1read 100read
2012年2月WebProg116: 匿名プロクシは、止められないのか・・。 (241)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
KENT WEB 総合スレ Part2 (930)
tDiaryスレッド その1 (431)
KENT WEB 総合スレ Part2 (930)
XSL/XSLT (537)
【PHP】PEAR Part3 (660)
OpenPNE設定について (744)
匿名プロクシは、止められないのか・・。
- 1 :01/07/14 〜 最終レス :11/12/17
- 最近、プロクシ特有の環境変数を付加しないproxyが巷で流行ってます。
当然、匿名プロクシはプロクシ規制を素通りします。
しかも、個々のプロクシを一個一個止めても、世界中で1日に数千もの匿名プロクシが誕生しています。
事実上、プロクシの規制は不可能・・・。
なんか、いい方法知りませんか?
下の環境変数なんて、もう役に立ちましぇん。
なんか、画期的な方法を知っている方、教えてください。
HTTP_CACHE_CONTROL
HTTP_CACHE_INFO
HTTP_CLIENT_IP
HTTP_FORWARDED
HTTP_PRAGMA
HTTP_PROXY_CONNECTION
HTTP_SP_HOST
HTTP_TE
HTTP_VIA
HTTP_X_FORWARDED_FOR
- 2 :
- 排除する方を設定しても仕方ないだろ。
ポート塞ぐときだって、全部塞いでから開けていいところだけ開ける。
ホスト名が取得できないものははじくべし。
プロバイダリストを作成して、それ以外ははじくべし。
$_ = gethostbyaddr( .. );
die unless /\.(2iij|att|il24|da\.uu|isao)\.net$/ or /\.(aol|livedoor|dricas|googlebot|excite)\.com$/ or /\.jp$/;
- 3 :
- 海外からのアクセスを弾くとかじゃダメなの?
俺のところは海外のヤツを全部弾くようにしてるよ。
- 4 :
- 荒らしにしろプロクシにしろ完全にはじくのは不可能。
規制はできても防ぐのは不可能だということを理解して諦めましょう。
・・・ていうか、プロクシ経由をはじこうという考えが気に入らない。
- 5 :
- >>4
匿名プロクシかけてアクセス = 身元がばれてはまずいアクセス =
よからぬことを考えている
であろう事が考えられる。
- 6 :
- >>4 なんで気に入らないの?
俺も神経過敏な奴、もともと荒らされるような性格の奴は嫌いだけど、
匿名プロキシなんか使ってる奴はもっと嫌い。
- 7 :
- 生IP抜いてページに表示してやればいい。そすれば匿名proxy刺して
来ても生IPばれる事が分かれば2度と来ることは無くなるし、いちいち
サーバ指定してアクセス制限しなくても良くなる。
- 8 :
- プロクシを利用することの違法性はおいてといて
誰にでも利用できるものなんだし、匿名性なんてごく僅かしかない。
さらに、匿名性が少ないということもみんな知っていると思う、と。
たしかに、匿名プロクシを使用して我が物顔でうろうろしているようなやつは私も嫌いですし
それはどうかとも思いますが、ただちょっと身元が知られたくない場合だってあるはず。
そんな時に軽い気持ちで使用する人の方が多いと思っているわけで。
ですので
匿名プロクシかけてアクセス = 身元がばれてはまずいアクセス =
というような古い考え方のほうを改めた方が良いのではないのでしょうか?
もう、してて普通、と考えようと。
>>7
それって結構サイトづくりに制限かかるでしょ。
そんな事するより、管理人の質を上げて嫌われないようなページ作った方が良いと思うのですが。
・・・あー、2ch でマジレスしてしまった(汗
- 9 :
- >>3
同意
最後が.jpのホスト以外をはじけば匿名串ははじける。
で、Proxy制限かければProxy特有の環境変数を吐かない国内串しか通らなくなる。
そんなのほとんどないからあとは手動で制限していけばいいと思うよ
- 10 :
- >>9
せめて.orgは通してやれ
- 11 :
- 一部のプロバイダの人(CATVとか)悪意なくてもProxyでくるし、
荒らす奴は生IPでも荒らす。
神経質過ぎるくないですか?
