Прокси-сервер

Компьютерный сервер, который делает и получает запросы от имени пользователя

Связь между двумя компьютерами, подключенными через третий компьютер, действующий как прокси-сервер. Это может защитить конфиденциальность Алисы, поскольку Боб знает только о прокси и не может идентифицировать Алису или связаться с ней напрямую.

В компьютерных сетях прокси -сервер — это серверное приложение , которое действует как посредник между клиентом, запрашивающим ресурс , и сервером, предоставляющим этот ресурс. ^[1] Он улучшает конфиденциальность, безопасность и, возможно, производительность в этом процессе.

Вместо того, чтобы напрямую подключаться к серверу, который может выполнить запрос на ресурс, такой как файл или веб-страница , клиент направляет запрос на прокси-сервер, который оценивает запрос и выполняет требуемые сетевые транзакции. Это служит методом упрощения или контроля сложности запроса или предоставления дополнительных преимуществ, таких как балансировка нагрузки , конфиденциальность или безопасность. Прокси были разработаны для добавления структуры и инкапсуляции в распределенные системы . ^[2] Таким образом, прокси-сервер функционирует от имени клиента при запросе услуги, потенциально маскируя истинное происхождение запроса к серверу ресурсов.

Типы

Прокси-сервер может находиться на локальном компьютере пользователя или в любой точке между компьютером пользователя и конечными серверами в Интернете . Прокси-сервер, который передает немодифицированные запросы и ответы, обычно называется шлюзом или иногда туннелирующим прокси . Прямой прокси — это прокси-сервер с выходом в Интернет, используемый для извлечения данных из широкого спектра источников (в большинстве случаев, из любой точки Интернета). Обратный прокси — это обычно внутренний прокси-сервер, используемый в качестве интерфейса для управления и защиты доступа к серверу в частной сети. Обратный прокси обычно также выполняет такие задачи, как балансировка нагрузки , аутентификация , расшифровка и кэширование . ^[3]

Открытые прокси

Открытый прокси-сервер, перенаправляющий запросы из любой точки Интернета и в любую точку Интернета.

Открытый прокси-сервер — это пересылающий прокси-сервер, доступный любому пользователю Интернета. В 2008 году эксперт по сетевой безопасности Гордон Лион подсчитал, что в Интернете работают «сотни тысяч» открытых прокси-серверов. ^[4]

• Анонимный прокси : этот сервер раскрывает свою личность как прокси-сервер, но не раскрывает исходный IP-адрес клиента. Хотя этот тип сервера можно легко обнаружить, он может быть полезен для некоторых пользователей, поскольку скрывает исходный IP-адрес.
• Прозрачный прокси: этот сервер не только идентифицирует себя как прокси-сервер, но и с поддержкой полей заголовка HTTP, таких как X-Forwarded-For, может быть получен исходный IP-адрес. Главным преимуществом использования этого типа сервера является его способность кэшировать веб-сайт для более быстрого поиска.

Обратные прокси-серверы

Обратный прокси-сервер, принимающий запросы из Интернета и пересылающий их на серверы во внутренней сети. Те, кто делает запросы, подключаются к прокси-серверу и могут не знать о внутренней сети.

Обратный прокси (или суррогат) — это прокси-сервер, который кажется клиентам обычным сервером. Обратные прокси пересылают запросы на один или несколько обычных серверов, которые обрабатывают запрос. Ответ от исходного сервера возвращается так, как если бы он пришел непосредственно от прокси-сервера, оставляя клиента без знания исходного сервера. ^[5] Обратные прокси устанавливаются поблизости от одного или нескольких веб-серверов. Весь трафик, поступающий из Интернета и имеющий пункт назначения одного из веб-серверов района, проходит через прокси-сервер. Использование «обратного» происходит от его аналога «прямого прокси», поскольку обратный прокси находится ближе к веб-серверу и обслуживает только ограниченный набор веб-сайтов. Существует несколько причин для установки обратных прокси-серверов:

• Шифрование/SSL-ускорение: при создании защищенных веб-сайтов шифрование Secure Sockets Layer (SSL) часто выполняется не самим веб-сервером, а обратным прокси-сервером, оснащенным оборудованием для ускорения SSL. Кроме того, хост может предоставить один «SSL-прокси» для обеспечения SSL-шифрования для произвольного количества хостов, устраняя необходимость в отдельном сертификате сервера SSL для каждого хоста, с недостатком, что все хосты за SSL-прокси должны иметь общее DNS-имя или IP-адрес для SSL-соединений. Эту проблему можно частично решить, используя функцию SubjectAltName сертификатов X.509 или расширение SNI TLS .
• Балансировка нагрузки : обратный прокси может распределять нагрузку на несколько веб-серверов, каждый из которых обслуживает свою собственную область применения. В таком случае обратному прокси может потребоваться переписать URL-адреса на каждой веб-странице (перевод из известных извне URL-адресов во внутренние местоположения).
• Обслуживание/кэширование статического контента: обратный прокси-сервер может разгрузить веб-серверы, кэшируя статический контент, такой как изображения и другой статический графический контент.
• Сжатие : прокси-сервер может оптимизировать и сжимать контент, чтобы ускорить время загрузки.
• Spoon feed: снижает потребление ресурсов, вызванное медленными клиентами на веб-серверах, кэшируя контент, отправленный веб-сервером, и медленно "кормив" его клиенту. Это особенно выгодно для динамически генерируемых страниц.
• Безопасность: прокси-сервер является дополнительным уровнем защиты и может защитить от некоторых атак, специфичных для ОС и веб-сервера. Однако он не обеспечивает никакой защиты от атак на само веб-приложение или службу, что обычно считается большей угрозой.
• Публикация в экстранете: обратный прокси-сервер, обращенный к Интернету, может использоваться для связи с внутренним сервером брандмауэра организации, предоставляя доступ к некоторым функциям экстранета, при этом оставляя серверы за брандмауэрами. При таком использовании следует рассмотреть меры безопасности для защиты остальной части вашей инфраструктуры в случае, если этот сервер будет скомпрометирован, поскольку его веб-приложение подвергается атаке из Интернета.

Прямой прокси-сервер против обратного прокси-сервера

Прямой прокси-сервер — это сервер, который маршрутизирует трафик между клиентами и другой системой, которая в большинстве случаев является внешней по отношению к сети. Это означает, что он может регулировать трафик в соответствии с предустановленными политиками, преобразовывать и маскировать клиентские IP-адреса, применять протоколы безопасности и блокировать неизвестный трафик. Прямой прокси-сервер повышает безопасность и применение политик во внутренней сети. ^[6] Обратный прокси-сервер, вместо защиты клиента, используется для защиты серверов. Обратный прокси-сервер принимает запрос от клиента, пересылает этот запрос другому из многих других серверов, а затем возвращает результаты с сервера, который фактически обработал запрос, клиенту. По сути, обратный прокси-сервер действует как шлюз между клиентами, пользователями и серверами приложений и обрабатывает всю маршрутизацию трафика, одновременно защищая идентификационные данные сервера, который фактически обрабатывает запрос. ^[7]

Использует

Мониторинг и фильтрация

Программное обеспечение для управления контентом

Фильтрующий контент веб -прокси-сервер обеспечивает административный контроль над контентом, который может передаваться в одном или обоих направлениях через прокси-сервер. Он широко используется как в коммерческих, так и в некоммерческих организациях (особенно в школах) для обеспечения соответствия использования Интернета политике приемлемого использования .

Прокси-серверы фильтрации контента часто поддерживают аутентификацию пользователей для управления доступом в Интернет. Он также обычно создает журналы , либо для предоставления подробной информации об URL-адресах, к которым обращались определенные пользователи, либо для мониторинга статистики использования полосы пропускания . Он также может взаимодействовать с антивирусным программным обеспечением на основе демона и/или ICAP для обеспечения защиты от вирусов и других вредоносных программ путем сканирования входящего контента в режиме реального времени до его попадания в сеть.

Многие рабочие места, школы и колледжи ограничивают веб-сайты и онлайн-сервисы, которые доступны и имеются в их зданиях. Правительства также цензурируют нежелательный контент. Это делается либо с помощью специализированного прокси, называемого фильтром контента (доступны как коммерческие, так и бесплатные продукты), либо с помощью протокола расширения кэша, такого как ICAP, который позволяет подключать расширения к открытой архитектуре кэширования.

Веб-сайты, которые обычно используются студентами для обхода фильтров и доступа к заблокированному контенту, часто включают в себя прокси-сервер, с которого пользователь затем может получить доступ к веб-сайтам, которые фильтр пытается заблокировать.

Запросы могут быть отфильтрованы несколькими методами, такими как URL или DNS черные списки , фильтрация URL регулярных выражений, фильтрация MIME или фильтрация ключевых слов контента. Черные списки часто предоставляются и поддерживаются компаниями веб-фильтрации, часто группируются по категориям (порнография, азартные игры, шопинг, социальные сети и т. д.).

Затем прокси-сервер извлекает содержимое, предполагая, что запрошенный URL-адрес приемлем. На этом этапе динамический фильтр может быть применен к обратному пути. Например, файлы JPEG могут быть заблокированы на основе совпадений с Fleshtone, или языковые фильтры могут динамически определять нежелательный язык. Если содержимое отклонено, то запрашивающей стороне может быть возвращена ошибка HTTP-извлечения.

Большинство компаний, занимающихся веб-фильтрацией, используют робота, сканирующего весь интернет, который оценивает вероятность того, что контент относится к определенному типу. Ручной труд используется для исправления результирующей базы данных на основе жалоб или известных недостатков в алгоритмах сопоставления контента. ^[8]

Некоторые прокси-серверы сканируют исходящий контент, например, для предотвращения потери данных, или сканируют контент на наличие вредоносного программного обеспечения.

Фильтрация зашифрованных данных

Веб-фильтрующие прокси не могут заглядывать внутрь защищенных сокетов HTTP-транзакций, предполагая, что цепочка доверия SSL/TLS ( Transport Layer Security ) не была подделана. Цепочка доверия SSL/TLS опирается на доверенные корневые центры сертификации .

В рабочей среде, где клиент управляется организацией, устройства могут быть настроены на доверие корневому сертификату, закрытый ключ которого известен прокси-серверу. В таких ситуациях становится возможным прокси-анализ содержимого транзакции SSL/TLS. Прокси-сервер эффективно выполняет атаку «человек посередине» , разрешенную доверием клиента к корневому сертификату, которым владеет прокси-сервер.

