匿名プロクシは、止められないのか・・。 [sc](★0)
-
- 1
- あ
- 2001/07/14(土) 13:38
-
最近、プロクシ特有の環境変数を付加しないproxyが巷で流行ってます。
当然、匿名プロクシはプロクシ規制を素通りします。
しかも、個々のプロクシを一個一個止めても、世界中で1日に数千もの匿名プロクシが誕生しています。
事実上、プロクシの規制は不可能・・・。
なんか、いい方法知りませんか?
下の環境変数なんて、もう役に立ちましぇん。
なんか、画期的な方法を知っている方、教えてください。
HTTP_CACHE_CONTROL
HTTP_CACHE_INFO
HTTP_CLIENT_IP
HTTP_FORWARDED
HTTP_PRAGMA
HTTP_PROXY_CONNECTION
HTTP_SP_HOST
HTTP_TE
HTTP_VIA
HTTP_X_FORWARDED_FOR
-
- 34
- 2001/08/03(金) 20:20
-
結局1はタダのIP信者じゃないの?
-
- 35
- JAPU@コミケ準備
- 2001/08/03(金) 21:03
-
ORBS/MAPS に似たシステムで、
192.168.1.2 が open proxy なら
2.1.168.192.openproxy.example.com
のレコードが存在する、というシステムがあれば便利かなー と妄想中。
多分 Apache のモジュールは簡単に作れそう。
----
> IP信者
Internet Protocol 信者?
-
- 36
- むぎ茶
- 2001/08/03(金) 21:50
-
> しかも、個々のプロクシを一個一個止めても、世界中で1日に数千もの匿名プロクシが誕生しています。
「1日に数千」の根拠を教えてください。
┏━━━━━━━━━┓
┃('Д')y ─┛~~ ┃
┃むぎ茶 ┃
┃mugicha@360.cc ┃
┗━━━━━━━━━┛
-
- 38
- 東京kitty
- 2001/08/07(火) 07:44
-
風呂串野郎?
Windows98以後の奴なら、
wsh使ってデフォールトのメルアドと名前住所晒した上で記録だろ(ぷっ
-
- 40
- ナナ萌え(゚д゚)ウマー
- 2001/08/08(水) 01:20
-
>>1
規制せずに抜く方向で…
もてぃろんHTTP以外のプロトコルでね☆
-
- 41
- 2001/08/08(水) 03:25
-
>>40
そのサイトに逝く気失くすな
-
- 42
- JAPU@10/10は森沢優たんの誕生日でした
- 2001/10/14 10:30
-
>>35 で書いたシステム作り中ですよ。
http://www.opbl.org/
http://www.opbl.org/check.cgi
とりあえず今のところ1600個位の open-proxy を探し出してリストに入れています。
ORBS タイプのブラックリストを利用して弾くモジュールとして mod_access_rbl
ってのがあるのでそのまま使えそう。(mod_access の上位互換のようだ。)
http://www.blars.org/mod_access_rbl.html
これを使えば
<Limit POST>
order allow,deny
allow from all
deny via open.opbl.org
</Limit>
のようにして見るだけ (GET) は可能に出来る... はず。
Apache をいじれない人はCGIプログラムから、
if(gethostbyname((join ".", reverse split /\./, $ENV{REMOTE_ADDR}).".open.opbl.org")) {
die "串厨房逝ってよし!";
}
という感じで。
あ、ちなみにまだDNSには登録していません。
-
- 43
- 2001/10/14 11:01
-
あー、便利そうですね。
check.cgiで検査したホストは実際に確かめに行って、
OPEN PROXYだったら登録される感じですか?
-
- 44
- 電動ナナシ
- 2001/10/14 11:02
-
これは?
Proxy Checker
http://cache.jp.apan.net/proxy-checker/index-j.html
-
- 45
- JAPU@10/10は森沢優たんの誕生日でした
- 2001/10/14 11:12
-
>>43
そんな感じです。
query を random=ランダム文字列 として自分自身にアクセスさせて、
その場合はランダム文字列のMD5値を返すので自分で計算したMD5値と返された
MD5値が一致すれば open-proxy ってことで。
# 別にSHA1とかでもよいけど、たまたま入れておいたのが Digest::MD5 だっ
# たのでそれを利用。:-)
データベースから取り除く方法ですが、問題が修正された場合は再度チェック
をかけると自動的に取り除かれる仕組みになっています。
あー あとこの手のやつはデータ量が命なのでどんどん登録して下さい。
-
- 46
- JAPU@
- 2001/10/14 12:11
-
ということで、DNSに登録してみました。
192.168.12.34 が open-proxy なら、
34.12.168.192.open.opbl.org に対するAレコードが存在します。
ついでに TXT レコードには情報が入っています。
しかし、googleで「串リスト」みたいな単語を入力していると自分が串厨房に
なった気分だ。(笑)
評価キボンヌ。
、と。
-
- 47
- 2001/10/14 12:41
-
>>46
おれは評価する能力ないんでアレなんすけど、
これって2chの運営側の人に紹介してもいいの?
#2chで投稿毎のチェックに使われたりすると
#むっちゃ負荷かかりそう。
-
- 48
- 2001/10/14 13:54
-
>>47
#2chで投稿毎のチェックに使われたりすると
#むっちゃ負荷かかりそう。
そのためのDNS。使いまくっても最寄のサーバやら
リゾルバやらにどんどんキャッシュされてDoS攻撃の
ようにはならない…んですよね? >JAPUたん
-
- 49
- 2001/10/14 15:40
-
データベースには即座に登録されるんですか?
登録した直後にNS.ASUKA.NETへ問い合わせても
反映されてないみたいなんですが…
-
- 50
- 2001/10/14 17:09
-
つーか、投稿用フォームをJavaアプレットにすればいいやん
-
- 51
- 2001/10/14 17:12
-
つーか毎日凄まじい数の串が立ち上げられてるっていうのに
この方法じゃきりがないだろ。
-
- 52
- 2001/10/14 17:20
-
最近厨房でもパーソナルファイヤーウォール入れてるから、
別のプロトコル使って抜くのも無理だね
-
- 53
- 2001/10/14 17:24
-
>>49
反映されないね...
まだ稼働していないのかな?
-
- 54
- 2001/10/14 17:25
-
そう言う話では無いかと、とは言え51には同意だなあ
SMTPと比べると啓蒙が進んで無いような気がするね。
結局Adminの質の問題なんだよな・・・
-
- 55
- 2001/10/14 17:28
-
>>48
>使いまくっても最寄のサーバやら
>リゾルバやらにどんどんキャッシュされてDoS攻撃の
>ようにはならない…んですよね?
なるよ。
-
- 56
- 53
- 2001/10/14 17:42
-
いま見たらちゃんと反映された。
IPアドレスを逆にせずに調べてたYO!
自分の厨房ぶりにびっくり。
-
- 57
- 2001/10/14 17:47
-
これって逆にキャッシュされるのが問題じゃない?
オープンじゃなくなった串まで拒否されることもあり得る。
あとapacheにしても使えなくない?
アイディアは面白いけど実用性はないかな。
-
- 58
- 57訂正
- 2001/10/14 17:48
-
apacheにしても→apacheに設定しても
-
- 59
- 2001/10/14 18:34
-
JAPUです。
ネット喫茶からなので名前欄空白。
今のところ、即座に反映されるようにはなっていません。
そのうち cron で動かすようにするのでしばらく待ってください。
多分1時間に1回くらい。
あと、対策されたサーバがデータベースに残る問題に関しては、
定期的にリストをチェックする作戦で何とかします。
即座に反映されないのはまぁ仕方ないでしょう。
そういう問題点を考えてユーザが使う・使わないを選択すればよいです。
あと、きりが無いってのはまったくその通りで、
こういうサイト作ったのは「腐った設定しているとこういうのに登録されるぜ」
ということでアホな管理者に対して無言の圧力(啓蒙)ってこともあります。
まぁ、何にせよ結構実験的な要素も多いのでとりあえずやってみないと何とも言えない面も多いです。
# サーバと回線はそんなに強力ではないので、DNSのセカンダリ持ってくれるところも募集。
-
- 60
- 2001/10/14 18:41
-
がーん。
>>42のmod_access_rbl配布サイトを見にいこうとしたら
うちのプロバイダがspam基地のブラックリストに乗ってて
はじかれた。
-
- 61
- 2001/10/14 18:50
-
>こういうサイト作ったのは「腐った設定しているとこういうのに登録されるぜ」
>ということでアホな管理者に対して無言の圧力(啓蒙)ってこともあります。
全然圧力にならないと思うけど。無言じゃ伝わらんよ。
-
- 62
- 2001/10/14 19:06
-
イヤ、漏れは有ると思うね
ただORDBとかと違ってhttpの中継は被害?が小さいのがネックだろう
それでも解ってて何時までも設定直さないようなrootへの警告には
なるだろう。彼等は何かが出来なくなる事をとても嫌うからね
-
- 63
- 2001/10/14 19:19
-
しかしこういう原始的な串規制方法だと、
規制できる串は世界中に存在する串のせいぜい1割かそれ以下だろう。
串は毎日大量に生まれては死んでいくからね。
2chみたいに書き込みの際にポートスキャンする方が
はるかに高確率で串を弾けるよ。
-
- 64
- 62
- 2001/10/14 19:24
-
うーん、効率と言うより警告の意味合いかなあ
こう言う事をやってる団体?が有るからそこに登録されちゃうと
にっちもさっちも行かなくなるよー と言うお話で・・・
JAPUもそんな感じで言ってるんじゃ無いかな
でもSMTPと比べると被害が少なそうだよねぇ・・・・
-
- 65
- 62
- 2001/10/14 19:25
-
お!思いっきり呼び捨てにしてしもた ^^;
s/JAPU/JAPUさん/;
-
- 66
- 2001/10/14 19:38
-
一気に低レベルな話題になるけど
KENTとか大手の配布サイトのスクリプトに
このopen-proxyチェックを組み込んでもらって
ばしばし串をはねさせると、そこのプロバイダユーザ経由で
サーバ管理者への圧力が増すかもー?
