN 连接或外部通信时刻 | 通信内容是另一个问题 |
| VPN 运营者 | 连接时刻或服务器使用信息 | 确认方针和日志管理 |
| 职场或学校网络 | 终端的通信时刻 | 注意管理日志 |
| DNS 解析器 | 查询时刻 | 连接目标域名的线索 |
在匿名性中,要考虑的不只是单个日志,还包括多个日志通过时刻被核对。
减少时间关联的方法
完全消除时间关联是不可能的。
但是,可以减少强关联。
| 对策 | 理由 | 注意点 |
|---|---|---|
| 不在事件刚发生后发帖 | 削弱与现实行为的核对 | 内容时间线也要模糊 |
| 不与实名侧交替活动 | 减少账号关联 | 话题也要分开 |
| 避免固定时间发帖 | 不容易显示生活节奏 | 定时发布也不是万能 |
| 高风险时考虑公开对象 | 避免一般公开扩散 | 咨询对象也要谨慎选择 |
仅仅错开时间有时不够。
如果知道事件的人很少,即使模糊时间,候选仍会留下。在这种情况下,需要从内容、公开对象、咨询对象重新考虑。
定时发布和延迟的局限
定时发布或隔一段时间发布,有助于削弱时间关联。
不过,这不是万能的。创建时刻、草稿保存时刻、登录时刻、发帖后的回复时刻、内容具体性仍会留下。
| 对策 | 可削弱的事 | 仍会留下的事 |
|---|---|---|
| 定时发布 | 公开时刻与生活时间一致 | 创建和回复时间 |
| 隔一段时间 | 事件刚发生后的印象 | 内容具体性 |
| 改变发帖频率 | 固定节奏 | 长期话题关联 |
| 延迟回复 | 在线状态 | 回复内容中的个人信息 |
时间对策要与内容对策一起考虑。
如果照原样写出事件细节,即使错开时间,相关人员也可能看得出来。
高风险现场活动尤其要注意
抗议活动、采访、现场调查、内部举报准备等场景中,通信时间很容易与现实行为连接。
需要确认:不从现场发帖、不在移动后立刻回应、确认照片拍摄时刻和背景、不与实名侧行为交替活动。
在高风险现场活动中,不要只凭文章判断,有时也要咨询可信的支援方或专业人士。
总结
通信时间和行为模式是关系到匿名性的重要线索。
即使通信内容被加密,连接时刻、通信量、连接间隔、发帖时刻也会留下。
这些信息可能与现实行为、实名账号、VPN 连接、职场或学校日志、连接目标服务记录连接起来。
匿名发声时,不只要确认写什么,也要确认什么时候通信、什么时候发帖、与哪些行为重合。
减少时间关联,需要避免事件刚发生后发帖,不与实名侧交替活动,公开后的回应也不要急。
把时间也当作公开信息的一部分处理。