|
|
 |
|
|
| 1. RE: 如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
  |
|
 |
|
HP : 1030 / 1717
MP : 4151 / 30234
EXP : 68%
|
|
rotartsinimdA
成员等级: 69
发表总数: 12453
金币总数: 456
所属组别: 管理员
注册日期: 2003/01/1
|
| QUOTE | | 对我有用,顶!这个问题确实让网管讨厌,检测代理也确实没有好的方法,我打算在internet出口地方使用流量控制设备(硬件的),可以具体到一个ip地址做流量限制,那么从他过来的大了,这个ip就上不了了。看谁做? |
这种方式只能防菜鸟
真正的浏览网页所需要的带宽根本不大,你觉得你的流量限制会在多少呢?100k/sec?
如果是这样的话,高手可以限制自己的代理服务器的最高上限流量,加上WEB Cache,代动5-10台Client,是没有任何问题的。
再往下调?那么会偶一堆人大电话给你说平常下载一个文件多快多快,现在是如何如何的慢...
所以,偶才会写那么一大篇,偶觉得还是从HTTP协议本身入手,既然你有能力上流量限制的设备,那么实现偶上面的最后几种方式都应该是没有问题的。
有钱人啊。
xxbin@netbuddy.org |
|
|
|
| 2. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
 |
|
HP : 0 / 43
MP : 5 / 651
EXP : 74%
|
|
初涉江湖
成员等级: 2
发表总数: 16
金币总数: 26
所属组别: 普通成员
注册日期: 2003/12/1
|
寻找代理服务器最简单的方法就是在本机上进行跟踪:(这里专指IP层的代理服务器,与NAT或PAT功能相似)
1. 进入DOS状态,用Ipconfig命令看自己的IP,如果是一个私有IP,则访问Internet必须经过NAT或PAT。
2. 跟踪路由线路,用tracert 命令来查看路由出访Internet的线路,如下:
C:\>tracert www.hzcnc.com -d
Tracing route to www.hzcnc.com [218.108.250.243]
over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 218.108.255.91
2 <10 ms <10 ms 10 ms 218.108.253.249
3 <10 ms <10 ms <10 ms 218.108.254.201
4 <10 ms <10 ms <10 ms 218.108.253.90
5 <10 ms <10 ms <10 ms 218.108.254.34
6 <10 ms 10 ms <10 ms 218.108.250.243
Trace complete.
如果使用代理出去的,那么第一跳必定是一个私网IP,并且一般来讲就是那台代服务器。
接下来就是要找到这台代理服务器的位置,这就更简单了
1. ping 代理服务器IP
2. arp -a 找出代理服务器的MAC
3. 通知网管代理服务器的MAC
4. 确定代理服务器相应的接入端口
建设互联网,我的使命。了解、探讨、共同提高! |
|
|
|
| 3. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 1030 / 1717
MP : 4151 / 30234
EXP : 68%
|
|
rotartsinimdA
成员等级: 69
发表总数: 12453
金币总数: 456
所属组别: 管理员
注册日期: 2003/01/1
|
楼上的偶真的是服了你了
555
先看好文章是讨论在什么环境下来发现代理服务器再来谈这些好么?
另外你对Proxy和NAT的概念的确没有搞清楚 
xxbin@netbuddy.org |
|
|
|
| 4. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 0 / 43
MP : 5 / 651
EXP : 74%
|
|
初涉江湖
成员等级: 2
发表总数: 16
金币总数: 26
所属组别: 普通成员
注册日期: 2003/12/1
|
你的标题不是说如何找到网络内的代理服务器和NAT吗?
你只说到如何找到HTTP代理而已,我说的是基于NAT/PAT的代理,有什么不对吗?
proxy和NAT我当然清楚,只是概念上的分歧,因为大多数企业所用的的代理(往往大家所说的代理服务器)是基于NAT的原理的。当然也有许多是像你所说的HTTP proxy。
建设互联网,我的使命。了解、探讨、共同提高! |
|
|
|
| 5. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
 |
|
HP : 0 / 1
MP : 0 / 0
EXP : 0%
|
|
新手上路
成员等级: 1
发表总数: 1
金币总数: 11
所属组别: 普通成员
注册日期: 2003/12/3
|
英雄,好样的,坚持---继续。 |
|
|
|
 6. RE: 如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 0 / 43
MP : 5 / 651
EXP : 74%
|
|
初涉江湖
成员等级: 2
发表总数: 16
金币总数: 26
所属组别: 普通成员
注册日期: 2003/12/1
|
| QUOTE | 楼上的偶真的是服了你了
555
先看好文章是讨论在什么环境下来发现代理服务器再来谈这些好么?