- 12 :
- いや、だから「匿名」Proxyでしょ。わざわざ。
神経質なのは同意だけど。
荒らされるのが嫌なんじゃなくて、荒らされた後匿名Proxyだとめんどいのよ。
生IPで荒らすなら大歓迎(^^)
- 13 :
- 荒らされるような臭いホームページ作るやつが悪い
どうしても生IPが欲しければJavaでもつかえよ
つーか、生IP手に入れたところでどうすんの?
そこから先どうこうできるのか?
- 14 :
- ちと当初の議題から離れ掛けてるが、1の質問にレスれる内容は既に出尽くしてるね。
私がやるら、3位ですかね。
なんにせよ、串厨・IP厨がネットに多いのは勉強してくれって気はするが…。
>>13
IPの件はそのとおりだね。
でも、そう臭くないまっとうなページでも荒らす厨房は多いんだ、これがまた。
その場合には有効な武器にはなるかと。
厨房は増え、混沌は増える。
なんだかねぇ。
- 15 :
- >>9-10
俺んとこはドメインみないで whois コマンド使ってるよ。
これ使えば、国内かどうか分かるから、、、
日本のサーバでもcom,net,org使うのあたりまえなので、
whoisコマンド使ってIPレベルで見てる。
IPが日本以外は全部弾いてるよ。
>>14
そうそう、管理人がどうこう以前に、いたずら感覚で
荒らす厨房が多すぎです。
- 16 :
- 荒らされるページというのは、管理人やページそのものに
問題がある場合が多いのも事実なのだよ。
- 17 :
- >>16
紋切り型人間
- 18 :
- 2chだって荒らされる要素が皆無のスレッド荒らす奴がいるじゃん。
わかんないよ。人間なんて何考えてるんだか。
- 19 :
- なんでそこまでproxy弾きに執着するのかわからん。
単に荒らしが嫌ならば、荒らしに強いスクリプト組む方がよほど効果が
あると思うが。
それにただの悪戯荒らしの場合、居着いている粘着荒らしと違って一過性
のものだから長くて数日、短ければ数時間で飽きてどっか行くよ。
そこまで気にするもんかね。
- 20 :
- なんでそこまで否定する?
オマエがそう思うのならそれで良いじゃん。
「匿名proxyをはじこうとする奴はバカ」
スレッドでもたててれば?
- 21 :
- >>20
無駄スレ立てるように言うな。
荒れるようなスレは初級ネット板でやれ。
- 22 :
- >>20
別に俺は「わからない」と書いただけ。
proxy弾きを否定するわけじゃないし、
>「匿名proxyをはじこうとする奴はバカ」
なんて全然思ってないよ。
あくまで荒らし対策なら、そこまで苦心してproxy弾きに執着する
必要があるのか?と考えただけだから。
インターネットの僻地で、へタレサイトを運営している奴の戯言だ
から気にしないでくれ。
- 23 :
- そもそもよ、
「匿名プロクシ」って何よ?
元IPが出ないのは、CATVとかの標準串でも匿名?
用語の定義をしないで話が進んでいると思うのですが…。
- 24 :
- このページって何ですか?
すごく役立つことが沢山かいてあるのですが、
皆に嫌がられているようで意味が分かりません。
とろあえずブラクラではないようです。
ttp://members.tripod.co.jp/casinoA1/
- 25 :
- >>24
http://piza.2ch.net/test/read.cgi?bbs=gamble&key=995132598
- 26 :
- >>25がおもしろいのであげ
- 27 :
- >>24
http://ton.2ch.net/test/read.cgi?bbs=sec&key=995299931
- 28 :
- >>13 >>16
こういう子が自分の荒らし歴を武勇伝みたいに語り始めるんだよな(ワラ
- 29 :
- >>7
商用ページでそれやったら、致命的な一発になると思います。
荒らしじゃなくても、2度と来ないだろ。
晒し上げるのは、商売抜きならOKだけど、自己満足以外の何物でもない。
- 30 :
- >>29
ageんなヴォケ
- 31 :
- a
- 32 :
- a
- 33 :
- アクセス元の proxy port と思われる port にアクセスして
それが open proxy だったら弾く、でいいじゃん。
- 34 :
- 結局1はタダのIP信者じゃないの?
