pac файл прокси
pac файл прокси
PAC файл прокси: технический гид по автоматической маршрутизации
pac файл прокси — это не просто «файл с настройками». Это JavaScript-скрипт, который решает в реальном времени, через какой прокси (или напрямую) отправлять каждый HTTP/HTTPS-запрос. В корпоративных сетях он экономит трафик и упрощает централизованное управление, но в руках злоумышленника превращается в инструмент перехвата данных.
Почему ваш браузер слушает чужой JavaScript
Когда вы подключаетесь к корпоративной Wi-Fi сети или провайдеру вроде «Ростелеком», система может автоматически указать путь к PAC (Proxy Auto-Config). Это URL или локальный файл, содержащий функцию FindProxyForURL(url, host). Эта функция возвращает строку вида:
"PROXY proxy.corp.local:8080; DIRECT"
Браузер (Chrome, Firefox, Edge) и многие приложения (Telegram Desktop, Slack) читают этот скрипт без предупреждений. Он исполняется в песочнице, но имеет доступ к полному доменному имени запрашиваемого ресурса. Это даёт возможность:
- Направлять внутренние ресурсы (
*.corp.local) напрямую. - Отправлять всё остальное через прокси для фильтрации или логирования.
- Динамически менять маршрут в зависимости от времени суток, IP-геолокации или даже содержимого URL.
Но здесь начинаются проблемы.
Чего вам НЕ говорят в других гайдах
Большинство статей хвалят PAC за удобство. Мало кто предупреждает:
-
PAC — точка атаки Man-in-the-Middle
Если злоумышленник подменит URL PAC-файла (например, через DHCP-опцию 252 или WPAD), он получит контроль над всем вашим трафиком. Особенно опасно в публичных сетях: кафе, аэропорты, отели. Ваш браузер будет «добровольно» отправлять HTTPS-трафик через чужой прокси. Да, даже если сайт использует TLS — ведь сертификат можно подменить, если пользователь проигнорирует предупреждение (а 73% так и делают, по данным исследований Cure53). -
Утечки DNS через PAC
ФункцияdnsResolve(host)внутри PAC-файла выполняет DNS-запрос до установки соединения. Этот запрос идёт напрямую к системному DNS-резолверу — часто к провайдеру (МТС, Билайн). Даже если весь трафик идёт через прокси, факт обращения кbank.example.comуже засветился у провайдера. -
Нет защиты от DPI
PAC работает на уровне приложения, а не на сетевом. Глубокая проверка пакетов (DPI), как в российских сетях с 2022 года, легко видит исходный трафик до его перенаправления. PAC не шифрует, не маскирует, не обфусцирует — он просто перенаправляет. -
Бесплатные «VPN-сервисы» используют PAC для фрода
Некоторые бесплатные расширения для браузера (особенно в Chrome Web Store) подменяют системный PAC-файл, направляя трафик через свои серверы. Затем они: - Продают историю посещений рекламным сетям.
- Внедряют трекеры в HTML-страницы.
-
Используют ваш трафик для ботнета (как случилось с Hola VPN в 2015 году).
-
PAC не работает с UDP и не защищает WebRTC
Видеозвонки, торренты, онлайн-игры — всё это использует UDP. PAC влияет только на TCP-соединения браузера. WebRTC в Chrome и Firefox продолжает «выдавать» ваш реальный IP через STUN-запросы, даже если PAC активен.
PAC против современных угроз: где он бессилен
| Угроза | Справится ли PAC? | Почему |
|---|---|---|
| Слежка провайдера (HTTP) | ✅ Частично | Перенаправляет трафик, но DNS остаётся открытым |
| Слежка провайдера (HTTPS) | ❌ Нет | TLS шифрует содержимое, но SNI и DNS — нет |
| Атака в публичном Wi-Fi | ❌ Опасен | Может быть подменён → MITM |
| Обход блокировок РКН | ❌ Нет | Не шифрует, не маскирует трафик от DPI |
| Защита от WebRTC/DNS-утечек | ❌ Нет | Работает только на уровне HTTP(S)-клиентов |
| Корпоративный аудит трафика | ✅ Да | Именно для этого и создан |
PAC — инструмент маршрутизации, а не безопасности. Он не заменяет ни VPN, ни Tor, ни даже хороший прокси с аутентификацией.
Когда PAC реально полезен (и как не навредить себе)
Сценарий 1: Корпоративная сеть с доверенным прокси
Вы IT-администратор в компании. Все сотрудники должны ходить в интернет через корпоративный Squid с фильтрацией. PAC позволяет:
- Направлять внутренние ресурсы (intranet, gitlab.corp) напрямую.
- Отправлять внешний трафик через прокси.
- Исключать облачные сервисы (Google Drive, Zoom) из прокси для скорости.
Важно: размещайте PAC-файл только по HTTPS с валидным сертификатом. Используйте строгую политику CSP на веб-сервере.
Сценарий 2: Разделение трафика дома
Вы хотите, чтобы торренты шли напрямую, а браузер — через прокси. PAC может помочь, но только если ваш торрент-клиент его поддерживает (qBittorrent — нет, Deluge — частично). Лучше использовать split tunneling на уровне ОС или роутера.
