Posted in应用

抓住proxy的现行:透析常见私建代理方式

2009年7月3日

  代理技术的出现的确给网络访问带来了很多意想不到得方便,多个用户可共用一条线路实现低成本的上网应用,大大增加了组网的灵活性,降低了通信费用的开销。而且通过代理服务器可以实现对网络访问的应用层的控制,直接可以控制用户访问的内容信息,增加了对网络访问的控制能力。但另一方面,代理服务器技术也让网管员们头痛不已,由于网络用户乱用代理服务器,网络中的资源访问权限变得不可控,给网络资源带来了安全隐患,特别是私接、盗接给通过网络运营的各类ISP们带来了很大的损失。

常见私建代理方式

  1、使用具备NAT功能的宽带路由器产品,此类产品通常内置PPPoE拨号、内置IP、MAC欺骗功能,使用方便,成本低廉,是目前使用最多的代理方式,家庭用户、商业用户、学校等用户都广泛采用;

  2、PC机安装双网卡,利用windows2000和windowsXP操作系统内置的internet连接共享功能来实现NAT,也可以作为代理服务器使用,此方式搭建简单,只需用户设置好本机IP、网关IP、DNS地址即可,但需要作为代理服务器的PC机24小时长时间开机运行,主要在学校和商业用户中常见;

  3、在双网卡上PC机上安装winproxy等专业代理软件可实现更为强大的代理功能,并具备对终端用户较强的控制和计时、监控功能。但是由于需要较强的专业知识,终端用户需要比较负责的配置,应用范围不广。

  以上三种代理方式中,90%的用户采用了前两种方式,如何以较低的成本、便捷的实现防代理功能是运营商最关心的问题。
  
常见防代理技术

  抓代理软件

  通过防代理软件来抓代理软件是一种有效的解决防法。网上应防范代理的需求出现了一些防范代理的软件,比如ProxyHunter等,其防范代理的原理主要是扫描提供代理服务的端口,比如8080、1888、8888等等。

  这种方法的优势在于易于实现,部署容易,缺点扫描的工作量很大,对设备要求比较高,特别是当端口号更改,用端口扫描的办法就很难发现,尤其是双网卡的代理服务,这种方式很难发现,很容易漏报。

通过认证系统抓代理
  
  目前主流的认证系统主要有PPPoE和802.1X等等,有些厂商借助于装在客户端的认证终端软件内置了对代理服务器软件和双网卡的的扫描功能来防止最终用户使用代理。

  这种方式的优势在于比较容易的防止认证用户使用代理服务,但缺点在于需要维护客户端,加了代理限制功能的客户端软件变得更加复杂,而且随着限制代理种类的增多,需要增加新的功能模块,所以可运营性、可维护性都比较差。并且客户端软件和系统的拨号服务、1394等互联服务容易产生冲突,另外,由于加了防代理功能,对系统的稳定性、硬件兼容性都会产生一定的影响,可用性也大大降低。

通过网络设备控制数据访问防范代理

  通过网络设备控制数据访问来防范代理有以下几种方式:

  1、通过流量计费的方式,来控制用户上网的数据流量。

  2、把扫描代理功能集成到网络设备中,来实现对代理的防范。从技术上讲可以实现,大大增加CPU的负担而导致系统很不稳定,并且容易受到病毒等恶意程序的攻击但会给网络设备带来很多潜在的不安全因素。

  3、在网络出口的路由器上限制TCP/UDP进程数量并配合ACL、NAT等技术,来对访问WEB页面的连接数或FTP连接数等的数量进行限制。

用交换机防代理

  1、使用三层交换机采用强制流分类功能实现对代理的防范。

  从前面的分析中可以了解到用户使用了代理后给网络带来的变化是网络数据访问的方向发生了变化,而强制流分类功能正是通过限制特定服务的数据按规定的“路线”传输而不是先访问代理服务器从而从根本上实现了对代理的防范。这种防范的原理如下:用户数据在一进入交换机以后就被交换机按照预先的配置针对不同的应用作强制的应用流分类并且转发到指定的端口,而不管这个应用访问的目的IP地址是什么,这样就确定了每个用户的每种关键应用的数据在整个网络中的转发路线。正是因为代理技术改变了数据流访问的方向,通过这种方式就可以避免非法代理的存在。

  采用的强制流分类的方式。这种情况主要发生在商业/企业用户,所以在商业/企业用户中,完全可以通过这种方式完全杜绝代理的问题,而且可以通过确定数据流访问的方向提供网络的安全性保障。

  启用强制流分类需要接入层和汇聚层提供高性能的三层交换机支持,但是在运营商网络建设中网络将区域扁平化,接入层和汇聚层的三层交换机的使用将越来越少,大容量二层设备的使用将增加,所以不太符合运营商网络发展的特点。

  2、采用综合措施。在二层交换机上,可以采用速率限制、IP连接数量限制、交换机端口和MAC地址绑定、认证系统的用户名、IP址、交换机端口的绑定等方式协同控制。

  接入层也可以采用不支持强制流分类的二层交换机,但此时必须在这个交换机上设置端口物理隔离,把信息全部强制送到可以做流分类的交换机上统一处理,在BRAS上利用多种安全策略将每个账号对应的速率限制、IP连接数量限制、交换机端口和MAC地址绑定、认证系统的用户名、IP址进行绑定,这样也可以实现对非法代理的防范。