The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

DoS-атаки для снижения производительности сети Tor

19.08.2019 10:10

Группа исследователей Джорджтаунского университета и исследовательской лаборатории ВМС США проанализировали стойкость анонимной сети Tor к атакам, приводящим к отказу в обслуживании (DoS). Исследования в области компрометации сети Tor в основном строятся вокруг цензурирования (блокирования доступа к Tor), определения запросов через Tor в транзитном трафике и анализа корреляции потоков трафика перед входным узлом и после выходного узла Tor для деанонимизации пользователей. Представленное исследование показывает, что организация DoS-атак на Tor упускается из виду и при затратах в несколько тысяч долларов в месяц вполне реально создать условия для нарушения нормальной работы Tor, которые могут вынудить пользователей прекратить использование Tor из-за плохой производительности.

Исследователями предложены три сценария проведения DoS-атак: создание заторов между мостовыми узлами, разбалансировка нагрузки и создание заторов между релееями, для осуществления которых требуется наличие у атакующего пропускной способности в 30, 5 и 3 Gbit/s. В денежном эквиваленте стоимость проведения атаки на протяжении месяца будет составлять 17, 2.8 и 1.6 тысяч долларов, соответственно. Для сравнения, проведение DDoS-атаки в лоб для нарушения работы Tor потребует пропускной способности 512.73 Gbit/s и будет стоить 7.2 миллиона долларов в месяц.

Первый метод, при затратах в 17 тысяч долларов в месяц, через флуд ограниченного набора мостовых узлов с интенсивностью 30 Gbit/s снизит скорость загрузки данных клиентами на 44%. При проведении тестов оставалось в работе только 12 мостовых узлов obfs4 из 38 (не входят в списки публичных серверов каталогов и используются для обхода блокировки сторожевых узлов), что позволяет выборочно вывести остающиеся в работе мостовые узлы флудом. Разработчики Tor могут удвоить расходы на сопровождение и восстановить работу недостающих узлов, но атакующему достаточно будет увеличить свои затраты до 31 тысячи долларов в месяц для проведения атаки на все 38 мостовых узлов.

Второй метод, который требует для атаки 5 Gbit/s, основан на нарушении работы централизованной системы измерения пропускной способности TorFlow и позволяет снизить среднюю скорость загрузки данных клиентами на 80%. TorFlow используется для балансировки нагрузки, что позволяет в рамках атаки нарушить распределение трафика и организовать его прохождение через ограниченное число серверов, вызвав их перегрузку.

Третий метод, для которого достаточно 3 Gbit/s, основан на использовании модифицированного Tor-клиента для создания паразитной нагрузки, что позволяет снизить скорость клиентских загрузок на 47% при затрате 1.6 тысяч долларов в месяц. При увеличении затрат на атаку до 6.3 тысяч долларов можно добиться снижения скорости клиентских загрузок на 120%. Модифицированный клиент вместо штатного построения цепочки из трёх узлов (входной, промежуточный и выходящий узел), применяет допустимую протоколом цепочку из 8 узлов с максимальным числом хопов между узлами, после чего запрашивает загрузку больших файлов и приостанавливает операции чтения после отправки запросов, но продолжает отправлять управляющие команды SENDME, инструктирующие входные узлы продолжать передачу данных.

Отмечается, что инициирование отказа в обслуживании заметно эффективнее, чем организация DoS-атаки методом Sybil при аналогичных затратах. Метод Sybil подразумевает размещение в сети Tor большого числа собственных релеев, на которых можно отбрасывать цепочки или урезать пропускную способность. При наличии бюджета для атаки в 30, 5 и 3 Gbit/s метод Sybil позволяет добиться снижения производительности для 32%, 7.2% и 4.5% выходных узлов, соответственно. В то время как предложенные в рамках исследования DoS-атаки охватывают все узлы.

