Proxy server
Im Computernetzwerk, a Proxy Server ist ein Serveranwendung das wirkt als ein Vermittler zwischen a Klient anfordern a Ressource und der Server, der diese Ressource bereitstellt.[1]
Anstatt sich direkt mit einem Server zu verbinden, der eine Anfrage für eine Ressource erfüllen kann, z. B. eine Datei oder Website, Der Client leitet die Anforderung an den Proxy -Server, der die Anforderung bewertet und die erforderlichen Netzwerktransaktionen durchführt. Dies dient als Methode, um die Komplexität der Anfrage zu vereinfachen oder zu steuern oder zusätzliche Vorteile wie Lastausgleich, Privatsphäre oder Sicherheit zu bieten. Proxys wurden entwickelt, um Struktur hinzuzufügen und Verkapselung zu verteilte Systeme.[2] Ein Proxy -Server fungiert somit im Namen des Clients bei der Anforderung des Dienstes und maskiert möglicherweise den wahren Ursprung der Anforderung an den Ressourcenserver.
Typen
Ein Proxy -Server kann sich auf dem lokalen Computer des Benutzers oder zu jedem Zeitpunkt zwischen den Computer- und Zielservern des Benutzers befinden Internet. Ein Proxy -Server, der unmodifizierte Anforderungen und Antworten übergibt Tor oder manchmal a Tunnelproxy. Ein Forward-Proxy ist ein im Internet ausgerichteter Proxy, mit dem Daten aus einer Vielzahl von Quellen abgerufen werden (in den meisten Fällen überall im Internet). EIN Reverse Proxy ist normalerweise ein intern ausgerichteter Proxy, der als Front-End verwendet wird, um den Zugriff auf einen Server in einem privaten Netzwerk zu steuern und zu schützen. Ein umgekehrter Proxy führt üblicherweise auch Aufgaben aus, wie z. Lastverteilung, Authentifizierung, Entschlüsselung und zwischengespeichert.[3]
Offene Stellvertreter
Ein Offener Proxy ist ein Weiterleitung Proxy -Server, auf den jeder Internetbenutzer zugänglich ist. Im Jahr 2008, Experte für Netzwerksicherheit Gordon Lyon Schätzungen zufolge werden im Internet "Hunderttausende" offener Stellvertreter betrieben.[4]
- Anonymer Proxy - Dieser Server enthüllt seine Identität als Proxy -Server, gibt jedoch die Herkunft nicht weiter IP Adresse des Kunden. Obwohl diese Art von Server problemlos entdeckt werden kann, kann sie für einige Benutzer von Vorteil sein, da er die ursprüngliche IP -Adresse verbirgt.
- Transparenter Proxy - Dieser Server identifiziert sich nicht nur als Proxy -Server, sondern auch mit Unterstützung von HTTP -Headerfelder wie zum Beispiel
X-Forward-for
Die Ursprungs -IP -Adresse kann ebenfalls abgerufen werden. Der Hauptvorteil bei der Verwendung dieser Servertyp ist die Fähigkeit, eine Website für schnelleres Abrufen zwischenzuspeichern.
Reverse Proxies
Ein Reverse -Proxy (oder Ersatz) ist ein Proxy -Server, der den Clients als gewöhnlicher Server anscheinend erscheint. Reverse Proxies Weiterleiten Anfragen an einen oder mehrere gewöhnliche Server, die die Anfrage verarbeiten. Die Antwort des Proxy -Servers wird zurückgegeben, als ob er direkt vom ursprünglichen Server stammt, so dass der Client ohne Kenntnis des ursprünglichen Servers.[5] Reverse Proxies sind in der Nachbarschaft eines oder mehrerer Webservers installiert. Alle Datenverkehr aus dem Internet Und mit einem Ziel eines der Webserver der Nachbarschaft geht der Proxy -Server durch. Die Verwendung von umkehren stammt von seinem Gegenstück Forward Proxy Da der Reverse -Proxy näher am Webserver sitzt und nur einen eingeschränkten Websites bedient. Es gibt mehrere Gründe für die Installation von Reverse -Proxy -Servern:
- Verschlüsselung/SSL -Beschleunigung: Wenn sichere Websites erstellt werden, die Sichern Sie die Steckdose (SSL) Die Verschlüsselung erfolgt oft nicht vom Webserver selbst, sondern durch einen Reverse -Proxy, der mit SSL -Beschleunigungshardware ausgestattet ist. Darüber hinaus kann ein Host einen einzigen "SSL -Proxy" bereitstellen, um eine SSL -Verschlüsselung für eine willkürliche Anzahl von Hosts bereitzustellen und die Notwendigkeit eines separaten SSL -Serverzertifikats für jeden Host zu entfernen, mit dem Nachteil, dass alle Hosts hinter dem SSL -Proxy eine teilen müssen Common DNS -Name oder IP -Adresse für SSL -Verbindungen. Dieses Problem kann teilweise durch die Verwendung des Subjektname Merkmal von X.509 Zertifikate oder die SNI -Erweiterung von Tls.
- Lastverteilung: Der Reverse -Proxy kann das Laden auf mehrere Webserver verteilen, wobei jeder Webserver seinen eigenen Anwendungsbereich bedient. In einem solchen Fall muss der umgekehrte Stellvertreter möglicherweise die neu schreiben URLs In jeder Webseite (Übersetzung von extern bekannten URLs zu den internen Stellen).
- Statische Inhalte servieren/cache: Ein Reverse -Proxy kann die Webserver ausladen, indem statische Inhalte wie Bilder und andere statische grafische Inhalte zwischengespeichert werden.
- Kompression: Der Proxy -Server kann den Inhalt optimieren und komprimieren, um die Ladezeit zu beschleunigen.
