Версия для печати темы
MyDC.ru _ Общалка aka Флуд _ Определение использования прокси
Автор: Enyby 19.1.2013, 12:40
Собственно сабж. Это как идея. Заниматься я этим не буду, но может кто-то сделает для себя.
Итак варианты:
- Проверка тэга на режим с прокси.
Собственно, даже не вариант как таковой, поскольку тэг подменяется на раз-два. - Проверка IP адреса на страны.
Тоже не всегда помогает. То ли контингент интернациональный на хабе, то ли прокси находятся, которые попадают в разрешенные страны. - Проверка IP адреса по базе прокси.
Тоже не очень хорошо. Либо надо самому держать и обновлять эту базу, либо пользоваться сторонним сервисом. На стороннем сервисе надо еще не часто запрашивать, чтобы не забанили. Ну и есть прокси, которых нет ни в каких базах. - Проверка самого IP адреса.
Это самый интересный и сложный вариант. Надо просканировать порты хоста и если на каком-то порте висит прокси, то результат ясен. Теоретически можно вызывать nmap, а результат ложить в базу mysql на будущее. Лучше всего такие вещи делать отложенно. Например при авторегистрации пользователя, ставить IP в очередь, а после успеха проверки валидировать аккаунт.
Автор: mariner 19.1.2013, 15:09
прокси как вычислять будешь? Попробуешьпоговорить с любым открытым портом?
Автор: Артём 19.1.2013, 15:10
всё хорошо, только в паблик такое чудо опасно выкладывать, облегчаловка для спамеров, может просто сделать одну базу, которая будет у кого-то храниться в мускуле, а скрипт удалённо её "кушать", что бы базу никто не видел (что бы спамер не смог воспользоваться для хреновых дел своих). А то на форуме тусуются спамеры-спиногрызы
Автор: Enyby 19.1.2013, 15:31
Цитата(mariner @ 19.1.2013, 14:09)
прокси как вычислять будешь? Попробуешьпоговорить с любым открытым портом?
Тип того. Некоторое можно сразу по номерам отсеять. 1080, например.
Цитата(Артём @ 19.1.2013, 14:10)
всё хорошо, только в паблик такое чудо опасно выкладывать, облегчаловка для спамеров, может просто сделать одну базу, которая будет у кого-то храниться в мускуле, а скрипт удалённо её "кушать", что бы базу никто не видел (что бы спамер не смог воспользоваться для хреновых дел своих).
А то на форуме тусуются спамеры-спиногрызы
База ип без портов не особо им нужна. Хотя можно тупо перебрать все ип по дефолтному порту. Например, 1080. Процент попадений будет высокий.
Это касательно третьего варианта. Четвертый же ничего страшного не несет. И так есть nmap.
Автор: Артём 19.1.2013, 16:05
Цитата(Enyby @ 19.1.2013, 15:31)
База ип без портов не особо им нужна.
но в скрипте список откуда будет браться прокси будет, в общем, 3 вариант в паблике не есть гуд)
Автор: Enyby 19.1.2013, 16:07
Хе-хе. Если юзер не чайник, он сам найдет эти списки. А если чайник, то шифрование адресов списков не позволит их ему узнать. Даже простым XOR.
Автор: KMV 20.2.2013, 6:43
А как отделить клиента зашедшего через прокси, от того честного на чьем хосте есть прокси-сервер?
И еще, фильтрация прокси актуальна как раз в момент атаки на хаб, то есть решение нужно принимать с максимальной скоростью, валидация будет генерировать обратный трафик и хаб завалится еще раньше.
Автор: HackFresse 20.2.2013, 10:14
Как работает исправление способа подключения (актив/пассив)? Верно ли утверждение, что прокси-юзер всегда будет в пассивном режиме?
Автор: Enyby 20.2.2013, 11:39
Цитата(KMV @ 20.2.2013, 5:43)
А как отделить клиента зашедшего через прокси, от того честного на чьем хосте есть прокси-сервер?
