информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСетевые кракеры и правда о деле ЛевинаАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Неправда 14.08.06 13:21  Число просмотров: 2744
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Наличие прав подразумевает отсутствие анонимности, кроме
> анонимных, которые, как я писал выше имеют не высокую
> доступность.

Ни фига. Есть анонимные соксы, по недосмотру торчащие наружу.

> Далее рассматриваются не анонимные.

А зря.

> Я к тому, что цепочка не дает преимущества по анонимности.
> Тк стойкость системы определяется по слабому звену, а не по
> сумме стойкостей.

Чтобы добраться до инициатора цепочки, надо пройти ее всю. То есть именно преодолеть сумму стойкостей.

> Дальнее (по отношению к клиенту-пользователю) "звено"
> должно иметь инфо по клиенту (разрешенный ИП или
> логин/пароль), те собственник данного "звена" должен
> настроить право доступа и соотв знать клиента.

Или наоборот не настроить запреты. Если почитать любую доку по поиску проксей "для чайников", то первый совет: находите какого нибудь провайдера и узнаете данный ему диапазон IP-шников. Сканируете этот диапазон и может быть обнаруживаете проксю. Дело в том, что среди админов, как и среди программеров большинство - дебилы. Пров хочет поставить Squid для уменьшения трафика, но админ настраивает доступ не для внутренней подсетки, а для всех.

> Отдельный случай - несанкционированное получение
> управления над "звеном" и использование его для
> анонимности. Но и тут цепочка соксов не усиливает
> анонимность, тк коннект иницируется клиентом, а не
> предыдущем "звеном". И инфа о клиенте всегда будет (если не

Инициируется то клиентом, но в случае сокса это выглядит как будто клиент за NAT-ом. Не так уж просто найти внутренний IP-шник клиента, коннектящегося из-за NAT-а. Точно так же фиг найдешь клиента из-за сокса. А если соксов цепочка, то для вычисления надо пройти все соксы и поднять все логи.

> потрут логи, но пофиг логи с какой инфой тереть:-)) на
> последнем ("дальнем") "звене".

Если потереть логи на ЛЮБОМ из звеньев, то вычислить клиента будет уже не то, чтобы невозможно, но весьма трудно (ведь можно случайно наткнуться на другой конец соединения с хостом, на котором потерли логи).

> По ссылке инфа по соксам
<hacking>
Цепочки прокси и LAN 30.04.06 14:15  
Автор: jt Статус: Незарегистрированный пользователь
Отредактировано 30.04.06 14:17  Количество правок: 2
<"чистая" ссылка>
Здраствуйте.
Не могли бы вы подсказать как сделать так, чтобы весь трафик локальной сети, шел через цепочку прокси? Сервер может быть на любой платформе, мне главное, чтобы машины из сети не знали ничего этого, а на самом деле весь их трафик шел через чепочку проксей (для анонимности) или даже лучше через динамическую цепочку... Если не сложно, подскажите как это реализовать...
У меня были идеи ставить Win сервер как шлюз и ставить на него нечто вроде SocksChain/SocksCap но они работают с приложениями, а мне нужно со всем трафиком идущим в интернет...

Заранее спасибо.
Цепочки формируются прокси серверами. Если прокси сервер недоступен для конфигурирования, о цепочках нет смысла говорить. 01.05.06 13:23  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Анонимизировать весь трафик достаточно дорого. Выберите критические протоколы и заворачивайте их на бесплатные/платные анонимные прокси.
Динамически изменять можно прописав в настройках прокси парент прокси с соотв весовым коэф. При этом весовые коэф можно вычислять по доступности прокси (для халявных прокси). При халявных прокси их список можно парсить с сайта и вставлять в конфу локального прокси. Скрипт в шедуллере и перезапуск службы тем же скриптом.
Это справедливо только для HTTP-прокси 03.05.06 10:04  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
SOCKS позволяет проксировать любой протокол на любой порт. Снаружи SOCKS-прокси это выглядит как будто ты сидишь у него за NAT-ом. Собственно завернуть один SOCKS-туннель в другой SOCKS-туннель не представляет сложности (тут уже названа программа SocksChain)

