识别访问仅在Tor匿名网络内可访问的Tor隐藏服务的用户 - 比使用Tor访问常规Internet网站的匿名用户更容易。
安全研究人员Filipo Valsorda和George Tankerley显示,周五在阿姆斯特丹的盒子安全会议上的黑客,为什么与隐藏服务的Tor连接更容易受到流量相关攻击的影响。
Tor的主要目标之一是为互联网用户提供匿名性。这是通过将它们的Web流量路由到一系列随机选择的节点或中继,然后再将其传送回公共互联网来实现的。
组成洋葱网络的节点由志愿者运行,他们可以有专门的角色。有称为入口守卫的节点,作为进入网络的第一步,也有出口中继,将流量传递回互联网。
从Tor用户接收流量的Internet服务器将不会看到这些用户的真实IP(Internet协议)地址。他们将看到的是随机选择的Tor出口节点的IP地址。
Tor隐藏服务协议也将匿名保护扩展到服务器。用户无法查看运行Tor隐藏服务的服务器的真实IP地址,例如,网站。
隐藏服务使用以。onion结尾的地址,这是一个不存在于互联网上的伪顶级域名,只在Tor网络内部进行解析。这种对服务器和用户的匿名保护使得隐藏服务对那些言论自由没有得到很好保护或互联网监控很普遍的国家的政治活动人士很有吸引力,同时也对那些利用此类网站躲避执法的犯罪分子很有吸引力。
臭名昭著的网上集市“丝绸之路”是Tor的隐藏服务,用户在这里出售毒品、武器和其他非法商品和服务。联邦调查局最终关闭了它逮捕了其所有者,但其他类似的市场已经取得了它的位置。
对设计存在的TOR网络的最大威胁是其易受交通确认或相关攻击的脆弱性。这意味着如果攻击者获得控制许多条目和退出继电器,它们可以执行统计流量分析以确定哪些用户访问了哪些网站。
Tor开发人员密切监视退出继电器并从网络中删除不良部分,因此某人脱离这样的攻击是相对难的。In addition, if an attacker wants to identify Tor users visiting a specific Internet website, they’d have to gain control over a very large number of exit and entry nodes in order to increase their chance of success, since the relays will be different for every connection.
但对于Tor隐藏服务来说,情况并非如此。事实上,攻击者可以很容易地以100%的可靠性控制Tor用户和特定Tor隐藏服务之间的所有会合点,至少在一段时间内是这样。
Tor隐藏服务依赖于具有特殊HSDir(隐藏服务目录)标志的节点在Tor网络上发布自己,以便用户能够发现它们。每个隐藏服务将选择6个HSDir节点作为其指定一天的会合点。根据可预测的日期相关公式,从大约4000个节点池中进行选择。
根据这个公式,Tor客户端和Tor隐藏服务都应该在特定的一天选择相同的6个HSDirs。然而,研究人员发现,他们可以使用蛮力技术为自己的节点生成所需的密钥,以便在特定的一天占据这些会合位置。
研究人员成功地将他们自己的节点作为facebookcorewwwi的6个hsdir。洋葱网是Facebook在洋葱网络上的官方网站。在周五的比赛中,他们仍然占据了6个席位中的4个。
在MacBook Pro上,每个节点的按键强制操作只需要15分钟,而在亚马逊的EC2服务上,运行Tor继电器本身需要62美元。
研究人员估计,新的新节点在大约五天后自动接收HSDIR标志,攻击者可以将节点设置为一个特定隐藏服务的HSDIR,大约200美元。
这种技术将使攻击者控制连接的一端,但是为了执行流量相关性攻击,攻击者还需要对入口点有可见性。这可以通过在用户流量进入Tor网络之前监控用户流量来实现。
例如,通过互联网服务提供商监视其互联网用户的政府可以利用这种攻击来进行流量分析,并确定谁访问了Tor上的异见网站。执法机构也可以在互联网服务提供商的帮助下做同样的事情,以识别谁正在访问作为Tor隐藏服务运行的非法网站。
两位研究者的目的是要证明“隐藏服务用户面临的风险更大目标de-anonymization Tor比普通用户,“因为它是更容易可靠地控制所有HSDirs隐藏为一个特定的服务比控制所有Tor出口继电器可以用来访问一个网站。
Runa Sandvik, a security researcher and former Tor developer who was at the conference, agreed that it’s technically easier to pull off such an attack than to monitor Tor exit traffic, but pointed out that the Tor Project is aware of the issue and has been working on a fix for some time.
Sandvik说,有一个关于下一代隐藏服务的提议,它不仅能解决这个问题,还能解决其他潜在的问题。她说,与此同时,Tor的开发人员拥有可以检测试图攻击Tor隐藏服务用户的继电器的工具。
通过强迫他们首先获得稳定的旗帜,将使新节点更加努力使新节点更加难以成为HSDIR,以便首先获得稳定的旗帜,Valsorda和Tankersley说。这将需要节点在线在他们成为HSDIR之前在线上线,所以它会使攻击更昂贵,但在技术上没有更难地拉开,他们说。
虽然用户无法对此辩护,但是Tor隐藏服务的运营商确实有一个选择。他们可以自己使用攻击,以便他们自己的节点将成为他们自己隐藏的服务的HSDIR。
这并不会阻止其他人试图接管集合位置,因为攻击本质上是一个竞争条件。然而,研究人员解释说,如果发生这种情况,很容易发现攻击正在进行。
他们释放了自己制造的暴力工具Github上,以及一个独立的HSDir分析工具,可以潜在地检测这类攻击。