Обход фильтров и цензуры

Если целевой сервер фильтрует контент на основе источника запроса, использование прокси-сервера может обойти этот фильтр. Например, сервер, использующий геолокацию на основе IP для ограничения своего сервиса определенной страной, может быть доступен с использованием прокси-сервера, расположенного в этой стране, для доступа к сервису. ^{[9] : 3}

Веб-прокси являются наиболее распространенным средством обхода правительственной цензуры, хотя не более 3% пользователей Интернета используют какие-либо инструменты обхода. ^{[9] : 7}

Некоторые поставщики услуг прокси-серверов разрешают компаниям доступ к своей сети прокси-серверов для перенаправления трафика в целях бизнес-аналитики. ^[10]

В некоторых случаях пользователи могут обойти прокси-серверы, которые фильтруют данные с помощью черных списков, используя сервисы, предназначенные для передачи информации из мест, не включенных в черный список. ^[11]

Многие организации блокируют доступ к популярным веб-сайтам, таким как Facebook. Пользователи могут использовать прокси-серверы, чтобы обойти эту защиту. Однако, подключаясь к прокси-серверам, они могут подвергать себя опасности, передавая конфиденциальную информацию, такую ​​как личные фотографии и пароли, через прокси-сервер. Это изображение иллюстрирует распространенный пример: школы блокируют веб-сайты для студентов.

Регистрация и подслушивание

Прокси-серверы могут быть установлены для прослушивания потока данных между клиентскими машинами и Интернетом. Весь отправленный или доступный контент, включая отправленные пароли и используемые файлы cookie , может быть перехвачен и проанализирован оператором прокси-сервера. По этой причине пароли к онлайн-сервисам (таким как веб-почта и банковские услуги) всегда должны передаваться через криптографически защищенное соединение, например SSL.

Объединяя в цепочку прокси-серверы, которые не раскрывают данные об исходном запрашивающем, можно скрыть действия от глаз получателя пользователя. Однако на промежуточных переходах останется больше следов, которые могут быть использованы или предложены для отслеживания действий пользователя. Если политики и администраторы этих других прокси-серверов неизвестны, пользователь может стать жертвой ложного чувства безопасности только потому, что эти детали находятся вне поля зрения и сознания. Что является скорее неудобством, чем риском, пользователи прокси-серверов могут обнаружить, что им заблокировали доступ к определенным веб-сайтам, поскольку многочисленные форумы и веб-сайты блокируют IP-адреса прокси-серверов, известных тем, что они рассылали спам или троллили сайт. Отказ прокси-сервера может использоваться для сохранения конфиденциальности.

Улучшение производительности

Кэширующий прокси- сервер ускоряет запросы на обслуживание, извлекая контент, сохраненный из предыдущего запроса, сделанного тем же клиентом или даже другими клиентами. ^[12] Кэширующие прокси-серверы сохраняют локальные копии часто запрашиваемых ресурсов, что позволяет крупным организациям значительно сократить использование полосы пропускания и расходы на восходящий поток, при этом значительно увеличивая производительность. Большинство интернет-провайдеров и крупных предприятий имеют кэширующий прокси-сервер. Кэширующие прокси-серверы были первым типом прокси-сервера. Веб-прокси обычно используются для кэширования веб-страниц с веб-сервера. ^[13] Плохо реализованные кэширующие прокси-серверы могут вызывать проблемы, такие как невозможность использования аутентификации пользователя. ^[14]

Прокси, предназначенный для смягчения проблем или ухудшения работы определенных ссылок, называется Performance Enhancing Proxy (PEP). Обычно они используются для улучшения производительности TCP при высоком времени передачи туда и обратно или высокой потере пакетов (например, беспроводные или мобильные телефонные сети); или в случае сильно асимметричных ссылок с очень разными скоростями загрузки и выгрузки. PEP могут более эффективно использовать сеть, например, объединяя TCP ACK (подтверждения) или сжимая данные, отправляемые на уровне приложений . ^[15]

Перевод

Переводческий прокси-сервер — это прокси-сервер, который используется для локализации веб-сайта для разных рынков. Трафик от глобальной аудитории направляется через переводческий прокси-сервер на исходный веб-сайт. Когда посетители просматривают прокси-сайт, запросы возвращаются на исходный сайт, где отображаются страницы. Исходный языковой контент в ответе заменяется переведенным контентом, когда он проходит обратно через прокси-сервер. Переводы, используемые в переводческом прокси-сервере, могут быть машинным переводом, человеческим переводом или комбинацией машинного и человеческого перевода. Различные реализации переводческого прокси-сервера имеют разные возможности. Некоторые из них позволяют дополнительно настраивать исходный сайт для локальной аудитории, например, исключать исходный контент или заменять исходный контент оригинальным локальным контентом.

Анонимный доступ к услугам

Анонимный прокси-сервер (иногда называемый веб-прокси) обычно пытается анонимизировать веб-серфинг. Анонимайзеры могут быть дифференцированы на несколько разновидностей. Целевой сервер (сервер, который в конечном итоге удовлетворяет веб-запрос) получает запросы от анонимного прокси-сервера и, таким образом, не получает информацию об адресе конечного пользователя. Однако запросы не являются анонимными для анонимного прокси-сервера, и поэтому между прокси-сервером и пользователем присутствует определенная степень доверия. Многие прокси-серверы финансируются за счет постоянной рекламной ссылки для пользователя.

