Proxy-server - Proxy server

To datamaskiner tilkoblet via en proxy -server.  Den første datamaskinen sier til proxy -serveren: "spør den andre datamaskinen hva klokken er".
Kommunikasjon mellom to datamaskiner (vist i grått) koblet til via en tredje datamaskin (vist i rødt) som fungerer som en proxy -server. Bob vet ikke hvem informasjonen henvender seg til. Dette er grunnen til at fullmakter kan brukes for å beskytte personvernet.

I datanettverk er en proxy -server et serverprogram som fungerer som mellommann mellom en klient som ber om en ressurs, og serveren som tilbyr denne ressursen.

I stedet for å koble direkte til en server som kan oppfylle en forespurt ressurs, for eksempel en fil eller webside , leder klienten forespørselen til proxy -serveren, som evaluerer forespørselen og utfører de nødvendige nettverkstransaksjonene. Dette fungerer som en metode for å forenkle eller kontrollere kompleksiteten i forespørselen, eller gi ytterligere fordeler som lastbalansering, personvern eller sikkerhet. Fullmakter ble utviklet for å legge struktur og innkapsling til distribuerte systemer . En proxy -server fungerer dermed på vegne av klienten når den ber om tjeneste, og kan potensielt maskere den sanne opprinnelsen til forespørselen til ressursserveren.

Typer

En proxy -server kan ligge på brukerens lokale datamaskin, eller når som helst mellom brukerens datamaskin og destinasjonsservere på Internett . En proxy -server som sender uendrede forespørsler og svar, kalles vanligvis en gateway eller noen ganger en tunneling proxy . En fremadvendt proxy er en internettvendt proxy som brukes til å hente data fra et bredt spekter av kilder (i de fleste tilfeller hvor som helst på Internett). En omvendt proxy er vanligvis en internvendt proxy som brukes som front-end for å kontrollere og beskytte tilgangen til en server på et privat nettverk. En omvendt proxy utfører vanligvis også oppgaver som lastbalansering , autentisering , dekryptering og bufring .

Åpne fullmakter

Diagram over proxy -server koblet til Internett.
En åpen proxy -videresending forespørsler fra og til hvor som helst på Internett.

En åpen proxy er en proxy -server for videresending som er tilgjengelig for alle Internett -brukere. I 2008 anslår nettverkssikkerhetsekspert Gordon Lyon at "hundretusener" av åpne fullmakter opereres på Internett.

  • Anonym proxy - Denne serveren avslører sin identitet som en proxy -server, men avslører ikke den opprinnelige IP -adressen til klienten. Selv om denne typen server lett kan oppdages, kan det være gunstig for noen brukere ettersom den skjuler den opprinnelige IP -adressen .
  • Gjennomsiktig proxy - Denne serveren identifiserer seg ikke bare som en proxy -server, men med støtte fra HTTP -overskriftsfelt, for eksempel X-Forwarded-For, kan den opprinnelige IP -adressen også hentes. Den største fordelen med å bruke denne typen servere er dens evne til å cache et nettsted for raskere henting.

Omvendte fullmakter

En proxy -server som kobler Internett til et internt nettverk.
En omvendt proxy tar forespørsler fra Internett og videresender dem til servere i et internt nettverk. De som sender forespørsler, kobler seg til proxyen og er kanskje ikke klar over det interne nettverket.

En omvendt proxy (eller surrogat) er en proxy -server som for klienter ser ut til å være en vanlig server. Omvendt fullmakter videresender forespørsler til en eller flere vanlige servere som håndterer forespørselen. Svaret fra proxy -serveren returneres som om det kom direkte fra den opprinnelige serveren, og etterlot klienten ingen kunnskap om den opprinnelige serveren. Omvendte fullmakter er installert i nærheten av en eller flere webservere. All trafikk som kommer fra Internett og med en destinasjon til en av nabolagets webservere går gjennom proxy -serveren. Bruken av omvendt kommer fra sin motpart fremover -proxy siden omvendt proxy ligger nærmere webserveren og bare serverer et begrenset sett med nettsteder. Det er flere grunner til å installere omvendte proxy -servere:

