プロキシサーバーを避けるために、Unixをドメインコントローラとして使用しますか？

これは可能ですか？

これは興味深い点です。現在（2022年）この種の攻撃は依然として可能ですが、過去10年間でこれらの攻撃はより困難になり効率が悪くなりました。

理由はとても安いです（無料）暗号化は非常に簡単に実装できるため、ほとんどのサービスが暗号化されます。これは、ブラウザがWebサーバーと一緒に暗号化されたチャネルを開き、Webサーバーに接続するドメイン名として機能する権限があることを証明するように要求することを意味します。

「仲介者」は次のことができます。

• 暗号化されたチャンネルを開いたが、希望するウェブサイトの認証を受けたことを証明することはできません（役に立たない)
• 記録暗号化お客様とサーバー間のトラフィックは復号化できないため、実際に送信される内容を知る方法はありません。 （役に立たない科学者が量子コンピューティングを解読するまで)
• 中本当に本当に本当に暗号化されたチャネルを介して送信されるプロトコルの種類を検出する方法は限られています。例えば、中国のファイアウォール暗号化されたチャネルが次のように使用されているかどうかを検出することは明らかに可能です。VPN（Y / N）パケット長/タイミングを復号化せずに分析します。 （役に立たない中国当局は除く)

あなたが接続しているIPアドレスとドメイン名は通常の検索で公開される可能性がありますが、それはすべてです。

ブラウザでドメイン名の横にある小さなロックを確認してください。存在する場合、中間者攻撃はあなたが探しているコンテンツをスヌーピングできない可能性があります。

唯一の危険は...誰かがあなたをだまして新しいデバイスをインストールすることができる場合CA証明書コンピュータに侵入すると、そのコンピュータが中間者攻撃の危険にさらされる可能性があります。これは、コンピュータがハッカーを認証機関であるかのように信頼しているためです。

何が不可能ですか？

私は、（物理的な「ジャンパー」などを使って）極地のケーブルインターネット回線に物理的にインストールされている可能性があるプロキシサーバー（中間者攻撃）を避けるためにUnixを設定できるかどうか疑問に思います。

単に過去のように「避ける」？いいえ、そうではない可能性が高いです。その理由は、攻撃者の機器を通さない接続がもはやない可能性があるからだ。

攻撃は、侵害の少ない方法でISPのDHCPサーバーをだまして実行される可能性があります。これは、無効なデフォルトゲートウェイアドレスおよび/またはDNSサーバーを使用するようにケーブルモデム（ルーター）を再構成するために使用できます。唯一の証拠はケーブルモデム（ルーター）にあり、ホームネットワークの何も検出できません。

理論的には、このタイプのDHCP攻撃（ハードコーディングDNSとデフォルトゲートウェイ）を防ぐためにケーブルモデムを再設定できます。しかし、攻撃者が実際にインターネットに物理的に再接続している場合、これは多くの保護を提供しません。

Unixを使用してプロキシサーバーとのトラフィックを拒否し、既知の合法的なIPまたはWebアドレスに直接接続できますか？インターネットをランダムにサーフィンする必要はありません。

あなたが説明する中間者攻撃は、DNSサーバーをなりすましない限り、IPアドレスを変更しません。

つまり、iptablesファイアウォールルールを使用して、着信トラフィックを少数の「既知の」IPアドレスに制限することができます。ここでは例を提示しません。実際にはうまくいかないようです。

どのような保護措置を取ることができますか？

このようなローカル攻撃を防ぐためにできる1つの方法は、適切に設定された暗号化VPNを使用することです。これによりルーティングされます。みんなインターネットトラフィックは暗号化されたチャネルを介してVPNサーバーに移動します。これにより、問題がVPNサーバーのセキュリティに移行します。

気になるなら「TOR」を探すのもいいですね。