プロキシサーバー

2台のコンピュータがプロキシサーバー経由で接続されています。1台目のコンピュータはプロキシサーバーに「2台目のコンピュータに時刻を問い合わせてください」と指示します。
プロキシサーバーとして機能する3台目のコンピュータを介して接続された2台のコンピュータ間の通信。ボブはプロキシサーバーの存在のみを認識し、アリスを直接特定したり連絡したりできないため、アリスのプライバシーを保護できます。

コンピュータネットワークにおいて、プロキシサーバーは、リソースを要求するクライアントと、そのリソースを提供するサーバーとの間の仲介役として機能するサーバーアプリケーションです。 [ 1 ]

クライアントは、ファイルやウェブページなどのリソースへの要求を満たすことができるサーバーに直接接続する代わりに、要求をプロキシサーバーに送信します。プロキシサーバーは要求を評価し、必要なネットワークトランザクションを実行します。これは、要求の複雑さを簡素化または制御する方法として機能し、負荷分散、プライバシー、セキュリティなどの追加の利点を提供します。プロキシは、分散システムに構造とカプセル化を追加するために考案されました。[ 2 ]したがって、プロキシサーバーはサービスを要求する際にクライアントに代わって機能し、リソースサーバーへの要求の真の発信元を隠す可能性があります。

種類

プロキシサーバーは、ユーザーのローカルコンピュータ上、またはユーザーのコンピュータと宛先サーバー間の任意の場所に配置できます。変更されていない要求と応答を渡すプロキシサーバーは、通常、ゲートウェイまたはトンネリングプロキシと呼ばれます。フォワードプロキシは、インターネットに面したプロキシであり、幅広いソース(ほとんどの場合、インターネット上の任意の場所)からデータを取得するために使用されます。リバースプロキシは通常、プライベートネットワーク上のサーバーへのアクセスを制御および保護するためのフロントエンドとして使用される内部向けプロキシです。リバースプロキシは、一般的に負荷分散認証復号化キャッシュなどのタスクも実行します。[ 3 ]

オープンプロキシ

インターネットに接続されたプロキシ サーバーの図。
インターネット上のどこからでもリクエストを転送するオープンプロキシ

オープンプロキシとは、インターネットユーザーなら誰でもアクセスできる転送プロキシサーバーです。2008年、ネットワークセキュリティの専門家であるゴードン・ライオンは、インターネット上で「数十万」ものオープンプロキシが運用されていると推定しました。[ 4 ]

  • 匿名プロキシ:このサーバーはプロキシサーバーとしてのアイデンティティを明らかにしますが、クライアントの送信元IPアドレスは開示しません。このタイプのサーバーは簡単に発見される可能性がありますが、送信元IPアドレスを隠蔽するため、一部のユーザーにとってはメリットとなる場合があります。
  • 透過型プロキシ:このサーバーは、プロキシサーバーとして自身を識別するだけでなく、 HTTPヘッダーフィールド(例:<IPアドレス>)をサポートしているためX-Forwarded-For、発信元IPアドレスも取得できます。このタイプのサーバーを使用する主な利点は、ウェブサイトをキャッシュして高速に取得できることです。

リバースプロキシ

インターネットを内部ネットワークに接続するプロキシ サーバー。
リバースプロキシは、インターネットからのリクエストを受け取り、内部ネットワーク内のサーバーに転送します。リクエストを送信する側はプロキシに接続しますが、内部ネットワークの存在を意識することはない場合があります。

リバースプロキシ(またはサロゲート)は、クライアントからは通常のサーバーのように見えるプロキシサーバーです。リバースプロキシは、リクエストを1つ以上の通常のサーバーに送信し、そのサーバーがリクエストを処理します。元のサーバーからの応答は、プロキシサーバーから直接送信されたかのように返されるため、クライアントは元のサーバーを認識できません。[ 5 ]リバースプロキシは、1つ以上のウェブサーバーの近傍に設置されます。インターネットから近隣のウェブサーバーのいずれかを宛先とするすべてのトラフィックは、プロキシサーバーを経由します。「リバース」という表現は、その対となる「フォワード」プロキシに由来します。リバースプロキシはウェブサーバーの近くに設置され、限られた数のウェブサイトのみにサービスを提供します。リバースプロキシサーバーを設置する理由はいくつかあります。

  • 暗号化/SSLアクセラレーション:安全なウェブサイトを作成する場合、Secure Sockets Layer(SSL)暗号化はウェブサーバー自体ではなく、SSLアクセラレーションハードウェアを備えたリバースプロキシによって行われることがよくあります。さらに、ホストは単一の「SSLプロキシ」を提供して任意の数のホストにSSL暗号化を提供することができ、ホストごとに個別のSSLサーバー証明書を用意する必要がなくなります。ただし、SSLプロキシの背後にあるすべてのホストがSSL接続のために共通のDNS名またはIPアドレスを共有する必要があるという欠点があります。この問題は、X.509証明書のSubjectAltName機能またはTLSSNI拡張を使用することで部分的に解決できます。
  • 負荷分散:リバースプロキシは、それぞれが独自のアプリケーション領域を提供する複数のWebサーバーに負荷を分散できます。この場合、リバースプロキシは各WebページのURLを書き換える(外部で認識されているURLを内部のURLに変換する)必要がある場合があります。
  • 静的コンテンツの提供/キャッシュ: リバース プロキシは、画像やその他の静的グラフィック コンテンツなどの静的コンテンツをキャッシュすることで、Web サーバーの負荷を軽減できます。
  • 圧縮: プロキシ サーバーはコンテンツを最適化および圧縮して、読み込み時間を短縮できます。
  • スプーンフィーディング:ウェブサーバーから送信されたコンテンツをキャッシュし、クライアントにゆっくりと「スプーンフィーディング」することで、ウェブサーバー上の低速クライアントによるリソース消費を削減します。これは、特に動的に生成されるページに効果的です。
  • セキュリティ:プロキシサーバーは追加の防御層であり、OSやWebサーバー固有の攻撃から保護することができます。ただし、Webアプリケーションやサービス自体に対する攻撃(一般的により大きな脅威とみなされる)からの保護は提供されません。
  • エクストラネット公開:インターネットに面したリバースプロキシサーバーは、組織内のファイアウォールサーバーとの通信に使用できます。これにより、サーバーをファイアウォールの内側に置いたまま、一部の機能へのエクストラネットアクセスを提供できます。この方法で使用する場合、このサーバーが侵害された場合にWebアプリケーションがインターネットからの攻撃にさらされるため、インフラストラクチャ全体のセキュリティを確保するためのセキュリティ対策を検討する必要があります。

フォワードプロキシとリバースプロキシ

フォワードプロキシは、クライアントと他のシステム(ほとんどの場合、ネットワークの外部にある)間のトラフィックをルーティングするサーバーです。つまり、事前に設定されたポリシーに従ってトラフィックを制御し、クライアントのIPアドレスを変換およびマスクし、セキュリティプロトコルを適用し、不明なトラフィックをブロックすることができます。フォワードプロキシは、内部ネットワーク内のセキュリティとポリシー適用を強化します。[ 6 ]リバースプロキシは、クライアントを保護するのではなく、サーバーを保護するために使用されます。リバースプロキシは、クライアントからのリクエストを受け取り、そのリクエストを他の多数のサーバーのいずれかに転送し、リクエストを処理したサーバーからクライアントに結果を返します。実質的に、リバースプロキシはクライアント、ユーザー、アプリケーションサーバー間のゲートウェイとして機能し、すべてのトラフィックルーティングを処理すると同時に、リクエストを物理的に処理するサーバーのIDを保護します。[ 7 ]

用途

監視とフィルタリング

コンテンツ管理ソフトウェア

コンテンツフィルタリング型ウェブプロキシサーバーは、プロキシを介して一方向または双方向に中継される可能性のあるコンテンツに対する管理制御を提供します。これは、インターネットの利用が利用規約に準拠していることを確認するために、営利組織と非営利組織(特に学校)の両方で広く使用されています。

コンテンツフィルタリングプロキシサーバーは、多くの場合、Webアクセスを制御するためにユーザー認証をサポートしています。また、特定のユーザーがアクセスしたURLに関する詳細情報を提供したり、帯域幅の使用統計を監視したりするために、ログを生成することもよくあります。さらに、デーモンベースまたはICAPベースのウイルス対策ソフトウェアと通信し、ネットワークに入る前に受信コンテンツをリアルタイムでスキャンする ことで、ウイルスやその他のマルウェアに対するセキュリティを提供します。

多くの職場、学校、大学では、建物内でアクセスおよび利用可能なウェブサイトやオンラインサービスを制限しています。政府機関も望ましくないコンテンツを検閲しています。これは、コンテンツフィルタと呼ばれる専用のプロキシ(商用製品と無料製品の両方が利用可能)を使用するか、オープンなキャッシュアーキテクチャにプラグイン拡張を可能にするICAPなどのキャッシュ拡張プロトコルを使用することで行われます。

学生がフィルターを回避してブロックされたコンテンツにアクセスするためによく使用する Web サイトにはプロキシが含まれていることが多く、ユーザーはそこからフィルターがブロックしようとしている Web サイトにアクセスすることができます。

リクエストは、 URLまたはDNSブラックリスト、URL正規表現フィルタリング、MIMEフィルタリング、コンテンツキーワードフィルタリングなど、いくつかの方法でフィルタリングされる場合があります。ブラックリストは、多くの場合、Webフィルタリング企業によって提供・管理されており、ポルノ、ギャンブル、ショッピング、ソーシャルネットワークなどのカテゴリに分類されています。

プロキシは、要求されたURLが許容されると仮定してコンテンツを取得します。この時点で、戻りパスに動的フィルターが適用される場合があります。例えば、JPEGファイルは肌の色の一致に基づいてブロックしたり、言語フィルターによって不要な言語を動的に検出したりできます。コンテンツが拒否された場合、リクエスト元にHTTPフェッチエラーが返されます。

ほとんどのウェブフィルタリング企業は、インターネット全体を巡回するロボットを使用して、コンテンツが特定の種類である可能性を評価しています。そして、苦情やコンテンツマッチングアルゴリズムの既知の欠陥に基づいて、結果として得られたデータベースを修正するために手作業が行われています。[ 8 ]

一部のプロキシは、データ損失防止などのために送信コンテンツをスキャンしたり、悪意のあるソフトウェアのコンテンツをスキャンしたりします。

暗号化されたデータのフィルタリング

ウェブフィルタリングプロキシは、SSL/TLS(トランスポート層セキュリティ)の信頼チェーンが改ざんされていない限り、セキュアソケットHTTPトランザクションの内部をピアリングすることはできません。SSL/TLSの信頼チェーンは、信頼できるルート証明機関に依存しています。

