защита от прокси-серверов и гейтов.
Посоветуйте пожалуйста, как можно запретить или предотвратить использование абонентами прокси-серверов на своих компах(локальная сеть в общежитии). В общежитие предоставлен безлимитный канал, а студенты с целью экономии денег подключаются, затем ставят на свои компы что-то типа UserGate или CCProxy и раздают этот канал всем желающим, что мне, как небольшому оператору связи, крайне невыгодно.
>защита от прокси-серверов и гейтов.Уже не раз обсуждалось, попробуй поиском пошуршать :)
Что-то типа ограничения кол-ва сессий ....
выставить ограничение на 10 одновременных коннектов + выставить ширину канала -- сами начнут бороться с тем, чтобы не было "левых" подключений
Принципиально неверный подход. Сколько там коннектов - это дело сугубо самого пользователя и пров тут не должен ничего ограничивать! Услуга получается уже не полноценной. Погуглите - много где обсуждалось.Как решить проблему? Никак. Разве что за руку поймать и отключить от сети.
ну-ну -- это если пров хотя-бы маштаба домашней сети ну там 5-10 домов -- а если человек купил оборудование -- подключил на частника канал (думается именно оно и есть в данном слачае) -- хех анлимитка -- и решил продавать это -- чтобы небольшую копейку - да срубить/
>защита от прокси-серверов и гейтов.
>Посоветуйте пожалуйста, как можно запретить или предотвратить использование абонентами прокси-серверов на своих
>компах(локальная сеть в общежитии). В общежитие предоставлен безлимитный канал, а студенты
>с целью экономии денег подключаются, затем ставят на свои компы что-то
>типа UserGate или CCProxy и раздают этот канал всем желающим, что
>мне, как небольшому оператору связи, крайне невыгодно.1. Поставь у себя прокси с авторизацией - как провайдер имеешь право, не каждый прокси под виндой умеет так работать.
2. Послушай tcpdump-ом запросы-ответы к твоему серверу,которые идут через их локальные прокси, сравни пакеты "правильные" и "неправильные" и запрети коннекты с отпределёнными полями в запросах. Кажется там идёт информация о прокрамме-прокси.
Непонятно какая у тебя система, какой софт. Одним словом гадать приходится.
Советы были под Linux, но и под *BSD подобное можно сделать. Насчёт винды - не знаю.
>[оверквотинг удален]
>>мне, как небольшому оператору связи, крайне невыгодно.
>
>1. Поставь у себя прокси с авторизацией - как провайдер имеешь право,
>не каждый прокси под виндой умеет так работать.
>2. Послушай tcpdump-ом запросы-ответы к твоему серверу,которые идут через их локальные прокси,
>сравни пакеты "правильные" и "неправильные" и запрети коннекты с отпределёнными полями
>в запросах. Кажется там идёт информация о прокрамме-прокси.
>Непонятно какая у тебя система, какой софт. Одним словом гадать приходится.
>Советы были под Linux, но и под *BSD подобное можно сделать. Насчёт
>винды - не знаю.Не поможет. Существуют способы скрыть данную информацию. Любой нормальный проксик умеет прикидываться любым браузером и авторизовываться. Плюс в любой ОС *nix есть способ создания "прозрачного прокси". А единственное, что действительно поможет против маскарада -- ограничение на количество сессий. Насколько это корректно по отношению к "честным пользователям" - непонятно.
Тема для Holly War:
Если Вы купите канистру элитного чешского пива и захотите угостить своих друзей, вправе ли пивоваренная компания запрещать Вам делиться пивом с друзьями!? А в случае, если вы купили пиво в доле с друзьями?
>
>Тема для Holly War:
>Если Вы купите канистру элитного чешского пива и захотите угостить своих друзей,
>вправе ли пивоваренная компания запрещать Вам делиться пивом с друзьями!? А
>в случае, если вы купили пиво в доле с друзьями?+1
Итого:
1. Если прокси - смотреть на заголовки а-ля X-Forwarded-For -- можно скрыть.
