Проксі-суддя

Проксі-суддя (proxy judge) — це серверний скрипт або сервіс, призначений для перевірки HTTP-заголовків, що надсилаються клієнтом через проксі, виявляючи оригінальну IP-адресу клієнта та ідентифікуючі деталі про проксі для визначення його рівня анонімності.

Що таке Проксі-суддя?

Проксі-суддя функціонує як проміжний діагностичний інструмент. Коли клієнт підключається до проксі-судді через проксі-сервер, суддя аналізує заголовки HTTP-запиту, представлені проксі. Цей аналіз виявляє специфічні заголовки, які можуть розкривати справжню IP-адресу клієнта або вказувати на присутність і тип використовуваного проксі-сервера. Основна функція полягає у перевірці, чи успішно проксі маскує ідентичність клієнта та якою мірою.

Як працюють Проксі-судді

Процес роботи проксі-судді відбувається наступним чином:

1. Запит клієнта: Клієнт налаштовує свою систему або програму для маршрутизації свого веб-трафіку через призначений проксі-сервер.
2. Пересилання проксі: Проксі-сервер отримує запит клієнта та пересилає його цільовому веб-серверу, яким у цьому випадку є проксі-суддя.
3. Інспекція заголовків: Сервер проксі-судді, отримавши запит, отримує доступ до серверних змінних та HTTP-заголовків. Ці заголовки містять метадані про шлях з'єднання.
4. Оцінка анонімності: Суддя потім аналізує ці заголовки на наявність специфічних полів, які зазвичай розкривають інформацію про клієнта або ідентифікацію проксі. На основі присутності, відсутності або модифікації цих заголовків суддя класифікує рівень анонімності проксі.
5. Звітність: Суддя повертає клієнту звіт, деталізуючи виявлені IP-адреси та інформацію про заголовки, разом з оцінкою анонімності проксі.

Ключові заголовки, що цікавлять проксі-суддю, включають REMOTE_ADDR, HTTP_X_FORWARDED_FOR, HTTP_VIA, HTTP_PROXY_CONNECTION, HTTP_FORWARDED та інші, які можуть видати оригінальну IP-адресу клієнта або існування проксі.

Рівні анонімності проксі

Проксі-судді категоризують проксі за різними рівнями анонімності на основі інформації, яку вони передають.

Елітний проксі (Високоанонімний)

Елітний проксі забезпечує найвищий рівень анонімності. Він не передає жодних заголовків, які розкривають оригінальну IP-адресу клієнта, а також не ідентифікує себе як проксі. Для цільового сервера (проксі-судді) з'єднання виглядає так, ніби воно походить безпосередньо з IP-адреси проксі-сервера, що робить клієнта невідрізним від прямого з'єднання.

• Характеристики:
  • REMOTE_ADDR: Показує IP проксі.
  • HTTP_X_FORWARDED_FOR: Відсутній.
  • HTTP_VIA: Відсутній.
  • HTTP_PROXY_CONNECTION: Відсутній або модифікований.
• Виявлення: Важко відрізнити від прямого з'єднання без розширеного фінгерпринтингу.

Анонімний проксі

Анонімний проксі приховує оригінальну IP-адресу клієнта, але розкриває свою власну присутність як проксі-сервера. Це означає, що цільовий сервер знає, що використовується проксі, але ідентичність оригінального клієнта залишається прихованою.

• Характеристики:
  • REMOTE_ADDR: Показує IP проксі.
  • HTTP_X_FORWARDED_FOR: Відсутній.
  • HTTP_VIA: Присутній (наприклад, 1.1 proxy.example.com).
  • HTTP_PROXY_CONNECTION: Може бути присутнім.
• Виявлення: Присутність HTTP_VIA або подібних заголовків вказує на використання проксі.