- Spoon -Feeding: Reduziert die Ressourcennutzung, die durch langsame Clients auf den Webservern verursacht wird, indem der Inhalt zwischen dem Webserver gesendet und langsam an den Client "Löffel füttert". Dies profitiert insbesondere dynamisch erzeugte Seiten.
- Sicherheit: Der Proxy-Server ist eine zusätzliche Verteidigungsebene und kann vor einigen Betriebssystemen und Webserver-spezifischen Angriffen schützen. Es bietet jedoch keinen Schutz vor Angriffen gegen die Webanwendung oder den Dienst selbst, was im Allgemeinen als die größere Bedrohung angesehen wird.
- Extranet Publishing: Ein Reverse -Proxy -Server, der dem Internet gegenübersteht Extranet Zugriff auf einige Funktionen und halten Sie die Server hinter den Firewalls. Bei dieser Weise sollten Sicherheitsmaßnahmen in Betracht gezogen werden, um den Rest Ihrer Infrastruktur zu schützen, falls dieser Server kompromittiert wird, da seine Webanwendung dem Angriff aus dem Internet ausgesetzt ist.
Verwendet
Überwachung und Filterung
Inhaltskontrollsoftware
A Inhaltsfilterung Der Web -Proxy -Server bietet administrative Steuerung über den Inhalt, der über den Proxy in eine oder beide Richtungen weitergeleitet werden kann. Es wird üblicherweise sowohl in kommerziellen als auch in nichtkommerziellen Organisationen (insbesondere in Schulen) verwendet, um sicherzustellen, dass die Internetnutzung entspricht. Akzeptable Nutzungsrichtlinie.
Inhaltsfilterungs -Proxy -Server unterstützen häufig Benutzerauthentifizierung So steuern Sie den Webzugriff. Es produziert auch normalerweise Protokolleentweder um detaillierte Informationen zu den von bestimmten Benutzern zugegriffenen URLs zu geben oder zu überwachen Bandbreite Nutzungsstatistiken. Es kann auch kommunizieren Dämon-basierend und/oder ICAP-basierte Antivirensoftware, um Sicherheit gegen Virus und andere zu bieten Malware Durch das Scannen eingehender Inhalte in Echtzeit vor dem Eintritt in das Netzwerk.
Viele Arbeitsplätze, Schulen und Hochschulen beschränken Websites und Online -Dienste, die in ihren Gebäuden zugänglich und verfügbar sind. Die Regierungen zensieren auch unerwünschte Inhalte. Dies geschieht entweder mit einem speziellen Proxy, der als Inhaltsfilter bezeichnet wird (sowohl kommerzielle als auch kostenlose Produkte sind verfügbar), oder mithilfe eines Cache-Extension-Protokolls wie ICAP, das Plug-in-Erweiterungen auf eine offene Caching-Architektur ermöglicht.
Websites, die üblicherweise von Schülern verwendet werden, um Filter zu umgehen und auf blockierte Inhalte zuzugreifen, enthalten häufig einen Proxy, von dem der Benutzer dann auf die Websites zugreifen kann, auf die der Filter blockiert wird.
Anfragen können durch verschiedene Methoden gefiltert werden, wie z. URL oder DNS Blacklists, URL Regex -Filterung, MIME Filterung oder Inhaltsschlüsselwortfilterung. Blacklisten werden häufig von Webfilterunternehmen zur Verfügung gestellt und gepflegt, die häufig in Kategorien unterteilt (Pornografie, Glücksspiel, Einkaufsmöglichkeiten, soziale Netzwerke usw.).
Unter der Annahme, dass die angeforderte URL akzeptabel ist, wird der Inhalt dann vom Proxy abgerufen. Zu diesem Zeitpunkt kann ein dynamischer Filter auf den Rücklaufpfad angewendet werden. Zum Beispiel, JPEG Dateien können basierend auf Feshtone -Übereinstimmungen blockiert werden, oder Sprachfilter könnten unerwünschte Sprache dynamisch erkennen. Wenn der Inhalt abgelehnt wird, kann ein HTTP -Abruffehler an den Antragsteller zurückgegeben werden.
Die meisten Webfilterunternehmen verwenden einen internetweiten Crawling-Roboter, der die Wahrscheinlichkeit bewertet, dass Inhalte ein bestimmter Typ sind. Die resultierende Datenbank wird dann durch manuelle Arbeit korrigiert, basierend auf Beschwerden oder bekannten Fehler in den Inhalts-Anpassungsalgorithmen.
Einige Proxies -Scan -Ausgangsinhalte, z. B. zur Prävention von Datenverlust; oder scannen Sie Inhalte nach böswilliger Software.
Filterung verschlüsselter Daten
Webfilterproxies sind nicht in der Lage, sich in sicheren HTTP-Transaktionen in den sicheren Sockeln zu vergrößern, unter der Annahme, dass die Treue von SSL/TLS die Kette der Treue (TLS) (Transportschichtsicherheit) wurde nicht manipuliert. Die SSL/TLS-Kette des Trusts beruht auf einer vertrauenswürdigen Wurzel Zertifikatbehörden.
In einer Arbeitsplatzeinstellung, an der der Kunde von der Organisation verwaltet wird, können Geräte konfiguriert werden, um einem Stammzertifikat zu vertrauen, dessen privater Schlüssel dem Proxy bekannt ist. In solchen Situationen wird die Proxy -Analyse des Inhalts einer SSL/TLS -Transaktion möglich. Der Stellvertreter arbeitet effektiv a Mann-in-the-Middle-Angriff, durch das Vertrauen des Kunden eines Root -Zertifikats, das der Stellvertreter besitzt.