2. Если нат - смотреть на ttl -- можно накрутить.
3. Сессии рубить - бесчестно и как узнать сколько нужно сессий не_вору. А если я одновременно кучу торрентов качаю+плюс 3-5 сайтов гружу+еще мало ли что - согласитесь вполне нормальная ситуация, а соединений дофига.Вывод: если очень захотят чтоб их не прапалили -- не пропалят. Разве что по анамально большому трафику для одного клиента, да и то не особо показатель.
сейчас есть идея по написанию некоторого софта для обнаружения программ а-ля прокси на пользовательских компах и последующего информирования об этом админов, то есть меня.
типа по таймеру сканить реестр и скидывать на сервер, который при нахождении определенных ключевых слов (известных названий программ) запустит nmap, запишет в логи и тд. причем установить ее всем в приказном порядке, по условиям договора. по сути, единственный вопрос - легальность таких действий со стороны оператора, с учетом того, что в договоре записан запрет использования проксей и вообще перепродажи трафика. Также сделать некоторую защиту от выгрузки проги из памяти (это уже отдельная тема).
Какие есть мысли на такое?
Используемая ОС: ASPLinux 2.4
клиентские машины почти все под виндойXP.
Компания - небольшой провайдер масштаба города.
А почему вы запретите мне использовать squid, который я буду использовать для экономии себе 10% трафика, для обрезания банеров и рекламы, для того что бы жена с ноута одновременно со мной могла смотреть рецепты в инете? :)
Почему я обязан устанавливать ваш троян себе на машину? Мало ли что он там еще будет искать. Может у меня на ней хранится фото кляча от квартиры где деньки лежат. :)
Почему я не могу бросить винду и использовать linux, *bsd или ось собственного производства? :)
>Какие есть мысли на такое?Извините, но это полнейший бред!
То есть, получаем, что решения задачи в общем виде не существует? а самое эффективное - административные средства и то, если поймать за руку?
Личное мнение.
Если ваше железо не может блокировать пакеты между клиентами, то хорошая фантазия в плане разных тарифов, но тоже не гарантия.
>То есть, получаем, что решения задачи в общем виде не существует? а
>самое эффективное - административные средства и то, если поймать за руку?
>крсивого решения я тоже не вижу.... или тратить кучу времени и сил на анализ трафика..., но это очень дорого по времени. пока приходится боротся экономически, т.е тарифами, акциями и пр.
>То есть, получаем, что решения задачи в общем виде не существует? а
>самое эффективное - административные средства и то, если поймать за руку?
>Технического решения данной задачи не существует.
По вопросу "административных средств". По какому праву вы собираетесь пресекать совместное использование вашей услуги? Действительно любопытно, потому что с какого-то определенного момента большинство крупных провайдерво "сдались", перестали пресекать подобную практику и стали даже давать советы по организации малых локальных сетей, что наводит на банальную мысль о правомерности подобных запретов в принципе.
А вообще, превратите минусы в плюсы. Что-нибудь из примитивно изъезженного: лимитируйте скорость и киньте акцию -- "Халява для студентов! Подключайтесь вместе с друзьями! Совместный доступ! Платите меньше!", бла-бла-бла...
А ведь squid вроде бы умеет защищаться от каскада проксей? Сам не сталкивался, может, кто подскажет?
>А ведь squid вроде бы умеет защищаться от каскада проксей? Сам не
>сталкивался, может, кто подскажет?Это возможно. По идентификатору HTTP_USER_AGENT, который, опять-таки, можно скрыть. (
Squid хорошо умеет делать вид, что он не является проски, а обычный браузер в поисках информации на бескрайних просторах интернета... Не просечешь...
>Это возможно. По идентификатору HTTP_USER_AGENT, который, опять-таки, можно скрыть. (В моем раскладе абоненты поголовно сидят на винде и про сквид мало что слышали...