  • Kryptering/SSL -akselerasjon: Når sikre nettsteder opprettes, utføres ofte SSL -kryptering ( Secure Sockets Layer ) ikke av webserveren selv, men av en omvendt proxy som er utstyrt med SSL -akselerasjonsmaskinvare. Videre kan en vert tilby en enkelt "SSL -proxy" for å tilby SSL -kryptering for et vilkårlig antall verter, og fjerne behovet for et separat SSL -serversertifikat for hver vert, med ulempen at alle verter bak SSL -proxyen må dele en vanlig DNS -navn eller IP -adresse for SSL -tilkoblinger. Dette problemet kan delvis løses ved å bruke SubjectAltName -funksjonen i X.509 -sertifikater.
  • Lastbalansering : omvendt proxy kan distribuere lasten til flere webservere, hver webserver betjener sitt eget applikasjonsområde. I et slikt tilfelle kan det hende at den omvendte proxyen må skrive om nettadressene på hver webside (oversettelse fra eksternt kjente URL -er til de interne stedene).
  • Server/lagre statisk innhold: En omvendt proxy kan laste ned webserverne ved å bufret statisk innhold som bilder og annet statisk grafisk innhold.
  • Komprimering : proxy -serveren kan optimalisere og komprimere innholdet for å øke hastigheten på lastetiden.
  • Skjeefôring: reduserer ressursbruken forårsaket av langsomme klienter på webserverne ved å bufret innholdet webserveren sendte og sakte "skjeen mate" det til klienten. Dette fordeler spesielt dynamisk genererte sider.
  • Sikkerhet: proxy-serveren er et ekstra forsvarslag og kan beskytte mot noen OS- og webserverspesifikke angrep. Imidlertid gir den ingen beskyttelse mot angrep mot webapplikasjonen eller tjenesten i seg selv, som vanligvis anses som den største trusselen.
  • Ekstranettpublisering: en omvendt proxy -server som vender mot Internett kan brukes til å kommunisere til en brannmurserver internt i en organisasjon, og gir ekstranett tilgang til noen funksjoner samtidig som serverne holdes bak brannmurene. Hvis den brukes på denne måten, bør sikkerhetstiltak vurderes for å beskytte resten av infrastrukturen din i tilfelle denne serveren blir kompromittert, ettersom webapplikasjonen utsettes for angrep fra Internett.

Bruker

Overvåking og filtrering

Innholdskontrollprogramvare

En innholdsfiltrerende webproxy-server gir administrativ kontroll over innholdet som kan videresendes i en eller begge retninger gjennom proxyen. Det brukes ofte i både kommersielle og ikke-kommersielle organisasjoner (spesielt skoler) for å sikre at Internett-bruk er i samsvar med retningslinjene for akseptabel bruk .

Innholdsfiltrerende proxy -servere støtter ofte brukerautentisering for å kontrollere nettilgang. Det produserer vanligvis også logger , enten for å gi detaljert informasjon om nettadressene som er tilgjengelige for bestemte brukere eller for å overvåke bruksstatistikk for båndbredde . Det kan også kommunisere til demonbasert og/eller ICAP -basert antivirusprogramvare for å gi sikkerhet mot virus og annen skadelig programvare ved å skanne innkommende innhold i sanntid før det går inn i nettverket.

Mange arbeidsplasser, skoler og høyskoler begrenser nettsteder og online -tjenester som er tilgjengelige og tilgjengelige i bygningene deres. Regjeringer sensurerer også uønsket innhold. Dette gjøres enten med en spesialisert proxy, kalt et innholdsfilter (både kommersielle og gratis produkter er tilgjengelige), eller ved å bruke en cache-forlengelsesprotokoll som ICAP , som tillater plug-in-utvidelser til en åpen hurtigbufrearkitektur.

Nettsteder som vanligvis brukes av studenter for å omgå filtre og få tilgang til blokkert innhold, inneholder ofte en proxy, som brukeren deretter kan få tilgang til nettstedene som filteret prøver å blokkere.