Umgang mit Filtern und Zensur
Wenn der Zielserver den Inhalt basierend auf dem Ursprung der Anforderung filtert, kann die Verwendung eines Proxy diesen Filter umgehen. Zum Beispiel ein Server verwendet IP-basierend Geolokalisierung Um seinen Dienst auf ein bestimmtes Land einzuschränken, kann mit einem in diesem Land befindlichen Stellvertreter zugegriffen werden, um auf den Service zuzugreifen.[6]: 3
Web -Proxys sind das häufigste Mittel zur Umgehung der staatlichen Zensur, obwohl nicht mehr als 3% der Internetnutzer irgendwelche Umfangsinstrumente verwenden.[6]: 7
Einige Proxy -Dienstanbieter ermöglichen Unternehmen den Zugang zu ihrem Proxy -Netzwerk, um den Verkehr für Business Intelligence -Zwecke zu leiten.[7]
In einigen Fällen können Benutzer Proxys umgehen, die mithilfe von Schwarzlisten mithilfe von Diensten filtern, die für Proxy-Informationen von einem nicht schwarzenlistigen Ort ausgestattet sind.[8]
Protokollierung und Abhören
Stellvertreter können installiert werden, um zu lauschen auf dem Datenfluss zwischen Client-Maschinen und Web. Alle gesendeten oder zugegriffenen Inhalte - einschließlich der eingereichten Passwörter und Kekse Gebraucht - kann vom Proxy -Operator erfasst und analysiert werden. Aus diesem Grund sollten Passwörter zu Online -Diensten (wie Webmail und Banking) immer gegen eine kryptografisch gesicherte Verbindung wie SSL ausgetauscht werden. Durch die Verkettung der Proxys, die keine Daten über den ursprünglichen Antragsteller enthüllen, ist es möglich, Aktivitäten aus den Augen des Benutzungsziels zu verschleiern. Weitere Spuren bleiben jedoch auf den Zwischenhopfen, die verwendet oder angeboten werden können, um die Aktivitäten des Benutzers zu verfolgen. Wenn die Richtlinien und Administratoren dieser anderen Stellvertreter unbekannt sind, kann der Benutzer einem falschen Sicherheitsgefühl zum Opfer fallen, nur weil diese Details außer Sichtweite und Verstand sind. In einer größeren Unannehmlichkeit als einem Risiko werden Proxy -Benutzer möglicherweise von bestimmten Websites als zahlreiche Foren und Websites blockiert Block IP -Adressen von Proxies, von denen bekannt ist Spam oder getrollt der Standort. Proxy -Bouncing kann verwendet werden, um die Privatsphäre aufrechtzuerhalten.
Verbessernde Leistung
A Caching Proxy Server beschleunigt Serviceanfragen, indem Sie die von einer früheren Anfrage gespeicherten Inhalte abrufen, die von demselben Client oder sogar anderen Clients gestellt wurden. Caching -Proxys halten lokale Kopien häufig angeforderter Ressourcen und ermöglichen es großen Unternehmen, ihre vorgelagerte Bandbreitennutzung und -kosten erheblich zu senken und gleichzeitig die Leistung erheblich zu steigern. Die meisten ISPs und großen Unternehmen haben einen Caching -Stellvertreter. Caching -Proxys waren die erste Art von Proxy -Server. Web -Proxys werden häufig verwendet Zwischenspeicher Webseiten von einem Webserver.[9] Schlecht implementierte Caching -Proxys können Probleme verursachen, z. B. die Unfähigkeit, die Benutzerauthentifizierung zu verwenden.[10]
Ein Stellvertreter, der spezifische Probleme mit Linkbezogener oder Verschlechterung mildern soll, ist a Leistungsverbesserte Proxy (Peps). Diese werden normalerweise zur Verbesserung verwendet TCP Leistung in Gegenwart von hohen Rundwegszeiten oder hohem Paketverlust (wie drahtloses oder Mobilfunknetzwerke); Oder hoch asymmetrische Links mit ganz anderen Upload- und Download -Preisen. PEPs können das Netzwerk effizienter nutzen, beispielsweise durch Zusammenführen von TCP ACKs (Bestätigungen) oder Komprimierungsdaten, die an der gesendet wurden Anwendungsschicht.[11]
Übersetzung
Ein Übersetzungs -Proxy ist ein Proxy -Server, mit dem eine Website -Erfahrung für verschiedene Märkte lokalisiert werden. Der Datenverkehr aus dem globalen Publikum wird über den Übersetzungsvertreter auf die Quellwebsite weitergeleitet. Während die Besucher die Stellvertreterseite durchsuchen, kehren die Anfragen zur Quellstelle zurück, auf der Seiten gerendert werden. Der ursprüngliche Sprachinhalt in der Antwort wird durch den übersetzten Inhalt ersetzt, wenn er durch den Proxy zurückgeht. Die in einem Translation Proxy verwendeten Übersetzungen können entweder maschinelle Übersetzung, menschliche Übersetzung oder eine Kombination aus Maschinen und menschlicher Übersetzung sein. Unterschiedliche Übersetzungs -Proxy -Implementierungen haben unterschiedliche Funktionen. Einige ermöglichen eine weitere Anpassung der Quellstelle für die lokalen Zielgruppen, z. B. den Ausschluss des Quellinhalts oder das Ersetzen des Quellinhalts durch den ursprünglichen lokalen Inhalt.
