Minsken oer de hiele wrâld brûke kommersjele proxy's om har wiere lokaasje of identiteit te ferbergjen. Dit kin dien wurde om ferskate problemen op te lossen, ynklusyf tagong ta blokkearre ynformaasje of garandearjen fan privacy.
Mar hoe korrekt binne de oanbieders fan sokke proxy's as se beweare dat har servers yn in bepaald lân lizze? Dit is in fûneminteel wichtige fraach, wêrop it antwurd bepaalt oft in bepaalde tsjinst überhaupt brûkt wurde kin troch dy kliïnten dy't har soargen meitsje oer de beskerming fan persoanlike ynformaasje.
In groep Amerikaanske wittenskippers fan 'e universiteiten fan Massachusetts, Carnegie Mellon en Stony Brook publisearre , wêrby't de echte lokaasje fan 'e servers fan sân populêre proxy-providers kontrolearre waard. Wy hawwe in koarte gearfetting makke fan 'e wichtichste resultaten.
Ynlieding
Proxy-operators jouwe faak gjin ynformaasje dy't de krektens fan har oanspraken oer serverlokaasjes koe befestigje. IP-nei-lokaasje-databases stypje normaal de reklame-oanspraken fan sokke bedriuwen, mar d'r is genôch bewiis foar flaters yn dizze databases.
Tidens it ûndersyk beoardielje Amerikaanske wittenskippers de lokaasjes fan 2269 proxy-tsjinners eksploitearre troch sân proxy-bedriuwen en leit yn totaal 222 lannen en gebieten. De analyze liet sjen dat op syn minst in tredde fan alle servers net yn 'e lannen lizze dy't bedriuwen beweare yn har marketingmateriaal. Ynstee dêrfan lizze se yn lannen mei goedkeap en betroubere hosting: Tsjechje, Dútslân, Nederlân, it Feriene Keninkryk en de FS.
Server Lokaasje Analysis
Kommersjele VPN- en proxy-providers kinne ynfloed op de krektens fan IP-nei-lokaasje-databases - bedriuwen hawwe de mooglikheid om bygelyks lokaasjekoades yn routernammen te manipulearjen. As gefolch dêrfan kinne marketingmaterialen in grut oantal lokaasjes oanfreegje dy't beskikber binne foar brûkers, wylst yn 'e realiteit, om jild te besparjen en betrouberens te ferbetterjen, servers fysyk yn in lyts oantal lannen lizze, hoewol IP-nei-lokaasje-databases it tsjinoerstelde sizze.
Om de echte lokaasje fan 'e servers te kontrolearjen, brûkten de ûndersikers in aktyf geolokaasjealgoritme. It waard brûkt om de rûnreis te evaluearjen fan in pakket stjoerd nei de server en oare bekende hosts op it ynternet.
Tagelyk reagearje mar minder dan 10% fan 'e hifke proxy's op ping, en om foar de hân lizzende redenen koene wittenskippers gjin software útfiere foar mjittingen op 'e server sels. Se hiene allinich de mooglikheid om pakketten te stjoeren fia in proxy, dus in rûnreis nei elk punt yn 'e romte is de som fan' e tiid dy't it in pakket nimt om te reizgjen fan 'e testhost nei de proxy en fan' e proxy nei de bestimming.
Tidens it ûndersyk waard spesjalisearre software ûntwikkele basearre op fjouwer aktive geolokaasjealgoritmen: CBG, Octant, Spotter en hybride Octant/Spotter. Oplossing koade op GitHub.
Om't it ûnmooglik wie om te fertrouwe op de IP-nei-lokaasje-database, brûkten de ûndersikers foar de eksperiminten de RIPE Atlas-list fan ankerhosts - de ynformaasje yn dizze databank is online beskikber, wurdt konstant bywurke, en de dokuminteare lokaasjes binne boppedat korrekt. , de hosts út 'e list stjoere konstant ping-sinjalen nei elkoar en aktualisearje gegevens oer rûnreis yn' e iepenbiere databank.
Ûntwikkele troch oplossing wittenskippers, it is in web applikaasje dy't fêstiget feilige (HTTPS) TCP ferbinings oer de net befeilige HTTP haven 80. As de tsjinner net harket op dizze poarte, dan sil mislearje nei ien fersyk, lykwols, as de tsjinner harket op dizze poarte, dan sil de browser in SYN-ACK-antwurd ûntfange mei TLS ClientHello-pakket. Dit sil in protokolflater oansette en de browser sil de flater werjaan, mar pas nei de twadde rûnreis.
Op dizze manier kin in webapplikaasje ien of twa roundtrips tiid meitsje. In ferlykbere tsjinst waard ymplementearre as in programma lansearre fanút de kommandorigel.
Gjin fan 'e hifke providers iepenbiere de krekte lokaasje fan har proxy-tsjinners. Op syn bêste wurde stêden neamd, mar meastentiids is der ynformaasje allinich oer it lân. Sels as in stêd wurdt neamd, kinne ynsidinten foarkomme - ûndersikers ûndersochten bygelyks it konfiguraasjetriem fan ien fan 'e servers neamd usa.new-york-city.cfg, dy't ynstruksjes befette foar ferbining mei in server neamd chicago.vpn-provider. foarbyld. Dat, min of mear krekt, kinne jo allinich befestigje dat de tsjinner ta in spesifyk lân heart.
Resultaten
Op grûn fan 'e resultaten fan testen mei in aktyf geolokaasjealgoritme koene de ûndersikers de lokaasje fan 989 fan 2269 IP-adressen befestigje. Yn it gefal fan 642 koe dit net dien wurde, en 638 binne perfoarst net yn it lân wêr't se moatte wêze, neffens de assurances fan 'e proxy-tsjinsten. Mear dan 400 fan dizze falske adressen lizze eins op itselde kontinint as it ferklearre lân.
De juste adressen lizze yn 'e lannen dy't it meast brûkt wurde om servers te hostjen (klik op de ôfbylding om yn folsleine grutte te iepenjen)
Fertochte hosts waarden fûn op elk fan 'e sân testen providers. De ûndersikers sochten kommentaar fan 'e bedriuwen, mar wegeren allegear te kommunisearjen.
Boarne: www.habr.com