Forespørsler kan filtreres med flere metoder, for eksempel en URL- eller DNS -svarteliste , URL -regex -filtrering, MIME -filtrering eller filtrering av innholdssøkeord. Svartelister tilbys og vedlikeholdes ofte av nettfiltrerende selskaper, ofte gruppert i kategorier (pornografi, pengespill, shopping, sosiale nettverk, etc.).

Forutsatt at den forespurte nettadressen er akseptabel, hentes innholdet deretter av proxyen. På dette tidspunktet kan det brukes et dynamisk filter på returbanen. For eksempel kan JPEG -filer blokkeres basert på kjøtttonematcher, eller språkfiltre kan dynamisk oppdage uønsket språk. Hvis innholdet blir avvist, kan en HTTP -hentingsfeil returneres til forespørselen.

De fleste nettfiltreringsselskaper bruker en internettrobot som søker gjennom internett som vurderer sannsynligheten for at innhold er en bestemt type. Den resulterende databasen blir deretter korrigert av manuelt arbeid basert på klager eller kjente feil i algoritmene for innholdsmatching.

Noen fullmakter skanner utgående innhold, f.eks. For å forhindre datatap; eller skann innhold for skadelig programvare.

Filtrering av krypterte data

Webfiltrerende fullmakter er ikke i stand til å peer inne i sikre sockets HTTP-transaksjoner, forutsatt at tillitskjeden til SSL/TLS ( Transport Layer Security ) ikke har blitt manipulert. SSL / TLS chain-of-trust er avhengig av pålitelige rot sertifiseringsinstanser .

På en arbeidsplass hvor klienten administreres av organisasjonen, kan enheter konfigureres til å stole på et rotsertifikat hvis proxy -nøkkel er kjent med sin private nøkkel. I slike situasjoner blir proxy -analyse av innholdet i en SSL/TLS -transaksjon mulig. Proxyen driver effektivt et mann-i-midten-angrep , tillatt av klientens tillit til et rotsertifikat proxyen eier.

Omgå filtre og sensur

Hvis destinasjonsserveren filtrerer innhold basert på forespørselens opprinnelse, kan bruk av en proxy omgå dette filteret. For eksempel kan en server som bruker IP -basert geolokalisering for å begrense tjenesten til et bestemt land, få tilgang til en proxy som er lokalisert i det landet for å få tilgang til tjenesten.

Webmottakere er det vanligste middelet for å omgå offentlig sensur, selv om ikke mer enn 3% av Internett -brukerne bruker noen omgåelsesverktøy.

Noen proxy -tjenesteleverandører gir bedrifter tilgang til sitt proxy -nettverk for å omdirigere trafikk for business intelligence -formål.

I noen tilfeller kan brukere omgå proxyer som filtrerer ved hjelp av svartelister ved å bruke tjenester designet for å proxy-informasjon fra et sted som ikke er svartelistet.

Mange skoler blokkerer tilgang til populære nettsteder som Facebook. Studenter kan bruke proxy -servere for å omgå denne sikkerheten. Ved å koble til proxy -servere kan de imidlertid åpne seg for fare ved å sende sensitiv informasjon, for eksempel personlige bilder og passord, gjennom proxy -serveren. Noen innholdsfiltre blokkerer proxy -servere for å hindre brukerne i å bruke dem til å omgå filteret.

Logging og avlytting

Fullmakter kan installeres for å avlytte dataflyten mellom klientmaskiner og nettet. Alt innhold som sendes eller åpnes - inkludert innsendte passord og informasjonskapsler som brukes - kan fanges opp og analyseres av proxy -operatøren. Av denne grunn bør passord til elektroniske tjenester (for eksempel webmail og bank) alltid utveksles over en kryptografisk sikret forbindelse, for eksempel SSL. Ved å kjede proxyene som ikke avslører data om den opprinnelige forespørselen, er det mulig å skjule aktiviteter fra øynene til brukerens destinasjon. Imidlertid vil det bli igjen flere spor på mellomhumlen, som kan brukes eller tilbys for å spore brukerens aktiviteter. Hvis retningslinjene og administratorene for disse andre fullmaktene er ukjente, kan brukeren bli offer for en falsk følelse av sikkerhet bare fordi disse detaljene er ute av syne og sinn. I det som er mer ulempe enn risiko, kan proxy -brukere bli blokkert fra visse nettsteder, ettersom mange forum og nettsteder blokkerer IP -adresser fra proxyer som er kjent for å ha spammet eller trollet nettstedet. Proxy -sprett kan brukes for å opprettholde personvernet.