Reparaturfehler
Ein Proxy kann verwendet werden, um Fehler im stellvertretenden Inhalt automatisch zu reparieren. Zum Beispiel der JavaScript -Code des Bikiniproxy -Systems im laufenden Fall, um Fehler im Browser zu erkennen und automatisch zu reparieren.[12] Eine andere Art von Reparatur, die von einem Stellvertreter durchgeführt werden kann, besteht darin, Probleme mit Barrierefreiheit zu beheben.[13]
Zugriff auf Dienste anonym
Ein anonymer Proxy -Server (manchmal als Web -Proxy bezeichnet) versucht im Allgemeinen, Web -Surfen zu anonymisieren. Anonymizer kann in mehrere Sorten unterschieden werden. Der Zielserver (der Server, der letztendlich die Webanforderung erfüllt) erhält Anfragen vom Anonymisierungs -Proxy -Server und erhält daher keine Informationen über die Adresse des Endbenutzers. Die Anforderungen sind jedoch nicht anonym für den Anonymisierungs -Proxy -Server, und daher ist zwischen dem Proxy -Server und dem Benutzer ein gewisses Maß an Vertrauen vorhanden. Viele Proxy -Server werden durch einen fortgesetzten Werbeverbindungslink zum Benutzer finanziert.
Zugangskontrolle: Einige Proxy -Server implementieren eine Anmeldeanforderung. In großen Organisationen müssen sich autorisierte Benutzer anmelden, um Zugriff auf die Netz. Die Organisation kann dadurch die Nutzung für Einzelpersonen verfolgen. Einige anonymisierende Proxy -Server können weiterleiten Datenpakete Mit Header -Zeilen wie http_via, http_x_forwarded_for oder http_forded, die die IP -Adresse des Clients enthüllen kann. Andere anonymisierende Proxy-Server, die als Elite- oder High-Anonymity-Proxies bezeichnet werden, sehen den Anschein, dass der Proxy-Server der Client ist. Eine Website könnte weiterhin vermuten, dass ein Proxy verwendet wird, wenn der Client Pakete sendet, die einen Cookie aus einem früheren Besuch enthalten, der den Proxy-Server mit hoher Anonymität nicht verwendet hat. Das Löschen von Cookies und möglicherweise den Cache würde dieses Problem lösen.
QA Geotargeted Advertising
Werbetreibende verwenden Proxy -Server zur Überprüfung, Überprüfung und Qualitätssicherung von Geotrierte Anzeigen. Ein Geotargeting -AD -Server überprüft die IP -Adresse der Anfragequelle und verwendet a Geo-IP-Datenbank Um die geografische Quelle von Anfragen zu bestimmen.[14] Wenn Sie einen Proxy -Server verwenden, der sich physisch in einem bestimmten Land oder einer Stadt befindet, können Werbetreibende geotrateteed -Anzeigen testen.
Sicherheit
Ein Stellvertreter kann die interne Netzwerkstruktur eines Unternehmens durch Verwendung des Unternehmens geheim halten Netzwerkadressübersetzung, was dem helfen kann Sicherheit des internen Netzwerks.[15] Dies stellt Anfragen von Maschinen und Benutzern im lokalen Netzwerk anonym. Stellvertreter können auch mit mit Firewalls.
Ein falsch konfigurierter Proxy kann Zugriff auf ein aus dem Internet isoliertes Netzwerk ermöglichen.[4]
Cross-Domänen-Ressourcen
Mit Proxies ermöglichen Websites Websites, Webanfragen an extern gehostete Ressourcen (z. B. Bilder, Musikdateien usw.) zu stellen, wenn Cross-Domänen-Beschränkungen Verbot die Website, direkt mit den externen Domänen zu verlinken. Mit Proxies können der Browser auch Webanfragen für extern gehostete Inhalte im Namen einer Website stellen, wenn Cross-Domänen-Beschränkungen (vorhanden zum Schutz von Websites vor Datendiebstahl) den Browser verbieten, direkt auf die externen Domänen zuzugreifen.
Böswillige Verwendung
Sekundärmarktmakler
Sekundärmarktmakler verwenden Web -Proxy -Server, um die Beschränkungen für den Online -Kauf von begrenzten Produkten wie begrenzte Turnschuhe zu umgehen[16] oder Tickets.
Implementierungen von Proxies
Web -Proxy -Server
Web -Proxies vorwärts Http Anfragen. Die Anfrage vom Kunden ist der gleiche wie a Regelmäßige HTTP -Anfrage Außer der vollen URL wird anstelle des Weges bestanden.[17]
ERHALTEN https://en.wikipedia.org/wiki/proxy_server Http/1.1 Proxy-Autorisierung: Grundlegende codierte Kredite Annehmen: Text/HTML
Diese Anfrage wird an den Proxy -Server gesendet, der Proxy stellt die angegebene Anforderung und gibt die Antwort zurück.
Http/1.1 200 OK Inhaltstyp: Text/HTML; Charset UTF-8
Einige Web -Proxys erlauben das HTTP Connect Methode zur Einrichtung der Weiterleitung willkürlicher Daten über die Verbindung; Eine gemeinsame Richtlinie besteht darin, Port 443 zu leiten, um zuzulassen Https Verkehr.
Beispiele für Web -Proxy -Server umfassen Apache (mit mod_proxy oder Datenverkehrserver), Haproxy, Iis als Proxy konfiguriert (z. B. mit Anwendungsanforderung Routing), Nginx, Privoxie, Tintenfisch, Lack (nur umgekehrter Proxy), Wingate, Ziproxy, Tinyproxy, Kaninchen und Polipo.
Für Kunden wird das Problem komplexer oder mehrerer Proxy-Server von einem Client-Server gelöst Proxy Auto-Config Protokoll (PAC -Datei).
Sockenproxy
Socken Leiten Sie auch beliebige Daten nach einer Verbindungsphase weiter und ähneln HTTP Connect in Web -Proxys.