クライアントが組織によって管理されている職場環境では、デバイスがルート証明書を信頼するように設定されている場合があります。ルート証明書の秘密鍵はプロキシが知っています。このような状況では、プロキシによるSSL/TLSトランザクションのコンテンツの解析が可能になります。プロキシは、クライアントがプロキシが所有するルート証明書を信頼することで、実質的に中間者攻撃を実行しています。

フィルターと検閲を回避する

宛先サーバーがリクエストの送信元に基づいてコンテンツをフィルタリングしている場合、プロキシを使用することでこのフィルタリングを回避できます。例えば、IPベースの位置情報を使用して特定の国のみにサービスを制限しているサーバーの場合、その国に設置されたプロキシを使用してサービスにアクセスできます。[ 9 ] : 3

ウェブプロキシは政府の検閲を回避する最も一般的な手段であるが、インターネットユーザーの3%以下しか回避ツールを使用していない。[ 9 ]:7

一部のプロキシサービスプロバイダーは、ビジネスインテリジェンスの目的でトラフィックを再ルーティングするために企業がプロキシネットワークにアクセスできるようにしています。[ 10 ]

場合によっては、ブラックリストを使用してフィルタリングするプロキシを回避して、ブラックリストに登録されていない場所から情報をプロキシするように設計されたサービスを利用することができます。[ 11 ]

多くの組織は、Facebookなどの人気ウェブサイトへのアクセスをブロックしています。ユーザーはプロキシサーバーを使用してこのセキュリティを回避できます。しかし、プロキシサーバーに接続すると、個人の写真やパスワードなどの機密情報がプロキシサーバーを経由して送信されるため、危険にさらされる可能性があります。この画像は、学校が生徒向けにウェブサイトをブロックするという一般的な例を示しています。

ログ記録と盗聴

プロキシは、クライアントマシンとウェブ間のデータフローを盗聴するために設置される可能性があります。送信またはアクセスされるすべてのコンテンツ、つまり送信されたパスワードや使用されたCookieは、プロキシオペレータによって取得・分析される可能性があります。そのため、オンラインサービス(ウェブメールやバンキングなど)のパスワードは、常にSSLなどの暗号化された接続を介して交換する必要があります。

元のリクエスト元に関するデータを公開しないプロキシを連鎖させることで、ユーザーのアクセス先からアクティビティを隠蔽することが可能です。しかし、中間ホップに残る痕跡はより多く、ユーザーのアクティビティを追跡するために利用されたり、提供されたりする可能性があります。これらのプロキシのポリシーや管理者が不明な場合、ユーザーは、それらの詳細が目に見えず、意識されていないというだけで、誤った安心感に陥る可能性があります。

リスクというよりはむしろ不便な点として、多くのフォーラムやウェブサイトが、スパム荒らし行為を行ったことが知られているプロキシのIPアドレスをブロックしているため、プロキシユーザーは特定のウェブサイトからブロックされる可能性があります。プロキシバウンスはプライバシー保護に利用できます。

パフォーマンスの向上

キャッシュプロキシサーバーは、同じクライアントまたは他のクライアントからの以前のリクエストから保存されたコンテンツを取得することで、サービスリクエストを高速化します。[ 12 ]キャッシュプロキシは、頻繁にリクエストされるリソースのローカルコピーを保持することで、大規模な組織がアップストリーム帯域幅の使用量とコストを大幅に削減し、パフォーマンスを大幅に向上させることができます。ほとんどのISPと大企業はキャッシュプロキシを導入しています。キャッシュプロキシは、最初の種類のプロキシサーバーでした。Webプロキシは、WebサーバーからWebページをキャッシュするために一般的に使用されます。 [ 13 ]キャッシュプロキシの実装が不十分だと、ユーザー認証が使用できないなどの問題が発生する可能性があります。[ 14 ]

特定のリンク関連の問題や劣化を軽減するために設計されたプロキシは、パフォーマンス向上プロキシ(PEP)です。これらは通常、往復時間が長い、パケットロスが多い(無線や携帯電話ネットワークなど)、あるいはアップロードとダウンロードの速度が大きく異なる非対称性の高いリンクにおいて、 TCPのパフォーマンスを向上させるために使用されます。PEPは、例えばTCP ACK (確認応答)をマージしたり、アプリケーション層で送信されるデータを圧縮したりすることで、ネットワークをより効率的に利用することができます。[ 15 ]

翻訳

翻訳プロキシは、ウェブサイトのエクスペリエンスを様々な市場向けにローカライズするために使用されるプロキシサーバーです。世界中のユーザーからのトラフィックは、翻訳プロキシを経由してソースウェブサイトにルーティングされます。訪問者がプロキシサイトを閲覧すると、リクエストはソースサイトに戻り、そこでページがレンダリングされます。レスポンス内の元の言語コンテンツは、プロキシを通過する際に翻訳されたコンテンツに置き換えられます。翻訳プロキシで使用される翻訳は、機械翻訳、人による翻訳、または機械翻訳と人による翻訳の組み合わせのいずれかです。翻訳プロキシの実装によって機能は異なります。一部の翻訳プロキシでは、ソースコンテンツを除外したり、元のローカルコンテンツに置き換えたりするなど、ローカルユーザー向けにソースサイトをさらにカスタマイズできます。

