Безопасность в интернете: как определить IP нападающего через прокси-сервер

Безопасность в интернете: как определить IP нападающего через прокси-сервер

Заголовок 1

Заголовок 2

Заголовок 3

Заголовок 4

Заголовок 5

Заголовок 6

Заголовок 7

Заголовок 8

Заголовок 9

Заголовок 10

Заголовок 11

Заголовок 12

Заголовок 13

Заголовок 14

Заголовок 15

Заголовок 16

Заголовок 17

Заголовок 18

Заголовок 19

Заголовок 20

Заголовок 21

Заголовок 22

Заголовок 23

Заголовок 24

Заголовок 25

Заголовок 26

Заголовок 27

Заголовок 28

Заголовок 29

Заголовок 30

Заголовок 31

Заголовок 32

Заголовок 33

Заголовок 34

Заголовок 35

Заголовок 36

Заголовок 37

Заголовок 38

Заголовок 39

Заголовок 40

Заголовок 41

Заголовок 42

Заголовок 43

Заголовок 44

Заголовок 45

Заголовок 46

Заголовок 47

Заголовок 48

Заголовок 49

Заголовок 50

Заголовок 51

Заголовок 52

Заголовок 53

Заголовок 54

Заголовок 55

Заголовок 56

Заголовок 57

Заголовок 58

Заголовок 59

Заголовок 60

Заголовок 61

Заголовок 62

Заголовок 63

Заголовок 64

Заголовок 65

Заголовок 66

Заголовок 67

Заголовок 68

Заголовок 69

Заголовок 70

Заголовок 71

Заголовок 72

Заголовок 73

Заголовок 74

Заголовок 75

Заголовок 76

Заголовок 77

Заголовок 78

Заголовок 79

Заголовок 80

Заголовок 81

Заголовок 82

Заголовок 83

Заголовок 84

Заголовок 85

Заголовок 86

Заголовок 87

Заголовок 88

Заголовок 89

Заголовок 90

Заголовок 91

Заголовок 92

Заголовок 93

Заголовок 94

Заголовок 95

Заголовок 96

Заголовок 97

Заголовок 98

Заголовок 99

Заголовок 100

Связанные вопросы и ответы:

Что такое прокси-сервер и как он влияет на безопасность в интернете

Прозрачные

Не утаивают никакой информации от других ресурсов. Прозрачный прокси раскрывает интернету, что он прокси, и показывает данные пользователя. Такой сервер не нужно настраивать, и он выступает удобной заменой других видов прокси.

Прозрачный вариант отлично подходит для фильтрации и кеширования контента. Это актуально там, где пропускная способность интернета ограничена, но им одновременно пользуется много людей. Вместо того чтобы заново загружать сайт по перегруженному соединению, прокси-сервер кеширует контент веб-ресурса и показывает его из памяти всем пользователям.

Обычные (анонимные)

Эти виртуальные серверы выдают информацию, что они прокси, но модифицируют данные пользователя. Анонимные прокси меняют HTTP-заголовок и показывают свой IP, чтобы сторонний веб-сервер точно не определил клиента. Как поведут себя сайты при работе через прокси, неизвестно. Есть вероятность, что они начнут блокировать запросы прокси, но такое случается редко.

Искажающие

Такие прокси не скрывают себя, но применяют подставные IP. Когда сайты получают запрос от искажающего прокси-сервера, они считают, что эти адреса принадлежат реальным людям, а не самому прокси.

Появляется возможность использовать IP другой страны. Часто именно благодаря искажающим прокси обходят блокировки по географическим признакам. Веб-ресурс видит, что ваша страна не в «черном списке», и открывает доступ к контенту.

Элитные (приватные)

Прокси с высокой анонимностью. При каждом соединении с интернетом они меняют IP и шифруют свои данные от сайтов. Элитные прокси изменяют HTTP-заголовок, чтобы о вас не осталось никакой информации.