- 35 :
- ORBS/MAPS に似たシステムで、
192.168.1.2 が open proxy なら
2.1.168.192.openproxy.example.com
のレコードが存在する、というシステムがあれば便利かなー と妄想中。
多分 Apache のモジュールは簡単に作れそう。
----
> IP信者
Internet Protocol 信者?
- 36 :
-
> しかも、個々のプロクシを一個一個止めても、世界中で1日に数千もの匿名プロクシが誕生しています。
「1日に数千」の根拠を教えてください。
┏━━━━━━━━━┓
┃('Д')y ─┛~~ ┃
┃むぎ茶 ┃
┃mugicha@360.cc ┃
┗━━━━━━━━━┛
- 37 :
- >>35
自分もそれ考えたことあります。が、提供するための
resource が厳しそう...
まあ普及しなければそうでもないか。
- 38 :
- 風呂串野郎?
Windows98以後の奴なら、
wsh使ってデフォールトのメルアドと名前住所晒した上で記録だろ(ぷっ
- 39 :
- >>1
マジレスだけど、荒らしを防ぐには
Javaを有効にしていないとサイトに入れないようにして、
Javaで生IP抜くようにすればいい。
万一荒らされたらそのプロバイダからのアクセスを弾くようにすればいい。
ただしそのようなサイトは嫌われる。
まあ荒らされるような厨房向けサイトを作らないことが一番の防御策だがな。
- 40 :
- >>1
規制せずに抜く方向で…
もてぃろんHTTP以外のプロトコルでね☆
- 41 :
- >>40
そのサイトにく気失くすな
- 42 :
- >>35 で書いたシステム作り中ですよ。
http://www.opbl.org/
http://www.opbl.org/check.cgi
とりあえず今のところ1600個位の open-proxy を探し出してリストに入れています。
ORBS タイプのブラックリストを利用して弾くモジュールとして mod_access_rbl
ってのがあるのでそのまま使えそう。(mod_access の上位互換のようだ。)
http://www.blars.org/mod_access_rbl.html
これを使えば
<Limit POST>
order allow,deny
allow from all
deny via open.opbl.org
</Limit>
のようにして見るだけ (GET) は可能に出来る... はず。
Apache をいじれない人はCGIプログラムから、
if(gethostbyname((join ".", reverse split /\./, $ENV{REMOTE_ADDR}).".open.opbl.org")) {
die "串厨房ってよし!";
}
という感じで。
あ、ちなみにまだDNSには登録していません。
- 43 :
- あー、便利そうですね。
check.cgiで検査したホストは実際に確かめに行って、
OPEN PROXYだったら登録される感じですか?
- 44 :
- これは?
Proxy Checker
http://cache.jp.apan.net/proxy-checker/index-j.html
- 45 :
- >>43
そんな感じです。
query を random=ランダム文字列 として自分自身にアクセスさせて、
その場合はランダム文字列のMD5値を返すので自分で計算したMD5値と返された
MD5値が一致すれば open-proxy ってことで。
# 別にSHA1とかでもよいけど、たまたま入れておいたのが Digest::MD5 だっ
# たのでそれを利用。:-)
データベースから取り除く方法ですが、問題が修正された場合は再度チェック
をかけると自動的に取り除かれる仕組みになっています。
あー あとこの手のやつはデータ量が命なのでどんどん登録して下さい。
- 46 :
- ということで、DNSに登録してみました。
192.168.12.34 が open-proxy なら、
34.12.168.192.open.opbl.org に対するAレコードが存在します。
ついでに TXT レコードには情報が入っています。
しかし、googleで「串リスト」みたいな単語を入力していると自分が串厨房に
なった気分だ。(笑)
評価キボンヌ。
、と。
- 47 :
- >>46
おれは評価する能力ないんでアレなんすけど、
これって2chの運営側の人に紹介してもいいの?