匿名でサービスにアクセスする

匿名プロキシサーバー(ウェブプロキシと呼ばれることもあります)は、一般的にウェブ閲覧の匿名化を試みます。匿名化サーバーにはいくつかの種類があります。宛先サーバー(最終的にウェブリクエストを満たすサーバー)は、匿名化プロキシサーバーからのリクエストを受信するため、エンドユーザーのアドレスに関する情報は受け取りません。ただし、リクエストは匿名化プロキシサーバーにとって匿名ではないため、プロキシサーバーとユーザーの間には一定の信頼関係が存在します。多くのプロキシサーバーは、ユーザーへの継続的な広告リンクを通じて資金を調達しています。

アクセス制御:一部のプロキシ サーバーはログオン要件を実装しています。大規模な組織では、承認されたユーザーであってもWebにアクセスするにはログオンする必要があります。これにより、組織は個人の使用状況を追跡できます。一部の匿名プロキシ サーバーは、HTTP_VIA、HTTP_X_FORWARDED_FOR、HTTP_FORWARDED などのヘッダー行を含むデータ パケットを転送することがあり、これによりクライアントの IP アドレスが明らかになる可能性があります。一方、エリート プロキシまたは高匿名プロキシと呼ばれる匿名プロキシ サーバーは、プロキシ サーバーがクライアントであるかのように見せかけます。クライアントが、高匿名プロキシ サーバーを使用していない前回のアクセスの Cookie を含むパケットを送信した場合、Web サイトは依然としてプロキシが使用されていると疑う可能性があります。Cookie を消去し、場合によってはキャッシュも消去すると、この問題は解決します。

QA ジオターゲティング広告

広告主は、ジオターゲティング広告の検証、確認、品質保証のためにプロキシサーバーを使用します。ジオターゲティング広告サーバーは、リクエスト元のIPアドレスを確認し、ジオIPデータベースを使用してリクエストの地理的なソースを特定します。[ 16 ]特定の国または都市内に物理的に設置されたプロキシサーバーを使用することで、広告主はジオターゲティング広告をテストすることができます。

安全

プロキシはネットワークアドレス変換(NAT)を用いることで企業の内部ネットワーク構造を秘密に保つことができ、社内ネットワークのセキュリティ向上に役立ちます。 [ 17 ]これにより、ローカルネットワーク上のマシンやユーザーからのリクエストが匿名化されます。プロキシはファイアウォールと組み合わせることもできます。

プロキシが正しく設定されていないと、インターネットから隔離されたネットワークへのアクセスが可能になってしまう可能性があります。[ 4 ]

クロスドメインリソース

プロキシを使用すると、クロスドメイン制限によりウェブサイトが外部ドメインに直接リンクできない場合でも、ウェブサイトは外部でホストされているリソース(画像、音楽ファイルなど)へのウェブリクエストを行うことができます。また、クロスドメイン制限(ウェブサイトをデータ盗難などから保護するために導入されている)によりブラウザが外部ドメインに直接アクセスできない場合でも、プロキシを使用するとブラウザがウェブサイトに代わって外部でホストされているコンテンツへのウェブリクエストを行うことができます。

悪意のある使用

セカンダリーマーケットブローカー

二次市場のブローカーは、限定スニーカー[ 18 ]やチケットなど の限定商品のオンライン購入に対する制限を回避するためにウェブプロキシサーバーを使用しています。

プロキシの実装

ウェブプロキシサーバー

ウェブプロキシはHTTPリクエストを転送します。クライアントからのリクエストは通常​​のHTTPリクエストと同じですが、パスではなくURL全体が渡されます。[ 19 ]

GET https://en.wikipedia.org/wiki/Proxy_server HTTP / 1.1プロキシ認証:基本的なエンコードされた資格情報Accept : text/html

このリクエストはプロキシ サーバーに送信され、プロキシは指定されたリクエストを行い、応答を返します。 

HTTP / 1.1 200 OKコンテンツタイプ: text/html; 文字セット UTF-8

一部の Web プロキシでは、HTTP CONNECTメソッドを使用して接続を通じて任意のデータの転送を設定できます。一般的なポリシーでは、ポート 443 のみを転送してHTTPSトラフィックを許可します。

Web プロキシ サーバーの例としては、 Apache ( mod_proxyまたはTraffic Serverを使用)、HAProxy、プロキシとして構成されたIIS (Application Request Routing を使用)、NginxPrivoxySquidVarnish (リバース プロキシのみ)、WinGateZiproxy、Tinyproxy、RabbIT、Polipoなどがあります。

クライアントにとって、複雑または複数のプロキシ サーバーの問題は、クライアント サーバープロキシ自動構成プロトコル ( PAC ファイル) によって解決されます。

SOCKSプロキシ

SOCKSも接続フェーズ後に任意のデータを転送し、Web プロキシの HTTP CONNECT に似ています。

透過プロキシ

「インターセプトプロキシ」、「インラインプロキシ」、「強制プロキシ」とも呼ばれる透過プロキシは、特別なクライアント設定を必要とせずに、通常のアプリケーション層通信をインターセプトします。クライアントはプロキシの存在を意識する必要はありません。透過プロキシは通常、クライアントとインターネットの間に配置され、ゲートウェイルーターの機能の一部を実行します。