Веб-ресурс не определяет наличие прокси и принимает ваш запрос как простое пользовательское подключение. Из-за этого сайтам сложнее определить вас и отследить трафик.

Какие методы используются для определения IP нападающего через прокси-сервер

Окей, если говорить об анализе трафика из браузера, то проблем не возникает. Любой перехватывающий прокси-сервер (а-ля Burp или ZAP) справится с этим на раз. А что делать, если «ломаемое» клиентское приложение не умеет использовать прокси? А что делать, если используется там какой-нибудь не HTTP-протокол? О решении второй проблемы мы поговорим в следующей задаче (разделены они были лишь для будущего удобного поиска), о первой же — читай ниже.

Хотелось бы отметить, что идейно «атака» на SSL будет одинакова для любой из тулз. Важно понимать, что никто не пытается расшифровать передаваемые данные, ведь главное — это обойти проверку правильности конечной точки подключения, которая происходит на первых этапах подключения, то есть заставить клиент думать, что наш сервис — это то место, куда он хотел подключиться. Подписи, сертификаты и все такое. Но не будем углубляться и перейдем к сути.

Есть клиентское приложение, работает по HTTPS, но юзать прокси не умеет. Мы можем использовать тот же Burp или любой другой прокси, который в состоянии работать в режиме transparent (invisible).

Немного поясню, в чем разница. Начнем с простого — с HTTP, а потом перейдем к HTTPS. Для обычного HTTP-трафика, когда используется прокси, ПО (а-ля браузер) посылает такой запрос:

GET http://any\_host.com/url?query=string HTTP/1.1 Host: any\_host.com

Когда прокси отсутствует, то браузер шлет

GET /url?query=string HTTP/1.1 Host: any\_host.com

Как видишь, в варианте с прокси (обычным прокси) в запросе (то, что после GET) присутствует имя хоста. При получении запроса прокси по этому имени понимает, куда нужно подключиться и отправить запрос.

Если же приложение не поддерживает работу с прокси, то у нас возникает две проблемы: как заставить его подключиться к нам и как наш прокси может понять, куда подключаться.

Для решения первой задачи нам пригодится любой метод, при котором трафик от приложения потечет через нас. Мы можем либо стать гейтвеем/шлюзом для подсети (ARP poisoning в помощь), либо стать сервером (запись в hosts, DNS spoofing и прочее), либо использовать что-то поизвращенней.

Вторая же задача решается тем, что прокси берет имя сервера, куда надо подключаться, но не из URL’а, а из заголовка Host в самом запросе. Вот такое поведение прокси и называется transparent (хотя имеются и другие значения). Ты, например, можешь ходить в инет на работе, не указав прокси, но фактически подключения твои будут все равно идти через корпоративный прокси, с теми же ограничениями на контактик, что и у проксированных юзеров.

Но это было про HTTP. А как же с HTTPS? Здесь все труднее.

В прошлом номере я описывал, как работает браузер через прокси, подключаясь к HTTPS-сайтам. Напомню, что браузер подключается к прокси методом CONNECT с указанием имени хоста, куда он хочет подключиться. Прокси же, в свою очередь, подключается по указанному имени хоста, а дальше просто редиректит трафик от браузера на сервер.

Если же приложение не поддерживает прокси, то как же transparent прокси узнает, куда ему подключать клиента? В описанных условиях — никак. Во всяком случае, в автоматическом режиме.

Но все-таки вариант есть, если добавить сюда еще одну технологию. Она называется Server Name Indication (SNI) и является одним из расширений SSL-протокола. Поддерживается еще далеко не всеми, но основные браузеры уже в лодке. Технология очень простая. Клиент указывает имя сервера, куда подключается в самом начале SSL handshak’а (то есть эта инфа не зашифрована).

Таким образом, у transparent-прокси опять-таки появляется возможность автоматически проксировать данные между клиентом и серверами на основе анализа SNI при подключениях.

Теперь общая ситуация примерно ясна. Перейдем к частностям. За основу возьмем Burp и его возможности, как типовой пример.

