Ситуация: необходимо как то обнаружить использует ли человек прокси сервер. Т.е. может трафик приходящий от проски отличается по каким либо признакам от обычного? Причина: необходимо прекратить использование внешних прокси-серверов в сети.
>Причина: необходимо прекратить использование внешних прокси-серверов в сети.Не дать "ходить" пользователям на/через "открытые прокси" в интернете, в смысле?
Ну, прикрутить dnsbl какой-нибудь к сквиду... Видимо, это делается во внешнем
редиректорое. Первым "простым" шагом может быть настройка SSL_ports/Safe_ports
и "deny CONNECT" из дефолтного конфига.
>>Причина: необходимо прекратить использование внешних прокси-серверов в сети.
>
>Не дать "ходить" пользователям на/через "открытые прокси" в интернете, в смысле?
>Ну, прикрутить dnsbl какой-нибудь к сквиду... Видимо, это делается во внешнем
>редиректорое. Первым "простым" шагом может быть настройка SSL_ports/Safe_ports
>и "deny CONNECT" из дефолтного конфига.Да, смысл правильно уловили. Сквид не используется, выходят пользователи натом, по этому и проблема с отлавливанием прокси.
>>>Причина: необходимо прекратить использование внешних прокси-серверов в сети.
>>
>>Не дать "ходить" пользователям на/через "открытые прокси" в интернете, в смысле?
>>Ну, прикрутить dnsbl какой-нибудь к сквиду... Видимо, это делается во внешнем
>>редиректорое. Первым "простым" шагом может быть настройка SSL_ports/Safe_ports
>>и "deny CONNECT" из дефолтного конфига.
>
>Да, смысл правильно уловили. Сквид не используется, выходят пользователи натом, по этому
>и проблема с отлавливанием прокси.Теоретически только - только анализом трафика - если с одного и тогоже ip приходят несколько страниц с размым монтентом (принцепиально) то 90% это прокся. А больше ни как. Если админы прокси не совсем тупые :), если тупые - то в заголовке прокся оставит след. А так только как подсказали выше, отсеивать ip сходящие в список проксей, и переодически обновлять этот список.
Еще можно понизить MTU на внутреннем интерфейсе.
>Еще можно понизить MTU на внутреннем интерфейсе.Про это можно поподробнее. Как повлияет понижение MTU, на обнаружение использования прокси?
>>Еще можно понизить MTU на внутреннем интерфейсе.
>
>Про это можно поподробнее. Как повлияет понижение MTU, на обнаружение использования прокси?
>:) ни как, человек ошибся - это повлияет только на отсечения VPN соединений, на проксе ни как не скажеться
>Ситуация: необходимо как то обнаружить использует ли человек прокси сервер. Т.е. может
>трафик приходящий от проски отличается по каким либо признакам от обычного?
>Причина: необходимо прекратить использование внешних прокси-серверов в сети.Мне кажется нужно анализировать трафик как делается в этой статье:
http://www.opennet.me/base/net/ng_ipfw_ng_bpf.txt.html
>Мне кажется нужно анализировать трафик как делается в этой статье:
>http://www.opennet.me/base/net/ng_ipfw_ng_bpf.txt.htmlИдея интересная, но я не вижу способа как отличить запрос к прокси от обычного HTTP-запроса.
>>Мне кажется нужно анализировать трафик как делается в этой статье:
>>http://www.opennet.me/base/net/ng_ipfw_ng_bpf.txt.html
>
>Идея интересная, но я не вижу способа как отличить запрос к прокси
>от обычного HTTP-запроса.нужно анализировать не каждый запрос, сумму запросов - если контент принципиально разный, а ip один и тот же то 90% что ip- прокся. Обычно большенство сайтов гонит в хедере свое доменное имя - как вариант выдирать его и дальше твоя фантация.
+ надо перекрыть все стандартные проксевые порты 8080,3128 и т.д.
+ надо у себя в иднамике подключать на отсечение постоянно обновляемый список халявных (и не халявных) прокси серверов.такой подход позволит на 90% отсеч использование, а вообще не понятно зачем тебе это нужно и к какой социяльной ситуации это применяеться - если ты админ районной сетки - коректно ли это вообще делать, если админ предприятия - не прощели юзверям просто отключить возможность использования прокси или еще лудше врубить свою проксю, для http и т.д. и перекрыть нат для всего кроме pop3 smtp, и вопрос отпадет сам собой.
>[оверквотинг удален]
>+ надо у себя в иднамике подключать на отсечение постоянно обновляемый список
>халявных (и не халявных) прокси серверов.
>
>такой подход позволит на 90% отсеч использование, а вообще не понятно зачем
>тебе это нужно и к какой социяльной ситуации это применяеться -
>если ты админ районной сетки - коректно ли это вообще делать,
>если админ предприятия - не прощели юзверям просто отключить возможность использования
>прокси или еще лудше врубить свою проксю, для http и т.д.
>и перекрыть нат для всего кроме pop3 smtp, и вопрос отпадет
>сам собой."постоянно обновляемый список халявных (и не халявных) прокси серверов", где этот список можно взять?