PROXY防范技术探讨

tpstar

　　 Proxy技术给网络访问带来了很多意想不到得方便，大大增加了组网的灵活性，而且通过Proxy可以实现对网络访问的应用层的控制，直接可以控制用户访问的内容信息，增加了对网络访问的控制能力。但同时比较戏剧性的是，也让校园、宽带小区、企业园区网的网管员们头痛不已，他们发现有些网络用户用了Proxy以后，网络中的资源访问权限变得不可控，给网络资源带来了安全隐患，给通过网络运营的各类ISP们带来了很大的损失。因此，网上又出现了防Proxy软件，比如Proxy Hunter等等，拉开了Proxy与反Proxy大战的序幕。本文着重讨论一下Proxy与Proxy防范的相关技术，并对目前的几种防范手段做一个简单的分析。

一 Proxy技术简介：

随着Internet与Intranet的飞速发展，作为连接Internet与Intranet的桥梁，代理服务器在实际应用中发挥着极其重要的作用。它可用于多个目的，最基本的功能是连接，此外还包括安全性、缓存、内容过滤、访问控制管理等功能。具体来说主要有以下特点：

??(1) 可通过一个公用IP地址供多个用户同时访问Internet

??(2) 在内部网络和外部网络之间构筑起防火墙

??(3) 通过缓存区的使用降低网络通信费用

??(4) 对局域网用户进行访问权限和信息流量计费管理

??(5) 对进入局域网的Internet信息实现访问内容控制

??(6) 在确保局域网安全的环境下提供Internet信息服务

代理服务器（Proxy）是接收或解释客户端连接并发起到服务器的新连接的网络节点。它是客户端/服务器关系的中间人，这意味着代理服务器必须满足以下条件：

??（1）能够接收和解释客户端的请求

??（2）能够创建到服务器的新连接

??（3）能够接收服务器发来的响应

??（4）能够发出或解释服务器的响应并将该响应传回给客户端

??上述四个条件也即是代理服务器的四个基本功能。如果说接收客户端请求并发回响应是服务器的功能的话，那么发起到服务器的连接并接收服务器的响应则是客户端发挥的作用。因此实现代理服务器必须要同时实现服务器和客户端两端的功能。

??根据代理服务器工作的层次，一般可分为应用层代理、传输层代理和SOCKS代理。应用层代理工作在TCP/IP模型的应用层之上，它只能用于支持代理的应用层协议（如HTTP，FTP）。它提供的控制最多，但是不灵活，必须要有相应的协议支持。如果协议不支持代理（如SMTP和POP），那就只能在应用层以下代理，也即传输层代理。传输层代理直接与TCP层交互，更加灵活。要求代理服务器具有部分真正服务器的功能：监听特定TCP或UDP端口，接收客户端的请求同时向客户端发出相应的响应。另一种代理需要改变客户端的IP栈，即SOCKS代理。它是可用的最强大、最灵活的代理标准协议。SOCK V4允许代理服务器内部的客户端完全地连接到外部的服务器，SOCK V5增加了对客户端的授权和认证，因此它是一种安全性较高的代理。

网络代理服务器的工作原理：当客户在浏览器中设置好Proxy Server后（比如说是WWW访问），你使用浏览器访问所有WWW站点的请求都不会直接发给目的主机，而是先发给代理服务器，代理服务器接受了客户的请求以后，由代理服务器向目的主机发出请求，并接受目的主机的数据，存于代理服务器的硬盘中，然后再由代理服务器将客户要求的数据发给客户。对于其他应用以此类推，也就是说你要在每一个服务的客户端软件里面设置代理服务（代理服务器的地址、端口号等等），比如FTP、Mail、QQ等都需要分别设置。

二 Proxy技术给网络带来的变化

1、 网络访问方向发生变化

在一个网络中用了Proxy以后，由于所有的用户访问Proxy Server所代理的服务时必须访问Proxy Server来得到所需要的服务，而不是直接到网关寻找提供服务的服务器。所以访问由用户发起访问——网关决定下一跳——下一跳设备……目标服务器变成了用户发起访问——代理服务器——网关（决定下一跳）——下一跳设备……目标服务器，所以最大的变化就是数据访问的方向有所改变。

2、网络访问变得隐蔽

使用代理服务器之后，对与外部网络的服务器来说，发起访问的就只有代理服务器一台计算机了，这样从访问的角度来看，内部网络访问被隐蔽了。并且访问的权限被集中管理了。

3、网络管理变得复杂

由于代理服务器的存在，网管员一方面可以通过代理服务器集中管理所有的访问，对所有的访问进行过滤和管理，诚然带来一定的便利性，但如果在比较大的网络中采用这种方式会严重影响网络访问速度，并且会由于代理服务器的失效导致服务的中断。所以大型的网络一般不会采用代理服务器，反之，为了规范网络的访问，反倒要防止用户使用代理服务器，因为最终用户使用了代理服务器之后，用户的数量被隐蔽了，用户访问权限变得不可控，所有代理服务器之后的用户都有可能具备代理服务器一样的权限。所以有了代理服务器之后，大型网络的网管变得更加复杂，需要采用各种防Proxy手段来杜绝用户采用Proxy技术。

4、对网络应用的影响

代理服务器由于工作在TCP/IP协议栈的应用层，所以会受到应用的一些限制。也就是说只能提供所代理的一些服务，对于没有代理的绝大多数服务就无能为力了，导致网络提供服务的限制。

三 Proxy防范技术之一：抓Proxy软件

近年来，网上应防范Proxy的需求出现了一些防范Proxy的软件，比如Proxy Hunter等，其防范Proxy的原理主要是扫描提供代理服务的端口，比如8080、1888、8888等等。

