Wie man erkennt, wann Proxys lügen: Verifikation physischer Standorte von Netzwerk-Proxys mittels eines aktiven Geolokalisierungsalgorithmus

Wie man erkennt, wann Proxys lügen: Verifikation physischer Standorte von Netzwerk-Proxys mittels eines aktiven Geolokalisierungsalgorithmus

Menschen auf der ganzen Welt nutzen kommerzielle Proxys, um ihren tatsächlichen Standort oder ihre Identität zu verbergen. Dies kann aus verschiedenen Gründen erfolgen, einschließlich dem Zugriff auf gesperrte Informationen oder dem Schutz der Privatsphäre.

Aber wie vertrauenswürdig sind die Anbieter solcher Proxys, wenn sie behaupten, dass ihre Server in einem bestimmten Land angesiedelt sind? Diese Frage ist entscheidend, da sie bestimmt, ob bestimmte Dienste von Kunden, die sich um den Schutz ihrer persönlichen Informationen sorgen, genutzt werden können.

Eine Gruppe von amerikanischen Wissenschaftlern der Universitäten Massachusetts, Carnegie Mellon und Stony Brook hat veröffentlicht Untersuchung, in der das tatsächliche Standort der Server von sieben beliebten Proxy-Anbietern überprüft wurde. Wir haben eine kurze Zusammenfassung der wichtigsten Ergebnisse vorbereitet.

Einführung

Proxy-Betreiber stellen oft keine Informationen zur Verfügung, die die Genauigkeit ihrer Aussagen über den Standort ihrer Server bestätigen könnten. Datenbanken zur IP-Standortbestimmung bestätigen in der Regel die Werbeaussagen solcher Unternehmen, jedoch gibt es viele Hinweise auf Fehler in diesen Datenbanken.

Im Rahmen einer Untersuchung bewerteten amerikanische Wissenschaftler den Standort von 2269 Proxy-Servern, die von sieben Proxy-Anbietern in insgesamt 222 Ländern und Regionen betrieben werden. Die Analyse ergab, dass mindestens ein Drittel aller Server nicht in den Ländern lokalisiert ist, die die Unternehmen in ihren Marketingmaterialien angeben. Stattdessen befinden sie sich in Ländern mit günstigen und zuverlässigen Hosting-Angeboten: in Tschechien, Deutschland, den Niederlanden, Großbritannien und den USA.

Analyse der Serverstandorte

Kommerzielle VPN- und Proxy-Anbieter können die Genauigkeit von IP-zu-Standort-Datenbanken beeinflussen – Unternehmen haben die Möglichkeit zur Manipulation, etwa durch Bearbeitung von Standortcodes in Routerbezeichnungen. Letztlich können Marketingmaterialien eine große Anzahl von verfügbaren Standorten für Benutzer angeben, während die Server in Wirklichkeit aus Gründen der Kosteneffizienz und Betriebssicherheit physisch in einer begrenzten Anzahl von Ländern angesiedelt sind, obwohl die IP-zu-Standort-Datenbanken das Gegenteil behaupten.

Um den tatsächlichen Standort der Server zu überprüfen, verwendeten die Forscher einen Algorithmus zur aktiven Geolokalisierung. Mit diesem wurde die Roundtrip-Zeit des Pakets gemessen, das an den Server und andere bekannte Hosts im Internet gesendet wurde.

Dabei antworteten weniger als 10 % der getesteten Proxys auf das Pingen, und aus verständlichen Gründen konnten die Wissenschaftler keine Software zur Messung auf dem Server selbst ausführen. Sie hatten nur die Möglichkeit, Pakete über Proxys zu senden, sodass die Roundtrip-Zeit zu einem beliebigen Punkt im Raum die Summe der Zeit darstellt, die benötigt wird, damit das Paket vom Test-Host zum Proxy und vom Proxy zum Empfänger gelangt.

Wie man erkennt, wann Proxys lügen: Verifikation physischer Standorte von Netzwerk-Proxys mittels eines aktiven Geolokalisierungsalgorithmus

Im Rahmen der Studie wurde eine spezialisierte Software entwickelt, die auf vier Algorithmen zur aktiven Geolokalisierung basiert: CBG, Octant, Spotter und der hybride Octant/Spotter. Der Code der Lösung ist verfügbar auf GitHub weiterentwickelt.

Da man sich nicht auf IP-zu-Standort-Datenbanken verlassen konnte, verwendeten die Forscher für ihre Experimente eine Liste von Anker-Hosts aus RIPE Atlas – diese Informationen sind online verfügbar, werden kontinuierlich aktualisiert und die dokumentierten Standorte sind korrekt. Darüber hinaus senden die Hosts aus der Liste ständig Ping-Signale zueinander und aktualisieren die Roundtrip-Daten in einer öffentlichen Datenbank.

Die von den Wissenschaftlern entwickelte Lösung ist eine Webanwendung, die sichere (HTTPS) TCP-Verbindungen über den ungeschützten HTTP-Port 80 herstellt. Wenn der Server diesen Port nicht abhört, tritt nach einer Anfrage ein Fehler auf. Wenn der Server jedoch auf diesem Port lauscht, erhält der Browser eine SYN-ACK-Antwort mit einem TLS ClientHello-Paket. Dies führt zu einem Protokollfehler, und der Browser zeigt den Fehler nur nach dem zweiten Roundtrip an.

Wie man erkennt, wann Proxys lügen: Verifikation physischer Standorte von Netzwerk-Proxys mittels eines aktiven Geolokalisierungsalgorithmus

Auf diese Weise kann die Webanwendung die Zeit eines oder zweier Roundtrips messen. Ein ähnlicher Dienst wurde als Programm implementiert, das über die Befehlszeile ausgeführt wird.

Keiner der getesteten Anbieter gibt den genauen Standort ihrer Proxy-Server an. Höchstens werden Städte erwähnt, aber häufig gibt es nur Informationen über das Land. Selbst wenn eine Stadt genannt wird, können Missverständnisse auftreten – so untersuchten Forscher die Konfigurationsdatei eines Servers mit dem Namen usa.new-york-city.cfg, die Anweisungen für die Verbindung zu einem Server mit dem Namen chicago.vpn-provider.example enthielt. Somit kann nur die Zugehörigkeit des Servers zu einem bestimmten Land einigermaßen genau bestätigt werden.

Ergebnisse

Basierend auf den Testergebnissen mittels aktiver Geolokalisierung konnten die Forscher den Standort von 989 der 2269 IP-Adressen bestätigen. Bei 642 war dies nicht möglich, und 638 befinden sich definitiv nicht in dem Land, in dem sie gemäß den Zusicherungen der Proxy-Dienste sein sollten. Über 400 dieser falschen Adressen befinden sich tatsächlich auf demselben Kontinent wie das angegebene Land.

Wie man erkennt, wann Proxys lügen: Verifikation physischer Standorte von Netzwerk-Proxys mittels eines aktiven Geolokalisierungsalgorithmus

Die korrekten Adressen befinden sich in Ländern, die häufig für die Bereitstellung von Servern genutzt werden (ein Klick auf das Bild öffnet es in voller Größe).

Bei jedem der sieben getesteten Anbieter wurden verdächtige Hosts entdeckt. Die Forscher haben die Unternehmen um Stellungnahme gebeten, doch diese lehnten jegliche Kommunikation ab.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster