Concatenazione Proxy

[anton1o]

Salve a tutti,

mi sono trovato nei log files del mio server parecchi ingressi da un proxy, mettendomi in comunicazione con il gestore di questo proxy, molto gentilmente mi ha fornito gli indirizzi ip che avevano fatto richiesta al suo proxy di venire sul mio server.
Ho controllato e : SORPRESA un altro proxy.
E' come se avessero concatenato 2 proxy e poi siano giunti al mio server.

Come si può fare questo tramite un browser ?

Ho provato a cercare informazioni in giro, su alcuni siti poco raccomandabili ho trovato un esempio che diceva di mettere nella barra del browser l'indirizzo cos composto:

http://Proxy1:Porta1/ http://Proxy2:Porta2/ http://www.Sito.it/

Ho provato ma non si riesce nemmeno a raggiungere il 2° proxy.

Qualcuno ne sa qualcosa in più di come fanno a fare queste cose?
C'è modo di accorgersene se l'ingresso è avvenuto dietro una catena di proxy?

Saluti
Antonio.

[ZofM]

Purtroppo si possono fare parecchie cose su Internet
Bisogna innanzitutto capire se questa "catena" di proxy è stata voluta o meno.
Faccio un esempio: noi, come provider, obblighiamo i ns utenti a navigare tramite il ns proxy. Ovviamente però da parte loro non esiste nessuna configurazione visto che il proxy in questione è di quelli definiti "transparent" (passi di li e nemmeno te ne accorgi ). Nel tuo caso, per es., potrebbe essere qualche utente nella stessa situazione che ha però impostato un ulteriore proxy nella propria configurazione. In questo caso si passa x 2 proxy a cascata.

Ora però questa è una situazione verificatosi in modo involontario. Poi, volendo, si possono utilizzare altre strade x passare tramite + proxy :quipy:

[anton1o]

Non penso che il tutto è avvenuto involontariamente, perchè le richieste che mi arrivano tramite proxy sono atte al tentativo di danneggiare il sistema, per fortuna non riuscite perchè i bugs che tentano di sfruttare sono vecchissimi e patchati da tempo, hanno provato ad effettuare anche sql injection, ma queste cose le ho già previste e qundi ho filtrato le query sql.

Mio interrogativo è sapere come fanno a concatenare più proxy per poi arrivare al mio server.

Se capisco come fanno posso sapere qualcosa in più su di loro e prevenire altri tentativi simili.

[ZofM]

Ah ok mo ce siamo!
Purtroppo attacchi del genere fai fatica ad evitarli.
Secondo me non hanno utilizzato proxy ma semplicemente hanno crakkato qualche server al fine di utilizzarlo per questo tipo di attacchi.
Le tecniche sono svariate e si differenziano da personaggio a personaggio. Spesso riescono ad accedere a + server e collegare le richieste tra di loro.

Il + delle volte che succede a noi sono server americani .. principalmente università

Un modo abbastanza sicuro di raggirare il problema è installare un software di intrusion detection (o forse anche configurando un buon firewall). Puoi così configurarlo in modo da bloccare le richieste dopo che ne arrivano esageratamente tante.

[anton1o]

Avevo pensato ad una combinazione di SNORT come IDS e IpTables configurato a dovere per il firewall.

L'idea era di inibire gli indirizzi ip dei proxy usati per i tentativi, però scusa se insisto io nei logfiles trovo anche l'agente è un mozilla e la macchina è un windows 5.1 (win XP)perciò sono convinto che queste richieste strane sulla porta 80 sono comunque frutto di utilizzazione di proxy da internet explorer, anche perchè qualche volta hanno usato anche proxy trasparent che alla richiesta allegano il parametro HTTP_PC_REMOTE_ADDR:xxx.xxx.xxx.xxx

e al posto delle xxx ovviamente mi passa l'ip reale di chi sta effettuando la richiesta al proxy.
Certe volte riesco a risalire all'ip di un utente vero e proprio, altre volte è un ip di un secondo proxy.

Mi serve sapere come fanno a concatenare 2 proxy da explorer per poi effettuare le richieste sul mio server.

Qualcuno lo sa fare ?