Контроль доступа : некоторые прокси-серверы реализуют требование входа в систему. В крупных организациях авторизованные пользователи должны войти в систему, чтобы получить доступ к сети . Таким образом, организация может отслеживать использование отдельными лицами. Некоторые анонимные прокси-серверы могут пересылать пакеты данных со строками заголовка, такими как HTTP_VIA, HTTP_X_FORWARDED_FOR или HTTP_FORWARDED, которые могут раскрывать IP-адрес клиента. Другие анонимные прокси-серверы, известные как элитные или высокоанонимные прокси, создают видимость того, что прокси-сервер является клиентом. Веб-сайт все еще может подозревать, что используется прокси, если клиент отправляет пакеты, которые включают cookie-файл с предыдущего посещения, которое не использовало высокоанонимный прокси-сервер. Очистка cookie-файлов и, возможно, кэша решит эту проблему.

QA геотаргетированная реклама

Рекламодатели используют прокси-серверы для проверки, подтверждения и обеспечения качества геотаргетинговых объявлений . Геотаргетинговый сервер объявлений проверяет IP-адрес источника запроса и использует базу данных гео-IP для определения географического источника запросов. ^[16] Использование прокси-сервера, который физически расположен внутри определенной страны или города, дает рекламодателям возможность тестировать геотаргетинговые объявления.

Безопасность

Прокси может сохранять внутреннюю сетевую структуру компании в тайне, используя трансляцию сетевых адресов , что может помочь обеспечить безопасность внутренней сети. ^[17] Это делает запросы от машин и пользователей в локальной сети анонимными. Прокси также можно комбинировать с брандмауэрами .

Неправильно настроенный прокси-сервер может обеспечить доступ к сети, которая в противном случае была бы изолирована от Интернета. ^[4]

Междоменные ресурсы

Прокси-серверы позволяют веб-сайтам делать веб-запросы к внешним ресурсам (например, изображениям, музыкальным файлам и т. д.), когда кросс-доменные ограничения запрещают веб-сайту напрямую ссылаться на внешние домены. Прокси-серверы также позволяют браузеру делать веб-запросы к внешне размещенному контенту от имени веб-сайта, когда кросс-доменные ограничения (введенные для защиты веб-сайтов от подобных краж данных) запрещают браузеру напрямую обращаться к внешним доменам.

Вредоносное использование

Брокеры вторичного рынка

Брокеры вторичного рынка используют веб-прокси-серверы, чтобы обойти ограничения на онлайн-покупки лимитированных товаров, таких как лимитированные кроссовки ^[18] или билеты.

Реализации прокси

Веб-прокси-серверы

Веб-прокси пересылают HTTP- запросы. Запрос от клиента такой же, как и обычный HTTP-запрос, за исключением того, что передается полный URL, а не только путь. ^[19]

GET  https://en.wikipedia.org/wiki/Proxy_server/Proxy_server  HTTP / 1.1 Прокси-авторизация :  Базовые закодированные учетные данные Принять :  text/html

Этот запрос отправляется на прокси-сервер, прокси-сервер выполняет указанный запрос и возвращает ответ.

HTTP / 1.1  200  OK Тип содержимого :  text/html; кодировка UTF-8

Некоторые веб-прокси позволяют использовать метод HTTP CONNECT для настройки пересылки произвольных данных через соединение; общепринятая политика заключается в пересылке только порта 443 для разрешения трафика HTTPS .

Примерами веб-прокси-серверов являются Apache (с mod_proxy или Traffic Server ), HAProxy , IIS, настроенный как прокси (например, с маршрутизацией запросов приложений), Nginx , Privoxy , Squid , Varnish (только обратный прокси), WinGate , Ziproxy , Tinyproxy, RabbIT и Polipo .

Для клиентов проблема сложных или множественных прокси-серверов решается с помощью протокола автоконфигурации клиент-серверного прокси ( файл PAC ).

SOCKS-прокси

SOCKS также пересылает произвольные данные после фазы подключения и аналогичен HTTP CONNECT в веб-прокси.

Прозрачный прокси

Также известный как перехватывающий прокси , встроенный прокси или принудительный прокси , прозрачный прокси перехватывает обычную связь на уровне приложений , не требуя какой-либо специальной настройки клиента. Клиентам не нужно знать о существовании прокси. Прозрачный прокси обычно располагается между клиентом и Интернетом, при этом прокси выполняет некоторые функции шлюза или маршрутизатора . [ ^20]

RFC  2616 (протокол передачи гипертекста — HTTP/1.1) предлагает стандартные определения:

««Прозрачный прокси» — это прокси, который не изменяет запрос или ответ сверх того, что требуется для аутентификации и идентификации прокси». ««Непрозрачный прокси» — это прокси, который изменяет запрос или ответ, чтобы предоставить некоторые дополнительные услуги пользовательскому агенту, такие как службы групповой аннотации, преобразование типа носителя, сокращение протокола или фильтрация анонимности».