这种方法的优势在于易于实现，部署容易，缺点是无法彻底解决代理防范问题，因为每一种服务都有相应的代理，而且服务端和客户端可以协同对端口号进行更改，用端口扫描的办法就很难发现，尤其是双网卡的代理服务，这种方式很难发现。

另外，由于这种方式需要扫描1024到65535之间的所有端口，因此扫描的工作量很大，对CPU的消耗也很大。因此对设备要求比较高，并且会增加网络上的流量。而且目前网络代理技术越来越先进，很容易漏报。

四 Proxy防范技术之二：通过认证系统抓Proxy

目前主流的认证系统基本上都是基于C/S结构的，比如PPPoE和802.1X等等。有些厂商就借助于装在客户端的认证终端软件或者服务器端内置了一些防代理功能来防止最终用户使用Proxy。这种方式的原理如下：

1、 运行后探测计算机是否具备双网卡，如果有双网卡就强行下线

2、 运行后探测计算机是否启动了所限制的代理服务，如果启动了则强制下线。

3、 在服务器端集成一个抓代理软件，如果发现用户使用，则通过认证系统强制这个用户下线，这种方式原理和抓代理软件原理相同。

这种方式的优势在于比较容易的防止认证用户使用代理服务，但缺点在于需要维护客户端，加了代理限制功能的客户端软件变得更加复杂，而且随着限制代理种类的增多，需要增加新的功能模块，所以可运营性、可维护性都比较差。并且客户端软件和系统的拨号服务、1394等互联服务容易产生冲突，另外，由于加了防代理功能，对系统的稳定性、硬件兼容性都会产生一定的影响，可用性也大大降低。因此对于基本上都是运营商在采用的PPPoE认证，就没有厂商盲目的更改客户端去防Proxy，而采用了比较粗犷的做法，限制带宽、限制流量，通过对带宽和流量的限制保证整个网络访问的可控。之所以这样做，正是因为一个软件保证广泛的兼容性和稳定性（综合为可用性）实际上是很困难的，而且会影响用户操作系统的稳定性，这是运营商和用户都不愿意看到的。

五 Proxy防范技术之三：通过网络设备控制数据访问防范Proxy

通过网络设备控制数据访问来防范Proxy有以下几种方式：

1、 通过流量计费的方式，来控制用户上网的数据流量。这需要专用的流量采集芯片（设备）才能做到对网络性能和稳定性不产生严重的影响，不然只能通过软件来实现，但会严重影响设备性能和稳定性。

2、 还有些厂商把扫描Proxy功能集成到网络设备（路由器、交换机）中，来实现对Proxy的防范。从技术上讲可以实现，但会给网络设备带来很多潜在的不安全因素。主要原因是交换机处理业务数据是通过ASIC芯片来处理的，而网管、查表等少量的非业务性工作是由CPU来完成的，所以交换机上的CPU的处理能力一般情况下都很有线，如果集成了扫描代理的功能，就需要和其他服务器建立会话，会大大增加CPU的负担而导致系统很不稳定，并且容易受到病毒等恶意程序的攻击。路由器依然，对CPU的负担会大大加重，对路由器处理业务数据会产生直接的影响，所以我们不建议采用这种方式。

3、 在网络出口的路由器上限制TCP/UDP进程数量，也就是限制可以同时进行的访问WEB页面的连接数或FTP连接数等的数量，但是目前没有可能实现在ASIC芯片上。只能在NP或通用CPU上实现。港湾公司的全线路由器提供的CCL（commit connection limited）可以提供这种对IP连接数量的限制，而且可以和路由器ACL、NAT等技术配合，做到更精细的控制，而且对路由器的性能的影响很小，基本可以忽略。

4、 通过智能交换机的强制流分类功能实现对Proxy的防范，从前面的分析中可以了解到用户使用了Proxy后给网络带来的变化是网络数据访问的方向发生了变化，而强制流分类功能正是通过限制特定服务的数据按规定的“路线”传输而不是先访问代理服务器从而从根本上实现了对Proxy的防范。这种防范的原理如下：


从上面的图中可以看出，用户数据在一进入交换机以后就被交换机按照预先的配置针对不同的应用作强制的应用流分类并且转发到指定的端口，而不管这个应用访问的目的IP地址是什么，这样就确定了每个用户的每种关键应用的数据在整个网络中的转发路线（如下图中的红、绿、棕色线条）。正是因为Proxy技术改变了数据流访问的方向（如下图黑色虚线条），通过这种方式就可以避免非法代理的存在。



六 四种方式的优劣分析：

如果所限制的代理服务器和用户在交换机的同一个端口下面，建议采用综合治理的方式，利用速率限制、IP连接数量限制、交换机端口和MAC地址绑定、认证系统的用户名、IP地址、交换机端口的绑定等方式协同控制。

如果所限制的代理服务器和用户不在交换机的同一个端口下面，分别在交换机的不同端口或者是不同的交换机上，建议采用第四种方式。如上图。这种情况主要发生在单位用户，所以在单位用户中，完全可以通过这种方式完全杜绝代理的问题，而且可以通过确定数据流访问的方向提供网络的安全性保障。接入层也可以采用不支持强制流分类的非智能交换机，但此时必须在这个交换机上设置端口物理隔离，把信息全部强制送到可以做流分类的交换机上统一处理，这样也可以实现对非法代理的防范，用户可以根据具体的情况确定选用哪一种方式。

网路游侠

[emb7]

一网晴

[emb7]

johnathine

很不错的文章，是你写的吗？不过这样也很好，我可以很轻松的学习了，谢谢了。呵呵。

leo

需要仔细看看！