Es gibt viele Dienste wie „unblock-us.com“, die es ermöglichen, geobeschränkte Dienste aus anderen Ländern zu nutzen. Die Einrichtung ist immer gleich: einfach DNS ersetzen und fertig.
Meine Frage ist: Wie funktioniert es?
Für HTTP-Verkehr ist es ganz einfach: DNS muss die IP eines Servers zurückgeben, der sich im richtigen geografischen Bereich befindet, HTTP-Anfragen akzeptiert und sie an den aus dem HOST-Header bekannten Server weiterleitet.
Für HTTPS-Verkehr – HTTP-Verkehr wird über SSL gesendet, sodass jeder Proxy theoretisch nur sehen kann, dass jemand einen Blob verschlüsselter Daten mit unbekanntem Ziel gesendet hat. Wie funktioniert das?
Antwort1
Der Smart DNS-Dienst muss sich nicht um den eigentlichen Inhalt der Anfrage kümmern. Er leitet die gesamte Verbindung einfach so um, wie sie ist. Natürlich erfordert dies eine 1:1-Zuordnung zwischen umgeleitetem Domänennamen und IP-Adresse.
Wenn Sie auf zugreifen möchten netflix.com, „fälscht“ der Smart DNS-Server die Antwort und leitet Sie beispielsweise an weiter. 1.2.3.4Dieser Server befindet sich in den USA, um Netflix zu täuschen. Er tauscht lediglich einige Header im Datenverkehr aus, während er zwischen den tatsächlichen Servern und Ihrem PC vermittelt netflix.com. Für Netflix sieht es so aus, als würde er mit kommunizieren 1.2.3.4.
Der Server weiß, dass der Datenverkehr für 1.2.3.4für Netflix bestimmt ist. 1.2.3.5Für YouTube könnte es eine andere Adresse geben, .
Antwort2
Die meisten modernen Programme können SSL-Verkehr entschlüsseln und neu verschlüsseln, indem sie den Proxy als Man-in-the-Middle konfigurieren. Auf diese Weise wird die Vertrauenskette des SSL/TLS-Zertifikats zwar unterbrochen, aber dies ist etwas ausgefeilter, sodass der Benutzer dies nicht einmal bemerkt.
In meinem Fall habe ich Squid3eine ähnliche Konfiguration für einen transparenten Proxy erstellt, und es gibt eine Funktion namens , Squid-in-the-middle SSL Bumpdie dies in resume tut. Dies (wie Sie in diesem sehen werden)Verknüpfung) bringt einige moralische und sogar rechtliche Probleme mit sich, da es je nach Land/Bundesstaat, in dem Sie leben, illegal sein kann. Beachten Sie jedoch, dass, wenn der Proxy ein dynamisches Zertifikat generiert, dieses in jedem Fall vom Benutzer akzeptiert werden muss.
Es gibt einen sehr schönen Link, der dies ausführlich beschreibt und leicht zu lesen ist. Ich hoffe, er hilft Ihnen zu verstehen, wie diese Art von transparenten Proxys funktioniert.