Прозорий проксі (Неанонімний)

Прозорий проксі, також відомий як неанонімний або пересилаючий проксі, не намагається приховати оригінальну IP-адресу клієнта. Він пересилає IP-адресу клієнта цільовому серверу, зазвичай у заголовках, таких як X-Forwarded-For. Цільовий сервер повністю обізнаний як про присутність проксі, так і про оригінальну IP-адресу клієнта.

• Характеристики:
  • REMOTE_ADDR: Показує IP проксі.
  • HTTP_X_FORWARDED_FOR: Присутній, містить оригінальну IP-адресу клієнта.
  • HTTP_VIA: Часто присутній.
  • HTTP_PROXY_CONNECTION: Може бути присутнім.
• Виявлення: Присутність HTTP_X_FORWARDED_FOR з IP-адресою клієнта є остаточною.

Спотворюючий проксі

Спотворюючий проксі — це варіант, який намагається ввести в оману цільовий сервер, передаючи фальшиву або випадкову IP-адресу в заголовку X-Forwarded-For. Хоча він приховує справжню IP-адресу клієнта, він все ще ідентифікує себе як проксі, а надана X-Forwarded-For не є реальною IP-адресою клієнта. Це іноді може бути класифіковано як тип анонімного проксі, але його явне фальсифікування відрізняє його.

• Характеристики:
  • REMOTE_ADDR: Показує IP проксі.
  • HTTP_X_FORWARDED_FOR: Присутній, але містить фальшиву/випадкову IP-адресу.
  • HTTP_VIA: Часто присутній.
• Виявлення: Присутність HTTP_X_FORWARDED_FOR з IP-адресою, яка не відповідає REMOTE_ADDR попереднього кроку (якщо кілька проксі об'єднані в ланцюг) або явно недійсна IP-адреса.

Ключові HTTP-заголовки для виявлення анонімності

Аналіз проксі-судді ґрунтується на перевірці специфічних HTTP-заголовків та серверних змінних:

• REMOTE_ADDR: Ця серверна змінна безпосередньо вказує IP-адресу клієнта, який підключився до сервера проксі-судді. Якщо використовується проксі, це зазвичай буде IP-адреса проксі.
• HTTP_X_FORWARDED_FOR: Де-факто стандартний заголовок, що використовується проксі для ідентифікації оригінальної IP-адреси клієнта. Він може містити список IP-адрес, розділених комами, якщо кілька проксі об'єднані в ланцюг.
• HTTP_VIA: Цей заголовок додається проксі-сервером, щоб вказати, що запит пройшов через нього. Він часто включає протокол проксі та ім'я хоста/IP.
• HTTP_PROXY_CONNECTION: Нестандартний заголовок, який іноді використовується проксі, вказуючи деталі з'єднання, специфічні для проксі.
• HTTP_FORWARDED: Стандартизований заголовок (RFC 7239), який є більш надійною альтернативою X-Forwarded-For та Via. Він може передавати інформацію про клієнта, проксі та хост.
• HTTP_CLIENT_IP: Менш поширений, нестандартний заголовок, який може містити IP-адресу клієнта.

Практичне використання Проксі-судді

Щоб ефективно використовувати проксі-суддю, налаштуйте свого клієнта на маршрутизацію трафіку через проксі, який ви збираєтеся перевірити, а потім направте запит до сервісу проксі-судді.

Приклад: Використання curl з проксі

Щоб перевірити проксі за адресою proxy.example.com на порту 8080 за допомогою curl:

curl -x http://proxy.example.com:8080 http://proxyjudge.com

Замініть http://proxyjudge.com на URL фактичного сервісу проксі-судді. Виводом буде звіт судді.

