Я уже представлял (http://www.opennet.me/opennews/art.shtml?num=17662) здесь несколько месяцев назад наш геолокационный проект WIPmania.com (http://www.wipmania.com/ru/). Сейчас мы открываем (http://www.wipmania.com/ru/blog/service-code-technical-details/) обещанные базы IP-адресов ("сервис-коды"), за которыми скрываются "пользователи" с неопределяемым местоположением.
"Нормальный" пользователь скорее всего не ходит в интернет через анонимный прокси или свой VPN, инсталлированный, скажем, на сервере в Китае. Точно так же серверы не всегда используются только в мирных целях, но и для сканирования, спама или мошенничества.
Главная идея сервис-кодов - это определение:
- в первую очередь, всех хостинговых компаний и, соответственно, запросов с серверов, расположенных во всех датацентрах мира,
- скрытых серверных площадок (обычно использующихся спамерами и кард-фродерами),
- free, анонимных, частных и закрытых прокси, SOCKS-прокси, веб-анонимизаторов,
- серверов TOR-Сети...URL: http://www.wipmania.com/ru/blog/service-code-technical-details/
Новость: http://www.opennet.me/opennews/art.shtml?num=20075
> "Нормальный" пользователь скорее всего не ходит в интернет через анонимный прокси или свой VPN, инсталлированный, скажем, на сервере в Китае.Но зато теперь криворукие параноики понавтыкают себе `защиты', и нормальный пользователь, которому по той или иной причине приходится использовать VPN или tor, пойдет лесом. Молодцы.
>нормальный пользователь ... torС трудом себе представляю нормального пользователя, который использует tor.
"Сотни тысяч людей в мире используют Tor по разнообразным причинам: журналисты и блоггеры, организации по защите прав людей, работники правоохранительных органов, военнослужащие, корпорации, жители стран с репрессивными режимами, и просто обычные граждане."
Или вы считаете, что все "нормальные пользователи" - тупоголовые идиоты, которые не знают что такое IP-адрес?
в нашей стране уже сажают за пару слов в сетевом дневнике..
> в нашей стране уже сажают за пару слов в сетевом дневнике..Ядро тихо паниковало? :)
Я сам использую VPN, установленный у одного хостера. Но сайты имеют право знать об этом.
Эти базы - лишь инструмент, как нож - им можно и хлеб резать и других порезать.
Сайты сами должны принимать решение, что делать в конкретных случаях.
Кто-то захочет, например, ввести премодерацию для комментариев с датацентров, потому как 99% — это спам, особенно если хостеры зарегистрированы где-нибудь на вирджинских остравах, а сервера физически находятся в Цюрихе или Франкфурте
> Но сайты имеют право знать об этом.С какой стати?
> Эти базы - лишь инструмент, как нож - им можно и хлеб резать и других порезать.
> Сайты сами должны принимать решение, что делать в конкретных случаях.Равно как и эксплойты. Почему бы, действительно, не выложить 0-day эксплойтов. Дети сами примут решение, разбираться в эксплойте а потом лезть в исходники целевого приложения и латать дыру, или просто натравить его на обитателей районной сети.
> Кто-то захочет, например, ввести премодерацию для комментариев с датацентров, потому как 99% — это спам, особенно если хостеры зарегистрированы где-нибудь на вирджинских остравах, а сервера физически находятся в Цюрихе или Франкфурте
Ну и как обычно спаму от этого не поплохеет совершенно, зато люди не смогут нормально общаться.
>Ну и как обычно спаму от этого не поплохеет совершенно, зато люди
>не смогут нормально общаться.с чего бы это?
в базы загляни, там нет ничего страшного
>в базы загляни, там нет ничего страшногоНу, блэклисты лично мне периодически икаются невозможностью послать почту, автоматическими глайнами в ирц от блэклистеров и прочими приятностями.При том как вы понимаете я ни в чем не виноват - просто предыдущий обладатель айпи когда-то где-то гадил.А меня лишь угораздило получить по наследству оный айпи, ибо динамика.Если идиотов из-за которых мне будет икаться - прибавится, я не склонен это приветствовать.
Или вот еще интересно.Можно анонимно (при желании, подключив на васю пупкина и не звоня тем кто вас знает с этого номера) вылезти через мобилку с GPRS.Вариантов борьбы с этим два (там обычно NAT или динамика).Или забить.Или перекрыть всем юзерам жпрса вход.Обычно почему-то выбирают первое, т.к. при втором орда пользователей вынесет мозг.