#2chで投稿毎のチェックに使われたりすると
#むっちゃ負荷かかりそう。
- 48 :
- >>47
#2chで投稿毎のチェックに使われたりすると
#むっちゃ負荷かかりそう。
そのためのDNS。使いまくっても最寄のサーバやら
リゾルバやらにどんどんキャッシュされてDoS攻撃の
ようにはならない…んですよね? >JAPUたん
- 49 :
- データベースには即座に登録されるんですか?
登録した直後にNS.ASUKA.NETへ問い合わせても
反映されてないみたいなんですが…
- 50 :
- つーか、投稿用フォームをJavaアプレットにすればいいやん
- 51 :
- つーか毎日凄まじい数の串が立ち上げられてるっていうのに
この方法じゃきりがないだろ。
- 52 :
- 最近厨房でもパーソナルファイヤーウォール入れてるから、
別のプロトコル使って抜くのも無理だね
- 53 :
- >>49
反映されないね...
まだ稼働していないのかな?
- 54 :
- そう言う話では無いかと、とは言え51には同意だなあ
SMTPと比べると啓蒙が進んで無いような気がするね。
結局Adminの質の問題なんだよな・・・
- 55 :
- >>48
>使いまくっても最寄のサーバやら
>リゾルバやらにどんどんキャッシュされてDoS攻撃の
>ようにはならない…んですよね?
なるよ。
- 56 :
- いま見たらちゃんと反映された。
IPアドレスを逆にせずに調べてたYO!
自分の厨房ぶりにびっくり。
- 57 :
- これって逆にキャッシュされるのが問題じゃない?
オープンじゃなくなった串まで拒否されることもあり得る。
あとapacheにしても使えなくない?
アイディアは面白いけど実用性はないかな。
- 58 :
- apacheにしても→apacheに設定しても
- 59 :
- JAPUです。
ネット喫茶からなので名前欄空白。
今のところ、即座に反映されるようにはなっていません。
そのうち cron で動かすようにするのでしばらく待ってください。
多分1時間に1回くらい。
あと、対策されたサーバがデータベースに残る問題に関しては、
定期的にリストをチェックする作戦で何とかします。
即座に反映されないのはまぁ仕方ないでしょう。
そういう問題点を考えてユーザが使う・使わないを選択すればよいです。
あと、きりが無いってのはまったくその通りで、
こういうサイト作ったのは「腐った設定しているとこういうのに登録されるぜ」
ということでアホな管理者に対して無言の圧力(啓蒙)ってこともあります。
まぁ、何にせよ結構実験的な要素も多いのでとりあえずやってみないと何とも言えない面も多いです。
# サーバと回線はそんなに強力ではないので、DNSのセカンダリ持ってくれるところも募集。
- 60 :
- がーん。
>>42のmod_access_rbl配布サイトを見にいこうとしたら
うちのプロバイダがspam基地のブラックリストに乗ってて
はじかれた。
- 61 :
- >こういうサイト作ったのは「腐った設定しているとこういうのに登録されるぜ」
>ということでアホな管理者に対して無言の圧力(啓蒙)ってこともあります。
全然圧力にならないと思うけど。無言じゃ伝わらんよ。
- 62 :
- イヤ、漏れは有ると思うね
ただORDBとかと違ってhttpの中継は被害?が小さいのがネックだろう
それでも解ってて何時までも設定直さないようなrootへの警告には
なるだろう。彼等は何かが出来なくなる事をとても嫌うからね
- 63 :
- しかしこういう原始的な串規制方法だと、
規制できる串は世界中に存在する串のせいぜい1割かそれ以下だろう。
串は毎日大量に生まれては死んでいくからね。
2chみたいに書き込みの際にポートスキャンする方が
はるかに高確率で串を弾けるよ。
- 64 :
- うーん、効率と言うより警告の意味合いかなあ
こう言う事をやってる団体?が有るからそこに登録されちゃうと
にっちもさっちも行かなくなるよー と言うお話で・・・
JAPUもそんな感じで言ってるんじゃ無いかな
でもSMTPと比べると被害が少なそうだよねぇ・・・・
- 65 :
- お!思いっきり呼び捨てにしてしもた ^^;
s/JAPU/JAPUさん/;
- 66 :
- 一気に低レベルな話題になるけど
KENTとか大手の配布サイトのスクリプトに
このopen-proxyチェックを組み込んでもらって
ばしばし串をはねさせると、そこのプロバイダユーザ経由で
サーバ管理者への圧力が増すかもー?