Forbedre ytelsen

En bufret proxy -server akselererer tjenesteforespørsler ved å hente innholdet som er lagret fra en tidligere forespørsel fra samme klient eller andre klienter. Caching -fullmakter beholder lokale kopier av ofte etterspurte ressurser, slik at store organisasjoner kan redusere bruken og kostnadene oppstrøms båndbredde og øke ytelsen betydelig. De fleste Internett -leverandører og store bedrifter har en hurtigbuffer. Caching -proxyer var den første typen proxy -server. Webmottakere brukes ofte til å cache websider fra en webserver. Dårlig implementerte caching -proxyer kan forårsake problemer, for eksempel manglende evne til å bruke brukerautentisering.

En proxy som er designet for å dempe spesifikke lenkerelaterte problemer eller degradering er en Performance Enhancing Proxy (PEP). Disse brukes vanligvis til å forbedre TCP- ytelsen i nærvær av høye rundturstider eller høyt tap av pakker (for eksempel trådløse eller mobiltelefonnettverk); eller svært asymmetriske lenker med svært forskjellige opplastings- og nedlastingshastigheter. PEP -er kan utnytte nettverket mer effektivt, for eksempel ved å slå sammen TCP ACK -er (kvitteringer) eller komprimere data som sendes på applikasjonslaget .

Oversettelse

En oversettelsesproxy er en proxy -server som brukes til å lokalisere en nettstedopplevelse for forskjellige markeder. Trafikk fra det globale publikum ledes gjennom oversettelsesproxyen til kildens nettsted. Når besøkende surfer på det nærliggende nettstedet, går forespørsler tilbake til kildesiden der sider gjengis. Innholdet på originalspråket i svaret erstattes av det oversatte innholdet når det går tilbake gjennom proxyen. Oversettelsene som brukes i en oversettelsesproxy kan enten være maskinoversettelse, menneskelig oversettelse eller en kombinasjon av maskinell og menneskelig oversettelse. Ulike oversettelses proxy -implementeringer har forskjellige muligheter. Noen tillater ytterligere tilpasning av kildesiden for det lokale publikummet, for eksempel å ekskludere kildeinnholdet eller erstatte kildeinnholdet med det originale lokale innholdet.

Reparere feil

En proxy kan brukes til automatisk å reparere feil i innholdet i det nærliggende. For eksempel instrumenterer BikiniProxy -systemet JavaScript -kode i farten for å oppdage og automatisk reparere feil som skjer i nettleseren. En annen form for reparasjon som kan utføres av en proxy er å fikse tilgjengelighetsproblemer.

Få tilgang til tjenester anonymt

En anonym proxy -server (noen ganger kalt en webproxy) prøver vanligvis å anonymisere websurfing. Anonymisatorer kan differensieres i flere varianter. Destinasjonsserveren (serveren som til slutt tilfredsstiller nettforespørselen) mottar forespørsler fra anonymiserende proxy -server og mottar dermed ikke informasjon om sluttbrukerens adresse. Forespørslene er imidlertid ikke anonyme for den anonymiserende proxy -serveren, og derfor er det en viss tillit mellom proxy -serveren og brukeren. Mange proxy -servere finansieres gjennom en fortsatt annonselink til brukeren.

Tilgangskontroll : Noen proxy -servere implementerer et påloggingskrav. I store organisasjoner må autoriserte brukere logge på for å få tilgang til nettet . Organisasjonen kan dermed spore bruk til enkeltpersoner. Noen anonymiserende proxy -servere kan videresende datapakker med overskriftslinjer som HTTP_VIA, HTTP_X_FORWARDED_FOR eller HTTP_FORWARDED, noe som kan avsløre IP -adressen til klienten. Andre anonymiserende proxy-servere, kjent som elite eller proxyer med høy anonymitet, får det til å se ut som proxy-serveren er klienten. Et nettsted kan fortsatt mistenke at en proxy brukes hvis klienten sender pakker som inneholder en informasjonskapsel fra et tidligere besøk som ikke brukte proxy-serveren med høy anonymitet. Å slette informasjonskapsler, og muligens hurtigbufferen, ville løse dette problemet.