Сценарий 3: Обход геоблокировок без полного VPN
Хотите смотреть YouTube-контент, недоступный в РФ? PAC может направлять только youtube.com и googlevideo.com через зарубежный прокси. Но:
- Это легко детектируется (разный IP для разных доменов).
- Не защищает от DPI.
- Требует ручного обновления списка доменов.
Как проверить и отладить свой PAC-файл
-
Проверка синтаксиса
Откройте файл в браузере как.js. Любая ошибка — и весь скрипт игнорируется, трафик идёт напрямую. -
Тестирование логики
Используйте онлайн-симуляторы (например, PAC Tester) или локально:
bash pactester -p /path/to/proxy.pac -u https://example.com -
Поиск утечек DNS
Зайдите на browserleaks.com/dns. Если вы видите IP вашего провайдера — DNS утекает. -
Проверка WebRTC
На том же сайте проверьте WebRTC. Если отображается ваш реальный IP — отключите WebRTC в браузере или используйте расширение. -
Анализ трафика
Запустите Wireshark. Фильтр:dns || http.host contains "proxy". Убедитесь, что нет неожиданных запросов.
PAC и современные протоколы: почему WireGuard не поможет
PAC работает поверх сетевого стека. Даже если вы подключены к WireGuard или OpenVPN:
- Браузер всё равно читает PAC-файл.
- Если PAC указывает на локальный прокси (
127.0.0.1:8080), трафик сначала идёт туда, потом — в туннель. - Если PAC указывает на внешний прокси — трафик может не попасть в VPN вообще.
Это особенно критично при использовании split tunneling: часть трафика идёт через VPN, часть — напрямую, а PAC может случайно отправить конфиденциальные данные в открытый канал.
Альтернативы PAC: что использовать вместо
| Технология | Плюсы | Минусы |
|---|---|---|
| OpenVPN с full tunnel | Полное шифрование, защита от DPI, kill switch | Замедление на 10–30%, требует настройки |
| WireGuard | Скорость (97% от канала), минимальный оверхед | Нет встроенной защиты от утечек DNS/WebRTC |
| Shadowsocks + obfs4 | Обход DPI в РФ/Китае, маскировка под HTTPS | Требует своего сервера или доверенного провайдера |
| SOCKS5 + FoxyProxy | Гибкая маршрутизация по доменам | Только для браузера, не системно |
| Ручная настройка iptables (Linux) | Полный контроль, zero trust | Сложно для новичков, легко ошибиться |
Для большинства пользователей в РФ оптимально: WireGuard + отключённый WebRTC + DNS-over-HTTPS (DoH). PAC здесь избыточен и опасен.
Вывод
pac файл прокси — мощный, но двойственный инструмент. В доверенной среде он упрощает маршрутизацию и снижает нагрузку на сеть. В публичной или недоверенной — становится вектором атаки. Он не обеспечивает приватность, не обходит блокировки и не защищает от современных угроз вроде DPI или WebRTC-утечек. Если вы не админ корпоративной сети, лучше отключить автоматическое определение прокси в настройках Windows/macOS и использовать полноценный VPN с аудитами, no-log policy и поддержкой kill switch. PAC — это про удобство, а не про безопасность. И в 2026 году эти понятия всё дальше расходятся.
Может ли PAC-файл украсть мои пароли?
Напрямую — нет. Но если он перенаправляет вас через чужой прокси, злоумышленник может показать поддельную страницу входа (фишинг) или принудить к установке своего сертификата и перехватывать HTTPS-трафик. Это классическая MITM-атака.
Как отключить PAC в Windows 10/11?
Откройте «Параметры» → «Сеть и Интернет» → «Прокси». Выключите «Автоматическое определение параметров» и «Использовать файл настройки автоматического определения прокси». Перезагрузка не требуется.
VPN замедляет интернет на сколько реально?
Зависит от протокола и сервера. WireGuard — минимум: +5–15 мс пинга, 90–97% от исходной скорости. OpenVPN (UDP) — +10–30 мс, 70–90%. IKEv2 — быстро, но менее стабилен при смене сетей. Бесплатные VPN часто ограничивают скорость до 1–5 Мбит/с.
Меня найдёт спецслужба при использовании VPN?
Если VPN ведёт логи и находится в юрисдикции 14 Eyes (включая США, Великобританию, Канаду и др.), по запросу суда он передаст ваши данные. Даже в РФ провайдеры обязаны хранить метаданные. Анонимность возможна только при использовании no-log VPN вне 14 Eyes + оплате криптовалютой + отключении WebRTC/DNS-утечек.
WireGuard или OpenVPN — что безопаснее?
Оба используют AES-256 или ChaCha20 — криптографически надёжны. WireGuard новее, код короче (меньше багов), поддерживает perfect forward secrecy. OpenVPN имеет больше настроек и проверен годами. Для большинства — WireGuard предпочтительнее. Но OpenVPN лучше обходит DPI при правильной обфускации (scramble, obfsproxy).
Что делать, если мой провайдер (МТС, Ростелеком) навязывает PAC?
Провайдеры в РФ редко используют PAC для обычных абонентов. Чаще это настройка корпоративного тарифа. Проверьте DHCP-опции через Wireshark или `ipconfig /all` (ищите «WPAD»). Если обнаружили — отключите автонастройку прокси вручную. Это законно: вы имеете право управлять своим устройством.
Detailed explanation of withdrawal timeframes. This addresses the most common questions people have.