Що таке прозорий проксі? Як виявити та обійти

Що таке прозорий проксі_ Як виявити та обійтиЯк і всі мережеві проксі, прозорий проксі перехоплює та переадресовує дані під час транзиту, як правило, через Інтернет. Простіше кажучи, прозорі проксі-сервери не змінюють даних, що проходять через них. Але те, що дійсно розмежовує прозорі проксі, – це те, що клієнтам – пристроям кінцевих користувачів, які ви використовуєте ви та я – не потрібно налаштовувати або навіть знати проксі, щоб він працював. Прозорі проксі-сервери іноді називаються вбудованими, перехоплюючими, зворотними, невидимими або вимушеними проксі-серверами.


Якщо ви часто користувачі Інтернету, ви, ймовірно, весь час взаємодієте з прозорими проксі не усвідомлюючи цього. Швидше за все, ваш постачальник послуг Інтернету використовує прозорі проксі, коли ви хочете отримати доступ до популярних веб-сайтів, відео та статей новин. Замість того, щоб надсилати та отримувати відео з сервера Netflix по всій країні кожен раз, коли хтось захоче його переглянути, ваш місцевий Інтернет-провайдер “кеширує” копію відео на своїх власних серверах. Під час перегляду відео прозорий проксі перенаправить вас на кешовану версію відео, економлячи пропускну здатність вище. Як кінцевий користувач, ви отримуєте відео більш високої якості з меншим розміром буферизації, але в іншому випадку досвід не відрізняється від прямого підключення до Netflix.

Прозорі проксі є невід’ємною частиною мереж доставки вмісту або CDN, які кешують у великих масштабах. Але це лише одне з багатьох застосувань. У цій статті ми детальніше обговоримо, як працюють прозорі проксі-сервери, як вони використовуються, які їх плюси та мінуси, а також як їх виявити та обійти..

Як працюють прозорі проксі

1280px-Forward_proxy_h2g2bob.svg

Кінцевому користувачеві прозорий проксі – це зловмисне програмне забезпечення. Він перехоплює інтернет-трафік і перенаправляє його до іншого пункту призначення без згоди кінцевого користувача. Це по суті описує атаку “людиною в середині” (MITM). Однак прозорі проксі не завжди є шкідливими.

Прозорі проксі-сервери зазвичай сидять між користувачами та Інтернетом. Коли користувач надсилає запит на підключення до, скажімо, веб-сайту, його спочатку переспрямовують на проксі-сервер. Перенаправлення зазвичай обробляється брандмауером на тому ж хості, що і проксі-сервер, наприклад iptables в Linux.

Проксі-сервер отримує запит, а потім запитує переспрямовувач – брандмауер – про вихідне місце з’єднання. Потім він може вирішити, чи дозволяти з’єднанню пройти до вихідного пункту призначення, заблокувати з’єднання або перенаправити з’єднання.

Кальмар – найпопулярніше програмне забезпечення, яке використовується для налаштування прозорих проксі.

Як використовуються прозорі проксі

Прозорі проксі-сервери не вимагають ніякої конфігурації на стороні клієнта, тому користувачам не потрібно завантажувати додатки або вносити будь-які зміни в конфігурації, щоб їх використовувати. Натомість конфігурація залишається постачальнику послуг, який має більший контроль над тим, як користувачі взаємодіють зі своїми послугами. Це робить прозорі проксі-сервера корисними для ситуацій, коли кількість та типи клієнтів у мережі невідомі.

Кешування

Ми коротко описали кешування проксі у вступі. Кожного разу, коли користувач підключається до веб-сайту, скажімо, переглядає відео, його копія зберігається в кеші на хост-сервері проксі. Проксі-сервер перенаправляє майбутні запити на це відео до кешованої версії, і користувач ніколи не знає різниці. Подібні методи застосовуються в масштабних мережах доставки вмісту (CDN).

Кешування проксі-сервера економить пропускну здатність провайдера Інтернет-провайдера, яка використовувалася б для передачі відео повністю від джерела при кожному запиті, а відео-буфери користувача швидше.

Фільтрування

Проксі-сервери для фільтрування використовуються для обмеження доступу до ресурсів у мережі. Якщо цією мережею є Інтернет, то для цензури можна використовувати проксі-сервери для фільтрування. Проксі-сервер офісної будівлі може ігнорувати запити до Facebook та YouTube, щоб не заважати працівникам. У школах та бібліотеках часто застосовуються фільтруючі проксі, щоб запобігти доступу користувачів до невідповідного вмісту. Держави-нації можуть використовувати проксі-сервери фільтрації для моніторингу та цензури вмісту, який вони вважають невідповідним або образливим.

