Wikibooks

Handleiding moderatoren/Open proxies: verschil tussen versies

Interactief door geschiedenis bladeren
← Vorige wijzigingVolgende wijziging →
Verwijderde inhoud Toegevoegde inhoud
VisueelWikitekst
Siebrand (overleg | bijdragen)
195 bewerkingen
cat
RonaldB (overleg | bijdragen)
9 bewerkingen
dit is meer een lekenuitleg, vervangt mijn uitleg voor techneuten
Regel 1:
{{Navigatie Handleiding Moderatoren}}
Een [[w:nl:Open_proxy#Open_proxy.27s|open proxyserver]] is een proxyserver die verbindingen toestaat van clients van willekeurige IP-adressen, met willekeurige internetresources elders. Hierdoor is de gebruiker van de open proxyserver erg moeilijk op te sporen. Spammers en trollen kunnen gebruik maken van steeds andere open proxyservers en zijn daardoor bijzonder lastig te stoppen.
 
==Inleiding==
Open proxies zijn er in vele maten en soorten. De gebruiker van Wikipedia, geregistreerd of niet, gebruikt meestal een open proxy om te voorkomen dat hij/zij op eenvoudige wijze geblokkeerd kan worden. Hoewel er valide redenen aangevoerd kunnen worden om van een of andere vorm van open proxies gebruik te maken, is dat voor het bewerken van Wikipedia in alle gevallen onnodig. Indien iemand toch hiervan gebruik maakt is het in de meeste gevallen redelijk te veronderstellen dat hier een potentiële troll of ongewenste sokpop achter zit.
 
Om die reden is geruime tijd geleden een project gestart om de situatie in kaart te brengen.
I have been working for some months now to develop the most efficient and effective method to fight open proxies. After various trials, the following approach turned out most optimal:
 
* Acquire ip's from various internet sources and put these in a database (now >60k records). Some 20 sources are used, which show quite some (partial) overlap. So a lot of copy/paste is taking place. The db is growing by some 500+ ip's/day.
* Run repeatedly scans, checking those ip's and store the result in the db as well. A hit is bingo, but a non-hit says nothing. As PC's may be on or off, experience (querying the db) shows that it may take up to some 100 trials and 60 days to get a hit on some occasions. Roughly 20% of the total has been confirmed at any moment (confirmed and not confirmed are growing continuously). Scanning is done at a speed between 5 and 20 ip's per second, depending on various parameters. The principle is based on requesting a specific page from a proprietary server via the suspect ip as proxy. This page returns http header information, which is interpreted by the scanning program.
* The scanning system discovers cascaded proxies and earmarks the exit nodes.
* The same (automatic) grabbing is done for TOR, distinguishing exit and onion nodes.
* TOR exit nodes are blocked as a precaution (nearly 6k now – see [[Wikipedia:Lijst_van_geblokkeerde_TOR_exit_servers|here]] for the list). The same for (cascaded) exit servers (appr. 500 now – see [[Wikipedia:Lijst_van_geblokkeerde_exit_servers|here]] for the list). This blocking is automated (batch-wise).
* Other open proxies are blocked on an ad-hoc basis (via template, etc.)
* The database is also (manually) being expanded with provider proxies, proxies for mobile use, web based proxies (anonymizers) and alike.
* Because all info is stored in a db, some odds and ends become apparent. As an example some ip ranges of a mobile operator which appear open to the entire internet.
* The database, in particular the ports (some tens are more or less frequently used, but the db contains >500 unique confirmed ports), are kept secret for obvious reasons.
* Fed by the irc rc channel, another program is querying the database and reporting each open proxy edit on a special page. Test runs on nl:w, en:w, de:w and fr:w gave the results as shown below.
 