QA geografisk målrettet annonsering

Annonsører bruker proxy -servere for å validere, kontrollere og kvalitetssikre geografiske målrettede annonser . En geotargeting-annonsetjener sjekker forespørselskildens IP-adresse og bruker en geo-IP-database for å bestemme den geografiske forespørselskilden. Ved å bruke en proxy -server som er fysisk plassert i et bestemt land eller en by, gir annonsører muligheten til å teste geografisk målrettede annonser.

Sikkerhet

En proxy kan holde den interne nettverksstrukturen til et selskap hemmelig ved å bruke oversettelse av nettverksadresser , noe som kan hjelpe sikkerheten til det interne nettverket. Dette gjør forespørsler fra maskiner og brukere på det lokale nettverket anonyme. Fullmakter kan også kombineres med brannmurer .

En feil konfigurert proxy kan gi tilgang til et nettverk som ellers er isolert fra Internett.

Ressurser på tvers av domener

Fullmakter tillater nettsteder å sende webforespørsler til eksterne ressurser (f.eks. Bilder, musikkfiler, etc.) når begrensninger på tvers av domener forbyr nettstedet å koble seg direkte til domenene utenfor. Fullmakter tillater også nettleseren å sende webforespørsler til eksternt vert innhold på vegne av et nettsted når begrensninger på tvers av domener (på plass for å beskytte nettsteder mot datatyveri) forhindrer nettleseren i å få direkte tilgang til domenene utenfor.

Ondsinnede bruksområder

Sekundærmarkedsmeglere

Sekundærmarkedsmeglere bruker webproxy -servere til å kjøpe store aksjer med begrensede produkter, for eksempel begrensede joggesko eller billetter.

Implementering av fullmakter

Web proxy -servere

Webmaktfullmektiger videresender HTTP -forespørsler. Forespørselen fra klienten er den samme som en vanlig HTTP -forespørsel bortsett fra at hele URL -adressen blir sendt, i stedet for bare banen.

GET https://en.wikipedia.org/wiki/Proxy_server HTTP/1.1
Proxy-Authorization: Basic encoded-credentials
Accept: text/html

Denne forespørselen blir sendt til proxy -serveren, proxyen angir forespørselen og returnerer svaret.

HTTP/1.1 200 OK
Content-Type: text/html; charset UTF-8

Noen webproxyer tillater HTTP CONNECT -metoden å sette opp videresending av vilkårlige data gjennom tilkoblingen. en felles policy er å bare videresende port 443 for å tillate HTTPS -trafikk.

Eksempler på webproxy -servere inkluderer Apache (med mod_proxy eller Traffic Server ), HAProxy , IIS konfigurert som proxy (f.eks. Med Application Request Routing), Nginx , Privoxy , Squid , Varnish (bare reverse proxy), WinGate , Ziproxy , Tinyproxy , RabbIT og Polipo .

For klienter løses problemet med komplekse eller flere proxy-servere med en klient-server Proxy auto-config- protokoll ( PAC-fil ).

SOCKS proxy

SOCKS videresender også vilkårlige data etter en tilkoblingsfase, og ligner HTTP CONNECT i webproxyer.

Gjennomsiktig proxy

Også kjent som en avlyttende proxy , innebygd proxy eller tvungen proxy , fanger en gjennomsiktig proxy normal kommunikasjon mellom applikasjonslag uten å kreve noen spesiell klientkonfigurasjon. Klienter trenger ikke å være klar over eksistensen av fullmakten. En gjennomsiktig proxy er vanligvis plassert mellom klienten og Internett, og proxyen utfører noen av funksjonene til en gateway eller ruter .