а про идентификатор - не понял, он откуда берется? нельзя ли поподробнее?
http://faqs.org/rfcs/rfc2616.html14.43 User-Agent
The User-Agent request-header field contains information about the
user agent originating the request. This is for statistical purposes,
the tracing of protocol violations, and automated recognition of user
agents for the sake of tailoring responses to avoid particular user
agent limitations. User agents SHOULD include this field with
requests. The field can contain multiple product tokens (section 3.8)
and comments identifying the agent and any subproducts which form a
significant part of the user agent. By convention, the product tokens
are listed in order of their significance for identifying the
application.User-Agent = "User-Agent" ":" 1*( product | comment )
Example:
User-Agent: CERN-LineMode/2.15 libwww/2.17b3
>[оверквотинг удален]
> are listed in order of their significance for identifying
>the
> application.
>
> User-Agent
>= "User-Agent" ":" 1*( product | comment )
>
> Example:
>
> User-Agent: CERN-LineMode/2.15 libwww/2.17b3Простите, пожалуйста. :( Конечно же, я имел в виду заголовки HTTP_VIA и HTTP_X_FORWARDED_FOR, которые большинство прокси устанавливают в свой адррес (или просто упоминание о том, что это прокси) и адрес клиента. Все это, конечно же, элементарно закрывается.
>защита от прокси-серверов и гейтов.
>Посоветуйте пожалуйста, как можно запретить или предотвратить использование абонентами прокси-серверов на своих
>компах(локальная сеть в общежитии). В общежитие предоставлен безлимитный канал, а студенты
>с целью экономии денег подключаются, затем ставят на свои компы что-то
>типа UserGate или CCProxy и раздают этот канал всем желающим, что
>мне, как небольшому оператору связи, крайне невыгодно.Глупость конечно, но можно разделить клиентов по vlan выдавать IP с маской 252 и пускать весь трафик между ними через маршрутизатор, но это не очень красиво и надо поддерживать wins для win.
Хотя наверное вы не должны вмешиваться в организацию чужих сетей.
Всегда можно настросить прокси так, что вы ничего не поймёте. Сама постановка задачи глупа - человек купил канал, что с ним делать - это уже его личное дело.
>защита от прокси-серверов и гейтов.
>Посоветуйте пожалуйста, как можно запретить или предотвратить использование абонентами прокси-серверов на своих
>компах(локальная сеть в общежитии). В общежитие предоставлен безлимитный канал, а студенты
>с целью экономии денег подключаются, затем ставят на свои компы что-то
>типа UserGate или CCProxy и раздают этот канал всем желающим, что
>мне, как небольшому оператору связи, крайне невыгодно.Как студент из общежития, работающий за проксей, отвечу - никак ты с это не запретишь :0)
>защита от прокси-серверов и гейтов.
>Посоветуйте пожалуйста, как можно запретить или предотвратить использование абонентами прокси-серверов на своих
>компах(локальная сеть в общежитии). В общежитие предоставлен безлимитный канал, а студенты
>с целью экономии денег подключаются, затем ставят на свои компы что-то
>типа UserGate или CCProxy и раздают этот канал всем желающим, что
>мне, как небольшому оператору связи, крайне невыгодно.Если прокси и принимает и отдаёт трафик через вашу сеть, то можно следить, когда продолжительные периоды времени входящий трафик почти равен исходящему. Это будет тогда, когда владелец машины интернетом не пользуется, и работает чисто прокси.
Хотя по-моему, это глупо, и не только от этого можно закрыться (пускать левый трафик и всё), но и вообще сама грань между перепродажей, совместным использованием и обычным использованием очень тонкая.
Я пришёл к другу Васе, у которого анлим. Я ему показываю пальцем на ссылки, он мне качает. Через день я прихожу с DVD, забираю скачанное. Это, выходит, что? Перепродажа? Да нет вроде. Хотя для меня эффект тот же: я получил информацию через Васю.
а на кой хер ловить прокси и прочую дрянь ?!
может имеет смысл изначально строить правильно сеть, а не заниматься костылями...Да 100 абонентов, а если 1500, 2000... тогда что???
А темболее обежитие там вообще больные нищие студенты, которые за 1Мбайт интиеренета убить готовы...Надо просто продумывать техноогию доступа и тарификации...
Есть политека фиьрации оператора или каво-то еще и больше нет НИЧЕГо ВЫ НЕ ИМЕЕТЕ ПРАВО В чем-то ограничивать пользователя даже если ВАМ кажется что он подключил 2 аула через себя - это проблема конфигурации Вашей сети...
>а на кой хер ловить прокси и прочую дрянь ?!
>может имеет смысл изначально строить правильно сеть, а не заниматься костылями...
>
>Да 100 абонентов, а если 1500, 2000... тогда что???
>А темболее обежитие там вообще больные нищие студенты, которые за 1Мбайт интиеренета
>убить готовы...Надо просто продумывать техноогию доступа и тарификации...
>Есть политека фиьрации оператора или каво-то еще и больше нет НИЧЕГо ВЫ
>НЕ ИМЕЕТЕ ПРАВО В чем-то ограничивать пользователя даже если ВАМ кажется
>что он подключил 2 аула через себя - это проблема конфигурации
>Вашей сети...Да строго говоря вообще это никакая не проблема. Он заплатил за этот трафик, а дальше делает с ним всё, что хочет (в пределах закона и правил пользования сетью: спам, взлом и т. д.)
>а на кой хер ловить прокси и прочую дрянь ?!
>может имеет смысл изначально строить правильно сеть, а не заниматься костылями...
>
>Да 100 абонентов, а если 1500, 2000... тогда что???
>А темболее обежитие там вообще больные нищие студенты, которые за 1Мбайт интиеренета
>убить готовы...Надо просто продумывать техноогию доступа и тарификации...
>Есть политека фиьрации оператора или каво-то еще и больше нет НИЧЕГо ВЫ
>НЕ ИМЕЕТЕ ПРАВО В чем-то ограничивать пользователя даже если ВАМ кажется
>что он подключил 2 аула через себя - это проблема конфигурации
>Вашей сети...Я бы попробовал отслеживать клиентов с большим количеством потоков, до кучи, может быть, еще проверял TTL. Только блокировать по таким признакам бессмысленно -- будут лучше прятаться. Я бы фиксировал сам факт наличия субпровайдера и душил ему скорость потихоньку.
>[оверквотинг удален]
>>убить готовы...Надо просто продумывать техноогию доступа и тарификации...
>>Есть политека фиьрации оператора или каво-то еще и больше нет НИЧЕГо ВЫ
>>НЕ ИМЕЕТЕ ПРАВО В чем-то ограничивать пользователя даже если ВАМ кажется
>>что он подключил 2 аула через себя - это проблема конфигурации
>>Вашей сети...
>
>Я бы попробовал отслеживать клиентов с большим количеством потоков, до кучи, может
>быть, еще проверял TTL. Только блокировать по таким признакам бессмысленно --
>будут лучше прятаться. Я бы фиксировал сам факт наличия субпровайдера и
>душил ему скорость потихоньку.Гнать таких админов надо, так как если ты даешь анлим, то уже не надо ни за чем гнаться, просто ты ж не безразмерный канал даешь а строго лимитированный например там 512/512. Пусть там он хоть не только общежитие а весь город подключит скорость то будет делиться на всех, так что нечего тут демагогию разводить
Наш местный провайдер предлагает анлим 128/128 Кбит за 999 рублей если за последние 10 дней объём скачанного трафика превышает 256 Мб, то он оставляет за собой право снизить скорость до 32 Кбит. Ахахахаха. Хачьте их пожалуйста.