(1ヘクトパスカルぐらい)
-
- 68
- 2001/10/14 19:47
-
実際に串を通してみている点に関しては、2chよりも
信頼できるんじゃないかなぁ。
以前の(今も?)2chのチェックって、connect()
できるか否かだけで判断してたと思う。
-
- 69
- 63
- 2001/10/14 20:00
-
>>68
2chはオープンでない串まで必要以上に規制してるけど、
それでもかなりの高確率でオープンな串を弾ける。
でもここで提案されてるような串を人手で登録していくという原始的な方法だと
登録されていない串の方が圧倒的に多くなる。
掲示板で書き込む際にこういう串データベースを参照して串を弾く方法は
以前から行われていたけど、
結局この方法だとほとんど対応し切れなくて
串規制の方法としては流行っていないのが現状だ。
そういう現状から、2chがデータベースを参照するのではなくて
ポートスキャンによってを串規制をする手法を取り入れたという事実がある。
つまりデータベースで串規制するのはナンセンスなんだよ。
-
- 70
- 2001/10/14 20:04
-
だから64の意見が(以下無限ループ
-
- 71
- JAPU@
- 2001/10/14 20:26
-
ただいま。
えーと人手に頼る手法は〜云々に関しては
「今までそれぞれが勝手にやってきたから、有効な数だけ集まらなかった。でも、この方式で一つのリストをみんなで維持してみんなで使っていけばそれなりの品質は維持できる」
ってのが答えになるでしょうか。ダメ?
指摘のように結局うまくいかなくて終わっちゃうかもしれないし、もしかしたらうまくいくかもしれない。まぁ、とりあえずやってみましょう的な実験的要素のでかい試みだと思ってください。(即座に実用になることを求めちゃダメよん。)
2chで使うようになるとかいう話なら2chの方でもセカンダリ持ったりと協力してほしいなぁ。
# とりあえず生暖かい目で見守ってください。(笑)
-
- 72
- 2001/10/14 20:28
-
ジャプてふ← イイ(・∀・)!
-
- 73
- 2001/10/14 20:28
-
>>70
警告したければ直接言わなきゃわかんないよ。
-
- 74
- 2001/10/14 20:34
-
64はORDBと比べてるのでは? ORDBから警告は来ないでしょ?
ORDBに付いては省略 w
何れにしても遠い道のりで有る気はするけど
-
- 75
- 2001/10/14 20:40
-
>>71
>この方式で一つのリストをみんなで維持してみんなで使っていけばそれなりの品質は維持できる
それは甘いね。
そんな面倒なこと誰も協力しないよ。
利用者から金を取って商売にすれば?
-
- 76
- 2001/10/14 20:44
-
(´-`).。oO(批判屋さんがいるな・・・出来れば改善案のポインタなんかが欲しいな・・・・)
-
- 77
- 2001/10/14 21:41
-
SPAMの第三者中継を許すサーバをリストアップするプロジェクトもあったね。
あとこれとか。
『Nimda』や『コード・レッド』を捕らえる簡単ツール(上)
http://www.hotwired.co.jp/news/news/technology/story/20010920301.html
-
- 78
- 2001/10/14 21:42
-
これは確実に悪用されるな・・・。
こういうプログラムは一般に公開しないほうがいいぞ。>JAPU
-
- 79
- 2001/10/14 21:55
-
>>78
JAPU氏は情報を悪用するやつより、無能な管理者がきらいっぽいから
そんなこと言っても無駄。彼のサイトのSecurity Advisary見れ。
警告して猶予期間がすぎてなお改善しないCGIスクリプトは
容赦なく晒されている。
-
- 80
- 79
- 2001/10/14 21:58
-
あれ?プログラム自体の公開ってことか。
そりゃそうですね。すんません。>78
-
- 81
- 2001/10/14 22:04
-
まずはZDなどのニュースサイトに取り上げられないとな。
-
- 82
- 2001/10/14 22:18
-
スパムの場合、実際不正中継によって真っ当なサーバのスプールが爆発したりとか
被害も大きいからね、その分DBを参照する意味がある。
httpだと精々BBS荒らしたりする位だから、参照される側にどれだけ広まるかが問題だよね
でもいい加減こう言う機関が出来てもいい、、気がする
-
- 83
- 2001/10/14 22:28
-
プレスリリースはいつ流すの?
-
- 84
- 2001/10/14 22:34
-
ttp://www.ansi.co.jp/tech/cgi/security/
>より安全なCGIプログラムを作成するための手引き
こんな誰にでもポートスキャンを許すようなCGIを公開している人間が
セキュリティを語るなんて、JAPUってホントに笑わせてくれるね。
某鯖でポート番号1からポートスキャンしてみたら
すっごく時間かかったけどちゃんとできたよ。
今後も使わせてもらうね>JAPU
このページを共有する
おすすめワード