无法控管的网络连接问题，没有好办法，请大家参谋~~(高手来！)

huhuegg

我想达到对网络内所有客户端上网的控管，最近意外发现个极大的漏洞~
现状：已经用squid+iptables控制上网主机，所有有权限mac和无权限mac已在iptables中作
      了限制，有web访问权限的每天计算流量，超 过一定量就限流为3k/s，无权限的一概拒
      绝访问

问题：有人在有web访问权限的主机上安装代理服务器让无权限的主机访问
web。(由于在服务器端的log或tcpdump均无法看出哪些主机私自使用内部代理<代理端口随机>
在log纪录或数据包所有均显示是有web访问权限的主机的访问)。

下下之策：抓包时只能抓带有HTTP Continuation or non-HTTP traffic
               标志的访问IP，可是这一类包又包括了HTTP->HTTPS, HTTP->RTSP,HTTP->MMS等.

哪位高人有办法？请指教~~
不要说什么抓到就处分类似毫无建设性的话，谢谢! :ask

yongjian

Post by huhuegg
我想达到对网络内所有客户端上网的控管，最近意外发现个极大的漏洞~
现状：已经用squid+iptables控制上网主机，所有有权限mac和无权限mac已在iptables中作
      了限制，有web访问权限的每天计算流量，超 过一定量就限流为3k/s，无权限的一概拒
      绝访问

问题：有人在有web访问权限的主机上安装代理服务器让无权限的主机访问
web。(由于在服务器端的log或tcpdump均无法看出哪些主机私自使用内部代理<代理端口随机>
在log纪录或数据包所有均显示是有web访问权限的主机的访问)。

下下之策：抓包时只能抓带有HTTP Continuation or non-HTTP traffic
               标志的访问IP，可是这一类包又包括了HTTP->HTTPS, HTTP->RTSP,HTTP->MMS等.

哪位高人有办法？请指教~~
不要说什么抓到就处分类似毫无建设性的话，谢谢! :ask

在有权限访问web的主机上禁止ip forward行不。

huhuegg

谢谢！我去试试~
不过不知道对安装的virtual pc有没有作用，他们就是用virtual pc虚拟一台主机提供服务的

晨想

我觉得阻挡很麻烦，不过应该还是有可能的。。

（曾经想过，可以从TTL入手，不过iptables可以改TTL。。）
看看SNAT后的包是否有不同？

Arabian

这种事情确实麻烦，还是建议你抓包对比，仔细分析一下，当客户机的http请求发给代理后，代理会修改客户机http请求的包头信息，再发出去，不过在这个过程里，代理很可能还会修改一些其他变量，但是不同的代理软件修改的内容可能会不同，但只要它修改过了，就肯定和不经过代理的http请求不一样，那就可以通过包过滤的方式丢弃这些经过代理的包。

要不您先打探出敌人用什么代理，时间充裕的话，自己架一个，多抓包看看，对比一下经过和没经过此种代理的http请求有什么区别。

晨想

和楼上的想法一样。自己比较包。

1。如果用的是SNAT之类的透明代理，怎么办？
2。如果自己＋虚拟机都用代理，那几台机器传出来的数据都一样的，怎么办？不能都截断吧？：）。

huhuegg

我用tethereal和tcpdump都抓过：
不幸的是ttl完全一样
只知道被代理的包都有HTTP Continuation or non-HTTP traffic信息
但是由该信息的并不一定都被代理
其余的包括flag等都没有任何变化~

dancingpig

哎，严格的控制不单单要从技术上，更要求从管理上
这94为什么cissp基本脱离实际的技术了

huhuegg

但是如果不能够从技术上控管这样的情况，那么这样的情况会更厉害的，信息安全如何保证？~
用户们觉得反正你控制不了，监视不到，那么你觉得他们会怎样做？~
如果仅仅是屏蔽这些代理软件，那么我只要在组策略中禁用它们就可以了，何必那么麻烦?~
就是因为有这样的漏洞，而且知道了他们的使用方法，所以才要从根本去解决它~
仅是靠管理那也是没用的，不过加强管理也是必要的,呵呵~

Arabian

很多网络在对付代理的时候，通常都是限制会话数，要想完全禁止的话，如果协议分析都不管用，那就很别扭了，还在思考中...................。

不知道你的网络结构如何，先出个馊主意全当活跃活跃气氛，要不您都做端口隔离吧，谁都挨不着谁还用个屁代理，由此产生的其他后果咱们再做讨论......

其实管理不管理的主要看有没有相应的人员，单单只是要监视和判断是否有代理，不是啥大问题吧，毕竟一个人用和十个人用在量上肯定是有区别地。