RFC  2616 (ハイパーテキスト転送プロトコル - HTTP/1.1) では、次のような標準定義が提供されています。

「『透過プロキシ』とは、プロキシ認証と識別に必要な範囲を超えてリクエストやレスポンスを変更しないプロキシです。」 「『非透過プロキシ』とは、グループ注釈サービス、メディアタイプ変換、プロトコル削減、匿名フィルタリングなど、ユーザーエージェントに追加サービスを提供するためにリクエストやレスポンスを変更するプロキシです。」

TCPインターセプトは、TCPサーバーをサービス拒否攻撃の一種である TCP SYNフラッド攻撃から保護するトラフィックフィルタリングセキュリティ機能です。TCPインターセプトはIPトラフィックのみで利用可能です。

2009年に透過プロキシの動作に関するセキュリティ上の欠陥がロバート・オーガーによって公表され[ 20 ] 、コンピュータ緊急対応チームは影響を受ける透過プロキシサーバーと傍受プロキシサーバーを数十台リストした勧告を発行しました[ 21 ] 。

目的

インターセプトプロキシは、企業において、許容利用ポリシーの適用や、クライアントブラウザの設定が不要なため管理オーバーヘッドを軽減するためによく使用されます。ただし、この2つ目の理由は、Active Directoryグループポリシー、DHCP、自動プロキシ検出などの機能によって軽減されます。

一部の国では、ISPがキャッシュによってアップストリーム帯域幅を節約し、顧客の応答時間を改善するために、インターセプティングプロキシもよく利用されています。これは、帯域幅が制限されている国(島嶼国など)や、料金が発生する国でより一般的です。

問題

TCP接続の迂回や傍受は、いくつかの問題を引き起こします。まず、元の宛先IPとポートを何らかの方法でプロキシに伝える必要があります。これは必ずしも可能ではありません(例えば、ゲートウェイとプロキシが異なるホストに存在する場合など)。傍受プロキシの特定の動作を利用するクロスサイト攻撃の種類があり、これらのプロキシは元の(傍受された)宛先に関する情報を確認したりアクセスしたりしません。この問題は、パケットレベルとアプリケーションレベルの統合アプライアンスまたはソフトウェアを使用することで解決できます。これらのアプライアンスまたはソフトウェアは、パケットハンドラとプロキシ間でこの情報を伝達できます。

インターセプトはHTTP認証、特にNTLMなどのコネクション指向認証にも問題を引き起こします。クライアントブラウザは、プロキシではなくサーバーと通信していると認識してしまうためです。インターセプトを行うプロキシが認証を要求し、その後ユーザーが認証を必要とするサイトに接続してしまうといった問題が発生する可能性があります。

最後に、接続をインターセプトすると、一部のリクエストと応答が共有キャッシュによってキャッシュできなくなるため、HTTP キャッシュに問題が発生する可能性があります。

実装方法

ルータ/ファイアウォールがプロキシと同じホスト上にある統合ファイアウォール/プロキシ サーバーでは、元の宛先情報の通信は、Microsoft TMGWinGateなどの任意の方法で行うことができます。

傍受は、シスコのWCCP (Web Cache Control Protocol)を使用して行うこともできます。この独自プロトコルはルータ上に常駐し、キャッシュから設定されるため、ルータからの透過的なリダイレクトを介して、キャッシュに送信されるポートとトラフィックを判別できます。このリダイレクトは、GREトンネリング(OSIレイヤ3)またはMACアドレス書き換え(OSIレイヤ2)のいずれかの方法で実行されます。

トラフィックがプロキシマシン自体に到達すると、通常はNAT(ネットワークアドレス変換)によって傍受が行われます。このような設定はクライアントブラウザからは見えませんが、プロキシのインターネット側にあるウェブサーバーやその他のデバイスからはプロキシが見える状態のままです。最近のLinuxおよび一部のBSDリリースでは、TPROXY(透過プロキシ)が提供されています。これは、IPレベル(OSI第3層)の透過的な傍受と送信トラフィックのスプーフィングを実行し、プロキシのIPアドレスを他のネットワークデバイスから隠蔽します。

検出

傍受プロキシ サーバーの存在を検出するには、いくつかの方法があります。

  • クライアントの外部IPアドレスと外部ウェブサーバーが認識しているアドレスを比較するか、場合によってはサーバーが受信したHTTPヘッダーを調べることで解決します。この問題に対処するため、サイトが認識しているユーザーのIPアドレスをウェブページ上でユーザーに報告するサイトが数多く作成されています。Googleも、ユーザーが「IP」で検索した場合、ページが認識しているIPアドレスを返します。
  • ほとんどの傍受プロキシはSSLを傍受しないため、HTTPSとHTTPでアクセスした場合のオンラインIPチェッカーの結果を比較することで、SSLが傍受されているかどうかを確認できます。SSLが傍受されている疑いがある場合は、安全なウェブサイトに関連付けられた証明書を調べることができます。ルート証明書には、傍受を目的として発行されたかどうかが記載されているはずです。
  • プロキシプロトコルであるHTTP(ポート80)とプロキシされていないプロトコルであるSMTP(ポート25)について、tracerouteなどのツールによって報告されるネットワークホップのシーケンスを比較することによって。 [ 22 ]
  • サーバーが存在しないことが分かっているIPアドレスへの接続を試みる。プロキシは接続を受け入れ、その後、プロキシを試みる。接続を受け入れるサーバーが見つからない場合、プロキシはエラーメッセージを返すか、クライアントへの接続を単に閉じる。この動作の違いは簡単に検出できる。例えば、ほとんどのウェブブラウザは、HTTPサーバーに接続できない場合にはブラウザ独自のエラーページを生成するが、接続が受け入れられた後に閉じられた場合には別のエラーを返す。[ 23 ]
  • HTTP 呼び出しをサーバーに返す、特別にプログラムされた Adob​​e Flash SWF アプリケーションまたは Sun Java アプレットをエンド ユーザーに提供します。

