Detectando el proxy Tor leyendo los encabezados de solicitud

13

Soy un novato en el campo de la seguridad. Mientras intentaba explorar más sobre los encabezados de solicitud y respuesta HTTP, encontré este sitio web que proporciona un análisis detallado de encabezado de solicitud que nuestro sistema envía a su servidor. De acuerdo con el sitio web, al examinar el encabezado Vía o X-Forwarded-For , se puede concluir si el cliente está utilizando un proxy o no. Cuando visité el sitio web sin usar ningún proxy, mostró ambos encabezados como no presente (que era de esperarse). Pero, cuando volví a visitar este sitio web, esta vez utilizando el Navegador Tor , ¡todavía no estaban presentes los dos encabezados! No hay señal de proxy en absoluto.

Tengo una idea muy vaga sobre el funcionamiento de Tor, pero no estoy seguro de por qué los encabezados no pueden detectar el proxy cuando utilizo el navegador Tor. ¿Alguien puede explicar la razón de lo mismo en términos sencillos? Además, si Tor ofrece este nivel de anonimato, ¿hay alguna otra forma de detectar un proxy Tor?

    
pregunta Rahil Arora 06.07.2013 - 03:30
fuente

4 respuestas

11

Tor simplemente repite las solicitudes como un proxy HTTP transparente anónimo, lo que significa que no adjunta encabezados de proxy típicos (como Via o X-Forwarded-For ), ni modifica de ninguna otra manera las solicitudes o respuestas HTTP (además de ser "cebolla enrutada, encriptada y desencriptada" a través de la red Tor).

En lo que respecta a la identificación de clientes que se conectan a través de la red Tor, el más fácil de detectar dichos clientes en el servidor web es consultar al público Servicio TorDNSEL que publica nodos de salida Tor:

  

TorDNSEL es una lista de prueba activa, basada en DNS de nodos de salida Tor. Ya que   Tor admite políticas de salida, una lista de salida Tor de un servicio de red es una   Función de su dirección IP y puerto. A diferencia de los DNSxL tradicionales,   los servicios deben proporcionar esa información en sus consultas.

     

Los DNSEL anteriores rasparon el directorio de la red de Tor para el nodo IP de salida   direcciones, pero este método no puede enumerar los nodos que no anuncian   Su dirección de salida en el directorio. TorDNSEL prueba activamente a través de   estos nodos para proporcionar una lista más precisa.

Esta consulta TorDNSEL se puede automatizar, por ejemplo. en su aplicación web, y el código de ejemplo en muchos lenguajes de programación se puede encontrar en Internet. Por ejemplo, aquí hay un ejemplo de código que demuestra cómo para hacer eso en PHP.

Si va a implementar esta comprobación de Tor en su aplicación web, entonces le recomiendo que cachee los resultados de la consulta localmente durante algún tiempo, es razonable esperar que los nodos de salida no hayan cambiado mientras tanto, no repetir constantemente las mismas consultas. y agrega un retraso adicional a tus respuestas.

Editar para agregar : una forma más de optimizar esta consulta del nodo de salida Tor y evitar el uso de TorDNSEL todo el tiempo es hacer una búsqueda DNS inversa de antemano, e intente compararla con una lista de los principales hosts conocidos del nodo de salida Tor. Esto puede ser bastante efectivo, ya que muchos de los principales hosts de nodos de salida nunca cambian y pueden operar una gran cantidad de nodos de salida, todos con el mismo nombre de rDNS o uno similar. Por ejemplo, podría intentar hacer coincidir los nombres rDNS con su lista usando expresiones regulares, operador de SQL LIKE o similar. Algunos de los hosts de nodo de salida Tor conocidos (ejemplos reales) coincidirán con estos nombres:

tor[0-9].*
tor-exit*
*.torservers.*
*.torland.is

Esta es la lista que estoy usando. Como puede ver, está lejos de estar completo, pero es un comienzo y siempre puede agregar más entradas a medida que las detecte para seguir un patrón que coincida fácilmente. Como está pensado para optimizar simplemente las consultas, no es necesario que esté completo, pero cada coincidencia acelerará las cosas. Espero que esto ayude!

    
respondido por el TildalWave 06.07.2013 - 04:26
fuente
8

El encabezado X-Foreward-For se envía opcionalmente (y con un propósito) mediante proxies. Si un proxy intenta ocultar la identidad de su usuario, no enviará este encabezado.

La Red Onion está diseñada específicamente para mantener la identidad de los usuarios oculta. Nunca revelará la dirección IP ni ningún otro dato que pueda mostrar la identidad de los usuarios.

    
respondido por el copy 06.07.2013 - 03:45
fuente
1

Una pequeña nota aquí:

Mientras revisaba el artículo de Wikipedia sobre servidores proxy , descubrí que incluso si los servidores proxy no utilizan el líneas de encabezado como HTTP_VIA, HTTP_X_FORWARDED_FOR o HTTP_FORWARDED, todavía es posible que un sitio web sospeche un proxy si los paquetes enviados por el cliente incluyen una cookie de una visita anterior que no usó servidor proxy de anonimato.

    
respondido por el Rahil Arora 03.10.2013 - 05:07
fuente
0

Puedes detectarlo con el paquete de recursos de Firefox. Solo tienes que estar pendiente de la programación de JavaScript.

Firefox usa el esquema resource:// URI para llamar a recursos en disco desde módulos internos y extensiones.

Pero algunos de estos recursos también pueden incluirse en cualquier página web y ejecutarse a través de una etiqueta de script. Los desarrolladores de Mozilla no están considerando los recursos como un vector de huellas dactilares, a pesar del hecho de que algunos de ellos pueden revelar cosas que el usuario no desea revelar. Por ejemplo, las diferencias en los archivos de preferencias incorporados indican claramente si está usando Windows, Linux o Mac, incluso si está detrás de Tor.

Pruebe esta URL en el navegador Tor: enlace

    
respondido por el Zigri2612 12.07.2016 - 12:54
fuente

Lea otras preguntas en las etiquetas