Если клиентское приложение не поддерживает прокси, то Burp, как ты уже понял, умеет работать в режиме invisible proxy. Включить его можно, воспроизведя следующую цепочку:

Proxy -> Options -> Proxy Listeners -> Выделение прокси -> Edit -> Request Handling -> Support Invisible Proxy.

Если клиент поддерживает SNI, то все хорошо: Burp может и к нужному хосту подключиться, и сгенерировать сертификат либо самоподписанный, либо подписанный Burp’овским CA. Но если это не так, то придется поработать руками.

Во-первых, на вкладке Request Handling мы должны указать адрес и порт, куда необходимо осуществлять подключение. Во-вторых, в Certificate указать имя сервера, для которого будет сгенерен сертификат. Самоподписанный создать совсем не получится.

Ясное дело, эти данные надо еще откуда-то получить. Тебе, скорее всего, потребуется посмотреть, к какому IP-адресу и порту подключается клиентское приложение, а далее подключиться к нему напрямую и из полученного SSL-сертификата взять имя для генерации своего.

Как видишь, все просто, но местами муторно. Но в итоге мы получаем чистый HTTP-трафик в Burp’е. За подробностями по этой возможности Burp’а обращайся.

Какие инструменты и технологии могут помочь в определении IP нападающего за прокси-сервером

В интернете есть множество советов по этому вопросу, но все они относятся к разряду "почистите куки", "пользуйтесь TOR", "перейдите на VPN". Поверьте, следуя этим советам, не всегда возможно эффективно скрыть прокси. Вот несколько проверенных временем способов:

Прежде всего, используйте качественные и чистые прокси с поддержкой UDP протокола и подменой WebRTC IP._ Это очень важно, так как эти отпечатки успешно отслеживаются антифрод системами. Если прокси не подменяет UDP или WebRTC, ваш реальный IP адрес очень легко можно будет обнаружить.

Регулярно делайте тест на утечку DNS . Если сетевые настройки вашего устройства установлены неправильно, либо у вас плохой прокси, то может произойти так называемая утечка DNS (DNS Leak). В таком случае антифрод увидит что DNS-запросы идут с разных устройств, что конечно же вызовет подозрения.

Не используйте DNS Google, Cloudflare, Amazon  и других крупных компаний. Еще несколько лет назад антифрод системы не обращали особого внимания, если пользователь заходил на сайт с таким DNS. Сейчас же алгоритмы изменились, и как показывает практика, лучше использовать DNS оператора прокси.

Следите за стабильностью соединения прокси.  Если часто происходят разрывы соединения с прокси-сервером, в таком случает также есть риск "слива" вашего реального IP адреса и DNS. Это может послужить сигналом для антифрод системы что вы используете прокси или ВПН. Также рекомендую установить настройку "Kill Switch" на вашем устройстве.

На Detect.Expert вы можете купить надежные анонимные и чистые прокси, с поддержкой UDP по выгодной цене!

Используйте антидетект на базе виртуальных машин с правильной проксификацией . В Антидетекте от Vektor T13 , путем подмены отпечатков ОС и оборудования компьютера (чего не могут браузерные антидетекты), вы значительно снижаете риск обнаружения соединения к прокси.

Как определить, что атака происходит через прокси-сервер

В переводе с английского proxy значит «представитель». По сути, любой прокси — это ширма, которая скрывает уникальный адрес вашего устройства. Прокси работает как посредник, выдавая свой собственный IP за ваш, пока вы серфите в интернете.

Обычный процесс поиска без прокси выглядит так:

• Вы что-то ищите в Интернете, то есть посылаете запрос на информацию в сеть.
• Этот запрос идет на сервер сайта, который вы посещаете в этот момент.
• Сервер сайта ловит запрос, обрабатывает и посылает вам ответ в виде какой-нибудь страницы, например каталог товаров в интернет-магазине.