RFC  2616 (Hypertext Transfer Protocol — HTTP/1.1) tilbyr standarddefinisjoner:

"En" gjennomsiktig proxy "er en proxy som ikke endrer forespørselen eller svaret utover det som kreves for proxy -autentisering og identifikasjon". "En" ikke-gjennomsiktig proxy "er en proxy som modifiserer forespørselen eller svaret for å tilby noen ekstra tjeneste til brukeragenten, for eksempel gruppekommentarer, transformasjon av medietype, protokollreduksjon eller anonymitetsfiltrering".

TCP Intercept er en trafikkfiltrerende sikkerhetsfunksjon som beskytter TCP-servere mot TCP SYN-flomangrep , som er en type denial-of-service-angrep. TCP Intercept er bare tilgjengelig for IP -trafikk.

I 2009 ble det publisert en sikkerhetsfeil i måten transparente fullmakter opererer på, og Computer Emergency Response Team utstedte en veiledning med en rekke titalls berørte transparente og avskjærende proxy -servere.

Hensikt

Avlytting av fullmakter brukes ofte i bedrifter for å håndheve akseptabel brukspolicy, og for å lette administrative omkostninger siden ingen klientleserkonfigurasjon er nødvendig. Denne andre årsaken dempes imidlertid av funksjoner som Active Directory -gruppepolicy, eller DHCP og automatisk proxy -deteksjon.

Avlytting av fullmakter brukes også ofte av Internett -leverandører i noen land for å spare oppstrøms båndbredde og forbedre kundens responstid ved å bufre. Dette er mer vanlig i land der båndbredden er mer begrenset (f.eks. Øynasjoner) eller må betales for.

Problemer

Avledning/avskjæring av en TCP -tilkobling skaper flere problemer. Først må den opprinnelige destinasjons -IP -en og porten på en eller annen måte kommuniseres til proxyen. Dette er ikke alltid mulig (f.eks. Der gatewayen og proxyen ligger på forskjellige verter). Det er en klasse angreptvers av nettsteder som er avhengig av visse oppførselen til avskjærende fullmakter som ikke kontrollerer eller har tilgang til informasjon om den opprinnelige (avskjærte) destinasjonen. Dette problemet kan løses ved å bruke et integrert pakkenivå og applikasjonsnivå eller programvare som deretter kan kommunisere denne informasjonen mellom pakkebehandleren og proxyen.

Avlytting skaper også problemer for HTTP- autentisering, spesielt tilkoblingsorientert autentisering som NTLM , ettersom klientleseren mener at den snakker med en server i stedet for en proxy. Dette kan forårsake problemer der en avlyttende proxy krever autentisering, deretter kobler brukeren seg til et nettsted som også krever autentisering.

Til slutt kan avskjærende tilkoblinger forårsake problemer for HTTP -hurtigbuffere, ettersom noen forespørsler og svar blir utilgjengelige av en delt hurtigbuffer.

Implementeringsmetoder

I integrerte brannmur-/proxy -servere der ruteren/brannmuren er på samme vert som proxyen, kan den opprinnelige destinasjonsinformasjonen kommuniseres med en hvilken som helst metode, for eksempel Microsoft TMG eller WinGate .

Avlytting kan også utføres ved hjelp av Ciscos WCCP (Web Cache Control Protocol). Denne proprietære protokollen ligger på ruteren og er konfigurert fra hurtigbufferen, slik at hurtigbufferen kan bestemme hvilke porter og trafikk som sendes til den via gjennomsiktig omdirigering fra ruteren. Denne omdirigering kan skje på en av to måter: GRE -tunneling (OSI Layer 3) eller MAC -omskriving (OSI Layer 2).

Når trafikken når proxy -maskinen, utføres ofte avlytting med NAT (Network Address Translation). Slike oppsett er usynlige for klientleseren, men lar proxyen være synlig for webserveren og andre enheter på internettsiden av proxyen. Nyere Linux og noen BSD-utgivelser gir TPROXY (transparent proxy) som utfører IP-nivå (OSI Layer 3) gjennomsiktig avlytting og spoofing av utgående trafikk, og skjuler proxy-IP-adressen fra andre nettverksenheter.