TCP Intercept — это функция безопасности фильтрации трафика, которая защищает TCP-серверы от атак TCP SYN Flood , которые являются типом атаки типа «отказ в обслуживании». TCP Intercept доступен только для IP-трафика.

В 2009 году Роберт Оже опубликовал уязвимость в работе прозрачных прокси-серверов ^[21] , а Группа реагирования на компьютерные инциденты выпустила рекомендацию, в которой перечислены десятки уязвимых прозрачных и перехватывающих прокси-серверов. ^[22]

Цель

Перехватывающие прокси-серверы обычно используются в бизнесе для обеспечения политик приемлемого использования и для облегчения административных издержек, поскольку не требуется настройка клиентского браузера. Однако эта вторая причина смягчается такими функциями, как групповая политика Active Directory или DHCP и автоматическое определение прокси-сервера.

Перехватывающие прокси также часто используются интернет-провайдерами в некоторых странах для экономии пропускной способности восходящего потока и улучшения времени отклика клиентов за счет кэширования. Это более распространено в странах, где пропускная способность ограничена (например, островные государства) или за нее нужно платить.

Проблемы

Перенаправление или перехват TCP-соединения создает несколько проблем. Во-первых, исходный IP-адрес и порт назначения должны быть каким-то образом переданы прокси-серверу. Это не всегда возможно (например, если шлюз и прокси-сервер находятся на разных хостах). Существует класс межсайтовых атак , которые зависят от определенного поведения перехватывающих прокси-серверов, которые не проверяют или не имеют доступа к информации об исходном (перехваченном) пункте назначения. Эту проблему можно решить с помощью интегрированного устройства или программного обеспечения на уровне пакетов и приложений, которое затем может передавать эту информацию между обработчиком пакетов и прокси-сервером.

Перехват также создает проблемы для аутентификации HTTP , особенно аутентификации, ориентированной на соединение, такой как NTLM , поскольку клиентский браузер считает, что общается с сервером, а не с прокси. Это может вызвать проблемы, когда перехватывающий прокси требует аутентификации, а затем пользователь подключается к сайту, который также требует аутентификации.

Наконец, перехват соединений может вызвать проблемы с HTTP-кэшами, поскольку некоторые запросы и ответы становятся некэшируемыми общим кэшем.

Методы реализации

В интегрированных серверах брандмауэра/прокси-серверах, где маршрутизатор/брандмауэр находится на том же хосте, что и прокси-сервер, передача исходной информации о месте назначения может осуществляться любым способом, например, Microsoft TMG или WinGate .

Перехват также может быть выполнен с использованием протокола Cisco WCCP (Web Cache Control Protocol). Этот фирменный протокол находится на маршрутизаторе и настраивается из кэша, позволяя кэшу определять, какие порты и трафик отправляются на него через прозрачное перенаправление с маршрутизатора. Это перенаправление может происходить одним из двух способов: туннелирование GRE (уровень OSI 3) или перезапись MAC (уровень OSI 2).

Как только трафик достигает прокси-машины, перехват обычно выполняется с помощью NAT (Network Address Translation). Такие настройки невидимы для клиентского браузера, но оставляют прокси видимым для веб-сервера и других устройств на интернет-стороне прокси. Последние версии Linux и некоторые BSD предоставляют TPROXY (прозрачный прокси), который выполняет прозрачный перехват на уровне IP (OSI Layer 3) и подмену исходящего трафика, скрывая IP-адрес прокси от других сетевых устройств.

Обнаружение

Для обнаружения наличия перехватывающего прокси-сервера можно использовать несколько методов:

• Сравнивая внешний IP-адрес клиента с адресом, который видит внешний веб-сервер, или иногда проверяя заголовки HTTP, полученные сервером. Для решения этой проблемы было создано несколько сайтов, которые сообщают IP-адрес пользователя, который видит сайт, обратно пользователю на веб-странице. Google также возвращает IP-адрес, который видит страница, если пользователь ищет "IP".
• Сравнивая результаты онлайн-проверок IP при доступе через HTTPS и HTTP, поскольку большинство перехватывающих прокси не перехватывают SSL. Если есть подозрение на перехват SSL, можно проверить сертификат, связанный с любым защищенным веб-сайтом, корневой сертификат должен указывать, был ли он выдан с целью перехвата.
• Сравнивая последовательность сетевых переходов, сообщаемую таким инструментом, как traceroute , для прокси-протокола, такого как HTTP (порт 80), с последовательностью для непрокси-протокола, такого как SMTP (порт 25). ^[23]
• Попыткой установить соединение с IP-адресом, на котором, как известно, нет сервера. Прокси-сервер примет соединение, а затем попытается проксировать его. Когда прокси-сервер не находит сервера для принятия соединения, он может вернуть сообщение об ошибке или просто закрыть соединение с клиентом. Эту разницу в поведении легко обнаружить. Например, большинство веб-браузеров сгенерируют страницу ошибки, созданную браузером, в случае, если они не могут подключиться к HTTP-серверу, но вернут другую ошибку в случае, если соединение принято, а затем закрыто. ^[24]
• Предоставляя конечному пользователю специально запрограммированные приложения Adobe Flash SWF или апплеты Sun Java, которые отправляют HTTP-вызовы обратно на его сервер.

