Comments 55
Интересно было бы почитать про 3G.
о чем вообще статья?
о том, что провайдеры vpn используют кеширующие прокси?
или принудительно редиректят на свои smtp, чтобы хоть как-то от спама отбиться?
о том, что провайдеры vpn используют кеширующие прокси?
или принудительно редиректят на свои smtp, чтобы хоть как-то от спама отбиться?
А зачем VPN-провайдеру использовать кэширующий прокси?
Для журналов вполне достаточно по одной строчке в iptables и конфиге syslogd. На кебруме так делаем, полёт нормальный уже два года, ни одна абуза на спамеров не осталась без соответствующего ей бана аккаунта. Наличие в цепочке обработки траффика чего-то умнее VPN-сервера, работающего с TUN/TAP модулем, и сетевого с тека ядра наводит на нехорошие мысли.
Одна строчка в иптаблес точно не даст того уровня логгирования, что дает прокси. Об этом и речь, что осадочек остается. А на счет защиты от спама (массовых рассылок уж точно) действительно средств того же иптаблес вполне хватит. Глубже анализа на L3-4 можно и не спускаться.
У нас лог следующего вида:
Jul 20 06:25:52 pine vmunix: [4632886.666365] FRWLL_FWD_NEW IN=tap1 OUT=eth0 SRC=172.16.0.121 DST=92.98.113.113 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=449 DF PROTO=TCP SPT=51414 DPT=38941 WINDOW=5840 RES=0x00 SYN URGP=0
Как можно заметить, это выдача того, что iptables выдаёт в dmesg, откдуда оно потом вытаскивается сислогом. Когда к нам приходит абуза о спаме, я просто иду и грепаю IP-адрес, на который шёл спам, а потом смотрю, какому юзеру на этом сервере был тогда присвоен соотвествующий IP.
Если у кого-то что--то сложнее (я не говорю о вещах типа netflow, делают то же самое, но лучше), то, скорее всего, воруют личные данные.
Jul 20 06:25:52 pine vmunix: [4632886.666365] FRWLL_FWD_NEW IN=tap1 OUT=eth0 SRC=172.16.0.121 DST=92.98.113.113 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=449 DF PROTO=TCP SPT=51414 DPT=38941 WINDOW=5840 RES=0x00 SYN URGP=0
Как можно заметить, это выдача того, что iptables выдаёт в dmesg, откдуда оно потом вытаскивается сислогом. Когда к нам приходит абуза о спаме, я просто иду и грепаю IP-адрес, на который шёл спам, а потом смотрю, какому юзеру на этом сервере был тогда присвоен соотвествующий IP.
Если у кого-то что--то сложнее (я не говорю о вещах типа netflow, делают то же самое, но лучше), то, скорее всего, воруют личные данные.
Опять же, когда «деревья были большими» а контора, в которой я работал относительно мала и шла борьба за каждого клиента, логи прокси помогали понять (как один из наглядных примеров), что там у человека обновилось и съело его месячную абонентку. Одного ип и порта для этого понимания не достаточно, url тут очень кстати и не только он. Да и вообще, много случаев можно припомнить, когда это требовалось и хорошо выручало. И мы ничего не воровали :) И кстати, при общении с упр. К выручало тоже.
а как определить на какой хост подключается?
В плане? SRC=172.16.0.121 — внутренний IP в сети VPN-сервера, с которого сидит клиент, DST=92.98.113.113 — адрес сервера, к которому идёт подключение. Кому именно был выдан этот внутренний IP всегда можно посмотреть в базе биллинга. Чтобы забанить по жалобе спамера или кардера, этих данных хватает с лихвой, а больше ни для чего VPN-сервису логи быть нужны не могут в принципе.
Нет, если на одном айпи много сайтов или если один сайт на многих айпи а жалоба пришла по домену а не по айпи?
Вы прочитали то, что выше написано?
да, и я спрашиваю как айпи подключения может хватить для определения домена подключения.