Gjenkjenning

Flere metoder kan brukes for å oppdage tilstedeværelsen av en avskjærende proxy -server:

  • Ved å sammenligne klientens eksterne IP -adresse med adressen sett av en ekstern webserver, eller noen ganger ved å undersøke HTTP -overskriftene mottatt av en server. En rekke nettsteder har blitt opprettet for å løse dette problemet, ved å rapportere brukerens IP -adresse sett av nettstedet tilbake til brukeren på en webside. Google returnerer også IP -adressen sett av siden hvis brukeren søker etter "IP".
  • Ved å sammenligne resultatet av online IP -sjekkere når de åpnes ved hjelp av HTTPS vs HTTP, ettersom de fleste avskjærende fullmakter ikke fanger opp SSL. Hvis det er mistanke om at SSL blir avlyttet, kan man undersøke sertifikatet som er knyttet til et hvilket som helst sikkert nettsted. Rotsertifikatet bør indikere om det ble utstedt for å avskjære.
  • Ved å sammenligne sekvensen av nettverkshumle rapportert av et verktøy som traceroute for en proxy-protokoll som http (port 80) med den for en ikke-proxied protokoll som SMTP (port 25).
  • Ved å prøve å koble til en IP -adresse der det er kjent at det ikke er noen server. Proxyen vil godta tilkoblingen og deretter prøve å proxy den på. Når proxyen ikke finner noen server som godtar tilkoblingen, kan det returnere en feilmelding eller bare stenge tilkoblingen til klienten. Denne forskjellen i atferd er enkel å oppdage. For eksempel vil de fleste nettlesere generere en nettleserskapt feilside i tilfelle de ikke kan koble seg til en HTTP -server, men vil returnere en annen feil i tilfelle der tilkoblingen blir akseptert og deretter stengt.
  • Ved å betjene sluttbrukeren spesialprogrammerte Adobe Flash SWF-applikasjoner eller Sun Java-appleter som sender HTTP-anrop tilbake til serveren.

CGI -proxy

En CGI -webproxy godkjenner måladresser ved hjelp av et webskjema i brukerens nettleservindu, behandler forespørselen og returnerer resultatene til brukerens nettleser. Følgelig kan den brukes på en enhet eller et nettverk som ikke tillater at "sanne" proxy -innstillinger kan endres. Den første registrerte CGI -proxyen , den gang kalt "rover", men omdøpt i 1998 til " CGIProxy ", ble utviklet av den amerikanske informatikeren James Marshall tidlig i 1996 for en artikkel i "Unix Review" av Rich Morin.

De fleste CGI -proxyer drives av en av CGIProxy (skrevet på Perl -språket ), Glype (skrevet på PHP -språket ) eller PHProxy (skrevet på PHP -språket). Fra april 2016 har CGIProxy mottatt omtrent 2 millioner nedlastinger, Glype har mottatt nesten en million nedlastinger, mens PHProxy fortsatt mottar hundrevis av nedlastinger per uke. Til tross for avtagende popularitet på grunn av VPN -er og andre personvernmetoder, er det fra september 2021 fremdeles noen få hundre CGI -proxyer online.

Noen CGI -fullmakter ble opprettet for formål som å gjøre nettsteder mer tilgjengelige for funksjonshemmede, men har siden blitt stengt på grunn av overdreven trafikk , vanligvis forårsaket av en tredjepart som annonserer tjenesten som et middel for å omgå lokal filtrering. Siden mange av disse brukerne ikke bryr seg om sikkerhetsskaden de forårsaker, ble det nødvendig for organisasjoner å skjule sine fullmakter, og avsløre nettadressene bare for de som bry seg om å kontakte organisasjonen og demonstrere et ekte behov.

Suffiks proxy

En suffiksproxy gir en bruker tilgang til webinnhold ved å legge navnet på proxy -serveren til URL -en til det forespurte innholdet (f.eks. " En.wikipedia.org . SuffixProxy.com "). Suffix -proxyservere er enklere å bruke enn vanlige proxy -servere, men de tilbyr ikke høy anonymitet, og deres primære bruk er for å omgå webfiltre. Dette er imidlertid sjelden brukt på grunn av mer avanserte webfiltre.

