+ Новая дискуссия Люди в теме - 104 Рулевой - плюs
987

Урок о проксях (описание рабочей темы)

Действующие лица Ебай Любой интернет-магазин, интернет-аукцион, интернет-что-угодно, где продаются или покупаются реальные товары за электронные деньги. Палка Любой интернет-банк, любая платёжная система, там, где дело связано с деньгами, с реальными деньгами. Под палкой в тексте подразумевается любая платёжная система. Кардер Вася Главное действующее лицо урока. Желает скрыть свои следы в Сети. Дроп Петя Пояснения излишни. Ламер Боб Глупый америкос, который умеет включать и выключать свой компьютер и подключаться к интернету для очередной покупки на Ебай. Кратко о предмете Всякий хороший человек, прежде чем заняться своим нелёгким бизнесом в Сети, должен позаботиться о безопасности своей задницы. При работе в Сети Вы всегда обязательно оставляете следы. Ваша задача в ходе этого урока изучить способы, с помощью которых Ваши следы поведут совсем не к Вам, и чтобы вынюхать Ваше происхождение предполагаемому врагу было очень-очень трудно. Задача урока — рассказать о видах оставляемых в Сети следов, о видах прокси, которые эти следы позволяют скрыть, о способах пользования этими прокси и немного приятной сетевой теории, да не осудят меня премудрые сетевики-затейники. Терминология PROXY (англ. доверенность, передача голоса, полномочие) — функция сервера, позволяющая клиенту этого сервера работать от имени самого сервера, то есть подключаясь к прокси любого вида мы начинаем работать от имени этого прокси. Самая большая беда в прокси то, что многие из них приписывают к заголовку HTTP/HTTPS запроса или к заголовку письма записи, указывающие на использование прокси, и, хуже того, на Ваш сетевой адрес, что Вам совершенно не с руки. Поэтому нам придётся искать анонимные прокси или искажающие прокси, которые либо скрывают (теряют в неопределённости мирового континуума) Ваш адрес, либо передают неверную информацию о Вашем местонахождении. RELAY (англ. переключать, передавать, ретранслировать) — это функция практически любого прокси сервера, но обычно в разговоре сисадминов фраза со словом RELAY имеет почтовую тематику. Процесс релеинга (relaying) для почтовых серверов заключается в том, что письмо, переданное почтовому серверу для адреса, который находится не в его непосредственном ведении, не будет отброшено с отказом (relaying denied), а принято и переправлено по адресату (message accepted for delivery). Анонимные релеи (relays), так любимые некоторыми начинающими спамерами, тем и плохи, что через них пролезет практически любой спам, и от этого они давно все занесены в чёрный список открытых почтовых релеев (RBL, ORBS и прочие). RBL, ORBL, ORDB, ORBS, MAPS, SpamCop и прочие — чёрные списки открытых почтовых релеев и работающих в настоящее время спамеров, с которыми работают программы доставки почты на предмет «а не находится ли» и в зависимости от результата теста в доставке может быть отказано с примерно такой темой «xxx@xxx.xxx is blacklisted on xxxxx.xxx». FIREWALL (англ. огненная стена) — чудесное изобретение буржуйских сисадминов, ставится на сервер и не пропускает проходящие пакеты по тысяче различных признаков (например не пропускает всё или не пропускает запросы на порт 53 сервера службы имён). В последнее время появились карманные модели, работающие прямо на компьютере у кардера Васи. Одна из функций файрвола — маскарадинг. Используется при наличии «много» клиентов в локальной сети и одном внешнем адресе. При маскарадинге все исходящие подключения происходят как бы от имени «маскарадящего сервера», хотя сервер бдительно следит, чтобы ответные данные не перемешивались и попадали точно к запрашивающему клиенту. Эта схема похожа на обычный прокси с тем лишь отличием, что, как обычно, журналов такие сервера не ведут и работать через такой сервер будут все службы и протоколы, если они явно не запрещены администратором. Доступ изнутри таких сетей к внешним FTP возможен только при выборе опции пассивного FTP (passive ftp). За хулиганство с такого сервера обычно отвечает весь сервер и найти хулигана проблематично. Главным западлом в таких сетях может быть принудительное запихивание администратором исходящих запросов на порты 80, 3128, 8080 (обычные порты для HTTP серверов) чтобы проходили через местный прокси. Недостатки этого очевидны: владелец Вашего сервера имеет все журналы Ваших действий, поэтому избегайте таких сетей. Они легко обнаруживаются, когда прокси сервер, вписанный, куда следует, не работает, и всё равно светится Ваш адрес, а затем не работает второй, третий и т.