Transparenter Proxy
Auch als ein bekannt Proxy abfangen, Inline -Proxy, oder erzwungener Stellvertreter, ein transparenter Proxy stellt normal ab Anwendungsschicht Kommunikation ohne eine spezielle Clientkonfiguration. Kunden müssen sich der Existenz des Proxy nicht bewusst sein. Ein transparenter Proxy befindet sich normalerweise zwischen dem Kunden und dem Internet, wobei der Proxy einige der Funktionen von a ausführt Tor oder Router.[18]
RFC 2616 (Hypertext -Transferprotokoll - HTTP/1.1) bietet Standarddefinitionen:
"Ein 'transparenter Proxy' ist ein Proxy, der die Anforderung oder Antwort nicht über die für die Proxy -Authentifizierung und Identifizierung erforderliche Antwort übernimmt." "Ein" nicht transparenter Proxy "ist ein Proxy, der die Anforderung oder Antwort ändert, um dem Benutzeragenten einen zusätzlichen Service zu bieten, z.
TCP -Intercept ist eine Sicherheitsfunktion des Verkehrsfilters, die TCP -Server vor TCP schützt Syn -Flut Angriffe, die eine Art Ablehnung des Serviceangriffs sind. TCP -Intercept ist nur für den IP -Verkehr verfügbar.
Im Jahr 2009 wurde von Robert Auger ein Sicherheitsfehler in der Art und Weise veröffentlicht, wie transparenter Stellvertreter operiert wurde.[19] und das Computer -Notfall -Reaktionsteam gab ein beratendes Auflistung von Dutzenden von betroffenen transparenten und abnehmenden Proxy -Servern aus.[20]
Zweck
Abfangen von Proxys werden in Unternehmen häufig verwendet, um eine Richtlinien für akzeptable Nutzung durchzusetzen und administrative Gemeinkosten zu erleichtern, da keine Clientbrowserkonfiguration erforderlich ist. Dieser zweite Grund wird jedoch durch Merkmale wie Active Directory Group -Richtlinien oder gemildert, oder DHCP und automatische Proxyerkennung.
Die Abfangen von Proxys werden in einigen Ländern auch häufig von ISPs verwendet, um die vorgelagerte Bandbreite zu sparen und die Kundenreaktionszeiten durch Caching zu verbessern. Dies tritt häufiger in Ländern auf, in denen die Bandbreite eingeschränkter ist (z. B. Inselstaaten) oder für die Bezahlung.
Ausgaben
Die Umleitung/Abfangen einer TCP -Verbindung entsteht mehrere Probleme. Zunächst muss der ursprüngliche Ziel -IP und der ursprüngliche Port dem Proxy irgendwie mitgeteilt werden. Dies ist nicht immer möglich (z. B. wo sich das Gateway und der Proxy auf verschiedenen Hosts befinden). Es gibt eine Klasse von Cross-Site-Angriffe Dies hängt von einem bestimmten Verhalten ab, das Proxys abfasst, die keinen Zugriff auf Informationen über das ursprüngliche (abgefangene) Ziel überprüft oder haben. Dieses Problem kann durch die Verwendung einer integrierten Appliance oder einer Software auf Paketebene und Anwendungsebene behoben werden, die dann in der Lage ist, diese Informationen zwischen dem Pakethandler und dem Proxy zu kommunizieren.
Abfangen schafft auch Probleme für Http Authentifizierung, insbesondere verbindungsorientierte Authentifizierung, wie z. Ntlm, wie der Clientbrowser glaubt, dass er eher mit einem Server als mit einem Proxy spricht. Dies kann zu Problemen führen, bei denen ein Abschluss -Proxy eine Authentifizierung erfordert, und dann stellt der Benutzer eine Verbindung zu einer Website her, für die auch Authentifizierung erforderlich ist.
Schließlich kann das Abfangen von Verbindungen Probleme für HTTP -Caches verursachen, da einige Anfragen und Antworten durch einen gemeinsamen Cache unkachbar werden.
Implementierungsmethoden
In integrierten Firewall/Proxy -Servern, auf denen sich der Router/die Firewall auf demselben Host wie der Proxy befindet Microsoft TMG oder Wingate.
Abfangen können auch mit Cisco's durchgeführt werden WCCP (Web -Cache -Steuerungsprotokoll). Dieses proprietäre Protokoll befindet sich im Router und ist vom Cache konfiguriert, sodass der Cache feststellen kann, welche Ports und der Verkehr über eine transparente Umleitung vom Router gesendet werden. Diese Umleitung kann auf zwei Arten auftreten: GRE Tunneling (OSI -Schicht 3) oder Mac -Umschreiben (OSI -Schicht 2).
Sobald der Verkehr die Proxy -Maschine selbst erreicht hat, wird häufig mit NAT (Netzwerkadressübersetzung) ausgeführt. Solche Setups sind für den Client -Browser unsichtbar, überlassen den Proxy jedoch dem Webserver und anderen Geräten auf der Internetseite des Proxy. Jüngste Linux und einige BSD-Releases bieten TProxy (transparentes Proxy), das IP-Level (OSI Layer 3) transparentes Abfangen und Spoofing des ausgehenden Verkehrs ausführt und die Proxy-IP-Adresse vor anderen Netzwerkgeräten versteckt.
Erkennung
Es können verschiedene Methoden verwendet werden, um das Vorhandensein eines Abfangen -Proxy -Servers zu erkennen:
- Durch Vergleich der externen IP -Adresse des Clients mit der von einem externen Webserver angezeigten Adresse oder manchmal durch Untersuchung der von einem Server empfangenen HTTP -Header. Es wurden eine Reihe von Websites erstellt, um dieses Problem zu beheben, indem die IP -Adresse des Benutzers gemeldet wurde, wie von der Website an den Benutzer auf einer Webseite zurückzuführen ist. Google gibt auch die IP -Adresse zurück, die von der Seite angezeigt wird, wenn der Benutzer nach "IP" sucht.