Если сравнивать затраты с другими видами атак, то проведение атаки по деанонимизации пользователей с бюджетом 30 Gbit/s позволит добиться контроля за 21% входящими и 5.3% выходящими узлами и добиться охвата всех узлов цепочки в 1.1% случаях. Для бюджетов 5 и 3 Gbit/s эффективность составит 0.06% (4.5% входящих, 1.2% выходящих узлов) и 0.02% (2.8% входящих, 0.8% выходящих узлов).

  1. Главная ссылка к новости (https://www.zdnet.com/article/...)
  2. OpenNews: Хакерская группа Lizard Squad получила контроль почти над половиной релеев Tor
  3. OpenNews: Новый вид теоретической атаки по деанонимизации в Tor
  4. OpenNews: Выявлена группа ретрансляторов Tor, используемых для деанонимизации
  5. OpenNews: Потерян контроль над кластером из 15 выходных узлов Tor
  6. OpenNews: Обновление Tor с устранением уязвимостей и дополнительной защитой от DoS-атак
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: tor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:53, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Не вижу проблем в балансировке трафика на ноде.
     
  • 1.2, Аноним (2), 13:54, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Я бы этих исследователей...
     
     
  • 2.4, Аноним (4), 14:10, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > исследовательской лаборатории ВМС США

    ... даже на километр не смог бы подойти.

     
     
  • 3.5, Хоп (?), 14:13, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну они же оттуда выходят когда-нибудь.
     
  • 3.7, freehck (ok), 15:01, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Передайте весточку Немо, пожалуйста.
     
     
  • 4.60, Аноним (-), 12:04, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из Шматрицы?
     
  • 2.8, Исследователи (?), 15:05, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Поговори нам тут еще!
     
  • 2.34, Аноним (34), 20:48, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Весьма вероятно что метод не нов и заинтересованным организациям давно известен. А тут в паблик выложили, вместо того, чтобы засекретить. Как вариант - рассекретили старое протухшее.
     
  • 2.39, Аноним (39), 22:18, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Rob Jansen
    U.S. Naval Research Laboratory
    rob.g.jansen@nrl.navy.mil

    Tavish Vaidya
    Georgetown University
    tavish@cs.georgetown.edu

    Micah Sherr
    Georgetown University
    msherr@cs.georgetown.edu

     
  • 2.40, macfaq (?), 22:20, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вопрос в том, сколько времени это уже пролежало в привате.
     

  • 1.3, Аноним (3), 14:09, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > можно добиться снижения скорости клиентских загрузок на 120%

    Это как? Весь исходящий трафик превращается в 20% входящего? Или наоборот?

     
     
  • 2.15, Аноним (-), 16:40, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    скорее всего имеется ввиду "в 2.2 раза"
     
  • 2.17, Аноним (17), 16:45, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, имелось ввиду на 120/100, т.е. в 1,2 раза, чтоли...
    Т.е. при 600Kbps (например) получится что-то вроде 600 / (120/100) = 600 * 100 / 120 = 500 Kbps

    Но формулировка и правда, так себе.

     
     
  • 3.22, soarin (ok), 17:00, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Неа, на 55% скорость уменьшается
    Просто перевод тут неправильный.
     
  • 2.19, iPony129412 (?), 16:47, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это как?

    Очень просто, в оригинале:
    Удельное время загрузки у пользователя увеличится на 120%

     
  • 2.38, Аноним (38), 21:56, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Начнёт обратно в Tor данные с дисков засасывать.
     

  • 1.6, letsmac (ok), 14:51, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Для начала надо добиться, чтобы сеть .onion работала быстрее DialUp.
     
     
  • 2.11, Аноним (11), 15:40, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    что бы ты заДДосил всю сеть своим торентом?
     
     
  • 3.13, Аноним (1), 15:54, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для торрентов i2p есть, тв мйр.
     
  • 2.16, Аноним (-), 16:42, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пользуюсь тором на ежедневной основе заместо бесплатного впн. Скорость сравнима с провайдеровским адслом без украшательств. Чяднт?
     
