Definicja
Proxy z centrum danych to serwer proxy, którego wychodzący adres IP pochodzi z puli adresów IP komercyjnego dostawcy hostingu, platformy chmurowej lub obiektu kolokacyjnego. Gdy ruch internetowy jest kierowany przez proxy z centrum danych, serwer docelowy widzi adres IP źródłowy należący do sieci firmy takiej jak Amazon Web Services, Google Cloud Platform, Microsoft Azure, DigitalOcean, OVHcloud, Hetzner Online, Linode (obecnie Akamai) lub jednego z tysięcy mniejszych dostawców hostingu na całym świecie.
Stoi to w kontraście do rezydencjalnych adresów IP, które są przypisywane przez konsumenckich ISP jak Comcast, BT czy Jio do gospodarstw domowych z dostępem szerokopasmowym i abonentów mobilnych. Rozróżnienie ma znaczenie, ponieważ bazy reputacji IP — utrzymywane przez MaxMind, Spamhaus, IPinfo i inne — wprost klasyfikują zakresy adresów dostawców hostingu, dzięki czemu IP z centrów danych są trywialnie identyfikowalne jako ruch niekonsumencki.
Jak działają proxy z centrum danych
Wdrożenie proxy z centrum danych zwykle składa się z jednego lub więcej serwerów udostępnionych u dostawcy hostingu. Każdy serwer otrzymuje jeden lub więcej publicznych adresów IPv4 lub IPv6 z puli IP dostawcy hostingu. Oprogramowanie proxy — zazwyczaj Squid, Dante lub niestandardowy demon SOCKS5 lub HTTP proxy — nasłuchuje na porcie i przekazuje przychodzące żądania połączenia do celu, podstawiając IP z centrum danych serwera jako pozorne źródło.
Klienci łączą się z serwerem proxy używając adresu i portu proxy, uwierzytelniają się w razie potrzeby i wystawiają żądania. Proxy przekazuje te żądania do strony docelowej i zwraca odpowiedzi. Strona docelowa rejestruje IP z centrum danych jako adres odwiedzającego.
Proxy z centrum danych są szybkie i tanie w udostępnianiu — pojedynczy serwer chmurowy może obsłużyć setki lub tysiące jednoczesnych połączeń, a adresy IPv4 od głównych dostawców kosztują ułamki centa za godzinę. Czyni to je atrakcyjnymi dla zautomatyzowanych zadań o dużej objętości, takich jak web scraping, monitorowanie cen i automatyczne testowanie.
Przewaga prędkości i kosztów wiąże się z fundamentalnym problemem wykrywalności: każda główna baza reputacji IP utrzymuje kompleksowe, regularnie aktualizowane listy zakresów IP dostawców hostingu. Baza GeoIP2 Anonymous IP MaxMinda na przykład wprost oznacza adresy z ponad 3000 znanych ASN hostingowych i VPN. Produkty zarządzania botami Cloudflare stosują podobną klasyfikację do całego ruchu przechodzącego przez ich sieć. Lista blokująca BGP Spamhaus zawiera wiele zakresów dostawców hostingu. Każda platforma odpytująca te bazy — co jest standardową praktyką dla zapobiegania oszustwom konkursowym — może odrzucać głosy pochodzące z centrów danych już na pierwszej warstwie sieciowej, zanim wymagana będzie głębsza analiza.
Gdzie się z tym spotkasz
Proxy z centrów danych są wszechobecne w prawowitych operacjach technicznych: sieci dostarczania treści takie jak Cloudflare, Fastly i Akamai serwują treści internetowe z IP centrów danych; biznesowe usługi VPN takie jak Cisco AnyConnect i GlobalProtect kierują ruch korporacyjny przez punkty końcowe centrów danych; infrastruktura web scraping dla usług porównywania cen i firm badań rynku działa na serwerach centrów danych.
W kontekście wykrywania oszustw IP centrów danych są spotykane jako pierwszy sygnał, który sprawdza platforma konkursowa. Nowoczesne platformy antybotowe, w tym Cloudflare Bot Management, DataDome i HUMAN Security, używają klasyfikacji ASN centrów danych jako filtru wstępnego, który odrzuca lub poddaje silnej analizie wszelkie żądania pochodzące z zakresu dostawcy hostingu, nie wymagając dalszej analizy.
Praktyczne przykłady
Platforma konkursowa w mediach społecznościowych rejestruje adresy IP z każdym przesłaniem głosu i przepuszcza każdy adres przez bazę GeoIP2 MaxMinda w czasie rzeczywistym. W oknie 12 godzin 2400 głosów przybywa z adresów IP, które baza klasyfikuje jako należące do Amazon Web Services, OVHcloud i DigitalOcean. Logika walidacji platformy automatycznie odrzuca te głosy, zanim trafią do bazy zliczania, a dziennik odrzuconych głosów jest zachowywany do celów audytowych.
Badacz oszustw konkursowych publikuje analizę porównującą wskaźniki akceptacji głosów przesłanych przez proxy z centrów danych w porównaniu do proxy rezydencjalnych na dziesięciu platformach konkursowych online. Badanie wykazało, że głosy pochodzące z centrów danych są odrzucane wprost przez 8 z 10 platform na warstwie sieciowej, podczas gdy głosy pochodzące z rezydencji przechodzą ten sam wstępny filtr na wszystkich 10 platformach. Badacz przypisuje różnicę klasyfikacji ASN we wszystkich ośmiu przypadkach odrzucenia.
Zespół bezpieczeństwa platformy konkursowej przegląda dzienniki dostępu i odkrywa, że agencja marketingowa konkurenta przesłała setki głosów używając IP z centrum danych wynajętych z Hetznera. ASN zakresu IP jest zarejestrowanym dostawcą hostingu, więc wszystkie przesłania zostały po cichu odrzucone. Zespół wykorzystuje te dane do udokumentowania próby oszustwa dla sponsora konkursu.
Powiązane pojęcia
Rezydencjalne IP reprezentują alternatywę dla IP centrów danych — adresy przypisane konsumentowi, które przechodzą filtr klasyfikacji ASN, ponieważ pochodzą z prawdziwych połączeń domowych lub mobilnych. Analiza różnorodności ASN to technika na poziomie sieciowym, która wykrywa ruch skoncentrowany w niewielkiej liczbie ASN, co jest charakterystycznym wzorcem użycia proxy z centrum danych. IP operatorów komórkowych zajmują pozycję pośrednią: przypisane przez operatorów komórkowych, a nie dostawców hostingu, są klasyfikowane jako ruch konsumencki, ale mają wyróżniające cechy — zwłaszcza carrier-grade NAT — które wpływają na sposób, w jaki platformy się z nimi obchodzą.
Ograniczenia / zastrzeżenia
Bazy klasyfikacji IP nie są idealnie dokładne ani idealnie aktualne. Bloki adresów IP są kupowane, sprzedawane i przekierowywane między dostawcami hostingu a ISP na bieżąco. Blok, który rok temu był rezydencjalny, może obecnie znajdować się w zakresie centrum danych — i odwrotnie. MaxMind, IPinfo i podobni dostawcy publikują statystyki dokładności swoich baz, ale rozbieżności się zdarzają, czasami powodując, że prawdziwi użytkownicy łączący się przez sieci korporacyjne lub edukacyjne są błędnie klasyfikowani jako ruch z centrum danych.