д. IP ADDRESS — это такие 4 циферки, каждая от 0 до 255, разделённые точкой. Зная этот адрес умелые руки быстро найдут чей он, и тут же накатают телегу Вашему провайдеру с разными неприятными угрозами. Такая услуга для наших европейских адресов существует и имеет вполне конкретный адрес: http://www.ripe.net/ripencc/pub-services/db/whois/whois.html . Для штатовских и других адресов без помощи юниксовой команды whois или её суррогата под Windows не обойтись никак: whois xx.xx.xx.xx и чувствуете себя уже сухо и комфортно. Для пользования услугой RIPE напишите в поле для запроса «-L xx.xx.xx.xx», где группа хх — интересующий Вас адрес. Листая полученную распечатку ниже и ниже Вы узнаете, кто держатель указанного адреса вплоть до улицы, дома, квартиры и телефона. Понятно, что провайдер не регистрирует каждому своему клиенту такой адрес, поэтому точность поиска обычно ограничена провайдером. Но, имея пришедшую жалобу, уже упомянутые журналы дозвонов и Ваш договор об обслуживании, настучать вам по кумполу провайдер вполне сможет. А при давлении на него прекрасно всё выложит строгим дядям в чёрных костюмах и чёрных очках и будет 100% прав. Работая в интернете, вы имеете либо Ваш собственный IP адрес, закреплённый за Вами постоянно (о, счастливые выделенщики, некоторые спутниковые тарельщики и богачи, купившие постоянный адрес для дозвона!), либо динамически отведённый Вам из общей кучи опять таки внешний адрес (например, из семейства *.moscow.rol.ru), либо внутренний адрес, скрытый за файрволом (отличнейшая ситуация, когда отмазываться придётся всему провайдеру), а вы в тени десятка (сотни) подобных Вам можете спокойно продолжать хулиганить, но уже очень осторожно. Без внешнего адреса, Вашего собственного или адреса посредника, доступного по локальной сети, Вам в интернет не выбраться ни за что. Доказано многими поколениями сисадминов, павшими на неблагодатной почве серверных комнат и комнатушек молодых и бедных провайдеров. А уж если Вас за адрес ухватили, тут только отрываться с мясом и бежать, куда глаза глядят, пока не поймали. Виды оставляемых следов Всякая наша деятельность в Сети потенциально может контролироваться (и чаще всего контролируется и тщательно записывается) следующими участниками сети: 1. Вашим компьютером (всё тот же ослик IE, любимая Windows, журналы Вашей аськи). 2. Серверами Вашего провайдера (чаще всего таких серверов два, три и больше). 3. Посторонними прокси серверами, которыми Вы пользуетесь в ходе работы. 4. Конечными серверами (web, mail, FTP, news, ICQ, IRC и прочие), с которыми Вы имеете счастье иметь дело. Рассмотрим подробнее каждое звено цепочки: Ваш компьютер Об удалении следов с Вашего компьютера существуют статьи на сервере Планеты, при потребности могу описать этот процесс на следующих уроках. Факт, что Ваш компьютер самым тщательным образом записывает все Ваши похождения уже доказан и для борьбы с этим фактом есть соответствующие инструменты. Кроме того, Ваш компьютер, а речь идёт об OS Windows, любит докладывать всему миру кое-какие данные, которые Вы сами никому докладывать не собирались, например имя Вашего домена Windows (служба Сеть Microsoft Windows), имя работающего пользователя (сервер ident в Outlook Express) или списки открытых сетевых дисков (служба Сеть Microsoft Windows), установленные раскладки клавиатуры, регион, часовой пояс (такие вещи любят докладывать клиенты казино, как и всякие уважающие себя трояны), принимаемые кодировки для web-документов (поле Accept-Language в запросах Вашего IE). От всех бед защитит разве что виртуальный