I nodi TOR possono raccogliere gli IP e filtrarli per smascherare gli indirizzi URL di .onion?

5

Sento che generalmente capisco il routing della cipolla TOR. Da quello che ho capito, il nodo conosce l'IP da cui riceve i dati e l'IP a cui sta inviando i dati. Quindi sicuramente un nodo può raccogliere gli indirizzi IP e filtrare qualsiasi altro indirizzo IP di nodo (disponibile pubblicamente) e quindi raccogliere il resto. È possibile accedere agli indirizzi IP che appaiono frequentemente e potrebbero essere esclusi normali TLD come google. Se non lo sono, è più che probabile che siano uno degli indirizzi IP di Google.

Ovviamente questo non è enormemente compromettente dal momento che non si sa quale indirizzo di .onion è, ma forse si potrebbe fare di più una volta che si hanno questi indirizzi. Ovviamente richiede un nodo con molto traffico attraverso di esso ma è possibile in teoria?

Questa è un'ipotesi ragionevole del modello di routing? Se no, dove ho sbagliato?

    
posta user20837 15.02.2013 - 23:29
fonte

1 risposta

3

Stai parlando di attacchi di un avversario con una visione parziale della rete; che è possibile, ma in realtà devi sospettare il tuo client e il tuo server prima del tempo, e in termini pratici devi avere controllo e visibilità su un'enorme quantità di spazio di rete.

Le FAQ Tor possono essere un buon posto per dare un'occhiata, ma essenzialmente l'attacco è possibile dato:

A bad first of three servers can see encrypted Tor traffic coming from your computer. It still doesn't know who you are and what you are doing over Tor.

e

A bad third of three servers can see the traffic you sent into Tor. It won't know who sent this traffic.

Qualcuno dovrebbe controllare almeno tre server per creare la corrispondenza, e in pratica dovrebbe controllarne molti, molti di più in quanto non c'è modo di determinare quali tre server una determinata connessione utilizzerà in un circuito di rete.

Ora modifica questo valore; vuoi solo identificare i popolari siti .onion, ma stai vedendo il traffico proveniente dagli IP e verso gli IP. Non hai idea, nessuno, quale traffico è il traffico 'di risposta', e che è il traffico 'richiesta', non hai idea se quegli IP siano semplicemente dei relay che vengono scelti alcune volte - è molto possibile in questo scenario che tu non vedere mai l'IP di qualsiasi sito .onion popolare. Inoltre, i circuiti Tor sono costruiti per resistere a questo tipo di attacco .

In particolare se stai osservando tutto il traffico in entrata e in uscita e identifica 1.2.3.4 come popolare - non sai se si tratta di un endpoint, o un router, un server / client che carica o scarica qualcosa. Tutto quello che sai è che è il traffico Tor. Tor è impostato in modo tale che non siano informazioni veramente interessanti - il fatto che tu stia eseguendo Tor non è un segreto (e come hai notato, pubblicano l'elenco di exit nodes per scopi di blacklisting, ma tutti i nodi non bridge sono elencati nei relé descrittori ).

È un po 'diverso se già avere alcuni sospetti, gli attacchi di temporizzazione possono funzionare in questo caso - ma alla fine della giornata, è probabile che mostri solo che due macchine sono comunicanti , non di ciò su cui stanno comunicando, e tu non lo fai t sapere definitivamente che non sono solo un router nella transazione.

Infine, se il servizio che stai cercando di identificare è un Servizio nascosto tutte le scommesse sono fuori servizio - sono progettati per distribuire il tipo di traffico che stai cercando su un collegamento aggiungendo deliberatamente un numero di router pre-trusted nell'equazione, il che annullerebbe qualsiasi conoscenza che avessi sulla rete.

    
risposta data 16.02.2013 - 00:19
fonte

Leggi altre domande sui tag