另外你对Proxy和NAT的概念的确没有搞清楚 |
许多用户都喜欢将他们局域网的NAT服务器叫作代理服务器,但很少有人会将它称作”我们的NAT服务器“,就像人们看到地球自转而将要看不到太阳时,人们喜欢说"太阳要下山了"一个道理。
你为什么非要阻止别人说那是NAT服务器,不能叫代理服务器,就像你非要阻止别人说太阳要下山了,而应该说地球要转到看不到太阳了,多土呀,你说呢?
建设互联网,我的使命。了解、探讨、共同提高! |
|
|
|
| 7. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
 |
|
HP : 250 / 1254
MP : 1625 / 22003
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
呵呵,xxbin被羞辱了。 
zj_sunrise同学,xxbin说过了:
| QUOTE | | 另外有关NAT的检测,还是等到下一篇再说吧。 |
大家不要急,其实我们讲“代理”这个概念是从专业的角度来讲的,不要用“俗称”,要讲俗称就太多了。
代理和NAT的区别我认为在于做代理或NAT的设备在这个事情上的角色。代理完全切断内外的联系,代理的客户端是把请求发给代理服务器,由服务器向目标主机发起请求;而NAT则是网络设备把数据包中的地址进行了处理,NAT inside直接把请求发给目标主机。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 8. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 0 / 43
MP : 5 / 651
EXP : 74%
|
|
初涉江湖
成员等级: 2
发表总数: 16
金币总数: 26
所属组别: 普通成员
注册日期: 2003/12/1
|
麦子同学误会了,我并没有羞辱xxbin的意思,就事论事嘛。你说的对,从专业的角度上讲代理就是proxy,和传统NAT是两码事,但也要结合实际,就是你说的俗称,因为很多客户问我们代理的时候其实问的是NAT的问题,有时候就无需太过计较了,问题解决了就OK了。
建设互联网,我的使命。了解、探讨、共同提高! |
|
|
|
| 9. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 0 / 412
MP : 117 / 6486
EXP : 51%
|
|
名动江湖
成员等级: 17
发表总数: 352
金币总数: 714
所属组别: 中级成员
注册日期: 2003/08/25
|
boring |
|
|
|
| 10. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
 |
|
HP : 75 / 753
MP : 431 / 11367
EXP : 13%
|
|
站在无数的尸体上
成员等级: 31
发表总数: 1294
金币总数: 112
所属组别: 高级成员
注册日期: 2003/11/12
|
zj_sunrise同学说的也有道理,方法是为目的服务的,解决问题就好。其实我觉得这个检测真的只是用在很大很大的而且管理很不严格的单位和企业,现在国内已经有很多单位要求内外网物理隔离了,而且很多局域网都用W2kPro做工作站,配合权限管理和制度管理,还想给别人做Proxy,给他们整个Users权限就把他们全办了!
为了使偶的网络技术超过麦子,偶决定每天念如下咒语100遍:
麦子记忆力减退麦子把TCP/IP忘光光
|
|
|
|
| 11. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 1030 / 1717
MP : 4151 / 30234
EXP : 68%
|
|
rotartsinimdA
成员等级: 69
发表总数: 12453
金币总数: 456
所属组别: 管理员
注册日期: 2003/01/1
|
呵呵
不在乎什么羞辱不羞辱的说,偶之所以会那样说那位同学是因为他在另外一篇别人提问PROXY和NAT有什么区别的帖子里面说“(代理的?)原理与PAT一致”,所以才会搞成这样... 