Соответственно если я захочу пролезть анонимно - думаете я не буду учитывать существование таких баз?Ха-ха, лол, если мне хочется прикинуться шлангом я обычно подбираю проксь похожий на то что типично ходит на реусурс :).Скорее гемора добавится обычным юзерам при обычном юзеже, которых будет накрывать ни за что :)
В итоге - мне кажется что такая база как максимум имеет смысл только для какой-то мягкой классификации (например премодерация) и статистических дел, и то серьезно настроеный сетевик без вопросов покажет себя именно тем кем его хотят видеть на вон том сайте.Геморрой будет у тех кто слов типа "IP адрес" не знает =)
>При том как вы понимаете я
>ни в чем не виноват - просто предыдущий обладатель айпи когда-то
>где-то гадил.А меня лишь угораздило получить по наследству оный айпи, ибо
>динамика.Если идиотов из-за которых мне будет икаться - прибавится, я не
>склонен это приветствовать.В свое время меня это задолбало, и я даже для домашнего инета покупаю статику. И вам советую (если возможно).
>Или вот еще интересно.Можно анонимно (при желании, подключив на васю пупкина и
>не звоня тем кто вас знает с этого номера) вылезти через
>мобилку с GPRS.Вариантов борьбы с этим два (там обычно NAT или
>динамика).Это _очень сильно_ хотеть надо. Согласитесь, заюзать тор или найти левую проксю гораздо проще.
>Ха-ха, лол, если мне хочется прикинуться шлангом я обычно
>подбираю проксь похожий на то что типично ходит на реусурс :)Ой, поясните пожалуйста. Очень интересно что вы имели в виду.
>В свое время меня это задолбало, и я даже для домашнего инета
>покупаю статику. И вам советую (если возможно).
>Не. Это невозможно по причине дороговизны. Для домашних целей AS - очень дорогое удовольствие. А при запросе IP из сети провайдера провайдер посылает подальше.
Да и вообще. Достали уже все эти псевдо-провайдеры своими натами. Из других сетей провайдер не пропускает соединения на мой хост, находящийся внутри его натовской сети. Где ж тут межсетевое взаимодействие, традиционно именовавшееся ранее словом InterNet?
получи белый IPv6 адрес и не парься.... IPv6 через туннель Ipv4... все бесплатно... и провайдеру даже в известность ставить не надо...
>получи белый IPv6 адрес и не парься.... IPv6 через туннель Ipv4... все
>бесплатно... и провайдеру даже в известность ставить не надо...Можно немного поподробнее об этом получении и т.д.? Я, конечно, пойду честно погуглю тему, но если подскажите путь истинный... ;-)
Да и как тут писали, сервер начинается с файрвола, но в том сообщении указали на проблему iptables. А у наших файрволов (ipfw) с этим как?
на днях тут статейка по этому поводу пробегала.
>>В свое время меня это задолбало, и я даже для домашнего инета
>>покупаю статику. И вам советую (если возможно).
>> И вам советую (если возможно).Аналогично. Если на стационарное подключение (я не говорю о жопорезах) провайдер не даёт стабильное прямое соединение (чтобы никаких периодически разрывающихся ВПН-ов) и статического IP (возможно за дополнительную плату, но разумную), он может идти в топку, imho. Я плачу за статику сверх тарифа 6 баксов в месяц.
> Не. Это невозможно по причине дороговизны. Для домашних целей AS - очень дорогое удовольствие.
Это у Вам сколько примерно, можно поинтересоваться?
>И вам советую (если возможно).У текущего провайдера - невозможно.Но есть желание его сменить на того у которого это можно.
>Это _очень сильно_ хотеть надо. Согласитесь, заюзать тор или найти левую проксю
>гораздо проще.Не согласен, регулярно встречаюсь с гадежом с жпрс.При том "нечем крыть": закрытие диапазонов = выстрел себе в пятку (юзеров с них много, потом достанут).Русские еще любят штуки типа тунел.нет и трафкомпресор.Их тоже не больно то закроешь.А то что через них гадят - факт.
>Ой, поясните пожалуйста. Очень интересно что вы имели в виду.