пример:
целевой сайт находится на 4 айпи: 1.1.1.1, 2.2.2.2, 3.3.3.3 и 4.4.4.4
в логах у нас 2.2.2.2 и 100 подключений от разных аккаунтов.
в абузе site.ru и время примерное
что будет грепать kekekeks?
пример:
целевой сайт находится на 4 айпи: 1.1.1.1, 2.2.2.2, 3.3.3.3 и 4.4.4.4
в логах у нас 2.2.2.2 и 100 подключений от разных аккаунтов.
в абузе site.ru и время примерное
что будет грепать kekekeks?
Очевидно, натравлю на site.ru утилиту nslookup.
у сайта скажем 100 айпи, в абузе не указана точная дата.
сайт этот популярный и пользователи вашего VPN часто пользуются им.
как вы найдете злоумышленника
сайт этот популярный и пользователи вашего VPN часто пользуются им.
как вы найдете злоумышленника
За два года работы такого экзотического совпадения обстоятельств ни разу не было. Будем уточнять у автора абузы, на какой IP и когда шёл спам/атака. В конце концов, это ему надо, а не нам.
И да, логи DNS-сервера у нас тоже есть, конкретный IP, на который от нас шло ранее соединение, определить можно.
а вот по поводу DNS логов это уже интересно.
хостеру надо чтобы абузов не было.
хостер легко закрывает аренду чтобы избежать попадания сети в спамлист.
но предположим )
спасибо за ответ на вопрос
хостер легко закрывает аренду чтобы избежать попадания сети в спамлист.
но предположим )
спасибо за ответ на вопрос
я вот такую штучук делал github.com/ybw/ulogd/tree/master/sensor для VPN одного :) и много чего ещё
Точно, про это. Можете сказать — спасибо, кэп :)
Я вот может тупой, но я не понимаю, зачем сейчас провайдеру (любому) кэширующий прокси, кроме как для логгирования HTTP. Я работал в провайдерской конторе городского масштаба. И таки да, мы использовали кэширующий прокси. Года так до 2004. Это имело хоть какой-то смысл во времена, когда «деревья были большими», т.е. времена безлимитов только в «столицах», пользовательских ценах за трафик в районе 2 рублей за мб… эх, ностальгия. Потом отдача от этого прокси стала стремиться к нулю, а затрат он требовал, что бы тянуть нагрузку. Когда апргейды уже не помогали и надо было масштабировать, все это дело просто послали лесом. В конце-концов это просто лишняя точка отказа.
И что со спамом? Мне кажется, что это как-то странно — держать подобный сервис и потом героически пытаться защититься от, скажем так, не вполне благонадежных пользователей. Да даже если пользователь благонадежен (и наивен), он от подобного сервиса если и не ждет характеристик абозоустойчивого злосервиса, но уж на какие-то нормы приличия рассчитывает. Говоря короче — ведут netflow — пускай, но проксировать — это как-то…
Я вот может тупой, но я не понимаю, зачем сейчас провайдеру (любому) кэширующий прокси, кроме как для логгирования HTTP. Я работал в провайдерской конторе городского масштаба. И таки да, мы использовали кэширующий прокси. Года так до 2004. Это имело хоть какой-то смысл во времена, когда «деревья были большими», т.е. времена безлимитов только в «столицах», пользовательских ценах за трафик в районе 2 рублей за мб… эх, ностальгия. Потом отдача от этого прокси стала стремиться к нулю, а затрат он требовал, что бы тянуть нагрузку. Когда апргейды уже не помогали и надо было масштабировать, все это дело просто послали лесом. В конце-концов это просто лишняя точка отказа.
И что со спамом? Мне кажется, что это как-то странно — держать подобный сервис и потом героически пытаться защититься от, скажем так, не вполне благонадежных пользователей. Да даже если пользователь благонадежен (и наивен), он от подобного сервиса если и не ждет характеристик абозоустойчивого злосервиса, но уж на какие-то нормы приличия рассчитывает. Говоря короче — ведут netflow — пускай, но проксировать — это как-то…
если вы не понимаете, это не означает, что оно никому не нужно.