- Durch den Vergleich des Ergebnisses von Online -IP -Checkern, wenn Sie mithilfe von HTTPS vs HTTP zugegriffen werden, können die meisten Abfangen Proxys SSL nicht abfangen. Wenn der Verdacht besteht, dass SSL abgefangen wird, kann das Zertifikat, das mit einer sicheren Website verbunden ist, untersuchen, das Stammzertifikat sollte angeben, ob es zum Abfangen ausgestellt wurde.
- Durch Vergleich der Abfolge von Netzwerkhopfen, die von einem Tool wie z. B. gemeldet wurden Traceroute Für ein proxiedes Protokoll wie HTTP (Port 80) mit dem für ein nicht abgestelltes Protokoll wie SMTP (Port 25).[21]
- Durch Versuch, eine Verbindung zu einer IP -Adresse herzustellen, bei der bekannt ist, dass es keinen Server gibt. Der Stellvertreter akzeptiert die Verbindung und versucht dann, sie zu stellten. Wenn der Proxy keinen Server für die Akzeptanz der Verbindung findet, kann eine Fehlermeldung zurückgegeben oder einfach die Verbindung zum Client geschlossen werden. Dieser Verhaltensunterschied ist einfach zu erkennen. Beispielsweise generieren die meisten Webbrowser eine von Browser erstellte Fehlerseite, in der sie keine Verbindung zu einem HTTP -Server herstellen können, aber einen anderen Fehler zurückgeben, wenn die Verbindung akzeptiert und dann geschlossen wird.[22]
- Durch das Servieren der Endbenutzer Speziell programmierte Adobe -Flash -SWF -Anwendungen oder Sun Java -Applets, die HTTP -Anrufe an ihren Server zurücksenden.
CGI -Proxy
A CGI Web -Proxy akzeptiert Ziel -URLs mit a Web-Formular Verarbeitet im Browserfenster des Benutzers die Anforderung und gibt die Ergebnisse an den Browser des Benutzers zurück. Infolgedessen kann es auf einem Gerät oder Netzwerk verwendet werden, das es nicht ermöglicht, "echte" Proxy -Einstellungen zu ändern. Der erste aufgezeichnete CGI -Proxy, der zu der Zeit "Rover" bezeichnet wurde, aber 1998 umbenannt wurde. "Cgiproxy",",[23] wurde Anfang 1996 von amerikanischer Informatiker James Marshall für einen Artikel in "Unix Review" von Rich Morin entwickelt.[24]
Die Mehrheit der CGI -Stellvertreter wird von einer von CGIPROXY angetrieben (geschrieben in der Perl Sprache), Glype (geschrieben in der Php Sprache) oder PHPROXY (in der PHP -Sprache geschrieben). Bis April 2016 hat Cgiproxy rund 2 Millionen Downloads erhalten. Glype hat fast eine Million Downloads erhalten.[25] Während PHPROXY immer noch Hunderte von Downloads pro Woche erhält.[26] Trotz des Nachlassens der Popularität[27] wegen VPNs und andere Datenschutzmethoden ab September 2021[aktualisieren] Es gibt noch ein paar hundert CGI -Stellvertreter online.[28]
Einige CGI -Proxys wurden für Zwecke eingerichtet, wie z. Websites zugänglicher machen für behinderte Menschen, aber seitdem geschlossen worden übermäßiger Verkehr, normalerweise verursacht durch a Drittanbieter Werbung für den Service als Mittel zur Umgehung der lokalen Filterung. Da viele dieser Benutzer sich nicht für den von ihnen verursachten Sicherheitenschaden interessieren, wurde es für Organisationen notwendig, ihre Stellvertreter zu verbergen, und die URLs nur an diejenigen offenbart, die sich die Mühe machen, die Organisation zu kontaktieren und ein echtes Bedürfnis zu demonstrieren.[29]
Suffix Proxy
Mit einem Suffix -Proxy kann ein Benutzer auf Webinhalte zugreifen, indem der Name des Proxy -Servers an die URL des angeforderten Inhalts angeht (z. B. "en.wikipedia.org.Suffixproxy.com"). Suffix -Proxy -Server sind einfacher zu bedienen als reguläre Proxy -Server, bieten jedoch keine hohe Anonymitätsniveaus und ihre primäre Verwendung ist die Umgehung von Webfiltern. Dies wird jedoch aufgrund fortschrittlicherer Webfilter selten verwendet.
Tor -Zwiebel -Proxy -Software
Tor ist ein System, das bereitstellen soll Online -Anonymität.[30] TOR Client -Software Routes über ein weltweites freiwilliges Netzwerk von Servern, um den Computerstandort eines Benutzers zu verbergen oder von jemandem zu verwenden, der dient Netzwerküberwachung oder Verkehrsanalyse. Die Verwendung von TOR erschwert die Verfolgung der Internetaktivität, schwieriger,[30] und soll die persönliche Freiheit der Benutzer, Privatsphäre, schützen.