     
  • 3.28, ы (?), 18:22, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Чяднт?

    ходишь через ноду от тов. майора.

     
     
  • 4.35, Аноним (34), 20:50, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ товарищу товарищ, а зомби зомби зомби.
     
  • 4.46, Товарищ майор (?), 11:15, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Господину майору, я бы попросил!
     
     
  • 5.50, Аноним (-), 11:47, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ворон ворону глаз не выклюет..
    Что товаристч, что господин - суть одна
     
     
  • 6.68, Товарищ майор (?), 14:53, 21/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Про гражданскую войну Вы видимо не слышали... Значит 9 классов еще не закончили. Повторять всем известную цитату всем известного старшего лейтенанта я пожалуй не буду.

    Но если Вы из "АУЕ", то да, мы для Вас - суть одна!

     
  • 2.49, Аноним (-), 11:44, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    10 лет в коме?
    С выходом!
    Сеть давно уже в разы быстрее
     

  • 1.9, Аноним (9), 15:26, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    бедные юзеры тора. мало того что их гугл пытает своими автобусами со световорами, так теперь еще вояки скорость подрежут...:)
     
     
  • 2.24, Аноним84701 (ok), 17:13, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > бедные юзеры тора. мало того что их гугл пытает своими автобусами со световорами

    Пользователи хромого или фокса в телеметричес^W дефолтной конфигурации, как и обладатели гуглоаккаунта, совсем не палятся.

     
  • 2.51, Аноним (-), 11:47, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Бедные потому что в гугл ходят
     

  • 1.14, axredneck (?), 16:01, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > можно добиться снижения скорости клиентских загрузок на 120%

    Мой математика клдык

     
  • 1.18, Аноним (18), 16:47, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Объясните что такое ВМС США если они таким занимаются? Это же моряки, им-то какое дело?
     
     
  • 2.21, leap42 (ok), 16:59, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Объясните что такое ВМС США если они таким занимаются? Это же моряки, им-то какое дело?

    там такие бюдгеты, что они могут хоть чем заниматься. и занимаются. COBOL, например, в своё время они замутили сами и для себя.

     
     
  • 3.29, Аномномномнимус (?), 18:30, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Потому что ни они, ни COBOL никому не нужны. Теперь они могут обнять своё детище и плакать
     
  • 2.23, fsck (??), 17:05, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так Tor, вообще-то, и был морячками разработан. И поддерживается ими же. Джаст факен гугл ит.
     
  • 2.32, Мертвые_опята (?), 20:01, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    United States Naval Research Laboratory (NRL) — создатели сети Тор. Они создали сеть для своих нужд и выложили код под открытыми и свободными лицензиями. Логично, что создатели сети тестируют сеть на предмет возможных атак
     

  • 1.20, Нанобот (ok), 16:56, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >снижения скорости клиентских загрузок на 120%

    переводчик - лох

     
     
  • 2.42, x3who (?), 00:15, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы просто не в курсе последних военно-морских разработок по заталкиванию информации обратно в источник.
     

  • 1.25, Аноним (-), 17:18, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >вполне реально создать условия для нарушения нормальной работы Tor, которые могут вынудить пользователей прекратить использование Tor из-за плохой производительности.

    Заодно можно прекратить использовать веб, оставив только несколько полезных ресурсов с документацией. А все остальное заблокировать файерволом. Там все равно, стараниями "исследователей", скоро ничего полезного не останется.

     
  • 1.27, Аноним (27), 17:37, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >при затратах в несколько тысяч долларов в месяц вполне реально создать условия для нарушения нормальной работы Tor

    Не надо никаких затрат. Вон, даже на ЛОРе тор успешно заблокирован.

     
     
  • 2.31, Аноним (31), 19:08, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ^W3019 2019 год, икспертам опеннета все еще невдомек: тор это не только проксисервер по www.
     