(1ヘクトパスカルぐらい)
- 67 :
- >>66
こんな信頼性のないチェックプログラムはさすがに組み込めないね。
- 68 :
- 実際に串を通してみている点に関しては、2chよりも
信頼できるんじゃないかなぁ。
以前の(今も?)2chのチェックって、connect()
できるか否かだけで判断してたと思う。
- 69 :
- >>68
2chはオープンでない串まで必要以上に規制してるけど、
それでもかなりの高確率でオープンな串を弾ける。
でもここで提案されてるような串を人手で登録していくという原始的な方法だと
登録されていない串の方が圧倒的に多くなる。
掲示板で書き込む際にこういう串データベースを参照して串を弾く方法は
以前から行われていたけど、
結局この方法だとほとんど対応し切れなくて
串規制の方法としては流行っていないのが現状だ。
そういう現状から、2chがデータベースを参照するのではなくて
ポートスキャンによってを串規制をする手法を取り入れたという事実がある。
つまりデータベースで串規制するのはナンセンスなんだよ。
- 70 :
- だから64の意見が(以下無限ループ
- 71 :
- ただいま。
えーと人手に頼る手法は〜云々に関しては
「今までそれぞれが勝手にやってきたから、有効な数だけ集まらなかった。でも、この方式で一つのリストをみんなで維持してみんなで使っていけばそれなりの品質は維持できる」
ってのが答えになるでしょうか。ダメ?
指摘のように結局うまくいかなくて終わっちゃうかもしれないし、もしかしたらうまくいくかもしれない。まぁ、とりあえずやってみましょう的な実験的要素のでかい試みだと思ってください。(即座に実用になることを求めちゃダメよん。)
2chで使うようになるとかいう話なら2chの方でもセカンダリ持ったりと協力してほしいなぁ。
# とりあえず生暖かい目で見守ってください。(笑)
- 72 :
- ジャプてふ← イイ(・∀・)!
- 73 :
- >>70
警告したければ直接言わなきゃわかんないよ。
- 74 :
- 64はORDBと比べてるのでは? ORDBから警告は来ないでしょ?
ORDBに付いては省略 w
何れにしても遠い道のりで有る気はするけど
- 75 :
- >>71
>この方式で一つのリストをみんなで維持してみんなで使っていけばそれなりの品質は維持できる
それは甘いね。
そんな面倒なこと誰も協力しないよ。
利用者から金を取って商売にすれば?
- 76 :
- (´-`).。oO(批判屋さんがいるな・・・出来れば改善案のポインタなんかが欲しいな・・・・)
- 77 :
- SPAMの第三者中継を許すサーバをリストアップするプロジェクトもあったね。
あとこれとか。
『Nimda』や『コード・レッド』を捕らえる簡単ツール(上)
http://www.hotwired.co.jp/news/news/technology/story/20010920301.html
- 78 :
- これは確実に悪用されるな・・・。
こういうプログラムは一般に公開しないほうがいいぞ。>JAPU
- 79 :
- >>78
JAPU氏は情報を悪用するやつより、無能な管理者がきらいっぽいから
そんなこと言っても無駄。彼のサイトのSecurity Advisary見れ。
警告して猶予期間がすぎてなお改善しないCGIスクリプトは
容赦なく晒されている。
- 80 :
- あれ?プログラム自体の公開ってことか。
そりゃそうですね。すんません。>78
- 81 :
- まずはZDなどのニュースサイトに取り上げられないとな。
- 82 :
- スパムの場合、実際不正中継によって真っ当なサーバのスプールが爆発したりとか
被害も大きいからね、その分DBを参照する意味がある。
httpだと精々BBS荒らしたりする位だから、参照される側にどれだけ広まるかが問題だよね
でもいい加減こう言う機関が出来てもいい、、気がする
- 83 :
- プレスリリースはいつ流すの?
