Gratis proxies falen vaker dan ze werken. Een openbare lijst doorloopt tienduizenden kandidaten en jouw taak is om de kleine subset te vinden die momenteel actief is, snel genoeg en niet actief kwaadaardig. Vijf tests, elk goedkoop, worden in volgorde uitgevoerd.
Test 1: TCP-bereikbaarheid
curl --connect-timeout 5 --proxy http://1.2.3.4:8080 \
-s -o /dev/null -w "%{http_code}\n" \
https://api.ipify.orgEen niet-nul exitcode of een lege respons betekent dat de proxy dood is. Ongeveer 60–80% van elke gratis lijst zal deze test op elk willekeurig moment niet doorstaan. Sla onmiddellijk over en probeer niet opnieuw.
Test 2: Egress-IP-verificatie
Dezelfde aanroep retourneert het publieke IP waar het verzoek vandaan kwam. Als het gelijk is aan 1.2.3.4 — het adres van de proxy — dan stuurt de proxy het verkeer correct door. Als het gelijk is aan jouw lokale IP, dan is de proxy defect of transparant: hij heeft de verbinding geaccepteerd maar niet daadwerkelijk via zichzelf doorgestuurd. Beschouw dat als een fout, ook al is TCP gelukt.
Test 3: Header-transparantie
curl --proxy http://1.2.3.4:8080 https://httpbin.org/headersDe respons echoot de headers terug die de bestemming heeft ontvangen. Zoek naar X-Forwarded-For, Via of Forwarded met jouw echte IP. Als je ze vindt, is de proxy in transparante of anonieme modus in plaats van elite. Voor HTTPS via CONNECT is dit niet van toepassing — de bestemming ziet alleen de TLS-handshake, geen applicatie-headers — maar voor plaintext HTTP bepaalt het of de proxy geschikt is voor het doel.
Test 4: Latentie onder belasting
Eenmalige timing is ruisachtig. Voer tien seriële verzoeken uit via de proxy en neem de mediaan. Alles boven twee seconden is onbruikbaar voor interactief werk. Onder 500 milliseconden is concurrerend met helemaal geen proxy. Daartussen is de proxy geschikt voor batch-scraping maar niet voor browsen.
Test 5: TLS-vingerafdrukintegriteit
Maak verbinding via de proxy met een bekend TLS-eindpunt en controleer of de certificaatketen overeenkomt met wat je krijgt zonder de proxy. Een mismatch betekent dat de proxy TLS onderschept — een man-in-the-middle uitvoert en jouw "versleutelde" verkeer is vanaf de proxy niet echt versleuteld. Dit is zeldzaam bij correct geconfigureerde SOCKS-proxies (zij kunnen TLS niet zien) maar komt voor bij verkeerd geconfigureerde zakelijke HTTPS-proxies en af en toe bij een kwaadaardig openbaar knooppunt. openssl s_client -proxy 1.2.3.4:8080 -connect example.com:443 print de keten.
Een praktische workflow
Haal de lijst op, filter op land en protocol, verspreid de vijf tests over een parallelle pool van ongeveer 50 workers en behoud de overlevenden. Van 100 ruwe kandidaten levert een typische run 5–15 bruikbare entries op. De vervalsnelheid is ruwweg 30–60 minuten voor HTTP en HTTPS, iets langer voor SOCKS — plan een verversing op dat ritme en voer de overlevende set in in je scraper- of browserconfiguratie. Cache de testresultaten voor de levensduur van één batch en test opnieuw bij de volgende.