Mối đe dọa của proxy dân dụng
(feistyduck.com)- Proxy dân dụng đang phát triển cùng với nhu cầu scraping muốn né chặn IP datacenter bằng cách chuyển hướng lưu lượng qua địa chỉ hộ gia đình hoặc các điểm cuối mạng tương tự
- Các website phải giữ mở quyền truy cập cho người dùng bình thường nhưng vẫn lọc được lưu lượng tự động hóa không mong muốn, và việc quét dựa trên một IP đơn lẻ hay máy chủ đám mây rất dễ bị chặn nhanh
- Mạng proxy có thể được tạo ra bằng cách chèn SDK ứng dụng, màn hình xin đồng ý không đầy đủ, hack router, hoặc thiết bị giá rẻ có sẵn mã độc được cài từ trước; người dùng có thể vô tình trở thành một phần của botnet
- Khi mạng gia đình hoặc doanh nghiệp trở thành nút thoát proxy, có thể phát sinh tiêu tốn băng thông, bị chặn truy cập website, khả năng bị cơ quan điều tra ghé thăm, và rủi ro truy cập vào mạng nội bộ
- Ở gia đình, cần tách riêng các thiết bị quan trọng và theo dõi lưu lượng; ở doanh nghiệp, chặn thiết bị chưa xác minh, dùng DNS bảo vệ, threat intelligence và kiểm tra lưu lượng là các biện pháp phòng thủ thực tế
Vì sao proxy dân dụng được sử dụng
- Proxy dân dụng thường là proxy được đặt tại địa chỉ hộ gia đình và được dùng cho các hoạt động như scraping website
- Các dịch vụ internet phải vừa phục vụ công chúng vừa phát hiện và loại bỏ lưu lượng không mong muốn
- Nếu giám sát các website lớn từ một địa chỉ IP duy nhất thì thường sẽ bị chặn rất nhanh
- Ngay cả khi mở rộng việc quét sang IP máy chủ của nhiều nhà cung cấp đám mây, lưu lượng từ datacenter cũng dễ bị chặn hàng loạt
- Giải pháp thay thế tận dụng khoảng trống này là thuê dùng các điểm cuối dân dụng
Giữa sử dụng hợp pháp và lạm dụng
- Scraping có thể là hành vi không được mong muốn, nhưng bản thân nó không phải lúc nào cũng bất hợp pháp
- Tuy vậy, scraping với cường độ cao trở thành vấn đề vận hành mà website buộc phải phòng vệ
- Mục đích sử dụng trải dài từ các trường hợp chính đáng như giám sát mạng trả phí cho đến lạm dụng mang tính tội phạm
- Tội phạm muốn tấn công website cũng dùng proxy dân dụng để che giấu dấu vết truy vết
- Sự lan rộng của AI và AI agent tiếp tục làm tăng nhu cầu
- Các nhà cung cấp AI muốn dùng nội dung trên internet cho huấn luyện
- Người dùng AI muốn trao cho công cụ của mình cùng mức truy cập không hạn chế mà họ đang có
- Hiện nay người ta cho rằng bot tạo ra nhiều lưu lượng internet hơn con người
Những nỗ lực thanh toán nhằm thay đổi kinh tế scraping
- Một hướng giải pháp được nhắc đến là điều chỉnh kinh tế scraping bằng cách buộc bot phải trả chi phí truy cập
- Năm 2025, Cloudflare đưa ra ý tưởng pay-per-crawl, sau đó cùng Coinbase tạo ra x402 standard
- Gần đây AWS đã bổ sung hỗ trợ giao thức thanh toán này trong sản phẩm WAF của mình
Cách xây dựng mạng: SDK và sự đồng ý không đầy đủ
- Để vận hành proxy dân dụng cần rất nhiều điểm cuối mạng phân tán trên toàn thế giới
- Cũng có những cách mang dáng vẻ hợp pháp
- Tạo bộ công cụ phát triển phần mềm cho các thiết bị phổ biến số lượng lớn như điện thoại, TV
- Trả tiền cho nhà phát triển ứng dụng để họ đưa phần mềm proxy vào ứng dụng
- Tệ nhất là mã proxy được âm thầm phát tán cùng các ứng dụng miễn phí
- Ngay cả trong trường hợp tốt nhất, người dùng cuối vẫn chỉ được hiển thị màn hình xin đồng ý để chọn tham gia vận hành nút thoát proxy, nhưng vẫn còn nghi vấn liệu đó có phải là sự đồng ý được hiểu đầy đủ hay không
- Báo cáo của Include Security về cách smart TV trở thành nút trong nền kinh tế scraping AI giải thích cấu trúc này
- Theo Synthient, phần lớn nạn nhân là cư dân
Cách xây dựng bất hợp pháp: hack router và mã độc cài sẵn
- Một cách khác là xây dựng mạng bằng mọi phương thức có thể, kể cả thủ đoạn bất hợp pháp
- Hack router vẫn là một cách xây dựng hiệu quả
- Đã có tài liệu ghi nhận một số thiết bị giá rẻ được bán ra với mã độc proxy dân dụng cài sẵn từ trước
- Người dùng có thể mua một khung ảnh số cho ảnh gia đình, nhưng trên thực tế nó hoạt động như một con ngựa thành Troy và trở thành một phần của botnet
- KrebsOnSecurity đã công bố một báo cáo chuyên sâu về cách các mạng như vậy được vận hành
Thiệt hại đối với mạng gia đình
- Nếu may mắn, ai đó chỉ dùng địa chỉ IP của bạn để scraping và tiêu tốn một phần băng thông
- Nếu địa chỉ IP bị gắn với mạng proxy dân dụng, bạn có thể không còn truy cập được một số website nữa
- Trong trường hợp tệ hơn, ai đó có thể dùng địa chỉ IP của bạn làm điểm trung chuyển cho tấn công mạng, dẫn đến việc FBI hoặc cơ quan chính quyền địa phương ghé thăm
- Các mạng proxy dân dụng ngày càng được dùng như con đường để tội phạm truy cập vào mạng nội bộ
Rủi ro truy cập mạng nội bộ
- Một số nhà cung cấp tuyên bố họ hạn chế truy cập vào địa chỉ IP riêng, nhưng mã thực thi liên quan thường không được viết tốt
- Nhiều thiết bị chạy Android dường như được xuất xưởng với Android Debug Bridge vốn dành cho khắc phục sự cố của nhà sản xuất
- Trong cùng một mạng, các thiết bị như vậy có thể bị root rất nhanh
- Ngay cả trong mạng doanh nghiệp, bằng chứng về lưu lượng proxy dân dụng cũng đang tăng lên
- Báo cáo của Infoblox cho biết có lưu lượng hướng tới mạng proxy dân dụng ở tối đa 65% khách hàng dùng dịch vụ DNS bảo vệ
- Tỷ lệ phát hiện trong khách hàng: {p:65}
Các điểm phòng thủ cho gia đình và doanh nghiệp
- Trong gia đình, có thể cân nhắc dùng mạng ảo để tách các thiết bị quan trọng khỏi phần còn lại
- Việc theo dõi lưu lượng cũng hữu ích
- Tuy nhiên, nếu ai đó trong nhà có thể cài ứng dụng mới lên TV thì vẫn không có giải pháp chắc chắn
- Trong môi trường doanh nghiệp, lý tưởng nhất là không cho phép thiết bị không rõ nguồn gốc vào mạng, nhưng trên thực tế điều này không dễ triển khai
- Dịch vụ DNS bảo vệ có hiểu biết về các mạng proxy dân dụng phổ biến có thể giúp kiềm chế loại lưu lượng này và tìm ra thiết bị có vấn đề
- Một số thiết bị có thể bỏ qua DNS và kết nối trực tiếp đến địa chỉ IP được hardcode sẵn
- Trong những trường hợp như vậy, cần có threat intelligence tốt cùng với kiểm tra và giám sát lưu lượng doanh nghiệp
1 bình luận
Ý kiến trên Lobste.rs
Có chút mỉa mai khi tự hỏi ai đã khiến thị trường này có đất sống 🙄
Hàng trăm triệu thiết bị IoT, TV thông minh và thiết bị mạng không còn nhận được cập nhật nữa, thậm chí nhiều nhà sản xuất đã biến mất
Một số thiết bị ngay từ đầu đã được xuất xưởng cùng mã độc, nhưng phần lớn đơn giản là bị bỏ mặc, không hẳn thuộc trách nhiệm của riêng ai nhưng lại trở thành vấn đề của tất cả mọi người
Tôi tò mò không biết có cách nào dễ để phát hiện các thiết bị trong mạng gia đình có đang làm chuyện này không, ngoài việc giám sát kiểu man-in-the-middle
Có vẻ công cụ này kiểm tra xem địa chỉ IP của tôi hoặc một IP khác có dấu hiệu từng bị dùng làm proxy dân dụng hay không
Tôi không rõ độ chính xác thế nào, và nếu dùng IP động thì có vẻ kết quả có thể bị ảnh hưởng
Đến đoạn “nhiều thiết bị chạy Android được xuất xưởng với Android Debug Bridge bật sẵn để nhà sản xuất xử lý sự cố, và có thể dễ dàng root thiết bị từ cùng một mạng” thì tôi gần như mất niềm tin ngay
Khi thử nghiệm bản build mới hoặc debug trong phòng lab, dùng
adb remotevới thiết bị rất tiện, và trong bối cảnh phát triển lặp nhanh thì việc tách riêng bản build cho phát triển với bản build phát cho khách hàng khá phiền phứcTôi cũng từng chặn một thiết bị mở toang ADB bị đem đi xuất xưởng, và khi đó tôi đã làm ầm lên khá nhiều về vấn đề này
Tôi nghĩ ở nơi khác thì chuyện đó có thể đã bị cho qua
Một trong những công ty bán proxy dân dụng là Bright Data, cũng được nhắc trong bài viết liên kết
Họ được cho là dùng đường SDK, tức là cấy proxy vào trong SDK mà họ cung cấp
Meta và X đã cố đối đầu nhưng thua