XFF 프로젝트

This page is a translated version of the page XFF project and the translation is 100% complete.

소개

위키백과의 급진적인 개방성은 사실이라고 하기에는 너무 좋은 것 같습니다. 로그인도 하지 않고 어떻게 누구나 웹사이트를 편집하게 할 수 있습니까? 중요하다고 느끼기 위해 잘못된 시도로 자신의 낙서를 전체에 뿌리려는 강박적이고 유치한 사용자에 의해 휩쓸리지 않을까요? 사람들은 하루 24시간 동안 문서를 원하는 버전으로 지속적으로 되돌리도록 봇을 설정하지 않을까요?

어떤 면에서는 사실이라고 하기에는 너무 좋습니다. 위키백과는 IP 주소 기반 접근 제어에 대한 근본적인 개방성에 의존합니다. 즉, 개인의 IP 주소를 차단하여 개인의 편집을 차단하는 기능과 개인이 더 많은 IP 주소를 얻는 데 어려움이 있습니다.

이 모델에 위협이 있습니다. 예를 들어 개방형 프록시를 사용하면 기술적으로 유능한 사용자가 수천 개의 IP 주소 풀에서 편집할 수 있습니다. 훨씬 더 유능한 공격자는 원격 컴퓨터에 침입하여 위키백과를 공격하는 "좀비"로 사용할 수 있습니다. 그러나 두 경우 모두 프록시와 좀비가 나타나는 대로 차단할 수 있으며 다른 사용자에게는 거의 불편이 없습니다. 따라서 공격자는 침해할 새로운 호스트를 지속적으로 검색해야 하며 이것이 공격 속도를 늦추는 최선의 방법입니다.

더 심각한 위협은 인터넷 서비스 공급자가 HTTP 프록시를 사용하는 것입니다. 잘못 구성된 프록시는 수천 명의 다른 사용자를 차단하지 않고 한 사용자를 차단하는 것을 불가능하게 만들 수 있습니다. 동일한 ISP의 다른 고객 트래픽과 트래픽을 혼합하여 공격자의 신원을 가립니다. 여기에서 XFF 프로젝트가 시작됩니다.

X-Forwarded-For(X-Forwarded-For) 헤더는 대부분의 HTTP 프록시 소프트웨어에서 지원하는 사실상의 표준입니다. 클라이언트의 IP 주소를 서버로 전달되는 HTTP 헤더에 추가합니다. 따라서 서버는 클라이언트 IP를 결정할 수 있습니다. 이 헤더는 위조될 수 있기 때문에 위키백과 및 기타 위키미디어 웹사이트는 신뢰할 수 있는 출처에서 온 XFF 헤더만 허용합니다. XFF 프로젝트의 목표는 다음과 같습니다:

  • ISP 프록시 주소 및 해당 XFF 상태의 카탈로그 만들기
  • ISP가 XFF 헤더를 제공하도록 프록시를 구성하도록 권장

환경 설정

XFF 헤더를 보내도록 프록시를 구성하는 방법:

마이크로소프트 ISA 서버 2004/2006년

  1. "ISA 서버용 Winfrasoft X-Forwarded-For" 웹 필터를 설치합니다. ISA 서버는 기본적으로 XFF를 지원하지 않습니다.
  2. 정방향 프록시의 경우 트래픽을 업스트림 프록시 서버로 라우팅하는 웹 체인 규칙(아직 없는 경우)을 만듭니다. 역방향 프록시에 대해 더 이상 할 일이 없습니다.

참조: ISA 서버에 대한 X-Forwarded-For 상세 정보.

Squid

이것을 squid.conf에 넣으세요:

forwarded_for on

이것은 기본값이므로 실제로 forwarded_for off이 있는 경우에만 제거하면 됩니다.

참조: Squid 환경설정 매뉴얼.

시스코 캐시 엔진

환경설정 모드로 전환하고 다음을 실행합니다:

http append x-forwarded-for-header

참조: 시스코 캐시 엔진 사용 설명서, 버전 2.1.0, 부록 A

NetApp NetCache

웹 기반 관리 인터페이스의 네트워크 설정 페이지에서 "개인 정보" 옆의 "해제"를 클릭합니다. 이것은 우리가 아는 한 X-Forwarded-For 헤더에만 영향을 미칩니다.

참조: ISP-Planet 캐시 검토 시리즈 - NetApp NetCache C720, 웹 캐시 조정

Cacheflow 클라이언트 가속기

환경설정 모드에서:

reveal http
http add-header x-forwarded-for

신뢰할 수 있는 XFF 목록

프록시가 신뢰할 수 있는 XFF 목록에 있는 경우 프록시 뒤에서 위키백과를 편집하는 사용자는 프록시 IP가 아닌 클라이언트 IP에서 편집하는 것으로 나타납니다. 위키백과 관리자는 클라이언트를 개별적으로 차단할 수 있습니다. 단일 문서 훼손자의 행동으로 인해 전체 프록시가 차단되지 않습니다.

다음과 같은 경우 프록시가 우리의 주의를 끌 때 신뢰할 수 있는 XFF 목록에 추가됩니다:

  • ISP 프록시로 전용 사용을 의미하는 역방향 DNS 항목이 있어야 합니다. 그리고
  • RFC 1918 사설 인터넷의 주소가 아닌 공용 IP 주소에 대해 주로 전달합니다. 이러한 주소를 전달하는 프록시 목록은 RFC 1918을 참조하세요.

등록 및 등록 취소 문의는 xff wikimedia org에 문의하세요.

2013년 5월 현재 신뢰할 수 있는 XFF 목록은 TrustedXFF 미디어위키 확장 기능 아래 "trusted-hosts.txt"라는 파일에서 관리됩니다. 이 파일은 이 링크를 따라가면 볼 수 있습니다. 위키미디어 위키는 이 텍스트 파일을 사용하여 배열을 포함하는 PHP 파일을 생성합니다.

Trusted-hosts.txt 파일에 대한 변경 사항은 게릿을 통해 제안할 수 있습니다.