CGIプロキシ

CGIウェブプロキシは、ユーザーのブラウザウィンドウ内のウェブフォームから対象URLを受け取り、リクエストを処理し、結果をユーザーのブラウザに返します。そのため、「真の」プロキシ設定の変更が許可されていないデバイスやネットワークでも使用できます。記録に残る最初のCGIプロキシは、当時は「rover」という名前でしたが、1998年に「CGIProxy」に改名されました[ 24 ]。これは、1996年初頭にアメリカのコンピュータ科学者ジェームズ・マーシャルによって、リッチ・モーリン著「Unix Review」の記事のために開発されました[ 25 ] 。

CGIプロキシの大部分は、CGIProxy(Perl言語で記述)、Glype(PHP言語で記述)、またはPHProxy(PHP言語で記述)のいずれかを使用しています。2016年4月時点で、CGIProxyは約200万回、Glypeはほぼ100万回ダウンロードされています[ 26 ]。一方、PHProxyは依然として毎週数百回ダウンロードされています[ 27 ] 。VPNやその他のプライバシー保護手段の登場により人気は衰えていますが[ 28 ] 2021年9月現在でも数百のCGIプロキシがオンライン上に存在します[ 29 ] 。

CGIプロキシの中には、ウェブサイトを障害者にとってよりアクセスしやすいものにするなどの目的で設置されたものもありましたが、過剰なトラフィックのために閉鎖されてしまいました。これは通常、第三者がローカルフィルタリングを回避する手段としてサービスを宣伝したことが原因です。こうしたユーザーの多くは、自らが引き起こす二次的な被害を気にしていないため、組織はプロキシを非公開にし、組織に連絡を取り、真のニーズを示した人だけにURLを公開する必要が生じました。[ 30 ]

サフィックスプロキシ

サフィックスプロキシを使用すると、ユーザーは要求されたコンテンツのURLにプロキシサーバーの名前を付加することでウェブコンテンツにアクセスできます(例:"en.wikipedia.org.SuffixProxy.com ")。サフィックスプロキシサーバーは通常のプロキシサーバーよりも使いやすいですが、高度な匿名性は提供されず、主にウェブフィルターのバイパスに使用されます。しかし、より高度なウェブフィルターの登場により、この用途はほとんど使用されていません。

Torオニオンプロキシソフトウェア

世界地図上にコンピュータの位置を表示するコンピュータ プログラムのスクリーンショット。
Vidalia Torネットワークマップ

Torは、オンラインの匿名性を提供することを目的としたシステムです。[ 31 ] Torクライアントソフトウェアは、世界中のボランティアサーバーネットワークを経由してインターネットトラフィックをルーティングし、ユーザーのコンピュータの位置や使用状況を、ネットワーク監視トラフィック分析を行う者から隠蔽します。Torを使用すると、インターネット活動の追跡が困難になり、[ 31 ]ユーザーの個人の自由とオンラインプライバシーを保護することを目的としています。

オニオンルーティング」とは、暗号化サービスの階層構造を指します。元のデータは複数回暗号化・再暗号化された後、Torリレーを経由して送信されます。各リレーは暗号化の「層」を復号化し、データを次のリレー、そして最終的に宛先に渡します。これにより、元のデータが送信中に解読されたり、解釈されたりする確率が低減されます。[ 32 ]

I2P匿名プロキシ

I2P匿名ネットワーク(以下「I2P」)は、オンラインの匿名性を実現するプロキシネットワークです。Torのオニオンルーティングを拡張したガーリックルーティングを実装しています。I2Pは完全に分散されており、様々なレイヤーですべての通信を暗号化し、各地のボランティアが運営するルーターネットワークを介して中継することで機能します。情報源を秘匿することで、I2Pは検閲耐性を実現します。I2Pの目的は、ユーザーの個人の自由、プライバシー、そして機密性の高いビジネスを遂行する能力を保護することです。

I2Pの各ユーザーは、自分のコンピュータ(ノード)上でI2Pルーターを実行します。I2Pルーターは、他のピアを見つけ、それらを介して匿名トンネルを構築します。I2Pは、あらゆるプロトコル(HTTP、IRC、SOCKSなど)のプロキシを提供します。

ネットワークアドレス変換器との比較

プロキシの概念は、OSI参照モデルの第7層アプリケーションを指します。ネットワークアドレス変換(NAT)はプロキシに似ていますが、第3層で動作します。

レイヤー3 NATのクライアント構成では、ゲートウェイを設定するだけで十分です。しかし、レイヤー7プロキシのクライアント構成では、クライアントが生成するパケットの宛先は常にプロキシサーバー(レイヤー7)である必要があり、プロキシサーバーは各パケットを読み取り、真の宛先を特定します。