- 84 :
- >ttp://www.ansi.co.jp/tech/cgi/security/
>より安全なCGIプログラムを作成するための手引き
こんな誰にでもポートスキャンを許すようなCGIを公開している人間が
セキュリティを語るなんて、JAPUってホントに笑わせてくれるね。
某鯖でポート番号1からポートスキャンしてみたら
すっごく時間かかったけどちゃんとできたよ。
今後も使わせてもらうね>JAPU
- 85 :
- あと ANSI CGI Program Security Advisoriesに自分のCGIも追加しといてね。>JAPUちゃん
- 86 :
- お前森●だろ! w
- 87 :
- >>86 居たなぁそんなのも(w
- 88 :
- 良く覚えてるな (笑
- 89 :
- ポートスキャンを許すCGI?
- 90 :
- ポートスキャンCGIなら「大人のCGIスクリプト」に載ってます!!!
他にもtelnetを使った生IP抜き、コマンドCGIなど、
超UGなスクリプトが盛りだくさん!!!周りの厨房に差をつけちゃおう!!!
売り切れ店続出!!!お早めにお買い求め下さいっ!!!
- 91 :
- ポートスキャンCGIなんか、Soket理解してたら「大人の・・・」なんか
使わんでも書けるだろ。
- 92 :
- >>84
.....。普通、セキュリティツールを公開するのは
セキュリティに「関心があるから」公開するわけです。
ポートスキャンってのは、セキュリティツールですよね。
何を笑っているのか、意味が分かりませんなあ。
- 93 :
- >>92
言い訳がましいやつだな。
ポートスキャンがネットの倫理上「悪」だという認識がない人間が
セキュリティを語るなよ(藁
セキュリティツールだと思っているならアングラサイトで宣伝しまくってみろ。
どう使われるかは想像力があれば明らかだがな。
- 94 :
- (´-`).。oO(じゃ nmapもアングラツールなのか・・・・セキュリティースキャンも駄目だな・てレベル低ぅ・・)
- 95 :
- そういえば何年か前に他大学の鯖をポートスキャンしてた大学生が停学処分になってたな。
- 96 :
- >>93
お話になりませんな。
- 97 :
- (´-`).。oO(ITオヤジってこんな感じだよね、何を使ったかより何の為に使ったかの方が倫理上問題なんだけどね。。)
- 98 :
- >ポートスキャンってのは、セキュリティツールですよね
これは非常に珍しい認識だ。
- 99 :
- ポートスキャンするとなにがわかるの?
- 100read 1read
- 1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
Java VS PHP (595)
Google App Engine for Python 4アプ目 (673)
PHP関連の書籍 第7版 (329)
新しい掲示板の仕様を考える (427)
Python CGI (344)
オマエラPHPで掲示板つくれませんか? (679)
--log9.info------------------
ブランド品、現在バーゲン中で安い!! (354)
●全国アウトレットモール・ショッピングセンター● (591)
ヨドバシ 秋葉原情報 No1 (292)
■ヨドバシ欝袋ブルーレット・コンコルド 返品3■ (821)
福袋転売屋を見かけたら報告するスレ (767)
本当に安い?マツモトキヨシ (614)
【アフォ】お前は騙されたわけだが・・2回目【アフォ】 (203)
ブックオフ投売り情報 (469)
お前らのベストシャーペン挙げてけ (231)
IDに文房具関係が出たらいいのに19 @文房具 (828)
TOMBOW トンボ鉛筆 総合スレ2 (534)
【ビーム】 レーザーポインター ■-----・ その2 (897)
ボールペンが書けなくなったらageるスレ (638)
セーラー万年筆 第32章 (705)
【議論マターリ】手帳総合スレ 11冊目【雑談白熱】 (967)
○PDAを文房具板で語る● (651)
--log55.com------------------
平山あや深田京子綾瀬はるか石原さと?香椎由宇
小谷真生子なら結婚したいよな2
【1973】昭和48年生まれの独身貴族【Part3】
書きたいことを書くスレ
電車男
■男もワキ毛を剃るべき?
低学歴は低学歴とくっついてる事実
久本雅美と結婚したいんですが
-