"Zwiebelouting"Bezieht sich auf die geschichtete Natur des Verschlüsselungsdienstes: Die ursprünglichen Daten werden mehrmals verschlüsselt und neu verkleidet und dann durch aufeinanderfolgende Tor-Relais gesendet, von denen jede eine" Ebene "der Verschlüsselung entschlüsselt, bevor die Daten an das nächste Relay weitergegeben werden und letztendlich das Ziel. Dies verringert die Möglichkeit, dass die ursprünglichen Daten unterwegs oder verstanden werden.[31]
I2P Anonymous Proxy
Das I2P Anonymous Network ('I2p') ist ein Proxy -Netzwerk, das darauf abzielt Online -Anonymität. Es implementiert Knoblauchrouting, was eine Verbesserung des Zwiebelsouting von Tor ist. I2P ist vollständig verteilt und arbeitet, indem er alle Kommunikation in verschiedenen Ebenen verschlüsselt und sie durch ein Netzwerk von Routern weiterleitet, die von Freiwilligen an verschiedenen Orten betrieben werden. Indem I2P die Quelle der Informationen versteckt hat, bietet er Zensurresistenz. Ziel von I2P ist es, die persönliche Freiheit, Privatsphäre und Fähigkeit der Benutzer, vertrauliche Geschäfte zu führen, zu schützen.
Jeder Benutzer von I2P führt einen i2p -Router auf seinem Computer (Knoten) aus. Der I2P -Router kümmert sich darum, andere Kollegen zu finden und durch sie anonymisierende Tunnel zu bauen. I2P stellt Proxys für alle Protokolle zur Verfügung (HTTP, IRC, Socken, ...).
Vergleich zu Netzwerkadressenübersetzern
Das Proxy -Konzept bezieht sich auf eine Schicht 7 -Anwendung in der OSI -Referenzmodell. Netzwerkadressübersetzung (Nat) ähnelt einem Proxy, funktioniert jedoch in Schicht 3.
In der Client-Konfiguration von Layer-3-NAT ist die Konfiguration des Gateway ausreichend. Für die Client -Konfiguration eines Layer 7 -Proxy muss das Ziel der Pakete, die der Client generiert, jedoch immer der Proxy -Server sein (Layer 7), dann liest der Proxy -Server jedes Paket und findet das wahre Ziel heraus.
Da NAT bei Layer-3 arbeitet, ist es weniger ressourcenintensiv als der Layer-7-Proxy, aber auch weniger flexibel. Wenn wir diese beiden Technologien vergleichen, können wir auf eine Terminologie begegnen, die als "transparente Firewall" bezeichnet wird. Transparente Firewall bedeutet, dass der Proxy die Layer-7-Proxyvorteile ohne Kenntnis des Kunden verwendet. Der Client geht davon aus, dass das Gateway in Schicht 3 ein NAT ist, und es hat keine Vorstellung vom Inneren des Pakets, aber nach dieser Methode werden die Layer-3-Pakete zur Untersuchung an den Layer-7-Proxy gesendet.
DNS -Proxy
A DNS Proxy Server nimmt DNS -Abfragen aus einem (normalerweise lokalen) Netzwerk und leitet sie an einen Internet -Domain -Namensserver weiter. Es kann auch DNS -Datensätze zwischenspeichern.
Proxifierer
Einige Kundenprogramme "Socken-ify" -Anfragen,[32] Dies ermöglicht die Anpassung einer vernetzten Software, um eine Verbindung zu externen Netzwerken über bestimmte Arten von Proxy -Servern (hauptsächlich Socken) herzustellen.
Wohngegner
Ein Wohnproxy ist ein Vermittler, der eine reale IP -Adresse verwendet, die von einem bereitgestellt wird Internetdienstanbieter (ISP) mit physischen Geräten wie z. Handys und Computer von Endbenutzern. Anstatt sich direkt mit a zu verbinden Server, Wohngebiets -Proxy -Benutzer verbinden sich über IP -Adressen in Wohngebieten zum Ziel. Das Ziel identifiziert sie dann als organische Internetnutzer. Es lässt kein Tracking -Tool die Neuzuweisung des Benutzers identifizieren. Jeder Wohngegner kann eine beliebige Anzahl von gleichzeitigen Anforderungen senden, und IP -Adressen stehen in direktem Zusammenhang mit einer bestimmten Region.[33] Im Gegensatz zu regelmäßigen Wohnproxies, die die reale IP -Adresse des Benutzers hinter einer anderen IP -Adresse ausblenden, verbergen die Residential Proxies, auch als Backconnect -Proxies bezeichnet, die echte IP -Adresse des Benutzers hinter einem Pool von Proxies. Diese Proxies wechseln mit jeder Sitzung oder in regelmäßigen Abständen zwischen sich.[34]
Siehe auch
- Anwendung Firewall
- Gefangenes Portal
- Darknet
- Distributed Checksum Clearinghouse
- Kostenloser Proxy
- Internet -Privatsphäre
- Eine Liste von Proxies
- SMTP -Proxy
- Socken Ein alternatives Firewall -Traversal -Protokoll, das von vielen Anwendungen unterstützt wird
- Webbeschleuniger Dies erörtert Host-basierte HTTP-Beschleunigung
- Webcache
Verweise
- ^ Weltweite Web-Proxies, Ari Luotonen, April 1994
- ^ Shapiro, Marc (Mai 1986). Struktur und Einkapselung in verteilten Systemen: Das Proxy -Prinzip. 6. Internationale Konferenz über verteilte Computersysteme (ICDCs). Cambridge, MA, USA. S. 198–204. INRIA-00444651.
- ^ "Proxy -Server und Tunneling". MDN Web Docs. Abgerufen 6. Dezember 2020.
- ^ a b Lyon, Gordon (2008). NMAP -Netzwerkscanning. USA: unsicher. p. 270. ISBN 978-0-9799587-1-7.
- ^ "Vorwärts und umgekehrte Stellvertreter". httpd mod_proxy. Apache. Abgerufen 20. Dezember 2010.
- ^ a b "2010 Umfangsbericht der Nutzung des Umfangs" (PDF). Das Berkman Center for Internet & Society an der Harvard University. Oktober 2010.