прокси может с успехом использоваться для кеширования, срезания ненужных заголовков, дополнительной анонимизации.
прокси может с успехом использоваться для кеширования, срезания ненужных заголовков, дополнительной анонимизации.
Кэширование зло для клиента. Уж поверьте. Резать заголовки — здорово, только это как бы не должно быть заботой провайдера. Я их, допустим, из соображений дополнительной безопасности подделал, а мне их срезали. Некоторые сайты, кстать, вообще могут не пустить в итоге. Эффективное кэширование требует хороших ресурсов. В наше время гигабитных каналов и прочего подобного это (даваемая кэшированием экономия трафика и увеличение скорости отдачи контента) неактуально даже для пионернетов. А вот в чем действительно эта технология эффективна — в журналировании, модифицировании контента и прочем подобном. Для vpn, используемого с целями анонимности и приватности не самые жизненные задачи, не находите?
А, ну да, и кэширование (а значит возможность просмотра и изучения не просто истории серфинга, но и контента) так же на пользу моей приватности и анонимности.
Да, я бы про 3G тоже почитал ибо именного через 3G модем выхожу в сеть.
А не надо отправлять почту на 25-й порт. Для этого придумали 587 порт.
Кто скажет что плохого/хорошего про OverPlay.net?
Ну впн провайдер же должен как-то защищаться от всяких кардеров, спамеров и прочих личностей. В случае бесплатного впн это особо актуально, т.к. никаких данных о пользователе у провайдера нет.
Хотя лично я знаю SmartHide, который дает пробный впн на 7 дней, без каких либо ограничений. Но система там хитрая — перед тем как получить триал надо вбить платежные данные (креду/paypal/etc), но деньги снимутся только через семь дней и только в том случае, если вы не отмените продление подписки. Работают они через Avangate (крупный регистратор софта), поэтому вбивать креду не страшно.
Такая модель бесплатного на мой взгляд наиболее оптимальна. Всякие жулики отсеиваются с вероятностью 99% и впн провайдер не боится что через него кого-нибудь хакнут, а пользователь получает полноценный впн бесплатно на неделю. Все довольны, все счастливы.
Хотя лично я знаю SmartHide, который дает пробный впн на 7 дней, без каких либо ограничений. Но система там хитрая — перед тем как получить триал надо вбить платежные данные (креду/paypal/etc), но деньги снимутся только через семь дней и только в том случае, если вы не отмените продление подписки. Работают они через Avangate (крупный регистратор софта), поэтому вбивать креду не страшно.
Такая модель бесплатного на мой взгляд наиболее оптимальна. Всякие жулики отсеиваются с вероятностью 99% и впн провайдер не боится что через него кого-нибудь хакнут, а пользователь получает полноценный впн бесплатно на неделю. Все довольны, все счастливы.
У нас на кебруме есть демо-сервер на относительно абузоустойчивой площадке. Единственное ограничение — не шибко большой канал, который обычно забит топой халявщиков и открытость только 443-го и 80-го портов. Никаких левых проксей не держим, проблем в связи с этим не испытываем. Что мы делаем не так?
UFO just landed and posted this here
Пользуюсь Hotspot Shield и Expat Shield очень долго, НО исключительно для просмотра US-only/UK-only сайтов вроде Hulu, Pandora, BBC iPlayer, PBSKids, etc. Когда-то давно, заинтересовавшись, выяснил что оба Shield-а суть бренды штатовской конторы под названием «AnchorFree inc.» учредителями в которой числяться лица со славянскими именами и фамилиями.
Всегда удивляло, что они позиционируют себя в качестве защиты от прослушивания в Wi-Fi сетях. Какая в сущности разница — будет мой не-SSL трафик анализироваться владельцем открытой точки, или владельцем открытого VPN? Сейчас они вроде как сменили стратегию, и в рекламе расхваливают возможность доступа к всё тем-же US/UK-ресурсам для экспатов, и экономию трафика за счет сжатия картинок.