Если есть предположение что меня хотят видеть обычным янки, я поищу свежий проксик (который только-только попал в прокси-листы но еще не разошелся по BLам) на каком-нибудь комкасте например и с нестандартным портом(чтобы испортить настроение реалтайм сканерам).У янки дебилов-юзеров с проксями на их машинах по жизни хоть отбавляй.И фиг с два меня вот так без какого-то очень нудного анализа отличишь от честного дслщика живущего в штатах.Конечно когда-то айпи попадет в базы проксей и BLы.Но это будет не сразу и это уже не мои проблемы.Кроме того при динамике такие прокси будут кочевать по айпишникам и вскоре в базе окажется половина айпи этого провайдера.В результате BLы будут до кучи гасить легитимных юзеров по принципу русской рулетки(что для сколь-нибудь популярного ресурса означает вынос мозга админу юзерами резонно не понимающими за что к ним применены санкции если они ничего такого не делали).Честно говоря - не вижу однозначно выигрышного для админа комбо против всего этого безобразия.Все это так, страдание дурью.Может немного поднять планку но серьезно настроенным фруктам все это ни разу не помешает.Точнее, серьезно настронный фрукт сведет свой геморрой к геморрою у админа.И еще вопрос у кого геморроя будет больше.
>Ну, блэклисты лично мне периодически икаются невозможностью послать почту, автоматическими глайнами в
>ирц от блэклистеров и прочими приятностями.При том как вы понимаете я
>ни в чем не виноват - просто предыдущий обладатель айпи когда-то
>где-то гадил.А меня лишь угораздило получить по наследству оный айпи, ибо
>динамика.Если идиотов из-за которых мне будет икаться - прибавится, я не
>склонен это приветствовать.если у вас на машине собственный smtp сервис, то вы сами себе ССЗБ.
если какой-то внешний smtp сервак по такой причине вас отклоняет, то руки админу того сервака по самое нехочу отпилить и больше недопускать до серверов.
>> Но сайты имеют право знать об этом.
> С какой стати?Каждый имеет право знать всё, что он может узнать.
>"Нормальный" пользователь скорее всего не ходит в интернет через анонимный прокси или свой VPN, инсталлированный, скажем, на сервере в Китае.
>>Но зато теперь криворукие параноики понавтыкают себе `защиты', и нормальный пользователь, которому по той или иной причине приходится использовать VPN или tor, пойдет лесом. Молодцы.Интересно, а как Вы относитесь к NATу.За одной белой IP-шкой скрывается целая сеть.
На мой взгляд - более органично выдать каждому клиенту собственный IP-адрес.
Благо пока это ещё это позволяет.
А уж если их нет (IP-адресов), то переходить на IPv6.
...
Если нет желания учиться, то как говорили в старой хорошей Совеской армии:
"Не знаешь - научим, не хочешь - заставим!"
>Интересно, а как Вы относитесь к NATу.За одной белой IP-шкой скрывается целая
>сеть.Известно как - очередной куль-блэклист накрывает этот айпи когда какой-то лопух там получить вирусню и ... правильно, потом сосет целая сеть.
>А уж если их нет (IP-адресов), то переходить на IPv6.
Есть только одна проблема - половина софта для этого перехода еще не готово и ничего кроме IPv4 не умеет.
Добавлю ещё некоторые дополнения к предыдущему:
Internet-провайдер, по-моему, учереждение (лицо), которое предоставляет доступ к сети INTERNET на основе технологий взаимодействия сетей. Другими словами если у Вас, например, ATM-доступ к сети, и Вы желаете проводить взаимодействие с людьми (организациями), используюшие ISDN-соединение, то провайдер обязуется или откажется (если у него нет необходимого оборудования) предоставить Вам необходимую услугу.
С такой точки зрения: ISDN, ATM, Ethernet, TokenRing, Dial-up и многие другие соединения - эти услуги должны предосталять провайдеры.
Из этого, по-моему, вытекает следующее - провайдер, после заключения договора, обязуется передавать мои данные на основе вышеприведенных технологий.
То есть, без всяких NATов, VPNов и других извратов, при условии, моей проплаты за оказанную услугу.
Но мы все знаем разницу между уровнями OSI - сетевым и транспортным.
И им (провайдерам) никто не давал права мониторить мой траффик.
> И им (провайдерам) никто не давал права мониторить мой траффик.почитайте про СОРМ в интернете...
>Известно как - очередной куль-блэклист накрывает этот айпи когда какой-то лопух там получить вирусню и ... правильно, потом сосет целая сеть.Хотя для конечных юзеров это просто гемор - можно представить себе ситуацию, когда такая практика полезна.
Рассмотрим идеального сферического провайдера в вакууме. Сотрудники этой конторы - профессионалы, труд которых адекватно оплачивается и т.д.
Соответственно эти профессионалы мониторят каждое попадание клиентского адреса во все блэклисты. Каждый такой эпизод тщательно расследуется. Идиоты, юзающие дырявый софт кривыми руками и тем самым коптящие наше общее небо, немедленно изгоняются на йух.
