Napadla mě taková celkem jednoduchá metoda detekce přístupu přes veřejnou proxynu. Prostě se (namátkově) pokusím zaznamenanou IP adresu použít jako proxy a připojit se přes ni sám na sebe. Když se to zdaří, jde o IP veřejné proxy.
Asi by tu mohla zaznít mnohá technická "ale", obecně by však tento trik fungovat měl celkem spolehlivě.
No ma to dva hacky, jednak to muze byt pomaly (fura verejnych proxy ma dobu odezvy treba i pes 5 sekund), a hlavne obecne nevim na kterym portu ta proxy bezi. Muzu sice zkusit tradicni 80, 8080, 3128 a 8000, ale nektery proxy bezi na vselijakych obskurnich portech, takze to neni na 100% ...
ano, 99,9% proxyn používá některý z těch portů, které jste uvedl. A protože test je časově náročný (i když v řádu sekund a nevytěžuje počítač ani linku), navrhoval jsem v původním příspěvku kontroly jen namátkové. Z hlediska pravděpodobnosti i několikaprocentní vzorek ma vysokou vypovidací hodnotu. K odhalení nekalostí to stačí
Dělat detekci on-line není třeba. Statistiky jsou potřeba jednou měsíčně, unikátních zdrojových IP bude maximálně pár set tisíc.
Triviální connect() scan na port 8080 skončí v 99% případů po pár desítkách milisekund úspěchem nebo na icmp unreachable. Při filtrovaném portu se bude muset počkat na řekněme 1s timeout, amortizovaně tedy 10ms.
Průměrně dejmetomu 100ms na IP adresu. Spustím to konzervativně jen v 50 threadech (slabé železo, tenká linka), dostanu 500 testů za vteřinu. Při půl milionu unikátních IP mi test na zvenku dostupné proxy servery zabere něco přes čtvrt hoďky. To není moc. A už vůbec nemluvím o veřejných seznamech proxy serverů- hity z nich by měly být určitě zpracovány zcela separátně.
Co ja vim, tak drtiva vetsina open-proxy je open kvuli chybnemu nastaveni a/nebo hacku, na ktere provozovatel velmi rychle prijde pote, co ho zahlti pozadavky uzivatelu. Proxy nasledne zablokuje. Proto by byl treba online test IP adres - protoze za mesic uz skoro jiste bude pozde a dotycny server davno nepobezi.
To není až takový převratný vynález. :-) Např. MediaWiki (engine Wikipedie) to umí, na Wikipedii to nějakou dobu běželo snad dokonce pro _každého_ anonymního přispěvatele, dokud stížnosti od ISP na pokusy o hackování z adres serverů Wikipedie nepřerostly únosnou míru. Nedávno se objevil návrh takhle testovat jenom některé přispěvatele, takže se to možná opět začne používat.
Viz též
http://en.wikipedia.org/wiki/User:Proxy_blocker
http://mail.wikipedia.org/pipermail/wikitech-l/2005-January/027211.html
http://en.wikipedia.org/wiki/Special:Ipblocklist
to je vsechno z blata do louze .. napr. cele upc-cz (chello) muze (ale nemusi) lezt pres proxy.chello.cz. Vy se skrze ni tezko pripojite, protoze to lze pouze z 'vnitrni site'. A pokud byste zkusil jen connect() zvenku, pak se sice 'pripojite', ale hned vas to dropne .. To muze delat jak proxy, tak i neproxy .. abyste overil open-proxy, musite se nejen pripojit, ale i testnout, zda je opravdu free4all .. a navic jsou jiste i proxy, ktere well-known-proxy-porty zvenku filtruji uplne a poznate prd ..
Da se napriklad proxy.chello.cz pro nekolik desitek tisic lidi nazvat verejnou? z hlediska celeho inetu urcite ne, ale z hlediska podilu chellistu na .cz webech jde o nezanedbatelnou skupinu - a to byl jen jeden priklad .. [co treba takove velke NATy, jako gprs klienti?]
Ano, máte pravdu, ale řešíte zcela jiný úkol. Psal jsem o detekci podezřelé aktivity ne na úrovni jednoho přístupu, ale velkého počtu přístupů. Tady nastupuje na řadu pravděpodobnost, tedy není třeba použivat 100% řešení.
Faktem je, že naprostá většina open-proxy, které se pro účely falšování kliků používají, vzniká jako vedlejší produkt špatně zabezpečených počítačů a fungují jen do té doby, než si někdo nevšimne zvýšeného trafficu nebo neupozorní administrátora. Tuhle většinu lze způsobem, který jsem popsal, odhalit. A to je přesně, o co mi jde. Že nefunguje v případě jedné super-extra-fikaně zabezpečené proxy? To tu nehraje žádnou roli.
Jiná situace je samozřejmě tehdy, pokud potřebuji otestovat jednoho konkrétního člověka (například při platbě v e-shopu). Ale to je jiná problematika, která vůbec nesouvisí s tématem článku.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