Всегда удивляло, что они позиционируют себя в качестве защиты от прослушивания в Wi-Fi сетях. Какая в сущности разница — будет мой не-SSL трафик анализироваться владельцем открытой точки, или владельцем открытого VPN? Сейчас они вроде как сменили стратегию, и в рекламе расхваливают возможность доступа к всё тем-же US/UK-ресурсам для экспатов, и экономию трафика за счет сжатия картинок.
UFO just landed and posted this here
А в случае VPN трафик может анализироваться парнем на соседнем континенте. В случае корпоративного VPN трафик может (и будет) анализироваться средствами вашей корп. сети. В случае «собственного» VPN на VPS/AWS/Colo/etc трафик может анализироваться на выходе с «вашего» сервера хостером/провайдером хостера. Ну и до кучи — во всех вышеперечисленных случаях — парнем за соседним столом: ведь если он достаточно подкован для того, чтобы провернуть MITM для HTTPS — он с таким-же успехом провернет его для вашего VPN.
Никогда не понимал людей, которые покупают/поднимают VPN для обеспечения приватности/анонимности. и потом ходят из-под VPN в _свою_ почту/вконтактик/ЖЖ. Ведь изначальное предназначение этого инструмента совсем иное: обеспечение [безопасного] удаленного доступа к ресурсам, обычно доступным лишь изнутри сети организации внутренним сайтам, файловым шарам, etc. Второе предназначение (о нем я писал выше) является подмножеством первого, только в этом случае «сетью организации» будет «интернет США».
Для обеспечения приватности существуют совсем другие инструменты: тот-же SSL, no-follow-режимы в браузерах, и т.п.
Для анонимности — тоже свой набор: затрояненные соксы, TOR, etc
А вот «волшебной кнопки», по нажатию которой вы становитесь абсолютно защищены от всех угроз недоверенных сетей, ИМХО, не существует. По крайней мере мне о таком инструменте пока ничего не известно.
Никогда не понимал людей, которые покупают/поднимают VPN для обеспечения приватности/анонимности. и потом ходят из-под VPN в _свою_ почту/вконтактик/ЖЖ. Ведь изначальное предназначение этого инструмента совсем иное: обеспечение [безопасного] удаленного доступа к ресурсам, обычно доступным лишь изнутри сети организации внутренним сайтам, файловым шарам, etc. Второе предназначение (о нем я писал выше) является подмножеством первого, только в этом случае «сетью организации» будет «интернет США».
Для обеспечения приватности существуют совсем другие инструменты: тот-же SSL, no-follow-режимы в браузерах, и т.п.
Для анонимности — тоже свой набор: затрояненные соксы, TOR, etc
А вот «волшебной кнопки», по нажатию которой вы становитесь абсолютно защищены от всех угроз недоверенных сетей, ИМХО, не существует. По крайней мере мне о таком инструменте пока ничего не известно.
Делал VPN-сервис для себя, друзей и хороших знакомых, а потом решил продавать доступ.
prostovpn.ru
$1 в месяц, IPv6; прозрачный доступ в Tor и I2P, логгируется только факт подключения к vpn и временные рамки, ограничение — 20гб в месяц. Все сервера в США. Считаю, что это отличное решение для частых пользователей открытого вайфая.
prostovpn.ru
$1 в месяц, IPv6; прозрачный доступ в Tor и I2P, логгируется только факт подключения к vpn и временные рамки, ограничение — 20гб в месяц. Все сервера в США. Считаю, что это отличное решение для частых пользователей открытого вайфая.
UFO just landed and posted this here
Нравится OpenVPN т.к. работает везде, невзирая на NAT и корпоративные файрволлы, работает через TCP и UDP, даже где-то был старый патч, чтобы и через ICMP работал. На iPhone и iPad тоже есть клиенты, но нужен jailbreak, без него никак.
а на многих роутерах gre режут, и что тогда с вашим pptp делать?
l2tp слишком прожорлив и сложен в настройке местами.
l2tp слишком прожорлив и сложен в настройке местами.
Простите, а где у вас на сайте про 20 Гб написано?
Sign up to leave a comment.
Бесплатный сыр бесплатных VPN