CGI-прокси

Веб-прокси CGI принимает целевые URL-адреса с помощью веб -формы в окне браузера пользователя, обрабатывает запрос и возвращает результаты в браузер пользователя. Следовательно, его можно использовать на устройстве или в сети, которые не позволяют изменять настройки «истинного» прокси. Первый зарегистрированный прокси CGI, названный в то время «rover», но переименованный в 1998 году в «CGIProxy», ^[25] был разработан американским ученым-компьютерщиком Джеймсом Маршаллом в начале 1996 года для статьи в «Unix Review» Рича Морина. ^[26]

Большинство CGI-прокси работают на одном из CGIProxy (написанном на языке Perl ), Glype (написанном на языке PHP ) или PHProxy (написанном на языке PHP). По состоянию на апрель 2016 года CGIProxy получил около двух миллионов загрузок, Glype получил почти миллион загрузок, ^[27] в то время как PHProxy по-прежнему получает сотни загрузок в неделю. ^[28] Несмотря на снижение популярности ^[29] из-за VPN и других методов обеспечения конфиденциальности, по состоянию на сентябрь 2021 года ^{[обновлять]}в сети все еще есть несколько сотен CGI-прокси. ^[30]

Некоторые прокси CGI были созданы для таких целей, как сделать веб-сайты более доступными для людей с ограниченными возможностями, но с тех пор были закрыты из-за чрезмерного трафика , обычно вызванного третьей стороной, рекламирующей услугу как средство обхода локальной фильтрации. Поскольку многие из этих пользователей не заботятся о сопутствующем ущербе, который они наносят, организациям стало необходимо скрывать свои прокси, раскрывая URL-адреса только тем, кто берет на себя труд связаться с организацией и продемонстрировать реальную потребность. ^[31]

Суффикс прокси

Суффиксный прокси-сервер позволяет пользователю получать доступ к веб-контенту, добавляя имя прокси-сервера к URL-адресу запрашиваемого контента (например, "en.wikipedia.org. SuffixProxy.com "). Суффиксные прокси-серверы проще в использовании, чем обычные прокси-серверы, но они не обеспечивают высокого уровня анонимности, и их основное применение — обход веб-фильтров. Однако это редко используется из-за более продвинутых веб-фильтров.

Tor луковый прокси-программное обеспечение

Карта сети Vidalia Tor

Tor — это система, предназначенная для обеспечения онлайн-анонимности . ^[32] Клиентское программное обеспечение Tor направляет интернет-трафик через всемирную добровольную сеть серверов для сокрытия местоположения или использования компьютера пользователя от кого-либо, осуществляющего слежку за сетью или анализ трафика . Использование Tor затрудняет отслеживание интернет-активности, ^[32] и призвано защищать личную свободу пользователей и их онлайн-конфиденциальность.

« Луковая маршрутизация » относится к многоуровневой природе сервиса шифрования: исходные данные шифруются и перешифровываются несколько раз, затем отправляются через последовательные ретрансляторы Tor, каждый из которых расшифровывает «слой» шифрования перед передачей данных следующему ретранслятору и, в конечном итоге, получателю. Это снижает вероятность того, что исходные данные будут расшифрованы или поняты при передаче. ^[33]

I2P анонимный прокси

Анонимная сеть I2P ( 'I2P') — это прокси-сеть, нацеленная на онлайн-анонимность . Она реализует чесночную маршрутизацию , которая является усовершенствованием луковой маршрутизации Tor. I2P полностью распределена и работает, шифруя все сообщения на разных уровнях и передавая их через сеть маршрутизаторов, управляемых добровольцами в разных местах. Скрывая источник информации, I2P обеспечивает устойчивость к цензуре. Цели I2P — защищать личную свободу пользователей, конфиденциальность и возможность вести конфиденциальный бизнес.

Каждый пользователь I2P запускает маршрутизатор I2P на своем компьютере (узле). Маршрутизатор I2P заботится о поиске других пиров и создании анонимных туннелей через них. I2P предоставляет прокси для всех протоколов (HTTP, IRC , SOCKS, ...).

Сравнение с сетевыми трансляторами адресов

Концепция прокси относится к приложению уровня 7 в эталонной модели OSI . Трансляция сетевых адресов (NAT) похожа на прокси, но работает на уровне 3.

В клиентской конфигурации NAT уровня 3 достаточно настроить шлюз. Однако для клиентской конфигурации прокси-сервера уровня 7 пунктом назначения пакетов, которые генерирует клиент, всегда должен быть прокси-сервер (уровень 7), затем прокси-сервер считывает каждый пакет и находит истинное место назначения.

Поскольку NAT работает на уровне 3, он менее ресурсоемкий, чем proxy уровня 7, но и менее гибкий. Сравнивая эти две технологии, мы можем столкнуться с терминологией, известной как «прозрачный брандмауэр». Прозрачный брандмауэр означает, что proxy использует преимущества proxy уровня 7 без ведома клиента. Клиент предполагает, что шлюз является NAT на уровне 3, и не имеет никакого представления о внутренней части пакета, но с помощью этого метода пакеты layer-3 отправляются proxy уровня 7 для исследования. ^{[ необходима цитата ]}

DNS-прокси

DNS proxy - сервер принимает DNS-запросы из (обычно локальной) сети и пересылает их на Internet Domain Name Server. Он также может кэшировать DNS-записи.

Проксиферы

Некоторые клиентские программы запрашивают «SOCKS-ify», ^[34] что позволяет адаптировать любое сетевое программное обеспечение для подключения к внешним сетям через определенные типы прокси-серверов (в основном SOCKS).

Резидентный прокси (RESIP)

Резидентный прокси-сервер — это посредник, который использует реальный IP-адрес, предоставленный поставщиком услуг Интернета (ISP) , с физическими устройствами, такими как мобильные телефоны и компьютеры конечных пользователей . Вместо того, чтобы подключаться напрямую к серверу , пользователи резидентных прокси-серверов подключаются к цели через резидентные IP-адреса. Затем цель идентифицирует их как органических пользователей Интернета. Это не позволяет никакому инструменту отслеживания идентифицировать перераспределение пользователя. ^[35] Любой резидентный прокси-сервер может отправлять любое количество одновременных запросов, а IP-адреса напрямую связаны с определенным регионом. ^[36] В отличие от обычных резидентных прокси-серверов, которые скрывают реальный IP-адрес пользователя за другим IP-адресом, вращающиеся резидентные прокси-серверы, также известные как прокси-серверы обратного подключения , скрывают реальный IP-адрес пользователя за пулом прокси-серверов. Эти прокси-серверы переключаются между собой в каждом сеансе или через регулярные промежутки времени. ^[37]

Несмотря на утверждения провайдеров о том, что хосты прокси участвуют добровольно, многочисленные прокси работают на потенциально скомпрометированных хостах, включая устройства Интернета вещей . В процессе перекрестных ссылок на хосты исследователи выявили и проанализировали журналы, которые были классифицированы как потенциально нежелательные программы , и выявили ряд несанкционированных действий, проводимых хостами RESIP. Эти действия включали незаконное продвижение, быстрый перенос, фишинг, размещение вредоносного ПО и многое другое. ^[38]

Смотрите также

• Брандмауэр приложений
• Захваченный портал
• Даркнет
• Распределенный клиринговый центр контрольных сумм
• FreeProxy
• Конфиденциальность в Интернете
• Межпланетная файловая система
• Список прокси
• Шаблон прокси
• SMTP-прокси
• Виртуальная частная сеть
• Веб-ускоритель , в котором обсуждается ускорение HTTP на основе хоста
• Веб-кэш