На сервере после вашего запроса остается след ваших данных — как отпечаток пальца, если бы вы коснулись какого-то предмета, «запрашивая» его.

Когда вы используете прокси, то сервер-посредник принимает на себя угрозу обнаружения IP. В итоге на сервер сайта отправляется уникальный адрес самого прокси, а ваш IP-адрес остается недоступным. Прокси «закрывает» ваши данные, не позволяя им стать уязвимыми и общедоступными.

Вам стоит использовать прокси, если вы:

• не хотите, чтобы сайты собирали ваши личные данные , например местоположение;
• хотите просмотреть контент, который недоступен в вашей стране;
• хотите просмотреть заблокированный контент;
• подозреваете, что ваше устройство может стать объектом кибератаки и хотите обезопасить себя;
• просто хотите принять меры защиты.

Одним прокси могут пользоваться сразу несколько человек. Прокси не распространяет адрес того, кто к нему подключился: значит, конечная точка, которую возможно отследить, — адрес самого прокси, а не пользователя. То есть при отслеживании трафика предполагаемый злоумышленник упрется в один и тот же прокси, другими словами, — в тупик.

Таким образом, вероятность вычислить, кто именно запрашивал информацию на сайте, мала. Впрочем, не забывайте и о других мерах безопасности: например, вовремя удаляйте куки (cookie, с английского — печенье) со своего компьютера.

Куки — это файлы, которые записываются в память компьютера и хранят персональные данные пользователя. Их отправляют на ваши устройства серверы сайтов, которые вы посещаете: с помощью файлов куки вас будет проще идентифицировать при следующем визите.

Как и любая личная информация, хранящаяся на носителе, а не в вашей голове, куки рискуют быть похищенными. Так как прокси — посредник, он передает конечному серверу ваши данные, в том числе и куки. Именно поэтому файлы-печеньки нужно периодически чистить: так уменьшается риск, что они утекут в сеть.

Какие причины могут привести к тому, что нападающий использует прокси-сервер

Чтобы пробросить nmap, маршрут должен быть сконфигурирован в metasploit, а сама конфигурация должна быть доступна через socks4 прокси. Для этого используем модуль socks4a в metasploit:

meterpreter > background Backgrounding session 2… msf > use auxiliary/server/socks4a msf auxiliary(socks4a) > show options Module options (auxiliary/server/socks4a): Name Current Setting Required Description ---- --------------- -------- ----------- SRVHOST 0.0.0.0 yes The address to listen on SRVPORT 1080 yes The port to listen on. Auxiliary action: Name Description ---- ----------- Proxy msf auxiliary(socks4a) > set srvhost 172.16.0.20 srvhost => 172.16.0.20 msf auxiliary(socks4a) > run Auxiliary module execution completed Starting the socks4a proxy server msf auxiliary(socks4a) > netstat -antp | grep 1080 exec: netstat -antp | grep 1080 tcp 0 172.16.0.20:1080 0.0.0.0:* LISTEN 3626/ruby msf auxiliary(socks4a) >

Теперь, используя утилиту ProxyChains, любое TCP соединение может быть отправлено к цели назначения через TOR, SOCKS4, SOCKS5, HTTP/HTTPS прокси. Несколько прокси-серверов могут быть построены в цепочку. В дополнение к анонимности, при использовании такой схемы приложения могут получать доступ к обнаруженным внутренним сетям.Прежде чем использовать ProxyChains, нужно произвести небольшую настройку в файле /etc/proxychains.conf. Для этого нужно отредактировать последнюю строку в файле.

Какие меры можно принять для защиты от атак, использующих прокси-сервер

Запрос пользователя в Tor последовательно проходит через несколько не связанных между собой точек (узлов или нодов, от англ. node), благодаря чему отследить его становится очень сложно (но возможно — об этом поговорим позже). Многие пользователи и организации установили и настроили у себя эти узлы, создав вместе децентрализованную сеть для приема и ретрансляции запросов в цепочке пересылки. При этом, разумеется, страницы в Tor открываются гораздо медленнее, чем в обычном браузере, который обращается по адресу напрямую, без посредников.