>Гнать таких админов надо, так как если ты даешь анлим, то уже
>не надо ни за чем гнаться, просто ты ж не безразмерный
>канал даешь а строго лимитированный например там 512/512. Пусть там он
>хоть не только общежитие а весь город подключит скорость то будет
>делиться на всех, так что нечего тут демагогию разводитьОрганизуйте собственного провайдера, назовите его Справедливостьтелеком, и раздавайте анлим даром :-)
>>Гнать таких админов надо, так как если ты даешь анлим, то уже
>>не надо ни за чем гнаться, просто ты ж не безразмерный
>>канал даешь а строго лимитированный например там 512/512. Пусть там он
>>хоть не только общежитие а весь город подключит скорость то будет
>>делиться на всех, так что нечего тут демагогию разводить
>
>Организуйте собственного провайдера, назовите его Справедливостьтелеком, и раздавайте анлим даром :-)
>:) отдавай трафик мульти кастом - насколько я в курсе не одна прокся этого еще не переваривает - удачи :)
Хорошие студенты как правило бедные, если не нищие. Стипа 1,5тыс.руб. Неправильно наживаться на этих людях, _пока_они_студенты_.
>Хорошие студенты как правило бедные, если не нищие. Стипа 1,5тыс.руб. Неправильно наживаться
>на этих людях, _пока_они_студенты_.Если студент был бы инвалидом у него была бы на то соответсвующая бумажка, студент ничем не отличается от всех остальных вокруг. Хороший студент, со степендией в 1,5 тыс. рублей пойдет в библиотеку, а не в интернет.
Вам необходимо думать над бизнес планом, а не над технической стороной. Пересмотрите тарифы, посчитайте максимальный расход трафика при этой скорости, проведите анализ потребления трафика Вашеми клиентами. В конечном итоге - для начала запустите обычные тарифы(не анлим).
Ужимать скорость можно, но это очень некрасивый прием. Что Вы получите - хороший студент додумается замерить среднюю скорость и пойдет в суд, т.к. гарантированную скорость Вы ему не даете. Проводится замер скорости официально. Да, Ваш админ убирает лимит, суд отклоняет зявку, все у Вас просто замечательно. Вы потеряли клиента + заработали свою репутацию.
я так думаю проше настроить ограничение по скорости и если он кого и подключит это ему даст уменьшение скорости прямо пропорционально количеству подключеных пользователей
а сидеть два часа и ждать когда страница загрузиться не кому не в кайф
да и количество подключенныхпользователей не отразится на загруженности канала
>защита от прокси-серверов и гейтов.
>Посоветуйте пожалуйста, как можно запретить или предотвратить использование абонентами прокси-серверов на своих
>компах(локальная сеть в общежитии). В общежитие предоставлен безлимитный канал, а студенты
>с целью экономии денег подключаются, затем ставят на свои компы что-то
>типа UserGate или CCProxy и раздают этот канал всем желающим, что
>мне, как небольшому оператору связи, крайне невыгодно.Подведя итоги:
Самый эффективный спрособ получиться при совмещении технической стороны и изменения тарифной политики.
1) Тарифы продумайте с таким расчётом чтобы безлимитка стоила не сильно дорого , но с условием что есть такой параметр средняя нагрузка на канал в день (когда нагрузка превышена на определённый процент снижается скорость канала и если дальше нагрузка растёт то канал становится всё уже и уже в плоть до отключения, на следущий день всё возвращается назад)(нагрузка может например вылажаться в количестве прокаченных мегабайт). И приоритет трафика для такого тарифного плана высталяйте самый низкий.
2)Измените тарифную политику в сторону Что-бы было выгодней брать помегабайтную или погигабайтную оплату. И условия подключения в сторону того что-бы клиенту было выгодней обратиться к вам как к первичному оператору, а не к своему соседу за "халявой".
Если совсем короткоГрамотная тарифная политика и прогресивно-интелектуальный шейпинг