Me están siguiendo en la web. Explicaciones para el comportamiento misterioso.

Question

Me están siguiendo en la web. Explicaciones para el comportamiento misterioso.

#1 de scuzzy-delta (3 votos)
#2 de Tracy Reed (1 votos)

4

¿Me están acosando?

Hace poco estaba haciendo algunas secuencias de comandos de desarrollo de Python básicas.

Python tiene una buena característica donde puede ejecutar un servidor HTTP simple que sirve los contenidos del directorio local, en el puerto 8000 de forma predeterminada, pero seleccionable para cualquier otro puerto.

Fui a servir el contenido de mi directorio de trabajo usando esta función. Tenga en cuenta que imprime un registro con IP / nombre de host de cada solicitud en tiempo real.

(Tenga en cuenta que estoy ocultando mi IP con 1.2.3.4)

Serving HTTP on 0.0.0.0 port 8000 ...
1.2.3.4 - - [02/May/2013 17:20:57] "GET / HTTP/1.1" 200 -
1.2.3.4 - - [02/May/2013 17:20:57] code 404, message File not found
1.2.3.4 - - [02/May/2013 17:20:57] "GET /favicon.ico HTTP/1.1" 404 -
1.2.3.4 - - [02/May/2013 17:21:01] code 404, message File not found
1.2.3.4 - - [02/May/2013 17:21:01] "GET /mobile HTTP/1.1" 404 -

Ok. Esto se ve bien, obteniendo todos los errores 404 en este punto. 1.2.3.4 soy yo.

Pero luego mira:

1.2.3.4 - - [02/May/2013 17:21:08] "GET /mobile.html HTTP/1.1" 200 -
ec2-54-242-63-60.compute-1.amazonaws.com - - [02/May/2013 17:21:40] "GET /mobile.html HTTP/1.1" 200 -
usloft3354.dedicatedpanel.com - - [02/May/2013 17:22:13] "GET /mobile.html HTTP/1.1" 200 -

¡Mira las dos últimas líneas! Una vez que obtenga mi primera respuesta 200 (OK), ¡Me están siguiendo !

Tenga en cuenta que, por supuesto, hay no enlaces a esta página en cualquier lugar de Internet, por lo que los rastreadores web no pudieron encontrarla.

Supongamos por un segundo que es un puerto de exploración del rastreador de puertos 8000 (muy plausible). Entonces, ¿cómo sabe exactamente solicitar la página /mobile.html (nada más)?

Así que vuelvo a ejecutar el servidor web de Python, esta vez eliminando /mobile.html y creando una nueva página /test.html :

Serving HTTP on 0.0.0.0 port 8000 ...
1.2.3.4 - - [02/May/2013 17:34:05] "GET /test.html HTTP/1.1" 200 -
ec2-54-242-63-60.compute-1.amazonaws.com - - [02/May/2013 17:34:06] "GET /test.html HTTP/1.1" 200 -
usloft3101.dedicatedpanel.com - - [02/May/2013 17:34:06] "GET /test.html HTTP/1.1" 200 -

Pase lo que pase, esto está claro: mi navegación web se está grabando y sombreando.

Para marcar el punto, intento servir el servidor en el puerto 8001 con una nueva página ( /test2.html ):

Serving HTTP on 0.0.0.0 port 8001 ...
1.2.3.4 - - [02/May/2013 17:36:40] "GET /test2.html HTTP/1.1" 200 -
ec2-107-20-20-213.compute-1.amazonaws.com - - [02/May/2013 17:36:41] "GET /test2.html HTTP/1.1" 200 -

Una vez más, el misterioso sombrerero sabe exactamente la página a solicitar (y NADA más).

Hipótesis

Realmente no tengo idea de cómo explicar esto. Es importante tener en cuenta que estoy navegando a través de una VPN ubicada en Canadá, mientras que tanto yo como los sitios que visito están ubicados en los Estados Unidos. Tengo la sospecha de que, dado que esto está cruzando las fronteras nacionales, el tráfico fluye a través de una tubería interceptada por [inserte, tres letras, agencia gubernamental]. Las leyes con respecto a la censura doméstica dentro de los Estados Unidos son difíciles, pero dudo que algo de eso se aplique al tráfico internacional.

Si no es una agencia, ¿podría ser mi proveedor de VPN indagando en mis cosas mientras estoy en un proxy?

También, podría ser que los ISP indagan en mi tráfico, ya que el tráfico que se origina en esta IP se usa a menudo para torrents (no estoy en torrent, estoy usando esta VPN para el anonimato mientras navego). Si es así, ¿esto no es ético / ilegal de su parte?

Cualquier comentario / opinión / experiencia muy apreciada, gracias!

http vpn

pregunta B. VB. 02.05.2013 - 23:58

fuente

2 respuestas

Lea otras preguntas en las etiquetas http vpn

Creación y despliegue de certificados autofirmados para un escenario de dos máquinas Cifrado seguro pero reversible para el almacén de datos local

score 3 · Answer 1

Estoy de acuerdo con TildalWave y Tracy Reed. Esto es casi seguro que un proveedor de VPN, su proveedor de conectividad ascendente o el proveedor de alojamiento del servidor ejecutan un proxy de almacenamiento en caché o un indexador de algún tipo.

No es una "indagación" de NSA / TLA por los siguientes motivos:

La NSA solo olfatearía los paquetes a través del cable
La NSA obligaría a su proveedor de VPN a incluir una fuente de alimentación desde el lado de salida de su equipo
La NSA aprovecharía los paquetes al comprometer su computadora
La NSA no usaría un método de espionaje tan fácil de detectar y aficionado

Por todas esas razones, diría que no hay un adversario determinado que te espíe. Las otras explicaciones son mucho más plausibles.

score 1 · Answer 2

proxy web. Tal vez su proveedor de VPN es el almacenamiento en caché. Prueba esta prueba sin la VPN. ¿Está el servidor en tu localhost? Intenta conectarte a 127.0.0.1 para obtener el archivo. Vea cuál de estos pasos hace que el comportamiento de la sombra se detenga. Eso te ayudará a deducir dónde está el proxy / acosador. :)