2 jt:
Попробуй FreeCap ( http://www.freecap.ru/eng/ ), я не пробовал, но это фриварный аналог SocksCap/SocksChain. Может там и есть то, что тебе надо
"собственно завернуть один socks-туннель в другой socks-туннель не представляет сложности" но для этого надо имет право конфигуритить чужой прокси. 03.05.06 11:50  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
те прописать паренты по всей цепочке, для этого надо иметь соотв разрешения.
Иначе, через мой прокси, кто угодно сможет туннелироваться?:-)

Я юзаю СОКС прокси иногда напрямую из доунлоадер менеджеров или мозилы (когда надо обойти запрет на скачивание некоторых типов файлов). Но туннелировать весь трафик ИМХО накладно. В коммерческих дорого, а в халявных скорость и так не радует.

Если известны цепочки - их парентом можно прописать в настройке своего СОКС прокси и менять скриптом, как я писал выше. А для софта не умеющего работать напрямую с СОКС прокси - соксификаторы.
Или я чего то не понимаю или одно из двух 03.05.06 14:34  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> те прописать паренты по всей цепочке, для этого надо иметь
> соотв разрешения.
> Иначе, через мой прокси, кто угодно сможет
> туннелироваться?:-)

Ну да. Только не кто угодно (у SOCKS есть авторизация), а какой угодно протокол (в том числе и другой SOCKS). На то он и SOCKS.

Поправь меня, если я ошибаюсь. SOCKS предназначен для "прозрачной" проксификации ЛЮБЫХ протоколов. Пример с википедии:
Client to Socks Server: | 0x04 | 0x01 | 0x00 0x50 | 0x42 0x66 0x07 0x63 |

field 1: socks version number
field 2: command
field 3: network byte order port number
field 4: network byte order ip address

Server to socks client: | 0x00 | 0x5a | 0x00 0x50 |0x42 0x66 0x07 0x63 |

field 1: null byte
field 2: status
field 3: network byte order port number
field 4: network byte order ip address

This is a socks 4 request to connect to 66.102.7.99:80, the server replies with an "OK."

From this point on any data sent from the socks client to the socks server will be relayed to 66.102.7.99 and vice versa.

---

Последовательность действий:

1. Коннекчусь к первому SOCKS в цепочке и даю ему команду connect (0x1) на адрес:порт второго.
2. Если коннект установлен, то ВСЕ последующие данные будут проксироваться без малейших изменений.
3. Соответственно по этому установленному коннекту шлю ВТОРОМУ (естественно через первый) SOCKS-у в цепочке connect к адресу:порту третьего.

и т.д. до установления цепочки нужной длины.

Естественно, я исхожу из того, что для установления ПРЯМОГО (без цепочек) коннекта к каждому из этих проксей у меня есть права.

Объясни, что мне может помешать выстроить цепочку.
ре: Или я чего то не понимаю или одно из двух 11.08.06 15:01  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> Естественно, я исхожу из того, что для установления ПРЯМОГО
> (без цепочек) коннекта к каждому из этих проксей у меня
> есть права.

Наличие прав подразумевает отсутствие анонимности, кроме анонимных, которые, как я писал выше имеют не высокую доступность.

Далее рассматриваются не анонимные.

Я к тому, что цепочка не дает преимущества по анонимности. Тк стойкость системы определяется по слабому звену, а не по сумме стойкостей.
Дальнее (по отношению к клиенту-пользователю) "звено" должно иметь инфо по клиенту (разрешенный ИП или логин/пароль), те собственник данного "звена" должен настроить право доступа и соотв знать клиента.

Отдельный случай - несанкционированное получение управления над "звеном" и использование его для анонимности. Но и тут цепочка соксов не усиливает анонимность, тк коннект иницируется клиентом, а не предыдущем "звеном". И инфа о клиенте всегда будет (если не потрут логи, но пофиг логи с какой инфой тереть:-)) на последнем ("дальнем") "звене".

