Con quale precisione il tuo ISP ti dice che stai usando Tor?

6

Ho letto spesso che il tuo ISP può dire se stai usando Tor. Supponendo che tu usi un bridge, l'unico modo per farlo sembra essere l'analisi statistica di un'acquisizione di pacchetti. Come viene eseguito esattamente questo dato che la connessione iniziale è su TLS e puoi impedirlo?

    
posta monaco 12.02.2018 - 20:52
fonte

2 risposte

8

Traffico Tor standard

I nodi di ingresso Tor predefiniti sono elencati pubblicamente. Quindi, per bloccare una connessione Tor standard, l'ISP deve solo verificare gli IP a cui ci si sta collegando rispetto a un elenco di nodi noti (chiamato " entry guards ").

Ad esempio, il mio browser Tor ha scelto in modo casuale 62.210.92.11 come punto di ingresso da un elenco di nodi pubblici. Ora, un intercettatore potrebbe solo cercare l'IP su Atlas (puoi filtrare i nodi di guardia con flag:Guard ) per concludere che sono un utente Tor.

Con i ponti

I

Ponti non sono relé Tor non elencati e pertanto non possono essere bloccati facilmente. Ma la ricerca suggerisce che i ponti possono potenzialmente essere identificati analizzando il loro traffico in entrata e in uscita (come collegato nella risposta di @ user169339).

Un'altra opzione per un intercettatore consiste nell'utilizzare DPI per ispezionare l'iniziale handshake TLS durante la connessione alla rete Tor. Ad esempio, gli autori del documento Rilevamento e blocco del traffico del router di cipolla mediante l'ispezione approfondita dei pacchetti hanno rilevato alcune caratteristiche che possono essere facilmente implementate come regole del firewall, tra cui:

  • Le suite di crittografia offerte dal client Tor sono sempre le stesse.

  • Nel messaggio ClientHello , il server_name indicato è sempre un nome di dominio casuale sotto forma di www.[a-z0-9].[com|net] .

  • Soggetto ed emittente del certificato presentato durante l'handshake hanno anche questo dominio casuale impostato nel campo commonName che dovrebbe essere facile da distinguere dai certificati legittimi.

In un rapido test ho potuto annusare alcuni pseudo domini da un handshake Tor TLS:

www.65nrpfd6bt7h.com
www.dgb2ozu32a6mjxhrijwa5gtp5.com
www.arqnns3y6lowbr3ses67cb.com

(Anche i domini casuali da soli, anche se potresti non essere in grado di filtrarli in modo affidabile, potrebbero sicuramente attirare l'attenzione del tuo sysadmin locale.)

Trasporti inseribili

I Trasporti a innesto sono il tentativo del progetto Tor di superare il blocco basato su DPI fornendo un'API per scambiare il traffico Tor su protocolli arbitrari (oscurati) che sono più difficili da rilevare per i firewall:

Pluggable Transports help you bypass censorship against Tor.

Pluggable Transports (PT) transform the Tor traffic flow between the client and the bridge. This way, censors who monitor traffic between the client and the bridge will see innocent-looking transformed traffic instead of the actual Tor traffic. External programs can talk to Tor clients and Tor bridges using the pluggable transport API, to make it easier to build interoperable programs.

    
risposta data 13.02.2018 - 01:44
fonte
1

Sei parzialmente corretto. L'analisi statistica è la strada da percorrere, ma sono i metadati del pacchetto e non il carico utile che consentirà all'ISP di rilevare Tor. Al seguente link, parlano di tasso di rilevamento online dell'86,7% e del loro metodo di rilevamento. Ho un collega che è in grado di farlo al ~ 97% usando i tempi tra pacchetti, le dimensioni dei pacchetti, ecc. Detto questo, non conosco nessun prodotto commerciale che attualmente blocca i bridge di Tor, quindi se gli ISP stanno veramente rilevando / bloccandoli, suppongo che sia fatto con soluzioni interne. Forse DarkTrace ?

    
risposta data 13.02.2018 - 00:26
fonte

Leggi altre domande sui tag