Представлен новый способ раскрытия источника запросов Tor

Группа исследователей из университетов США, Италии и Индии опубликовали доклад с описанием техники атаки, позволяющей с достаточной высокой вероятностью сопоставить запросы пользователей до и после прохождения цепочки анонимизации в сети Tor, сообщает opennet.ru. В частности, исследователи в 81.4% случаев смогли правильно сопоставить исходный запрос и запрос после анонимизации (выяснить реальный IP), использовав только предоставляемые маршрутизаторами (через Netflow) метаданные о потоках пакетов, при условии, что пользователь обратился к сайту, подконтрольному атакующему. Для успешного сопоставления, съём данных о трафике должен осуществляться в двух точках — на пути между пользователем и входящим узлом Tor и между выходящим узлом Tor и целевым сайтом. Суть метода состоит в отдаче пользователю с подконтрольного атакующими сайта контента, приводящего к определённым всплескам трафика, которые можно сопоставить с изменением параметров потока пакетов (число пакетов, размер и распределение поступления пакетов во времени), получаемых через Netflow. Так как Tor минимально влияет на флуктуации трафика, особенности изменения параметров трафика, выявленные на отрезке между сайтом и точкой выхода Tor, коррелируют с параметрами, получаемыми на отрезке между пользователем и точкой входа Tor, что можно использовать как признак для осуществления деанонимизации. В качестве метода для защиты от указанного вида атак предлагается добавлять дополнительные задержки для нарушения однородности трафика. По мнению разработчиков Tor, атаки, основанные на корреляции потоков данных, не новы, но, как правило, ограничиваются теорией, так как при текущем числе узлов Tor требуют огромной работы для реализации на практике. По своему дизайну Tor пытается защитить трафик от анализа, но не рассчитан на защиту от атак по определению корреляции трафика до и после входа в Tor. Предложенный исследователями тип атаки приводит к ложным срабатываниям примерно в 19% случаев (12.2% ложных отрицательных результатов и 6.4% ложных положительны результатов), что слишком много для уверенного определения и не позволяет рассматривать атаку как эффективную. При том, что значение в 81.4% попаданий получено не на реальной сети, а в условиях синтетического эксперимента. Кроме того, для успешного проведения атаки и охвата большей части узлов Tor необходимо наличие контроля над тысячами маршрутизаторов в разных частях света.

Источник: uinc.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s