По ссылке инфа по соксам

Валентин Синицын (val AT linuxcenter DOT ru), "Универсальный прокси-сервер" - 04/05/2006
Неправда 14.08.06 13:21  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Наличие прав подразумевает отсутствие анонимности, кроме
> анонимных, которые, как я писал выше имеют не высокую
> доступность.

Ни фига. Есть анонимные соксы, по недосмотру торчащие наружу.

> Далее рассматриваются не анонимные.

А зря.

> Я к тому, что цепочка не дает преимущества по анонимности.
> Тк стойкость системы определяется по слабому звену, а не по
> сумме стойкостей.

Чтобы добраться до инициатора цепочки, надо пройти ее всю. То есть именно преодолеть сумму стойкостей.

> Дальнее (по отношению к клиенту-пользователю) "звено"
> должно иметь инфо по клиенту (разрешенный ИП или
> логин/пароль), те собственник данного "звена" должен
> настроить право доступа и соотв знать клиента.

Или наоборот не настроить запреты. Если почитать любую доку по поиску проксей "для чайников", то первый совет: находите какого нибудь провайдера и узнаете данный ему диапазон IP-шников. Сканируете этот диапазон и может быть обнаруживаете проксю. Дело в том, что среди админов, как и среди программеров большинство - дебилы. Пров хочет поставить Squid для уменьшения трафика, но админ настраивает доступ не для внутренней подсетки, а для всех.

> Отдельный случай - несанкционированное получение
> управления над "звеном" и использование его для
> анонимности. Но и тут цепочка соксов не усиливает
> анонимность, тк коннект иницируется клиентом, а не
> предыдущем "звеном". И инфа о клиенте всегда будет (если не

Инициируется то клиентом, но в случае сокса это выглядит как будто клиент за NAT-ом. Не так уж просто найти внутренний IP-шник клиента, коннектящегося из-за NAT-а. Точно так же фиг найдешь клиента из-за сокса. А если соксов цепочка, то для вычисления надо пройти все соксы и поднять все логи.

> потрут логи, но пофиг логи с какой инфой тереть:-)) на
> последнем ("дальнем") "звене".

Если потереть логи на ЛЮБОМ из звеньев, то вычислить клиента будет уже не то, чтобы невозможно, но весьма трудно (ведь можно случайно наткнуться на другой конец соединения с хостом, на котором потерли логи).

> По ссылке инфа по соксам
Они имеют низкое время работы, тяжело собрать хотя бы из... 14.08.06 14:14  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> > Наличие прав подразумевает отсутствие анонимности,
> кроме
> > анонимных, которые, как я писал выше имеют не высокую
> > доступность.
>
> Ни фига. Есть анонимные соксы, по недосмотру торчащие
> наружу.
Они имеют низкое время работы, тяжело собрать хотя бы из 3-х. Матрица недоступности следующего накладывется на предыдущего и в итоге получаем хотя бы 20-30% доступности, что маловато для комфортной работы.

>
> > Далее рассматриваются не анонимные.
>
> А зря.
Я наверное не точно выразился. Я имел ввиду платные прокси (к ним же можно и отнести дружественные, партнерские), которые будут настроены по факту оплаты (договора, не обязательно письменного), те информация о пользователе будет отличной от "0". Анонимность с точки зрения "следов" посещения на сайте - это вопрос настройки прокси и не в нашей компетенции.

>
> > Я к тому, что цепочка не дает преимущества по
> анонимности.
> > Тк стойкость системы определяется по слабому звену, а
> не по
> > сумме стойкостей.
>
> Чтобы добраться до инициатора цепочки, надо пройти ее всю.
> То есть именно преодолеть сумму стойкостей.
Для получения доступа к последнему звену, необходимо наличие информации о правах пользователя (иначе не пустит на прокси), чаще всего этого достаточно для идентификации узла, а далее пользователя.