Итого: счастливы все, кроме леммингов. А им (имхо) туда и дорога.>Есть только одна проблема - половина софта для этого перехода еще не готово и ничего кроме IPv4 не умеет.
Угу. Сервер начинается с фаервола. А ip6tables имхо редкостное убожество по сравнению с нормальным iptables
https://www.torproject.org/index.html.ru
> Tor: Анонимность в Сети
> ...
> Три важных факта на которые следует обратить внимание.Забыли (преднамеренно?) указать на возможные последствия для установивших себе тор-сервера счастливчиков:
- возможные затруднения с доставкой легальной почты
- отказ в доступе к некоторым сайтам
- и т.д.:-)
* free, анонимных, частных и закрытых прокси, SOCKS-прокси, веб-анонимизаторов,
* серверов TOR-Сетиочень интересны эти пункты! т.к. устал уже бороться с пользователями!
2alrond: Ребят, спасибо вам огромное!2Guest: покорнейше прошу не впадать в маразм. Если администратор сайта захочет зарезать тот же тор - значит туда такому сайту и дорога. На то человеку и дан разум - чтобы выбирать.
А то давайте еще все колюще-режущие предметы запретим, потому что ими убить можно.
И еще все горючие и токсичные вещества - по понятным причинам. И еще все тяжелые предметы (типа кирпичей) - они тоже опасны. И заодно интернет с мобильной связью - террористы могут использовать их для координации своих действий.
Я не в этом смысле: работаю сисадмином в компаниии и там есть достаточно любителей шариться по соцсетям. Начальству, соответственно, не нравится.
>Я не в этом смысле: работаю сисадмином в компаниии и там есть
>достаточно любителей шариться по соцсетям. Начальству, соответственно, не нравится.Ну поставьте туда сквид со сквид-гардом, в чем проблема-то? И какое отношение имеет это к обсуждаемой теме? Что-то я не вкуриваю =(
сквид и стоит.. только где брать актуальные базы анонимайзеров и прокси? У меня собрана база на 15к записей. А отношение имеет - прямое!!!
>сквид и стоит.. только где брать актуальные базы анонимайзеров и прокси? У
>меня собрана база на 15к записей. А отношение имеет - прямое!!!
>Отошение как навоз к зарну. Вроде все из деревни, на вкус разный.
>сквид и стоит.. только где брать актуальные базы анонимайзеров и прокси? У
>меня собрана база на 15к записей. А отношение имеет - прямое!!!На сайте сквидгарда http://squidguard.org/ есть ссылки на несколько блэклистов. Лично я заюзал Shalla's Blacklists http://www.shallalist.de/. Задача была - зарубить соц. сети. Ну я подрубил листы соц. сетей и до кучи анонимайзеров. Еще ни одна тварь не пролезла =)
Спасибо огромное - то,что надо! ;)
> 2Guest: покорнейше прошу не впадать в маразм.
> Если администратор сайта захочет зарезать тот же тор - значит туда такому сайту и дорога.Да нет, полностью согласен. Если уж при засилии вебмастеров-выродков у меня получается без проблем лазить по сети без флеша, какая-то база TOR нод... Тем не менее, вреда от базы больше чем пользы - я конкретно про возможность `другого' отношения к IP, где когда-то была/есть сейчас TOR нода. У меня дома, кстати, она вполне себе есть.
> На то человеку и дан разум - чтобы выбирать.
Презумпция разумности - путь к хаосу. Большинство все-таки идиоты, или, если угодно, идиот всегда найдется. Повторю аналогию про эксплойты.
> А то давайте еще все колюще-режущие предметы запретим, потому что ими убить можно.
> И еще все горючие и токсичные вещества - по понятным причинам.Провоз всего этого в общественном транспорте запрещен. Именно по этим причинам.
>> А то давайте еще все колюще-режущие предметы запретим, потому что ими убить можно.
>> И еще все горючие и токсичные вещества - по понятным причинам.
>
>Провоз всего этого в общественном транспорте запрещен. Именно по этим причинам.Означает ли это, что купленный мною в магазине кухонный нож я должен домой перемещать не в трамвае, троллейбусе, метро итд, а только пешком или на такси?
Вы в метро хотя бы ради любопытства правила читали? Запрещено провозить "без чехлов и надлежащей упаковки". Вот и тут.. без упаковки :)
А почему выбрали именно http для запросов? Ведь есть хорошо отлаженная система DNS rbl.
Для гибкости и удобства использования в программах, хотя если достаточное количество народа выскажется "за", то можно и подумать о DNSBL.