Сеть Tor состоит из трех элементов:

1. Узлы обеспечивают анонимность соединения. Первый узел, через который трафик входит в сеть Tor, называется входным, последующие — передающими или релейными, последний — выходным. По умолчанию браузер использует только один релейный узел, однако пользователь может увеличивать это количество, если готов еще больше пожертвовать скоростью соединения ради приватности.

Важно понимать, что технически узлы между собой не различаются: один и тот же нод может в разное время занимать разное место в цепочке.

2. Серверы каталогов хранят идентификационные данные узлов в сети Tor. Их идентификаторы вшиты в код Tor, благодаря чему у браузера всегда есть актуальная информация о действующих узлах.

Серверы каталогов отслеживают действия узлов и заменяют неработоспособные ноды здоровыми. При запуске Tor, браузер Tor сначала подключается именно к серверам каталогов, получает список активных узлов и создает цепь: один нод для входа, один для выхода, один для ретрансляции.

3. Мосты представляют собой особый вид релейных узлов. Они не перечислены на серверах каталогов, и настраивать их нужно вручную — указать браузеру адрес моста.

Провайдер может заблокировать обычные ноды, указанные в каталогах, однако идентификаторы мостов ему неизвестны. Это позволяет пользователям обходить региональные блокировки Tor. При этом им приходится самостоятельно выполнять функцию серверов каталогов и обновлять список входных узлов.

Как определить, что атака происходит с использованием нескольких прокси-серверов

Использование прокси-серверов в интернете может приносить множество преимуществ, однако необходимо помнить, что существуют правовые ограничения и нормы, регулирующие их использование. В данной статье мы рассмотрим правовые аспекты использования прокси-серверов, что разрешено, а что запрещено в соответствии с законами и нормами. Доп информация доступна на сайте  .

Разрешенное использование прокси-серверов:

- Анонимное просмотр в интернете: Использование прокси для анонимного просмотра веб-сайтов в соответствии с законами и правилами интернета является вполне законным.

- Обход географических блокировок: Использование прокси для обхода географических ограничений и получения доступа к контенту, недоступному в вашем регионе, может быть разрешено, если это не нарушает авторские права.

- Безопасность и конфиденциальность: Использование прокси для защиты личных данных, обеспечения безопасности и конфиденциальности в интернете часто является законным и рекомендуется.

Запрещенное использование прокси-серверов:

- Незаконная активность: Использование прокси для осуществления незаконных действий, таких как взломы, мошенничество, распространение вредоносных программ и другие противозаконные активности, строго запрещено.

- Нарушение авторских прав: Использование прокси для незаконного скачивания или распространения авторских материалов, таких как фильмы, музыка и программы, нарушает авторские права и подлежит наказанию.

- Спам и массовые запросы: Использование прокси для отправки спама, массовых запросов или атак на веб-ресурсы является незаконным и нарушает политику использования интернета.

Как соблюдать правовые нормы при использовании прокси:

- Чтение условий использования: При покупке или использовании бесплатных прокси-серверов обязательно ознакомьтесь с условиями использования, чтобы удостовериться, что они не нарушают законы.

- Соблюдение авторских прав: Избегайте использования прокси для незаконного распространения или скачивания авторских материалов.

- Этическое поведение: Используйте прокси с уважением к законам, этике и правилам интернета, избегая незаконных и вредоносных действий.

Использование прокси-серверов имеет свои правовые ограничения, и важно соблюдать законы и нормы, регулирующие их использование. Анонимный просмотр, обход географических блокировок и повышение безопасности в интернете могут быть законными, но незаконные и вредоносные действия с использованием прокси строго запрещены. Соблюдение этих правил помогает создать безопасную и этическую среду в интернете.