Приклад: Простий скрипт Проксі-судді (PHP)

Базовий PHP-скрипт може слугувати проксі-суддею:

<?php
header('Content-Type: text/plain');

echo "--- Proxy Judge Report ---\n";
echo "Your IP (REMOTE_ADDR): " . $_SERVER['REMOTE_ADDR'] . "\n";
echo "--------------------------\n";

$headers_to_check = [
    'HTTP_X_FORWARDED_FOR',
    'HTTP_VIA',
    'HTTP_PROXY_CONNECTION',
    'HTTP_FORWARDED',
    'HTTP_CLIENT_IP'
];

foreach ($headers_to_check as $header) {
    if (isset($_SERVER[$header])) {
        echo $header . ": " . $_SERVER[$header] . "\n";
    } else {
        echo $header . ": Not Present\n";
    }
}

echo "--------------------------\n";

// Basic Anonymity Level Guess
$anonymity_level = "Elite Proxy"; // Default assumption

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $anonymity_level = "Transparent Proxy";
    // Check if X-Forwarded-For is clearly false
    $xf_ip = trim(explode(',', $_SERVER['HTTP_X_FORWARDED_FOR'])[0]);
    if ($xf_ip !== $_SERVER['REMOTE_ADDR'] && !filter_var($xf_ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
         // This is a simplistic check; more robust validation needed for true "distorting"
         // For a simple judge, if XFF exists, it's not Elite/Anonymous in the purest sense.
    }
} elseif (isset($_SERVER['HTTP_VIA']) || isset($_SERVER['HTTP_PROXY_CONNECTION'])) {
    $anonymity_level = "Anonymous Proxy";
}

echo "Estimated Anonymity Level: " . $anonymity_level . "\n";

?>

Цей скрипт виведе виявлену IP-адресу та відповідні заголовки, надаючи базову оцінку.

Інтерпретація результатів Проксі-судді

Присутність або відсутність специфічних заголовків безпосередньо корелює з рівнем анонімності проксі.

Обмеження Проксі-суддів

Хоча проксі-судді корисні, вони мають обмеження:

• Фокус на HTTP-заголовках: Вони переважно аналізують стандартні HTTP-заголовки. Вони можуть не виявляти витоки, що відбуваються на інших рівнях або через різні протоколи (наприклад, витоки IP через WebRTC, витоки DNS).
• Фінгерпринтинг браузера: Проксі-судді не оцінюють аспекти фінгерпринтингу браузера (наприклад, user agent, роздільна здатність екрана, встановлені шрифти, дані Canvas API), які також можуть унікально ідентифікувати користувача.
• Техніки, що розвиваються: Розширені методи виявлення виходять за рамки простих перевірок заголовків, використовуючи JavaScript, Flash або інші технології на стороні браузера для обходу анонімності проксі.
• Складність ланцюга проксі: У складних ланцюгах проксі точне визначення оригінальної IP-адреси клієнта може бути складним, якщо проміжні проксі модифікують або видаляють заголовки непослідовно.
• Перехоплення SSL/TLS: Для HTTPS-трафіку, якщо проксі не виконує перехоплення SSL/TLS, суддя може бачити лише зовнішнє TLS-з'єднання, а не внутрішні HTTP-заголовки, що ускладнює виявлення без специфічних конфігурацій проксі.

Найкращі практики для анонімності проксі

Для підтримки ефективної анонімності проксі:

• Регулярна перевірка: Періодично тестуйте свої проксі за допомогою кількох сервісів проксі-суддів, оскільки деякі судді можуть виявляти різні аспекти.
• Розуміння типів проксі: Вибирайте відповідний тип проксі (наприклад, SOCKS5 для ширшого трафіку, HTTP/HTTPS для веб) на основі ваших вимог до анонімності.
• Поєднання з іншими перевірками: Доповнюйте результати проксі-судді тестами на витік WebRTC, тестами на витік DNS та інструментами фінгерпринтингу браузера для забезпечення комплексної анонімності.
• Безпечна конфігурація: Переконайтеся, що ваші програми та операційна система правильно налаштовані для маршрутизації всього відповідного трафіку через проксі, запобігаючи прямим з'єднанням або витокам.
• Використання HTTPS: Пріоритезуйте HTTPS-з'єднання. Хоча проксі-суддя не може бачити всередині зашифрованого тунелю, HTTPS шифрує ваші дані від проксі до місця призначення, забезпечуючи додатковий рівень безпеки.