Ссылки

1. Луотонен, Ари ; Альтис, Кевин (апрель 1994 г.). "World-Wide Web Proxies" (PDF) . Архивировано (PDF) из оригинала 9 октября 2016 г.
2. Шапиро, Марк (май 1986). Структура и инкапсуляция в распределенных системах: принцип прокси. 6-я международная конференция по распределенным вычислительным системам. Кембридж, Массачусетс, США. стр. 198–204. inria-00444651. Архивировано из оригинала 26 декабря 2018 г. Получено 26 декабря 2018 г.
3. "Прокси-серверы и туннелирование". MDN Web Docs . Архивировано из оригинала 26 ноября 2020 г. Получено 6 декабря 2020 г.
4. Lyon, Gordon (2008). Сетевое сканирование Nmap . США: Небезопасно. стр. 270. ISBN 978-0-9799587-1-7.
5. "Прямые и обратные прокси". httpd mod_proxy . Apache. Архивировано из оригинала 10 февраля 2011 г. Получено 20 декабря 2010 г.
6. "Разница между прямым прокси-сервером и обратным прокси-сервером". GeeksforGeeks . 19 апреля 2023 г. Получено 24 октября 2024 г.
7. Пирс, Ник (2020). «Создайте свой первый обратный прокси». Максимальный ПК через библиотеку Википедии . Получено 24 октября 2024 г.
8. Сухацкая, Гражина; Ивански, Яцек (7 июня 2020 г.). «Идентификация законных веб-пользователей и ботов с различными профилями трафика — подход, основанный на информационных узких местах». Системы, основанные на знаниях . 197 : 105875. doi : 10.1016/j.knosys.2020.105875 . ISSN  0950-7051. S2CID  216514793.
9. "2010 Circumvention Tool Usage Report" (PDF) . Berkman Center for Internet & Society at Harvard University. Октябрь 2010. Архивировано (PDF) из оригинала 18 января 2012 года . Получено 15 сентября 2011 года .
10. «Как проверить, не работает ли веб-сайт по всему миру». Hostinger . 19 ноября 2019 г. Архивировано из оригинала 14 декабря 2019 г. Получено 14 декабря 2019 г.
11. "Использование Ninjaproxy для прохождения через фильтруемый прокси". расширенная механика фильтрации . TSNP. Архивировано из оригинала 9 марта 2016 г. Получено 17 сентября 2011 г.
12. "Caching Proxy". www.ibm.com . Получено 2 июля 2023 г. .
13. Томас, Кейр (2006). Начало Ubuntu Linux: от новичка до профессионала . Apress. ISBN 978-1-59059-627-2. Прокси-сервер помогает ускорить доступ в Интернет, сохраняя часто посещаемые страницы.
14. I. Cooper; J. Dilley (июнь 2001 г.). Известные проблемы HTTP-прокси/кэширования. IETF . doi : 10.17487/RFC3143 . RFC 3143 . Получено 17 мая 2019 г. .
15. "Layering". Performance Enhancing Proxys Intended to Mitigate Link-Related Degradations. IETF . Июнь 2001 г. стр. 4. раздел 2.1. doi : 10.17487/RFC3135 . RFC 3135. Получено 21 февраля 2014 г.
16. "Hot Tactics For Geo-Targeted Ads on Google & Bing". Октябрь 2013 г. Архивировано из оригинала 14 февраля 2014 г. Получено 7 февраля 2014 г.
17. "Firewall and Proxy Server HOWTO". tldp.org. Архивировано из оригинала 23 августа 2011 г. Получено 4 сентября 2011 г. Прокси -сервер — это, прежде всего, устройство безопасности.
18. "Sneaker Bot Supreme Proxy". GeoSurf. Архивировано из оригинала 24 сентября 2017 г. Получено 24 сентября 2017 г.
19. "absolute-form". HTTP/1.1 Message Syntax and Routing. IETF . Июнь 2014. стр. 41. раздел 5.3.2. doi : 10.17487/RFC7230 . RFC 7230. Получено 4 ноября 2017 г. клиент ДОЛЖЕН отправить целевой URI в абсолютной форме в качестве цели запроса
20. "Определение прозрачного прокси". ukproxyserver.org. 1 февраля 2011 г. Архивировано из оригинала 1 марта 2013 г. Получено 14 февраля 2013 г.
21. "Подключаемые модули браузера с поддержкой сокетов приводят к прозрачному злоупотреблению прокси-серверами". The Security Practice. 9 марта 2009 г. Архивировано из оригинала 2 февраля 2010 г. Получено 14 августа 2010 г.
22. "Vulnerability Note VU#435052". US CERT . 23 февраля 2009 г. Архивировано из оригинала 10 июля 2010 г. Получено 14 августа 2010 г.
23. "Subversion Dev: Transparent Proxy detection (было Re: Introduction_". Tracetop.sourceforge.net. Архивировано из оригинала 16 октября 2015 г. Получено 16 ноября 2014 г.
24. Весселс, Дуэйн (2004). Squid The Definitive Guide . O'Reilly. С. 130. ISBN 978-0-596-00162-9.
25. Маршалл, Джеймс. "CGIProxy". Архивировано из оригинала 16 ноября 2018 года . Получено 12 ноября 2018 года .
26. "Пределы контроля". Июнь 1996. Архивировано из оригинала 6 августа 2020 года . Получено 12 ноября 2018 года .
27. "Glype® Proxy Script". glype.com . Архивировано из оригинала 3 января 2013 г. . Получено 17 мая 2019 г. .
28. "PHProxy". SourceForge . Архивировано из оригинала 14 марта 2016 . Получено 7 апреля 2016 .
29. "Google Trends". Google Trends .
30. "Proxy Stats :: Get Proxi.es". getproxi.es . Архивировано из оригинала 1 сентября 2021 г. Получено 5 сентября 2021 г.
31. Эстрада-Хименес, Хосе (март 2017 г.). «Интернет-реклама: анализ угроз конфиденциальности и подходов к защите». Computer Communications . 100 : 32–51. doi : 10.1016/j.comcom.2016.12.016. hdl : 2117/99742 . ISSN  0140-3664. S2CID  34656772.
32. Glater, Jonathan (25 января 2006 г.). «Конфиденциальность для людей, которые не показывают свои пупки». The New York Times . Архивировано из оригинала 29 апреля 2011 г. Получено 4 августа 2011 г.
33. Проект Tor. "Tor: анонимность в сети". Архивировано из оригинала 9 апреля 2010 года . Получено 9 января 2011 года .
34. Цвикки, Элизабет Д.; Купер, Саймон; Чепмен, Д. Брент (2000). Создание межсетевых экранов Интернета (2-е изд.). O'Reilly. стр. 235. ISBN 978-1-56592-871-8.
35. «Что такое прокси-сервер и как он работает?». IPRoyal.com . 17 апреля 2023 г. Получено 2 июля 2023 г.
36. Смит, Винсент (2019). Краткое руководство по веб-скрейпингу Go: используйте возможности Go для сбора и сканирования данных из Интернета. Packt Publishing Ltd. ISBN 978-1-78961-294-3. Архивировано из оригинала 17 января 2023 . Получено 19 ноября 2020 .
37. Кинан, Джеймс. «Что такое Residential Proxies?». Smartproxy.com . Архивировано из оригинала 26 декабря 2021 г. Получено 26 декабря 2021 г.
38. Ми, Сянхан; Фэн, Сюань; Ляо, Сяоцзин; Лю, Баоцзюнь; Ван, Сяофэн; Цянь, Фэн; Ли, Чжоу; Альрваис, Сумайя; Сан, Лиминь; Лю, Ин (май 2019 г.). Resident Evil: понимание Residential IP Proxy как темной службы. Симпозиум IEEE 2019 года по безопасности и конфиденциальности (SP). стр. 1185–1201. doi : 10.1109/SP.2019.00011 . ISBN 978-1-5386-6660-9. S2CID  132479013.

Внешние ссылки