Как определить, что атака происходит с использованием нескольких прокси-серверов

Когда речь идет о безопасности сети, важным вопросом является обнаружение и предотвращение атак, использующих несколько прокси-серверов. В этой статье мы рассмотрим, как определить, что атака происходит с использованием нескольких прокси-серверов.

Способы обнаружения

1. Анализ трафика: Анализируйте трафик, поступающий на ваш сервер, чтобы обнаружить любые suspicious patterns or anomalies. В частности, обратите внимание на количество и частоту запросов, которые приходят с различных IP-адресов. 2. Проверка IP-адресов: Проверьте IP-адреса, которые отправляют запросы на ваш сервер. Если вы обнаружите, что запросы приходят с различных IP-адресов, но имеют схожие характеристики, это может быть признак использования прокси-серверов. 3. Анализ заголовков: Проверьте заголовки HTTP-запросов, чтобы обнаружить любые suspicious values or patterns. Например, если вы обнаружите, что запросы содержат заголовки, которые необычно для вашего приложения, это может быть признак использования прокси-серверов. 4. Проверка DNS-запросов: Проверьте DNS-запросы, чтобы обнаружить любые suspicious patterns or anomalies. Если вы обнаружите, что запросы приходят с различных DNS-серверов, это может быть признак использования прокси-серверов.

Меры предотвращения

1. Используйте фильтры трафика: Используйте фильтры трафика, чтобы блокировать запросы, которые не соответствуют вашим требованиям безопасности. 2. Используйте SSL/TLS: Используйте SSL/TLS для шифрования трафика, чтобы предотвратить доступ к вашему приложению для атакующих. 3. Используйте IP-фильтры: Используйте IP-фильтры, чтобы блокировать доступ к вашему приложению с определенных IP-адресов. 4. Обеспечьте регулярное обновление программного обеспечения: Обеспечьте регулярное обновление программного обеспечения, чтобы предотвратить эксплуатацию уязвимостей.

Заключение

Атака, использующая несколько прокси-серверов, может быть сложной и трудной для обнаружения. Однако, используя правильные инструменты и методы, вы можете обнаружить и предотвратить такие атаки. В этой статье мы рассмотрели несколько способов обнаружения и предотвращения атак, использующих несколько прокси-серверов. Remember to always stay vigilant and keep your security measures up to date to protect your application from these types of attacks.

Как определить, что нападающий использует TOR-сеть для атаки

Даже если ты все настроил правильно и твой VPN-трафик не утекает в сеть в открытом виде — это еще не повод расслабляться. Все дело в том, что если кто-то перехватит зашифрованные данные, передаваемые через VPN-соединение, то он сможет их расшифровать. Причем на это никак не влияет, сложный у тебя пароль или простой. Если ты используешь VPN-соединение на базе протокола PPTP, то со стопроцентной уверенностью можно сказать, что весь перехваченный зашифрованный трафик можно расшифровать.

Ахиллесова пята

При VPN-соединениях на базе протокола PPTP (Point-to-Point Tunneling Protocol) аутентификация пользователей проводится по протоколу MS-CHAPv2, разработанному компанией Microsoft. Несмотря на то что MS-CHAPv2 устарел и очень часто становится предметом критики, его продолжают активно использовать. Чтобы окончательно отправить его на свалку истории, за дело взялся известный исследователь Мокси Марлинспайк, который на двадцатой конференции DEF CON отчитался, что поставленная цель достигнута — протокол взломан. Надо сказать, что безопасностью этого протокола озадачивались и ранее, но столь долгое использование MS-CHAPv2, возможно, связано с тем, что многие исследователи концентрировались только на его уязвимости к атакам по словарю. Ограниченность исследований и широкое число поддерживаемых клиентов, встроенная поддержка операционными системами — все это обеспечило протоколу MS-CHAPv2 широкое распространение. Для нас же проблема кроется в том, что MS-CHAPv2 применяется в протоколе PPTP, который используется многими VPN-сервисами (например, такими крупными, как анонимный VPN-сервис IPredator и The Pirate Bay’s VPN).