     
  • 3.56, Аноним (-), 11:57, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У них экзит нода - черный бокс с чертиками внутри
    Продаешь душу и анонимизируешься
     

  • 1.33, Аноним (34), 20:43, 19/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Метод Sybil подразумевает размещение в сети Tor большого числа собственных релеев, на которых можно отбрасывать цепочки или урезать пропускную способность.

    Sybil-атака позволяет деанонимизировать пользователей. Не удивлюсь, если большинство нод такие и есть. Не удивлюсь, если есть международный договор, по которому разные государства размещают у себя большое число релеев и обмениваются данными о цепочках.

     
     
  • 2.44, Ыеуз0 (?), 09:50, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так ведь трафик в https  нынче весь, чего толку на него смотреть?
     
     
  • 3.57, Аноним (-), 11:59, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Через сертификат от майора можно смотреть
    ВСЕ!
    Когда проверяли свой браузер последний раз?
     

  • 1.43, andy (??), 09:28, 20/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    сикретики:
    тов фсбшник/црушник держит exit ноды и видит твой трафик.
     
     
  • 2.45, Аноним (-), 09:54, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Создай свою сеть из своих ребят по всему миру и пропиши в торе только их ноды, а ещё лучше чтобы веб цепь разрывалась на старте входа в сеть тор использовать wi-fi передатчик (кто будет держать wi-fi приёмник с первой нодой тора - это уже детали)... , но это для шпиёнов, кому на самом деле есть что скрывать.
     
     
  • 3.48, Аноним (-), 11:29, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А если использовать tor через общественный wi-fi , постоянно меняя место дислокации, то вообще станешь неуловимым джо :)
     
     
  • 4.59, Аноним (-), 12:02, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну по существующим законам
    в общественных вифи регистрироваться положено ))
    А так да, вы будете неуловимым Иваном
     
     
  • 5.62, Мертвые_опята (?), 13:34, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    По существующим законам какой страны? А то сколько по ЕС езжу, сколько в США был, нигде никаких регистраций. Регистрацию в WiFi-сетях из-за законов встречал только в тоталитарной РФ и авторитарной РБ, больше нигде.
     
     
  • 6.63, Аноним (63), 15:13, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так вас там по маку зашиворот быстрее возьмут, чем в Раше
    зарегистрированных на левую сим
     
     
  • 7.65, Мертвые_опята (?), 16:05, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да что ты говоришь! А ничего, что у меня мак меняется раз в час?
    А какое отношение к макам имеют сим? И как в Европе сим может быть левой, если они продаются без документов, в отличии от раши, и никто не ведет учета.
     
     
  • 8.70, someman (?), 17:40, 03/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Только что из Германии Все в чем обвиняют Рашку там есть И регистрация в wifi ... текст свёрнут, показать
     
  • 8.71, someman (?), 17:45, 03/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это не говоря о больших штрафах, которые тебе присылает частная компания, за ска... текст свёрнут, показать
     
  • 3.58, Аноним (-), 12:00, 20/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эк вы завернули ))
    Ему со своими корешками уоки-токи достаточно будет
     

  • 1.69, Аноним (-), 14:08, 24/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да видно по логам, что начали набегать понемногу, такое периодически случается, на основе опыта за 10+ лет поддержки узлов разнообрразной конфигурации производительности и пропускной способности, как правило сообщество довольно быстро находит способ показать товагищам "чта да вашо кунфу работает" при этом пользователи продолжают пользоваться сервисом так же ак и раньше, через некоторое время до товагищей допирает что "что-то тут не так" и вся эта свистопляска завершается. Вот ща на четверти релеев логи засыпаны подобными сообщениями что и раньше. Тем более что использовать TOR для анонимизации как минимум наивно, обычно это впн-(тута токо кортинге оттуда и мыш лава туда)->виртмашина в кокомнить дц подальше с ливцд->TOR->то место кудой нада условно говоря работает , хотя да морочно      
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру