https://opennet.ru/openforum/vsluhforumID1/78812.html Ситуация: необходимо как то обнаружить использует ли человек прокси сервер. Т.е. может трафик приходящий от проски отличается по каким либо признакам от обычного? Причина: необходимо прекратить использование внешних прокси-серверов в сети.<br> https://opennet.ru/openforum/vsluhforumID1/78812.html#11 Wed, 12 Mar 2008 07:47:49 GMT &gt;[оверквотинг удален]<br>&gt;+ надо у себя в иднамике подключать на отсечение постоянно обновляемый список <br>&gt;халявных (и не халявных) прокси серверов. <br>&gt;<br>&gt;такой подход позволит на 90% отсеч использование, а вообще не понятно зачем <br>&gt;тебе это нужно и к какой социяльной ситуации это применяеться - <br>&gt;если ты админ районной сетки - коректно ли это вообще делать, <br>&gt;если админ предприятия - не прощели юзверям просто отключить возможность использования <br>&gt;прокси или еще лудше врубить свою проксю, для http и т.д. <br>&gt;и перекрыть нат для всего кроме pop3 smtp, и вопрос отпадет <br>&gt;сам собой. <br><br>"постоянно обновляемый список халявных (и не халявных) прокси серверов", где этот список можно взять?<br> https://opennet.ru/openforum/vsluhforumID1/78812.html#10 Thu, 21 Feb 2008 05:56:40 GMT &gt;&gt;Мне кажется нужно анализировать трафик как делается в этой статье: <br>&gt;&gt;http://www.opennet.ru/base/net/ng_ipfw_ng_bpf.txt.html <br>&gt;<br>&gt;Идея интересная, но я не вижу способа как отличить запрос к прокси <br>&gt;от обычного HTTP-запроса. <br><br>нужно анализировать не каждый запрос, сумму запросов - если контент принципиально разный, а ip один и тот же то 90% что ip- прокся. Обычно большенство сайтов гонит в хедере свое доменное имя - как вариант выдирать его и дальше твоя фантация.<br>+ надо перекрыть все стандартные проксевые порты 8080,3128 и т.д.<br>+ надо у себя в иднамике подключать на отсечение постоянно обновляемый список халявных (и не халявных) прокси серверов.<br><br>такой подход позволит на 90% отсеч использование, а вообще не понятно зачем тебе это нужно и к какой социяльной ситуации это применяеться - если ты админ районной сетки - коректно ли это вообще делать, если админ предприятия - не прощели юзверям просто отключить возможность использования прокси или еще лудше врубить свою проксю, для http и т.д. и перекрыть https://opennet.ru/openforum/vsluhforumID1/78812.html#9 Thu, 21 Feb 2008 05:40:55 GMT &gt;&gt;Еще можно понизить MTU на внутреннем интерфейсе. <br>&gt;<br>&gt;Про это можно поподробнее. Как повлияет понижение MTU, на обнаружение использования прокси? <br>&gt;<br><br>:) ни как, человек ошибся - это повлияет только на отсечения VPN соединений, на проксе ни как не скажеться<br><br><br> https://opennet.ru/openforum/vsluhforumID1/78812.html#8 Wed, 20 Feb 2008 09:15:02 GMT &gt;Мне кажется нужно анализировать трафик как делается в этой статье: <br>&gt;http://www.opennet.ru/base/net/ng_ipfw_ng_bpf.txt.html <br><br>Идея интересная, но я не вижу способа как отличить запрос к прокси от обычного HTTP-запроса.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/78812.html#7 Wed, 20 Feb 2008 04:08:09 GMT &gt;Еще можно понизить MTU на внутреннем интерфейсе. <br><br>Про это можно поподробнее. Как повлияет понижение MTU, на обнаружение использования прокси?<br><br> https://opennet.ru/openforum/vsluhforumID1/78812.html#6 Tue, 19 Feb 2008 20:55:05 GMT &gt;Ситуация: необходимо как то обнаружить использует ли человек прокси сервер. Т.е. может <br>&gt;трафик приходящий от проски отличается по каким либо признакам от обычного? <br>&gt;Причина: необходимо прекратить использование внешних прокси-серверов в сети. <br><br>Мне кажется нужно анализировать трафик как делается в этой статье:<br>http://www.opennet.ru/base/net/ng_ipfw_ng_bpf.txt.html<br> https://opennet.ru/openforum/vsluhforumID1/78812.html#4 Tue, 19 Feb 2008 12:32:07 GMT Еще можно понизить MTU на внутреннем интерфейсе.<br><br> https://opennet.ru/openforum/vsluhforumID1/78812.html#3 Tue, 19 Feb 2008 11:59:51 GMT &gt;&gt;&gt;Причина: необходимо прекратить использование внешних прокси-серверов в сети.<br>&gt;&gt;<br>&gt;&gt;Не дать "ходить" пользователям на/через "открытые прокси" в интернете, в смысле? <br>&gt;&gt;Ну, прикрутить dnsbl какой-нибудь к сквиду... Видимо, это делается во внешнем <br>&gt;&gt;редиректорое. Первым "простым" шагом может быть настройка SSL_ports/Safe_ports <br>&gt;&gt;и "deny CONNECT" из дефолтного конфига. <br>&gt;<br>&gt;Да, смысл правильно уловили. Сквид не используется, выходят пользователи натом, по этому <br>&gt;и проблема с отлавливанием прокси. <br><br>Теоретически только - только анализом трафика - если с одного и тогоже ip приходят несколько страниц с размым монтентом (принцепиально) то 90% это прокся. А больше ни как. Если админы прокси не совсем тупые :), если тупые - то в заголовке прокся оставит след. А так только как подсказали выше, отсеивать ip сходящие в список проксей, и переодически обновлять этот список.<br> https://opennet.ru/openforum/vsluhforumID1/78812.html#2 Tue, 19 Feb 2008 09:27:05 GMT &gt;&gt;Причина: необходимо прекратить использование внешних прокси-серверов в сети.<br>&gt;<br>&gt;Не дать "ходить" пользователям на/через "открытые прокси" в интернете, в смысле? <br>&gt;Ну, прикрутить dnsbl какой-нибудь к сквиду... Видимо, это делается во внешнем <br>&gt;редиректорое. Первым "простым" шагом может быть настройка SSL_ports/Safe_ports <br>&gt;и "deny CONNECT" из дефолтного конфига. <br><br>Да, смысл правильно уловили. Сквид не используется, выходят пользователи натом, по этому и проблема с отлавливанием прокси. <br>