Как провайдеры определяют установленный прокси.
Здорово покупать безлимитный Интернет: сложились несколько человек (например — жители подъезда одиннадцатиэтажного дома ), купили одному человеку доступ, и давай юзать круглосуточно. Но этому усиленно сопротивляется жадина-провайдер. даже пункт соответствующий в договоре указал. И выцепляет добрых людей вполне успешно. И наказывает очень даже примерно.
Несколько основных технических способов:
1 — активность юзера. Паразитный траффик не считаем, считаем интерактивные приложения, например по patterns (match в iptables) — изменение счетчиков на IM/browsing. Также можно посмотреть активность в логах прокси. «Шарильщики» обычно активны 18-24 часов в сутки, и очень солидную цифру за неделю. Траффик тоже обычно солидный набегает.
2 — TTL match — от юзеров с NAT приходит обычно
3 — сканировать неразумно, все прокси обычно меняют заголовки, или добавляют свои. Большинство добавляет «Via: 1.» (squid, ISA), также если юзеров не принуждаешь ставить прокси, а «провайдер» тусует прокси чтоб не менялся TTL — то аськи и прочее будет работать нестандартным способом (к примеру через порт 443 полезет аська)
4 — При шаринге через пингвина, src port начинается >32000. Дефолтное значение
5 — темп syn запросов, и конечно количество коннектов, если можешь поставить посередине машину с linux + conntrack — посчитать кол-во установленных tcp сессий — как два пальца.
6 — Для ICQ (у арабов MSN, а он сволочь много tcp коннектов открывает) — можно в conntrack смотреть сколько ESTABLISHED коннектов на аську. Нормальный юзер врядли будет иметь >3 номеров на компе.
© Анлимщики И Борьба С Расшариванием Домашних Тарифов.
В дополнение темы:
http://forum.ixbt.com/topic.cgi?id=14:34550
http://forum.sysadmins.ru/viewtopic.php?t=183011&postdays=0&postorder=asc&start=0
Трэкбеки
Добавить комментарий