之所以一定要把Proxy和NAT分得这么仔细,是因为这两个东东的差距实在太大了(否则也不会分成两部分来写了),偶们都是搞技术的,当然要分清楚,否则这个文章怎么写啊?都一样的话,那么用上面的方法检测NAT能行么?
NAT是什么不用偶罗嗦,自己查查RFC就知道了
Proxy这个东东正如麦子所说的
| QUOTE | | 代理完全切断内外的联系,代理的客户端是把请求发给代理服务器,由服务器向目标主机发起请求 |
客户端连接的不是目标服务器而是代理服务器,然后由代理服务器以自己的身份向真实的服务器发起请求,然后接收回应,最后再把回应送给Client
NAT和PROXY最主要的区别是从七层协议来看,NAT是网络层(3),PROXY是应用层(7),而且,连接在NAT处没有中断(仅仅是转换),而在PROXY处,连接是完全中断的。
写这篇东东主要是想起99年的事情,呵呵,麦子是知道的,算作是一个纪念吧。
xxbin@netbuddy.org |
|
|
|
| 12. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 22003
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
羞辱只是一个内部习惯用语,并不是说严重的感情伤害,呵呵。
99年已经过去很久了,好快啊。
期待xxbin的下一篇大作。 
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 13. Re: 如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 67 / 678
MP : 337 / 10318
EXP : 14%
|
|
名动江湖
成员等级: 28
发表总数: 1012
金币总数: 906
所属组别: 高级成员
注册日期: 2003/10/28
|
能不能控制每个IP SESSION的量,我想有人乐意做代理,也没办法扩散
|
|
|
|
| 14. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 75 / 753
MP : 431 / 11367
EXP : 13%
|
|
站在无数的尸体上
成员等级: 31
发表总数: 1294
金币总数: 112
所属组别: 高级成员
注册日期: 2003/11/12
|
好比房屋中介公司和“房屋银行”的区别吧!偶今天又明白了,哈哈哈哈哈!
为了使偶的网络技术超过麦子,偶决定每天念如下咒语100遍:
麦子记忆力减退麦子把TCP/IP忘光光
|
|
|
|
| 15. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 0 / 43
MP : 5 / 651
EXP : 74%
|
|
初涉江湖
成员等级: 2
发表总数: 16
金币总数: 26
所属组别: 普通成员
注册日期: 2003/12/1
|
大家不要误会,本人没有羞辱任何人的意思,对事不对人 :-)
之所以会将代理说成与PAT一致算是一个职业病吧,因为有太多的多用户在问局域网的NAT服务器出了问题而导致不能上网向我们投诉时基本是说他们的代理服务器,这样的事情遇到得多了也就习惯成自然了,我不可能跟他们将代理和NAT的技术原理说一通后再开始解决问题。
刚刚来到贵论谈,大家对我还不了解,没想到惹了xxbin动了肝火,呵呵。
建设互联网,我的使命。了解、探讨、共同提高! |
|
|
|
| 16. Re:如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 1030 / 1717
MP : 4151 / 30234
EXP : 68%
|
|
rotartsinimdA
成员等级: 69
发表总数: 12453
金币总数: 456
所属组别: 管理员
注册日期: 2003/01/1
|
呵呵
开个玩笑的说
羞辱这个说法在偶们几个朋友里面有另外一个意思的说。
再说偶也不必为这个动肝火啊。
xxbin@netbuddy.org |
|
|
|
| 17. RE: 如何发现和防范内部网络的非法代理服务器和NAT(Part I)... |
|
|
|
|
|
HP : 1030 / 1717
MP : 4151 / 30234
EXP : 68%
|
|
rotartsinimdA
成员等级: 69
发表总数: 12453
金币总数: 456
所属组别: 管理员
注册日期: 2003/01/1
|
| QUOTE | | 能不能控制每个IP SESSION的量,我想有人乐意做代理,也没办法扩散 |
这个有点难
和流量一样,你觉得多少才算合适呢?
并发10个SESSION?还是5个?
正常的上网的人会有时候跟你抱怨怎么有时候上不了网啊。
而真正用代理的人,因为HTTP Proxy有Cache,若是Cache的命中率比较高的话,可能一个代理最多相当于2个Client。
|