компьютер, запущенный в уголке Вашего экрана, в котором можно установить американскую Windows и сделать всё по-американски. В идеале, конечно, надо брать Opera или Mozilla, настраивать наименьший размер кеша и побольше кеш в памяти, работать, прикидываясь валенком с большой пометкой под трафарет Mozilla/4.0 (compatible; MSIE 5.0; Windows 98 ) и не отсвечивать. Что-то я углубляюсь. Так о чём я? Сервера Вашего провайдера На этих чудесных машинах может храниться (и хранится довольно долгое время) информация о времени работы, IP адресе дозвонившегося абонента, часто о размере прокачанных абонентом в обе стороны данных и тоже часто — определённый АОНом телефон звонящего. В особых случаях, когда у провайдера установлен закрытый на замок шкафчик ФСБ (укр. СБУ), то журналируется практически весь интересующий соответствующую службу трафик. К вопросу о безопасности данных можно вернуться на другом уроке, но тот факт, что все HTTP запросы и ответы, а также вся переписка ICQ проходит открытым текстом о чём-то может говорить. Журналы входящих звонков Журналы входящих звонков позволяют провайдеру по жалобе с IP адресом и абсолютным временем доступа определить логин и телефон, с которого производился доступ, а также по данным в договоре на коммутируемый доступ (диалап) должны быть написаны имя, фамилия, домашний адрес кардера Васи и другие пикантные подробности. По определённому модемом провайдера номеру телефона и телефонному справочнику города в мирное время обычно вычисляют людей, укравших пароль доступа и к ним приходят на чай дяди 2х2 и вежливо спрашивают, «а не работал ли ваш сын сегодня в интернете?» Бороться с этим можно только установкой анти-АОНа и покупкой карточки доступа или заключением договора на дропа Петю, существование которого в природе вообще поддаётся сильному сомнению. Действие анти-АОНа не проверял, поскольку являюсь 100% легальным счастливым обладателем выделенной линии с постоянным адресом. Надрать задницу мне (да и любому человеку с постоянным адресом) гораздо легче, чем диалапному кардеру Васе с адресом динамическим. Журналы прокси Вашего провайдера Вот уж самой большой глупостью будет сознательно «работать» через прокси Вашего провайдера. Работать, конечно, можно, но «работать» ни в коем случае. Отключайте все установки с провайдерскими прокси. Тем более при работе со вспомогательными прокси-программами Вам просто придётся переключаться на адрес Вашего прокси с провайдерского. Журналы почтового сервера Вашего провайдера Если Вы претендуете на роль самого неуловимого спамера, или хотя бы желаете скрыть своё настоящее лицо при отправке почты, Вам придётся отказаться от использования SMTP сервера, который записан на бумажке, выданной Вам при подключении к провайдеру. Сами обойдёмся. Имеются следующие способы доставки письма: • Отправка почты через бесплатный анонимный relay. • Доставка почты из Вашей любимой почтовой программы (для безопасности через цепочку SOCKS/HTTP прокси) прямо в ящик адресата, минуя все релеи. Такая доставка требует поиска сервера адресата (либо вручную, либо за Вас это сделает программка вроде ADR) и изменения SMTP адреса в настройках Вашей почты. Удобна для анонимной доставки единичных сообщений. Не вздумайте пользоваться Outlook, он светит всю, какую только можно, информацию в заголовках Ваших писем! Все прочие способы являются комбинацией двух указанных. Как узнать адрес почтового сервера например для bob@hotmail.com? Совсем несложно, если у Вас есть любая программа работы с DNS (в юниксах превосходно справляется команда dig, за что я обожаю её многие годы моей сетевой практики), их можно найти в избытке как для консоли Windows, так и с графическим интерфейсом. Если Вы счастливый обладатель доступа к юниксу или у Вас есть виндовая версия команды dig — поздравляю, ламер Боб уже попал на новое письмо. # dig hotmail.com mx Это мы написали часть адреса ламера Боба, которая после @ в его адресе. Что же мы видим? vasya@vasya.mtu.ru:~$ dig hotmail.com mx ;; > DiG 9.2.1 > hotmail.com mx ;; global options: printcmd ;; Got answer: ;; ->>HEADER
0