Шлюз

Ви коли-небудь підключалися до загальнодоступної точки доступу до Wi-Fi, яка вимагала, щоб ви погодилися з умовами надання послуг провайдера, увійшли в систему за допомогою електронної пошти чи переглянули оголошення, перш ніж це дозволить отримати доступ до Інтернету? Ймовірно, що мережа використовувала проксі-шлюз. Прозорі проксі-сервери можуть змінювати або блокувати трафік на основі певних правил, вибірково обмежуючи доступ до Інтернету. У цьому прикладі проксі перенаправляє користувачів на сторінку входу.

Захист DDoS

Захист DDoS проксі або “віддалений” захист DDoS – це техніка, яка використовує прозорий проксі-сервер для запобігання розподілених атак відмови в обслуговуванні (DDoS) з осакатувальних мереж. DDoS-атака передбачає затоплення сервера непотрібними запитами, часто з ботнету, що включає декілька пристроїв. Коли DDoS-атака потрапляє на проксі-сервер, вона запобігає затопленню пакетів від попадання на основний сервер. Користувачів, які не можуть підключитися через проксі через перевантаженість атаки, просто переспрямовують на інший прозорий проксі. Сервер може мати стільки резервних прозорих проксі-серверів, скільки потрібно, щоб відбивати небажані запити та підтримувати сайт для роботи законних користувачів.

Як визначити, чи стоїть ви за прозорим проксі

Простий спосіб перевірити, чи не стоїть ви за прозорим проксі-сервером спроба підключитися до відомого вам сервера не існує. Якщо проксі немає, у вашому веб-переглядачі з’явиться типове повідомлення про помилку. Chrome каже: “Цей сайт не можна отримати”, оскільки IP-адресу не можна знайти.

Якщо ви стоїте за проксі-сервером, помилка може бути іншою або ви можете бути перенаправлені на іншу сторінку, наприклад сторінку пошуку.

Якщо це не дає прямого результату, на кількох веб-сайтах є служби виявлення проксі-серверів з різною надійністю, як-от цей.

Якщо ви відвідаєте веб-сайт із зашифрованим HTTPS і натисніть на піктограму блокування, ваш веб-переглядач надасть вам основну інформацію про сертифікат SSL сайту. Якщо сертифікат видається вашому провайдеру, а не власнику веб-сайту, це може бути знаком того, що ви стоїте за прозорим проксі.

VPN та HTTPS проти прозорих проксі

У стандартному незашифрованому з’єднанні Інтернет-трафік можна відстежувати та фільтрувати за допомогою прозорого проксі. Дані, що містяться в них, можуть бути кешовані на проксі-сервері для подальшого використання.

HTTPS

Веб-сайти, які використовують захищений трафік браузера HTTPS між сервером та клієнтом із шифруванням SSL. Шифрування перевіряє дані перед тим, як покинути пристрій, що робить його нерозбірливим для всіх, хто їх перехоплює. Однак, DNS-трафік зазвичай не шифрується і повідомляє проксі-сервер, куди йде зашифрований трафік HTTPS. Фактичний вміст мережевого трафіку може бути не видно, тому дані не можуть кешуватися, але проксі може принаймні бачити, куди йде. (Примітка. Ось чому прозорі проксі-сервери часто несумісні з зашифрованим DNS або DNSSEC.)

Прозоре програмне забезпечення на зразок проксі Кальмар може обробляти трафік HTTPS декількома різними способами, але, як правило, проксі-сервер все ще може контролювати призначення даних, які перебувають під час транзиту, деякими засобами. У деяких випадках налаштовуються мережеві адміністратори HTTPS перехоплення на прозорих проксі. Проксі-сервер виконує функцію “людина-посередині” зі своїм власним сертифікатом HTTPS. У цьому випадку трафік HTTPS перехоплюється та розшифровується на проксі-сервері замість пункту призначення. Дані можуть бути кешовані, відфільтровані або перевірені перед повторним шифруванням та відправленням до пункту призначення.

VPN

Якщо ви стоїте за прозорим проксі-сервером і хочете його взагалі обійти використовувати VPN. Хороший VPN шифрує весь трафік, залишаючи ваш пристрій, включаючи DNS та HTTP / S трафік. Не знаючи вмісту або призначення ваших даних, прозорий проксі не може вжити жодних дій і просто переправить його до місця призначення без змін (якщо тільки явно не блокує трафік на сервер VPN). Зауважте, що VPN зробить кеш-проксі недоступним, що може зробити роботу повільніше для кінцевого користувача.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map