NATはレイヤー3で動作するため、レイヤー7プロキシよりもリソース消費量は少ないですが、柔軟性は劣ります。これら2つの技術を比較すると、「透過型ファイアウォール」という用語に遭遇するかもしれません。透過型ファイアウォールとは、プロキシがクライアントに認識されることなくレイヤー7プロキシの利点を活用することを意味します。クライアントはゲートウェイがレイヤー3のNATであると想定し、パケットの中身については一切認識しませんが、この方法によりレイヤー3パケットはレイヤー7プロキシに送信され、調査されます。

DNSプロキシ

DNSプロキシサーバーは(通常はローカル)ネットワークからのDNSクエリを受け取り、インターネットドメインネームサーバー(DNS)に転送します。また、DNSレコードをキャッシュすることもあります。

プロキシファイア

一部のクライアントプログラムはリクエストを「SOCKS化」し、[ 33 ]これにより、ネットワークソフトウェアが特定の種類のプロキシサーバー(主にSOCKS)を介して外部ネットワークに接続できるようになります。

住宅プロキシ(RESIP)

住宅プロキシは、インターネットサービスプロバイダー(ISP)が提供する実IPアドレスを、エンドユーザーのモバイルやコンピューターなどの物理デバイスで使用する仲介者です。住宅プロキシのユーザーは、サーバーに直接接続する代わりに、住宅IPアドレスを介してターゲットに接続します。ターゲットは、ユーザーをオーガニックインターネットユーザーとして識別します。これにより、追跡ツールがユーザーの再割り当てを識別できなくなります。[ 34 ]住宅プロキシは任意の数の同時リクエストを送信でき、IPアドレスは特定の地域に直接関連付けられます。[ 35 ]ユーザーの実IPアドレスを別のIPアドレスの背後に隠す通常の住宅プロキシとは異なり、ローテーション住宅プロキシ(バックコネクトプロキシとも呼ばれます)は、ユーザーの実IPアドレスをプロキシプールの背後に隠します。これらのプロキシは、セッションごとに、または定期的に切り替えます。[ 36 ]

プロキシホストは自発的に参加しているとプロバイダーが主張しているにもかかわらず、多くのプロキシはIoTデバイスを含む、潜在的に侵害されたホスト上で運用されています。ホストの相互参照プロセスを通じて、研究者は潜在的に迷惑なプログラムとして分類されたログを特定・分析し、RESIPホストによる様々な不正活動を明らかにしました。これらの活動には、違法なプロモーション、ファストフラックス、フィッシング、マルウェアのホスティングなどが含まれます。[ 37 ]