Вы таких много знаете? Таких очень мало и можно в исключения руками прописать. А если у вас там хаб лучших хакеров мира - это все равно не поможет.
Цитата(KMV @ 20.2.2013, 5:43)
И еще, фильтрация прокси актуальна как раз в момент атаки на хаб, то есть решение нужно принимать с максимальной скоростью, валидация будет генерировать обратный трафик и хаб завалится еще раньше.
Самый простой способ - составить список нормальных IP адресов за прошлый месяц. Все остальные идут лесом на момент атаки. Можно им чат и личку блокировать, а можно на уровне фаервола не пускать. И все.
Цитата(HackFresse @ 20.2.2013, 9:14)
Как работает исправление способа подключения (актив/пассив)? Верно ли утверждение, что прокси-юзер всегда будет в пассивном режиме?
Вы это о чем?
Автор: HackFresse 20.2.2013, 12:34
Так, общие мысли про предметную область.
Если ходить через далёкие чужие прокси, то проброс портов там вряд-ли будет. Активные юзеры имеют проброс портов или прямое подключение.
Исправление режима подключения, судя по описанию, уже пытается подключаться к клиенту на адрес-порт из запроса (т.е. выполняет частичную проверку из 4-го пункта).
Кто и зачем ходит на хабы через прокси? Если не стоит просто абстрактная задача "кикнуть всех прокси-юзеров" или "за прокси или нет любой произвольно взятый юзер", то можно учитывать следующее:
1) Постоянные юзеры (гости в том числе) достаточно редко меняют ники и IP-адреса (сессия рвётся не так часто, как раньше, роутеры могут держать инет-подключение неделями, а новый динамический адрес очень часто из того же диапазона, что и старый). Т.е. можно ограничивать проверку только "новичков" с новыми никами и адресами (история ников и адресов уже много где ведётся для "просто так").
2) Зареганный юзер обычно не должен заниматься выпрашиванием банов, т.е. блочить прокси-юзеров надо за какие-то нехорошие действия (именно анреги входят на хаб через кучу проксей и кидают спам-сообщение). Зарегистрированного юзера с подключением через прокси в случае нарушения спокойствия хаба банить нужно отдельно.
Т.е. проверять сначала не всех подряд, а только новых пассивных анрегов (новый ник/ новый IP / давно не был на хабе и т.д.)
Автор: KMV 21.2.2013, 22:33
Цитата(Enyby @ 20.2.2013, 12:39)
Вы таких много знаете? Таких очень мало и можно в исключения руками прописать. А если у вас там хаб лучших хакеров мира - это все равно не поможет.
Самый простой способ - составить список нормальных IP адресов за прошлый месяц. Все остальные идут лесом на момент атаки. Можно им чат и личку блокировать, а можно на уровне фаервола не пускать. И все.
Вы это о чем?
1. Достаточно знать одного, чтобы об этом подумать, автоматика не должна стрелять по честным людям.
2. Возникает вопрос кто будет выкидывать флаг атаки ? Всегда должен сидеть опер на стреме? А если он на стреме - тогда и автоматика не нужна.
В итоге имеем: функционал хаба должен быть доступен только зарегистрированным...
Автор: Enyby 22.2.2013, 12:17
1. Можно выдавать информацию для тех у кого найден прокси. Пусть они связываются с админом. Или добавить информацию, о том, чтобы они могли нормально зайти - доступ к их прокси серверу должен быть закрыт фаерволом от хоста хаба. Если человек поднял прокси - он сможет это сделать. Если прокси не у него или он не знает о том, что у него есть прокси - ему на хабе не место.
2. Руками всех не перебанишь. Можно менять прокси быстрее чем 1 человек способен банить. А так включил и ушел.
3. Если хаб от какой-то локалки, то можно создать доверенные диапазоны сетей, где точно никогда не будет прокси.