识别访问Tor隐藏服务的用户——只有在Tor匿名网络中才能访问的网站——比去匿名使用Tor访问普通互联网网站的用户要容易。
安全研究人员Filipo Valsorda和George Tankersley显示,周五在阿姆斯特丹的黑客安全会议上,为什么Tor连接到隐藏的服务更容易受到流量关联攻击。
Tor的主要目标之一是为互联网用户提供匿名服务。这是通过路由他们的网络流量通过一系列随机选择的节点或中继,然后再将其传送回公共互联网来实现的。
组成Tor网络的节点是由志愿者运行的,他们可以扮演专门的角色。有称为入口守卫的节点,作为进入网络的第一个跳点,也有出口继电器,通过流量回到互联网上。
接收来自Tor用户的流量的互联网服务器不会看到这些用户的真实IP(互联网协议)地址。他们将看到随机选择的Tor退出节点的IP地址。
Tor隐藏服务协议将匿名保护扩展到服务器。它使得用户不可能看到运行Tor隐藏服务的服务器的真实IP地址,例如,一个网站。
隐藏服务使用以.onion结尾的地址,这是一个伪顶级域名,因特网上不存在,只在Tor网络中解析。这种对服务器和用户的匿名保护使得隐藏服务对那些言论自由没有得到很好保护或互联网监控很普遍的国家的政治活动人士具有吸引力,但对使用此类网站躲避执法的犯罪分子也具有吸引力。
臭名昭著的网上集市“丝绸之路”(Silk Road)作为一种隐蔽服务,用户在这里出售毒品、武器和其他非法商品和服务。联邦调查局最终关闭了它逮捕了它的主人但是其他类似的市场已经取代了它的位置。
Tor网络在设计上存在的最大威胁是它容易受到流量确认或关联攻击。这意味着,如果攻击者获得了对许多进入和退出中继的控制,他们可以执行统计流量分析,以确定哪些用户访问了哪些网站。
Tor开发人员正在密切监视退出继电器,并从网络中删除不良的继电器,因此对某些人来说,实现这样的攻击是相对困难的。此外,如果攻击者想要识别访问特定互联网网站的Tor用户,他们就必须控制大量的出口和入口节点,以增加成功的机会,因为每个连接的中继都是不同的。
而Tor隐藏服务则不是这样,事实上,攻击者可以很容易地以100%的可靠性控制Tor用户和特定Tor隐藏服务之间的所有集合点,至少在一段时间内是这样。
Tor隐藏服务依赖于具有特殊HSDir(隐藏服务目录)标志的节点在Tor网络上宣传自己,这样它们就可以被用户发现。每个隐藏服务将选择6个HSDir节点在给定的一天作为它的集合点。这种选择是根据可预测的日期依赖公式从约4,000个节点池中进行的。
使用这个公式,Tor客户端和Tor隐藏服务都应该在特定的一天选择相同的6个HSDirs。然而,研究人员发现,他们可以使用蛮力技术为他们自己的节点生成密钥,以便在特定的一天内占据这些集合点。
研究人员设法将他们自己的节点作为facebookcorewwwi的6个HSDirs。洋葱,Facebook在Tor网络上的官方网站,周四全天营业。周五,他们仍然占据了6个席位中的4个。
强制执行每个节点的密钥在MacBook Pro上只需要15分钟,而在亚马逊的EC2服务上运行Tor中继则需要62美元。
研究人员估计,新的节点在运行5天后会自动接收HSDir标志,攻击者可以花费大约200美元将节点设置为未来5天的特定隐藏服务的HSDir。
这种技术将使攻击者能够控制连接的一端,但是为了执行流量关联攻击,攻击者还需要对入口点具有可见性。这可以通过在用户进入Tor网络之前监视用户流量的人来实现。
例如,通过isp监控互联网用户的政府可以利用这种攻击来进行流量分析,并确定谁访问了Tor托管的异议网站。在isp的帮助下,执法机构也可以做同样的事情,以确定谁访问了以Tor隐藏服务运行的非法网站。
两位研究者的目的是要证明“隐藏服务用户面临的风险更大目标de-anonymization Tor比普通用户,“因为它是更容易可靠地控制所有HSDirs隐藏为一个特定的服务比控制所有Tor出口继电器可以用来访问一个网站。
Runa山特维克,安全研究员、前Tor开发人员在会议上,同意,这是技术上容易实现这种攻击监控Tor出口流量,但指出,Tor计划是意识到这个问题,正在修复一段时间。
Sandvik说,有一项关于下一代隐藏服务的提议,不仅能解决这个问题,还能解决其他潜在的问题。与此同时,Tor开发者拥有可以检测到试图攻击Tor隐藏服务用户的中继的工具,她说。
Valsorda和Tankersley说,Tor中即将实现的一个变化将迫使新节点首先获得一个稳定的标志,从而使它们更难成为HSDirs。他们说,这将要求节点在成为HSDirs之前保持更长的在线时间,因此这将增加攻击的成本,但从技术上讲,实施起来并不困难。
虽然用户无法为自己辩护,但Tor隐藏服务的运营商有一个选择。他们自己也可以使用这种攻击,这样他们自己的节点就会成为他们自己隐藏服务的HSDirs。
这不会阻止其他人试图接管集合位置,因为攻击本质上是一种竞争条件。然而,研究人员解释说,如果这种情况发生,就很容易发现攻击正在进行。
他们发布了他们为攻击而设计的暴力工具Github上,以及一个单独的HSDir分析工具,可以潜在地检测这类攻击。