- ^ "So überprüfen Sie, ob die Website abgelaufen ist oder weltweit arbeitet". Hostinger. 19. November 2019. Abgerufen 14. Dezember 2019.
- ^ "Verwenden einer Ninjaproxy, um einen gefilterten Proxy zu durchlaufen". Erweiterte Filtermechanik. TSNP. Archiviert von das Original am 9. März 2016. Abgerufen 17. September 2011.
- ^ Thomas, Keir (2006). Anfang Ubuntu Linux: Vom Anfänger zum Profi. Apress. ISBN 978-1-59059-627-2.
Ein Proxy -Server beschleunigt den Internetzugang, indem häufig auf Seiten zugegriffen wird
- ^ I. Cooper; J. Dilley (Juni 2001). Bekannte HTTP -Proxy/Caching -Probleme. Ietf. doi:10.17487/rfc3143. RFC 3143. Abgerufen 17. Mai 2019.
- ^ "Schichtung". Leistungsverstärkende Proxys, die zur Minderung von Verschlechterungsabbindungen bestimmt sind. Ietf. Juni 2001. p. 4. Sek. 2.1. doi:10.17487/rfc3135. RFC 3135. Abgerufen 21. Februar 2014.
- ^ Durieux, T.; Hamadi, Y.; Monperrus, M. (2018). "Vollautomatisiertes HTML- und JavaScript-Umschreiben zum Erstellen eines selbstheilenden Web-Proxy". 2018 IEEE 29. Internationales Symposium für Software Reliability Engineering (ISSRE). 2018 IEEE 29. Internationales Symposium für Software Relance Engineering (ISSRE). S. 1–12. Arxiv:1803.08725. doi:10.1109/issre.2018.00012. ISBN 978-1-5386-8321-7. S2CID 4268784.
- ^ Zhang, Xiaoyi; Ross, Anne Spencer; Caspi, Anat; Fogarty, James; Wobbrock, Jacob O. (2017). "Interaktionsproxies zur Laufzeitreparatur und Verbesserung der Zugänglichkeit mobiler Anwendungen". Verfahren der CHI -Konferenz 2017 zu menschlichen Faktoren in Computersystemen. 2017 CHI -Konferenz über menschliche Faktoren in Computersystemen. S. 6024–6037. doi:10.1145/3025453.3025846. ISBN 9781450346559. S2CID 20937177.
- ^ "Heiße Taktik für geoteilte Anzeigen auf Google & Bing". Oktober 2013. Abgerufen 7. Februar 2014.
- ^ "Firewall und Proxy Server Howto". tldp.org. Abgerufen 4. September 2011.
Der Proxy -Server ist vor allem ein Sicherheitsgerät.
- ^ "Sneaker Bot Supreme Proxy". Geosurf. Abgerufen 24. September 2017.
- ^ "Absolutform". HTTP/1.1 Nachrichtensyntax und Routing. Ietf. Juni 2014. p. 41. Sec. 5.3.2. doi:10.17487/rfc7230. RFC 7230. Abgerufen 4. November 2017.
Ein Client muss das Ziel-URI in absoluter Form als Anforderungsziel senden
- ^ "Transparente Proxy -Definition". ukproxyserver.org. 1. Februar 2011. archiviert von das Original am 1. März 2013. Abgerufen 14. Februar 2013.
- ^ "Socket -fähige Browser -Plugins führen zu transparentem Proxy -Missbrauch". Die Sicherheitspraxis. 9. März 2009. Abgerufen 14. August 2010.
- ^ "Schwachstellennotiz VU#435052". US -Zertifikat. 23. Februar 2009. Abgerufen 14. August 2010.
- ^ "Subversion Dev: transparente Proxy -Erkennung (wurde Re: EINLEITUNG_". Tracetop.SourceForge.net. Abgerufen 16. November 2014.
- ^ Wessels, Duane (2004). Tintenfisch die endgültige Anleitung. O'Reilly. pp.130. ISBN 978-0-596-00162-9.
- ^ Marshall, James. "Cgiproxy". Abgerufen 12. November 2018.
- ^ "Die Grenzen der Kontrolle" ". Juni 1996. Abgerufen 12. November 2018.
- ^ "Glype® Proxy -Skript". Glype.com. Archiviert von das Original am 3. Januar 2013. Abgerufen 17. Mai 2019.
- ^ "PHPROXY". SourceForge.
- ^ "Google Trends". Google Trends.
- ^ "Proxy -Statistiken :: Get proxi.es". GetProxi.es. Abgerufen 5. September 2021.
- ^ Estrada-Jiménez, José (März 2017). "Online -Werbung: Analyse von Datenschutzbedrohungen und Schutzansätzen". Computerkommunikation. 100: 32–51. doi:10.1016/j.com.2016.12.016. HDL:2117/99742.
- ^ a b Glater, Jonathan (25. Januar 2006). "Privatsphäre für Menschen, die ihre Navels nicht zeigen". Die New York Times. Abgerufen 4. August 2011.
- ^ Das Tor -Projekt. "Tor: Anonymität online". Abgerufen 9. Januar 2011.
- ^ Zwicky, Elizabeth D.; Cooper, Simon; Chapman, D. Brent (2000). Bauen von Internet -Firewalls (2. Aufl.). p.235. ISBN 978-1-56592-871-8.
- ^ Smith, Vincent (2019). GO Web Scraping Quick Start Guide: Implementieren Sie die Leistung von GO To Scrape und Crawl -Daten aus dem Web. Packt Publishing Ltd. ISBN 978-1-78961-294-3.
- ^ Keenan, James. "Was sind Wohngebiete?". SmartProxy.com. Abgerufen 26. Dezember 2021.