> # защиты серверов и контента от анонимного доступа,Все бы ничего кроме того что в половине случаев прокси, например, соксы запускаются на поломаном клиенте, собственно (обычно наивный виндусятник получивший порцию вирья например через дыру в IE или что там еще).Для, например, отсылки через него спама и прочая.Айпи при этом у юзверга вполне себе обычный, честный, провайдерский.И идиотов хватает у любого ISP - даже на русских айпи встречаются.Блочить это безусловно можно, но в конечном итоге - если у прова динамические адреса, в итоге постепенно под нож попадают левые юзеры кучами.С течением времени начинает давиться много легитимных юзеров.
Пример: у одного провайдера их же собственный SMTP не принимает почту с своих же айпи, потому что находит их в блэклистах.При том отправитель как правило ни в чем не виноват - виноват тот кто раньше айпи юзал.
Итого вижу два варианта: или любители анонимности пролезают или легитимные юзеры всасывают по полной.
Позвольте вас огорчить: мир, в котором мы все живем, несовершенен.Я уже изложил выше концепцию "правильного" провайдера. И хорошо бы было, если бы у тех, кто этому критерию не соответствует, отбирали бы лицензию. Желательно вместе со статусом AS, айпишниками и пирингом.
>> Позвольте вас огорчить: мир, в котором мы все живем, несовершенен.
>> Я уже изложил выше концепцию "правильного" провайдера. И хорошо бы было, если бы у тех, кто этому критерию не соответствует, отбирали бы лицензию. Желательно вместе со статусом AS, айпишниками и пирингом.А еще запретим взятки, коррупцию, проституцию и... Но так кишка тонка, то пока будем просто резать обычных юзеров. И вроде дело делаем - и молчат как скоты. Можно по измываться размышляя об идеале.
>Пример: у одного провайдера их же собственный SMTP не принимает почту с
>своих же айпи, потому что находит их в блэклистах.При том отправитель
>как правило ни в чем не виноват - виноват тот кто
>раньше айпи юзал.
>
>Итого вижу два варианта: или любители анонимности пролезают или легитимные юзеры всасывают
>по полной.виноват админ-идиот. SMTP сервер должен быть настроен таким образом, что если пользователь хочет авторизоваться, никаких проверок в dnsbl быть не должно. dnsbl должен работать только при пересылке почты сервер-сервер.
Все извращаются как хотят. Ip такие и сякие. Завтра все снова изменится, что дальше?.. Давно пора забыть про всяких ботов! Если идет атака с узла блокируй его на час, снова - на сутки... Наконец бот маскируется под пользователя. Существуют статистические алгоритмы. Существуют поведенческие алгоритмы. Сколько ботов генерирует события движения мышью?... Вместо того, чтобы изолировать дебилов от компьютера, мы их за него усаживаем! Какие там меры информационной безопасности, когда эти люди основ языка родного не знают. За программы типа TOR вообще в тюрьму пора сажать! Почему-то нормальные люди каждый день не ходят в масках... Безопасность личных данных... Какая безопасность! В подъезд заходить страшно. Гопники средь бела дня уже промышляют.Каждый хочет кушать и за деньги (или под угрозой расправы) продаст любые идеалы.
А глобальный мониторинг инета уже давно ведется. Давно пора ввести личностный мониторинг, по ДНК например.
>[оверквотинг удален]
>когда эти люди основ языка родного не знают. За программы типа
>TOR вообще в тюрьму пора сажать! Почему-то нормальные люди каждый день
>не ходят в масках... Безопасность личных данных... Какая безопасность! В подъезд
>заходить страшно. Гопники средь бела дня уже промышляют.
>
>Каждый хочет кушать и за деньги (или под угрозой расправы) продаст любые
>идеалы.
>
>А глобальный мониторинг инета уже давно ведется. Давно пора ввести личностный мониторинг,
>по ДНК например.таблетки принял?
>
>А глобальный мониторинг инета уже давно ведется. Давно пора ввести личностный мониторинг,
>по ДНК например.+1
ну как владельцам всяких дурных сервисов хочется, чтобы все пользователи, их количесвто и прочее открылись - да оно и понятно - сколько еще непаханного поля дурацкой "адресной" рекламы. А "безопасностью" - так, прикрываетесь. Правильно выше было сказано - злодеи и через "белые адреса" пролезут. А вот головняка полно обычным. Да и то,что народ часто сетью ходит через нат именно для безопасности - тут как-то забыли - правильно, мы же "адресную базу наполняем, что нам до плебеев"
Базой было бы интересно пользоваться, если бы она была локальной (скачиваемой).
Сдох проектик, базы не обновляют, ладно хоть сам еще пока пашет... Альтернативку бы...