参照

参考文献

  1. ^ Luotonen, Ari ; Altis, Kevin (1994年4月). 「World-Wide Web Proxies」(PDF) . 2016年10月9日時点のオリジナルよりアーカイブ(PDF) 。
  2. ^ Shapiro, Marc (1986年5月).分散システムにおける構造とカプセル化:プロキシ原理. 6th International Conference on Distributed Computing Systems. Cambridge, MA, USA. pp.  198– 204. inria-00444651. 2018年12月26日時点のオリジナルよりアーカイブ。 2018年12月26日閲覧ccç÷
  3. ^ 「プロキシサーバーとトンネリング」 MDN Web Docs . 2020年11月26日時点のオリジナルよりアーカイブ。 2020年12月6日閲覧
  4. ^ a b Lyon, Gordon (2008). Nmapネットワークスキャン. 米国: Insecure. p. 270. ISBN 978-0-9799587-1-7
  5. ^ 「フォワードプロキシとリバースプロキシ」 . httpd mod_proxy . Apache. 2011年2月10日時点のオリジナルよりアーカイブ。 2010年12月20日閲覧
  6. ^ 「フォワードプロキシとリバースプロキシの違い」GeeksforGeeks . 2023年4月19日. 2024年10月24日閲覧
  7. ^ Peers, Nick (2020). 「初めてのリバースプロキシを構築する」. Maximum PC .{{cite web}}:欠落または空|url=(ヘルプ)
  8. ^ Suchacka, Grażyna; Iwański, Jacek (2020年6月7日). 「異なるトラフィックプロファイルを持つ正当なWebユーザーとボットの識別 — 情報ボトルネックアプローチ」 . Knowledge-Based Systems . 197 105875. doi : 10.1016/j.knosys.2020.105875 . ISSN 0950-7051 . S2CID 216514793 .  
  9. ^ a b「2010年版 Circumvention Tool Usage Report」(PDF)ハーバード大学バークマン・センター・フォー・インターネット&ソサエティ、2010年10月。2012年1月18日時点のオリジナルよりアーカイブ(PDF) 。 2011年9月15日閲覧
  10. ^ 「世界中でウェブサイトがダウンしているか機能しているかを確認する方法」 Hostinger 2019年11月19日。2019年12月14日時点のオリジナルよりアーカイブ。 2019年12月14日閲覧
  11. ^ 「Ninjaproxyを使用してフィルタリングされたプロキシを通過する」高度なフィルタリングメカニズム。TSNP。2016年3月9日時点のオリジナルよりアーカイブ。 2011年9月17日閲覧
  12. ^ 「Caching Proxy」 . www.ibm.com . 2023年7月2日閲覧
  13. ^ Thomas, Keir (2006). 『Ubuntu Linux入門:初心者からプロまで』Apress. ISBN 978-1-59059-627-2プロキシサーバーは、頻繁にアクセスされるページを保存することでインターネットアクセスを高速化します
  14. ^ I. Cooper; J. Dilley (2001年6月).既知のHTTPプロキシ/キャッシュの問題. IETF . doi : 10.17487/RFC3143 . RFC 3143. 2019年5月17日閲覧
  15. ^ 「レイヤリング」 .リンク関連の性能低下を軽減するためのパフォーマンス向上プロキシ. IETF . 2001年6月. p. 4. sec. 2.1. doi : 10.17487/RFC3135 . RFC 3135. 2014年2月21日閲覧.
  16. ^ 「GoogleとBingにおける地域ターゲティング広告のホットな戦術」 2013年10月。2014年2月14日時点のオリジナルよりアーカイブ2014年2月7日閲覧。
  17. ^ 「ファイアウォールとプロキシサーバーのHOWTO」 . tldp.org. 2011年8月23日時点のオリジナルよりアーカイブ。 2011年9月4日閲覧プロキシサーバーは、何よりもまずセキュリティデバイスです。
  18. ^ “Sneaker Bot Supreme Proxy” . GeoSurf. 2017年9月24日時点のオリジナルよりアーカイブ2017年9月24日閲覧。
  19. ^ "absolute-form" . HTTP/1.1 メッセージ構文とルーティング. IETF . 2014年6月. p. 41. sec. 5.3.2. doi : 10.17487/RFC7230 . RFC 7230. 2017年11月4日閲覧.クライアントはリクエストターゲットURIとしてターゲットURIを絶対形式で送信しなければならない。
  20. ^ 「ソケット対応ブラウザプラグインが透過プロキシの悪用につながる」。The Security Practice。2009年3月9日。2010年2月2日時点のオリジナルよりアーカイブ2010年8月14日閲覧。
  21. ^ 「脆弱性ノート VU#435052」US CERT 2009年2月23日. 2010年7月10日時点のオリジナルよりアーカイブ。 2010年8月14日閲覧
  22. ^ 「Subversion Dev: Transparent Proxy detection (was Re: Introduction_」) . Tracetop.sourceforge.net. 2015年10月16日時点のオリジナルよりアーカイブ。 2014年11月16日閲覧
  23. ^ウェッセルズデュアン (2004). 『イカ決定版ガイド』オライリー. pp.  130. ISBN 978-0-596-00162-9
  24. ^ Marshall, James. 「CGIProxy」 . 2018年11月16日時点のオリジナルよりアーカイブ2018年11月12日閲覧。
  25. ^ “The Limits of Control” . 1996年6月. 2020年8月6日時点のオリジナルよりアーカイブ。 2018年11月12日閲覧
  26. ^ 「Glype® Proxy Script」 glype.com . 2013年1月3日時点のオリジナルよりアーカイブ2019年5月17日閲覧。
  27. ^ “PHProxy” . SourceForge . 2016年3月14日時点のオリジナルよりアーカイブ2016年4月7日閲覧。
  28. ^ 「Google トレンド」。Googleトレンド
  29. ^ “Proxy Stats :: Get Proxi.es” . getproxi.es . 2021年9月1日時点のオリジナルよりアーカイブ2021年9月5日閲覧。
  30. ^ Estrada-Jiménez, José (2017年3月). 「オンライン広告:プライバシーの脅威と保護アプローチの分析」. Computer Communications . 100 : 32–51 . doi : 10.1016/j.comcom.2016.12.016 . hdl : 2117/99742 . ISSN 0140-3664 . S2CID 34656772 .  
  31. ^ a bジョナサン・グレイター(2006年1月25日)「おへそを見せない人のプライバシー」ニューヨーク・タイムズ2011年4月29日時点のオリジナルよりアーカイブ2011年8月4日閲覧
  32. ^ Torプロジェクト. 「Tor:オンラインの匿名性」 . 2010年4月9日時点のオリジナルよりアーカイブ2011年1月9日閲覧。
  33. ^エリザベス・D・ズウィッキー、サイモン・クーパー、D・ブレント・チャップマン (2000) 『インターネットファイアウォールの構築(第2版)』オライリー、 235ページ ISBN 978-1-56592-871-8
  34. ^ 「プロキシサーバーとは何か、どのように機能するのか?」 IPRoyal.com 2023年4月17日。 2023年7月2日閲覧
  35. ^スミス、ヴィンセント (2019). Go Webスクレイピング クイックスタートガイド: Goのパワーを活用してWebからデータをスクレイピングおよびクロールする. Packt Publishing Ltd. ISBN 978-1-78961-294-3. 2023年1月17日時点のオリジナルよりアーカイブ。2020年11月19日閲覧。
  36. ^ Keenan, James. 「住宅プロキシとは何か?」 Smartproxy.com . 2021年12月26日時点のオリジナルよりアーカイブ。 2021年12月26日閲覧
  37. ^ Mi, Xianghang; Feng, Xuan; Liao, Xiaojing; Liu, Baojun; Wang, XiaoFeng; Qian, Feng; Li, Zhou; Alrwais, Sumayah; Sun, Limin; Liu, Ying (2019年5月). 『バイオハザード:住宅用IPプロキシをダークサービスとして理解する』 2019 IEEE Symposium on Security and Privacy (SP). pp.  1185– 1201. doi : 10.1109/SP.2019.00011 . ISBN 978-1-5386-6660-9. S2CID  132479013 .
「 https://en.wikipedia.org/w/index.php?title=Proxy_server&oldid=1337071424」から取得