Tor løk proxy -programvare

Skjermbilde av dataprogram som viser datamaskinplasser på et verdenskart.
Den Vidalia Tor-nettverkskartet.

Tor er et system som er ment å gi online anonymitet . Tor -klientprogramvare ruter internettrafikk gjennom et verdensomspennende frivillig nettverk av servere for å skjule en brukers datamaskinplassering eller bruk for noen som utfører nettverksovervåking eller trafikkanalyse . Bruk av Tor gjør det vanskeligere å spore Internett -aktivitet, og er ment å beskytte brukernes personlige frihet, personvern.

" Løkrouting " refererer til krypteringstjenestens lagdelte natur: De originale dataene krypteres og omkrypteres flere ganger, og sendes deretter gjennom påfølgende Tor-reléer, som hver dekrypterer et "lag" med kryptering før dataene sendes videre til neste stafett og til slutt destinasjonen. Dette reduserer muligheten for at de opprinnelige dataene blir kodet eller forstått under transport.

I2P anonym proxy

Det anonyme I2P -nettverket ('I2P') er et proxy -nettverk som tar sikte på online anonymitet . Det implementerer hvitløk ruting , noe som er en forbedring av Tor 's onion routing . I2P er fullt distribuert og fungerer ved å kryptere all kommunikasjon i forskjellige lag og videresende dem gjennom et nettverk av rutere som drives av frivillige på forskjellige steder. Ved å holde kilden til informasjonen skjult, tilbyr I2P sensurmotstand. Målet med I2P er å beskytte brukernes personlige frihet, personvern og evne til å drive konfidensiell virksomhet.

Hver bruker av I2P kjører en I2P -ruter på datamaskinen (node). I2P -ruteren tar seg av å finne andre jevnaldrende og bygge anonymiserende tunneler gjennom dem. I2P gir fullmakter for alle protokoller (HTTP, IRC , SOCKS , ...).

Sammenligning med nettverksadresseoversettere

Proxy -konseptet refererer til et lag 7 -program i OSI -referansemodellen . Network address translation (NAT) ligner en proxy, men opererer i lag 3.

I klientkonfigurasjonen av lag-3 NAT er konfigurering av gatewayen tilstrekkelig. For klientkonfigurasjonen av en lag 7 -proxy må imidlertid destinasjonen til pakkene som klienten genererer alltid være proxyserveren (lag 7), deretter leser proxy -serveren hver pakke og finner ut den sanne destinasjonen.

Fordi NAT opererer på lag-3, er det mindre ressurskrevende enn lag-7-proxy, men også mindre fleksibelt. Når vi sammenligner disse to teknologiene, kan vi støte på en terminologi kjent som 'gjennomsiktig brannmur'. Transparent brannmur betyr at proxyen bruker lag-7 proxy-fordelene uten klientens kunnskap. Klienten antar at gatewayen er en NAT i lag 3, og den har ingen anelse om innsiden av pakken, men gjennom denne metoden blir lag-3-pakkene sendt til lag-7-proxyen for undersøkelse.

DNS -proxy

En DNS -proxy -server tar DNS -forespørsler fra et (vanligvis lokalt) nettverk og videresender dem til en Internett -domenenavnserver. Det kan også bufret DNS -poster.

Fullmakter

Noen klientprogrammer "SOCKS-ify" -forespørsler, som gjør det mulig å tilpasse nettverksprogramvare for å koble til eksterne nettverk via visse typer proxy-servere (for det meste SOCKS).

Boligfullmektig

En boligproxy er en mellommann som bruker en ekte IP-adresse fra en Internett-leverandør (ISP) med fysiske enheter som mobiler og datamaskiner til sluttbrukere. I stedet for å koble direkte til en server, kobler boligproxy -brukere seg til målet via IP -adresser. Målet identifiserer dem deretter som organiske internettbrukere. Det lar ikke noe sporingsverktøy identifisere omdisponering av brukeren. Enhver proxy kan sende et hvilket som helst antall samtidige forespørsler og IP -adresser er direkte relatert til en bestemt region.

Se også

Referanser

Eksterne linker