==Terminologie==
Since the systematic approach being initiated, spamming, trolling etc. on nl reduced dramatically. I cannot prove whether this is directly a result of the systematic approach, but there must be some correlation.
In de volgende uitleg wordt de volgende terminologie gebruikt:
 
;http header
:Iedere keer als er iets via het internet van punt A naar punt B, bestaat het bericht uit twee delen, de z.g. http header en de payload. De http header bevat tenminste informatie die bij normale post op de envelop gezet zou worden, zoals bestemming en afzender. De payload is de feitelijke inhoud van het bericht, zoals het verzoek om een pagina op te sturen of de inhoud van die pagina zelf.
:Om open proxies op te sporen en te detecteren, is de informatie die in de http header zit essentieel. Deze informatie is voor een normale gebruiker van het internet onzichtbaar, tenzij speciale software wordt toegepast.
 
;cliënt
===Test runs on some wiki's===
:De machine die iets initieert heet de cliënt. De machine die door ontvangst van een bericht geactiveerd wordt om iets te doen, heet de server.
A bot is monitoring the rc feeds from irc for several of the larger wiki's and queries the ip edits against the open proxy database. These test runs started 25-12-06 03:30 (CET) and have been running around the clock with some minor interruptions only.
 
;proxy
The following table gives the results. Numbers are averages per 24 hours.
:Hoewel de fysieke verbinding tussen cliënt en server fysiek over vele schijven kan en zal lopen (via z.g. routers en switches), is het logischerwijs een directe verbinding. Het kan echter zijn dat er een andere machine (computer) als intermediair tussenzit. Dat is dan vaak een z.g. proxy(server). In de keten cliënt - proxy - server, ziet de server de proxy als afzender van het bericht. Het antwoord gaat daar ook naar terug.
:Proxies worden veelvuldig gebruikt om interne netwerken met het openbare internet te verbinden.
 
;open proxy
:Een normale proxy is alleen door cliënten die op het interne netwerk zijn aangesloten te gebruiken. Er zijn allerlei uitzonderingen hierop.
:Als de proxy echter ook te gebruiken is door een cliënt op het openbare internet, spreekt men van een open proxy.
:Open proxies ontstaan om uiteenlopende redenen:
:*Bewust zo ingesteld
:*Foutieve configuratie van een normale proxy
:*Als gevolg van een virus in enigerlei vorm. Dit heten ook wel zombie computers.
 
;sniffer
{|{{prettytable}}
:Een systeem (hardware en/of software) dat van een bepaalde computer het in en uitgaande internet verkeer monitort.
!colspan=7|Results from 24-12-06* till 24-01-07
 
 
==Soorten Open Proxies==
===Gewone Open Proxies===
;Transparant
:Een transparante open proxy is de eenvoudigste vorm en biedt de minste privacy bescherming. Zo een proxy geeft het IP adres van de cliënt mee in de z.g. http header. Dat kan op meerdere manieren.
;Anoniem
:Bij een anonieme open proxy wordt het IP adres van de cliënt niet meegestuurd. Alleen een "sniffer" die bijvoorbeeld het ingaande en uitgaande IP verkeer van zo een proxy monitort is in staat achter het IP adres van de cliënt te komen.
;Elite
:Bij dit soort open proxies, ook wel "high anonymous" genoemd, wordt een andere proxy als intermediair gebruikt om de verbinding met de server te leggen. Voor een sniffer wordt het daarmee een stuk moeilijker het IP verkeer te monitoren.
:Elite proxies kunnen altijd van dezelfde (al dan niet open) proxy als intermediair gebruik maken, of van steeds wisselende. In het laatste geval ontstaat een soort netwerk met min of meer dezelfde eigenschappen als het TOR netwerk (zie hierna).
 
 
===Exit Servers===
Zoals hierboven aangegeven kan een Elite proxy gebruik maken van een andere proxy om contact te maken met de server. Dit kan een enkele extra proxy zijn of meerdere, waarmee een keten van proxies ontstaat. Als deze keten ook nog eens varieert ontstaat een zeer hoge graad van anonimiteit van de cliënt.<BR>
Overigens dient bedacht te worden dat deze anonimiteit nog steeds betrekkelijk is. M.u.v. het TOR netwerk, waarvan bekend is dat die dat niet doen, is het voor elke andere proxy in de keten nog steeds mogelijk een database bij te houden van IP nummers.
 
Voor Wikipedia is van belang te weten wat het IP adres van de exit server is. Immers de Wikipedia servers zien alleen dat.
 
;[[w:nl:Tor (netwerk)|TOR]]
:Dit is het meest bekende netwerk met de bedoeling anoniem op het internet te kunnen surfen. Om het te kunnen gebruiken is de installatie van een stukje software nodig. De verbinding tussen cliënt en server wordt opgebouwd via een willekeurige reeks van z.g. onion nodes (in feite dus semi-open proxies) om uiteindelijk via een z.g. exit node de laatste stap naar de server te maken.
:De gebruiker van het netwerk kan zelf kiezen of hij/zij al dan niet een onion node en/of een exit node kan zijn.
:In de praktijk blijken er op enig moment van de dag rond de duizend IP adressen een van deze of beide rollen te vervullen. Hiervan fungeert ongeveer de helft ook als exit server. De lijst is voortdurend aan verandering onderhevig.
 
:Voor de bescherming van Wikipedia zijn alleen de IP adressen van de exit nodes van belang.
 
;Soortgelijke netwerken
:Naast TOR, zijn er soortgelijke netwerken, waarvan de meest bekende [[w:en:Codeen|CoDeeN]] is. CoDeeN is een Content Distribution Network (CDN) gebouwd door Princeton University. CoDeeN biedt naast veel andere ook een soortgelijke functionaliteit als in het geval van TOR.
 
;Voor Elite open proxies
:Zoals hierboven aangegeven kunnen z.g. Elite proxies ook gebruik maken van een stabiel of ad-hoc netwerk om daarmee een keten te bouwen van cliënt naar server.
 
 
===Provider Proxies===
;Normaal
:Er zijn internet providers die hun klanten de mogelijkheid bieden gebruik te maken van een proxy. Hiermee zou aan snelheid gewonnen (kunnen) worden.
:Als zo een proxy juist geconfigureerd is, kunnen alleen klanten van die provider daar gebruik van maken.
 
:Een provider kan een of meerdere proxies voor dit doel hebben. Het kan zijn dat de cliënt het IP adres van een van die proxies moet instellen in bijvoorbeeld de browser, het kan ook zijn dat de provider een mechanisme biedt waarbij van een pool van proxies gebruik gemaakt kan worden. AOL bijvoorbeeld heeft voor dit doel een 55.000 proxies in gebruik.
 
:Het gebruik van een proxy van de provider is in het algemeen niet verplicht.
 
;Safe surfen
:Er zijn aanbieders die beogen het surfen op het internet veilig te maken. Daartoe moet de browser zodanig ingesteld worden dat die altijd de proxy van die aanbieder gebruikt. Bepaalde url's met bijvoorbeeld pornografie worden dan gefilterd.
 
:Er zijn ook landen waarbij de providers verplicht worden om gebruik te maken van dit soort filters. Saoedi-Arabië is daar een voorbeeld van. Omdat in deze landen ook open proxies voorkomen die vanaf het hele internet benaderbaar zijn, promoveren de IP adressen van dit soort gateways zich automatisch tot exit server.
 
;Gehackt
:Hierboven staat in het kort beschreven hoe provider proxies zouden moeten werken. Het is echter niet uitgesloten dat dit soort proxies gehackt zijn.
 
 
===Gewone Proxies===
Voor de volledigheid ook een korte uitleg over gewone proxies.
 
;Bedrijven / scholen e.d.
:Bedrijven, scholen, universiteiten, e.d. maken veelvuldig gebruik van proxies. Het voordeel is dat maar 1 publiek IP adres benodigd is en het interne netwerk voorzien kan worden van een van de IP adressen die voor dit soort doeleinden gereserveerd zijn. Een IP adres als 192.168.0.xxx bijvoorbeeld komt waarschijnlijk op miljoenen machines voor.
 
:Als de proxy juist geconfigureerd is, kan die alleen vanuit het interne netwerk gebruikt worden. In de praktijk blijkt dit echter niet altijd het geval. In een recent geval bijvoorbeeld ontstond een mailwisseling met de ICT beheerder van een school, die nadat vastgesteld was dat het een open proxy was, geblokkeerd was. Na enige mails heen en weer, bleek er inderdaad een foutje te zitten in een configuratie tabel in het systeem van de school.
 
;Gehackt
:Behalve dat configuratiefouten tot gevolg kan hebben dat een normale proxy ongewild open wordt, is ook gebleken dat dit soort proxies gehackt kunnen worden.
 
 
===Draadloos===
;Open [[w:nl:WLAN|WLAN]]'s
:Van een aantal regio's in Europa is bekend dat daar privé initiatieven in ontwikkeling zijn om een ieder binnen het bereik van het netwerk draadloos toegang te bieden tot internet. Afgezien van de legitimiteit van dit soort projecten, is het netto effect hiervan voor Wikipedia te vergelijken met een open proxy.
Dit soort netwerken gebruikt in het algemeen ook meerdere vaste internet verbindingen en dus publieke IP adressen.
 
;WLAN access points ([[w:nl:Hotspot (wifi)|hot spots]])
:<volgt>
 
;[[w:nl:UMTS|UMTS]]/[[w:nl:GPRS|GPRS]] proxies
:Wanneer gebruik gemaakt van mobiele apparatuur om te surfen, wordt dynamisch een IP adres uit een blok toegewezen. Een aantal van dit soort blokken zijn inmiddels in kaart gebracht.
 
 
===Anonymizers===
Een anonymizer is een website die het mogelijk maakt via proxies (een of meerdere) van die website te surfen. Deze proxies zijn gelijk te stellen aan de exit servers van open netwerken (zie hierboven).
 
 
==Detectie en verificatie==
Het vinden van open proxies is een probleem dat gelijk staat met het zoeken naar een speld in een hooiberg. Er zijn ongeveer 3 miljard publieke [[w:nl:IP adres|IP adres]]sen uitgegeven en er worden ook nog eens vele honderden [[w:nl:Poort (computer)|poort]]en gebruikt om zo een open proxy aan te kunnen spreken.
 
Op het internet zijn talloze scanners actief, die alle mogelijke combinaties van IP adressen en poorten testen op dit fenomeen. De resultaten worden op uiteenlopende sites gepubliceerd.<BR>
Een flink aantal daarvan worden via een automatisch proces dagelijks gescand en de resultaten worden in een database opgeslagen. Bij zo een scan worden dagelijks tussen de 500 en 1000 nieuwe ip-poort combinaties aan de database toegevoegd. Het aantal gescande combinaties is echter enkele ordegroottes groter. Er zitten dus veel duplicaten en "oude" open proxies tussen.
 
Een ander proces, dat hele dagen (en nachten) doorloopt heeft als doel de open proxy eigenschap van zo een ip adres te verifiëren. Dat kan in een bevestiging resulteren, maar ook tot de conclusie leiden dat het nummer langere tijd geen open proxy meer is. Dat laatste kan meerdere oorzaken hebben (herstel foute configuratie, verwijdering virus, etc.). In feite is het onmogelijk met 100% vast te stellen dat een bepaald ip adres absoluut geen open proxy is of dat nooit geweest is. Maar na bijvoorbeeld 100 keer op willekeurige momenten niet in staat blijken om zelfs maar een connectie tot stand te brengen, rechtvaardigt toch wel de conclusie dat hier geen sprake (meer) is van een open proxy.
 
Een ander type scan verzamelt ip adressen van anons die ooit een bewerking op wikipedia hebben gedaan. Ook die ip adressen worden periodiek gescand op de eigenschap "open proxy" of niet. De "opbrengst" van dit soort scans is relatief niet zo groot, maar levert in een maand toch ruim 20 extra ip-poort combinaties die niet op een van de vele lijsten op internet voorkwamen.
 
Bij het verifiëren van de open proxy eigenschap van een ip adres wordt tevens gekeken of daar weer andere open proxies in cascade achter zitten. Dat levert de lijst van exit servers (niet te verwarren met TOR).
 
Eveneens periodiek worden beide hoofdstromen ip adressen (mogelijke open proxies enerzijds en ip adressen die een bewerking op wikipedia hebben gedaan anderzijds) via een aantal database queries tegen elkaar aangelegd. Dat is dan input voor het nader bekijken van de bijdragen van dat ip adres en zonodig het blokkeren.
 
<small>Dit is slechts een zeer beknopte beschrijving van het proces "achter de schermen". Om evidente redenen is het bewust zo beknopt gehouden.</small>
 
==Blokkeringsbeleid==
 
Blokkering van een open proxy van enigerlei type, kan preventief of reactief gebeuren.<BR>
Bij preventieve blokkering geschiedt deze ongeacht of het IP adres wel of geen bewerking heeft gedaan. Dit betreft de voor Wikipedia meest "gevaarlijke" proxies, die in de praktijk ook het lastigst te bestrijden blijken.<BR>
Bij reactieve blokkeringen wordt vooralsnog handmatig beoordeeld of blokkering noodzakelijk is en zo ja wat voor soort blokkering.
 
Preventieve blokkeringen worden automatisch uitgevoerd. Er wordt geen sjabloon op de GP of OP van de gebruiker gezet, maar de uitgevoerde blokkeringen worden in een raadpleegbare lijst gezet. Dit betreft voornamelijk exit servers, waarvan publicatie van de IP adressen voor potentiële trollen op andere wiki's geen waarde heeft.
 
Blokkering van een IP adres kan op meerdere manieren plaatsvinden. Mimimaal worden anonieme bewerkingen vanaf het betreffende IP adres geblokkeerd. Daarnaast kunnen vanaf dit IP adres bewerkingen door geregistreerde gebruikers wel of niet toegelaten worden. Tevens kan het aanmaken van nieuwe accounts vanaf zo een IP adres wel of niet toegelaten worden. De volgende tabel geeft hiervan een overzicht.
 
 
{|class=prettytable align=center
!Type proxy!!Blokkering!!Geregistreerd<BR>bewerken<BR>toegestaan!!Aanmaken<BR>accounts<BR>toegestaan!!Opmerkingen
|-
|colspan=5 align=center|'''Gewone Open Proxies'''
!<small>Numbers are per 24 hrs</small>!!nl:w!!en:w!!de:w!!fr:w!!en:b!!com
|-
|TotalOpen editsTransparant||align=rightcenter|15.200reactief||align=rightcenter|223.000neen||align=rightcenter|46.000neen||align=right|27.000||align=right|1.300||align=right|11.900&nbsp;
|-
|IPOpen editsAnoniem||align=rightcenter|1.500reactief||align=rightcenter|51.000neen||align=rightcenter|10.400neen||align=right|4.100||align=right|170||align=right|420&nbsp;
|-
|Open Elite||align=center|reactief||align=center|neen||align=center|neen||Voor de gebruikte exit node(s), zie hieronder
|&nbsp;&nbsp;- as percentage of total||align=right|9,7%||align=right|23%||align=right|23%||align=right|15,1%||align=right|13,3%||align=right|3,5%
|-
|colspan=5 align=center|'''Exit Servers'''
|Open proxy edits||align=right|2||align=right|135||align=right|44||align=right|15||align=right|1
|-
|-||align=right|3
|TOR exit node||align=center|preventief||align=center|neen||align=center|neen||[[w:nl:Wikipedia:Lijst van geblokkeerde TOR exit servers|Lijst van geblokkeerde TOR exit servers]]
|&nbsp;&nbsp;- as percentage of IP edits||align=right|0,11%||align=right|0,26%||align=right|0,43%||align=right|0,36%||align=right|0,5%||align=right|0,64%
|-
|Exit node ander netwerk||align=center|preventief||align=center|neen||align=center|neen||[[w:nl:Wikipedia:Lijst van geblokkeerde CoDeeN servers|Lijst van geblokkeerde CoDeeN servers]]
|-
|Exit node voor Elite||align=center|preventief||align=center|neen||align=center|neen||[[w:nl:Wikipedia:Lijst van geblokkeerde exit servers|Lijst van geblokkeerde exit servers]]
|-
|colspan=5 align=center|'''Provider Proxies'''
|-
|Provider proxy – normaal||align=center|reactief||align=center|ja||align=center|neen||Alleen bij gebleken vandalisme
|-
|Provider proxy – safe surfen||align=center|preventief||align=center|ja||align=center|neen||&nbsp;
|-
|Provider – gehackt||align=center|preventief||align=center|neen||align=center|neen||&nbsp;
|-
|colspan=5 align=center|'''Gewone Proxies'''
|-
|Bedrijven/scholen e.d.||align=center|reactief||align=center|ja||align=center|neen||Bij veelvuldig vandalisme (scholen e.d.)
|-
|Gewone proxies – gehackt||align=center|reactief||align=center|neen||align=center|neen||De beheerder meldt zich zonodig wel
|-
|colspan=5 align=center|'''Draadloos'''
|-
|Open WLAN||align=center|preventief||align=center|neen||align=center|neen||&nbsp;
|-
|WLAN access point||align=center|preventief||align=center|ja||align=center|neen||Gebruikers kunnen via een andere internet aansluiting een account aanmaken
|-
|UMTS/GPRS||align=center|preventief||align=center|ja||align=center|neen||idem<BR>[[w:nl:Wikipedia:Lijst van geblokkeerde IP adressen voor mobiel|Lijst van geblokkeerde IP adressen voor mobiel]]
|-
|colspan=5 align=center|'''Anders'''
|-
|Anonymizer||align=center|preventief||align=center|neen||align=center|neen||[[w:nl:Wikipedia:Lijst van geblokkeerde anonymizers|Lijst van geblokkeerde anonymizers]]
|-
|Speciale gevallen||align=center|preventief||align=center|variabel||align=center|neen||Voor speciale gevallen (meestal ranges), zie<BR>[[w:nl:Wikipedia:Open proxies - Speciale gevallen|Open proxies - Speciale gevallen]]
|}
 
==Slotopmerkingen==
*De database van open proxies bevat ook IP adressen die niet door de [[w:nl:IANA|IANA]] zijn vrijgegeven. Dit kan alleen maar doordat DNS servers op een of andere manier zijn gehackt.
*Het kan natuurlijk zijn dat gebruikers die altijd geregistreerd werken maar dit via een van de hierboven vermelde proxy typen doen, door een blokkering op IP niveau getroffen worden. Omdat zulke gebruikers de mogelijkheid hebben om ook zonder tussenkomst van deze proxy verbinding met de Wikipedia servers verbinding te maken, zijn zij niet blijvend uitgesloten. Als ze hun PC zodanig hebben ingesteld dat ze standaard via een open proxy werken, weten ze ook hoe dit ongedaan is te maken.
 
;Notes (*)
:<nowiki>* </nowiki>en:b was added 27-12-06 03:15 (CET), commons was added 8-1-07 02:20 (CET)
 
 
* Open proxies found include: normal OP's, cascaded exit nodes and TOR exit nodes. The OP's are stored in a database to enable some future analysis.
* The difference between the results of nl:w compared to the others seems significant. For mutual differences between the non nl:w results, the amount of data may not be big enough yet to draw statistically significant conclusions.
 
Zie ook: [[w:nl:Categorie:Wikipedia:Open proxies|Categorie:Wikipedia:Open proxies]] op Wikipedia.
To be continued ...
 
[[Categorie:Handleiding moderatoren|Open proxies]]
Informatie afkomstig van https://nl.wikibooks.org Wikibooks NL.
Wikibooks NL is onderdeel van de wikimediafoundation.