> > Дальнее (по отношению к клиенту-пользователю) "звено"
> > должно иметь инфо по клиенту (разрешенный ИП или
> > логин/пароль), те собственник данного "звена" должен
> > настроить право доступа и соотв знать клиента.
>
> Или наоборот не настроить запреты. Если почитать любую доку
> по поиску проксей "для чайников", то первый совет: находите
> какого нибудь провайдера и узнаете данный ему диапазон
> IP-шников. Сканируете этот диапазон и может быть
> обнаруживаете проксю. Дело в том, что среди админов, как и
> среди программеров большинство - дебилы. Пров хочет
> поставить Squid для уменьшения трафика, но админ
> настраивает доступ не для внутренней подсетки, а для всех.
Этот случай я описал выше, про халявные прокси. Если есть у кого адресок сокс5 с 90% аптайма - отпишите плиз. Для осла надо, а то залочили крупняк серверов - теперь мало контактов. Теперь подключаюсь к неустойчивым халявным прокси, собираю контакты и возвращаюсь на мелкий открытый сервер. Для осла надо поддержка прокси connect.


>
> > Отдельный случай - несанкционированное получение
> > управления над "звеном" и использование его для
> > анонимности. Но и тут цепочка соксов не усиливает
> > анонимность, тк коннект иницируется клиентом, а не
> > предыдущем "звеном". И инфа о клиенте всегда будет
> (если не
>
> Инициируется то клиентом, но в случае сокса это выглядит
> как будто клиент за NAT-ом. Не так уж просто найти
> внутренний IP-шник клиента, коннектящегося из-за NAT-а.
> Точно так же фиг найдешь клиента из-за сокса. А если соксов
> цепочка, то для вычисления надо пройти все соксы и поднять
> все логи.
>
> > потрут логи, но пофиг логи с какой инфой тереть:-)) на
> > последнем ("дальнем") "звене".
>
> Если потереть логи на ЛЮБОМ из звеньев, то вычислить
> клиента будет уже не то, чтобы невозможно, но весьма трудно
> (ведь можно случайно наткнуться на другой конец соединения
> с хостом, на котором потерли логи).
Я к тому, что цепочка нафиг не нужна если тереть логи...
Да чистить цепочку сложней , чем один хост...
В общем согласен, просто пара замечаний 15.08.06 00:30  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Они имеют низкое время работы, тяжело собрать хотя бы из
> 3-х. Матрица недоступности следующего накладывется на
> предыдущего и в итоге получаем хотя бы 20-30% доступности,
> что маловато для комфортной работы.

Если нужен комфорт, то об анонимность уровня "цепочки сокс-проксей" придется забыть. И наоборот. А вот если действительно нужна анонимность (чаще всего для не совсем целей), то тут уж придется забыть о комфорте.

> Я к тому, что цепочка нафиг не нужна если тереть логи...
> Да чистить цепочку сложней , чем один хост...

Одно другому не мешает. Можно основательно потереть логи на одном, и затруднить путь, по которому до него добраться (поверхностным вычищением), а то и просто разнесением по разным странам
Проще найти "козла отпущения" и на нем настроить шлюз, чем... 20.08.06 02:46  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> > Я к тому, что цепочка нафиг не нужна если тереть
> логи...
> > Да чистить цепочку сложней , чем один хост...
>
> Одно другому не мешает. Можно основательно потереть логи на
> одном, и затруднить путь, по которому до него добраться
> (поверхностным вычищением), а то и просто разнесением по
> разным странам

Проще найти "козла отпущения" и на нем настроить шлюз, чем искать незакрытые и не стабильные прокси и получать контроль:-)
Re: "собственно завернуть один socks-туннель в другой socks-туннель не представляет сложности" но для этого надо имет право конфигуритить чужой прокси. 03.05.06 13:09  
Автор: jt Статус: Незарегистрированный пользователь
<"чистая" ссылка>
2 Garrick
Приветсвую, я начинающий, поэтому мне очень сильно не хватает грамотного собеседника, у меня есть много вопросов, которые зачастую некому задать, если у тебя есть время и желание помочь свяжись со мной пожалйста по мэйлу zet.account@gmail.com я бы очень хотел поговорить на эту тему...
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach