一種被動的Tor網路去匿名化方法

目前針對Tor的攻擊檢測方法都是採用主動攻擊，本文將介紹一種被動攻擊的去匿名化方法。

一、當前Tor網路檢測方法

當前對Tor網路的攻擊檢測一般有以下幾種方法：

1.控制出口節點，篡改未加密流量。網站如果沒有使用HTTPS協議則出口節點可以看到並篡改明文信息。

2.指紋攻擊。Tor網路的數據加密阻止了節點查看用戶在線活動，但是控制入口節點後仍可以根據流量的包長度和時序特徵分析推斷用戶正在訪問什麼網站。

3.端到端的關聯。攻擊者需要至少運行一個入口節點和一個出口節點，利用入口節點的身份識別能力和出口節點的信息識別能力相關聯分析出某用戶正在訪問某網站。

4.收集網橋地址。在一些限制使用Tor上網的地方用戶會使用私有的網橋跳轉到Tor網路中，這些網橋不被公開所以沒法限制。攻擊者也可以通過運行一個中繼節點專門收集不是公共入口節點的網橋地址。

以上方法都屬於主動探測，攻擊者需要控制少數節點獲取流量信息。

第一，少數節點難以被Tor客戶端隨機選中，第二，Tor項目對所有 Tor節點通過在線情況進行投票標識flag（包括Stable、Valid、Exit、BadExit、Valid、Fast等），只有穩定節點被選取的機會大。

為了掌握更多的流量信息，一些攻擊者實施Sybils攻擊，即控制更多的Tor節點，這對資源有限制。因此對Tor網路的主動攻擊還是很困難的，以下介紹一種被動的Tor網路檢測方法，主要針對伺服器端的去匿名化。

二、被動檢測介紹

被動檢測與主動檢測最主要的區別是：不依賴於Tor網路的任何協議缺陷，只需要作為一個用戶正常訪問暗網網站就可以，也不需要在一個封閉的網路里搭建試驗性網站做驗證。只需要：

1.訪問網站，根據網站的一些配置問題或證書信息或網頁內容等泄露的 IP地址或域名進行提取。

2.然後根據提取的信息進行訪問驗證。

三、被動檢測方法

1.需要提取的泄露信息有：

互聯網終端信息（DNS domains、IP address）

特殊字元串（Google Analytics ID、page title等）

HTTPS證書信息

2.具體思路：

圖1 Tor網路被動去匿名化思路

（1）收集暗網URL及它的響應信息（頭信息、網頁HTML內容等），為提取泄露信息做準備。「Deepweb links」、「The Hidden Wiki」等暗網網站會提供一些URL 列表。

（2）收集3類泄露信息作為提取內容。

在響應信息里查找互聯網終端信息和網站特殊字元串，以及查找HTTPS證書信息。

終端信息包括DNS domains，URLs，email domains，IP address等。

這些信息如果在暗網網頁或訪問錯誤頁面中出現，則可能與運行暗網的伺服器有關，即同一伺服器上運行多個服務（暗網和互聯網網站），這種相關性可以通過互聯網地址暴露暗網地址。但以下信息不作為提取內容：

(a)URLs里包含暗網地址，因為不能暴露出本來的暗網地址，但可以把它收集到資料庫做進一步分析；

(b)Domians包含在Alexa域名列表裡的，因為比較流行的域名不會在同一個伺服器上運行另一個暗網網站或者就是公開運行的（如Facebook）；

(c)IP地址在同一個網頁出現多次（5次以上），可能是跳轉地址。

特殊字元串包括Google Analytics ID，Google AdSense ID，Bitcoin wallets，page title等。

Google Analytics ID可作為網頁的唯一標識，Google AdSense ID可作為網站發布商的唯一標識，Bitcoin wallets地址可作為暗網用戶賬戶的唯一標識。

特殊的page title也可以作為網頁唯一標識，排除在超過10個暗網都出現過的標題以及具有公共性的標題（如錯誤提示頁面標題）。

字元串越特殊被提取的信息越有效，如果在暗網網頁中查找到的這些信息同樣也嵌入了互聯網網站，則很大可能這兩個網站運行在同一伺服器上，就提取這些出現過暗網特殊字元的互聯網網站的域名作為備用信息。

收集證書信息，為了方便管理一個Web伺服器可能運行的多個網站使用相同的證書，或者現在使用的證書是用於之前網站的配置。提取信息包括：

(a)證書中的CN（the Subject』s Common Name）和SAN（the Subject』s Alternatice Name ）里包含的IP地址或其他多域名信息；

(b)DER格式證書的SHA1哈希值或證書的公鑰，將這些值在證書庫工具（如Sonar）中查找是否有相同信息的證書的網站。將這些網站的IP地址或域名提取出來作為備用信息。

最後將提取的備用信息（IP地址或域名）與對應的暗網地址組成鍵值對（）做進一步驗證。

（3）驗證。

首先如果鍵值對中是域名則轉換為IP地址，然後將所有暗網地址與提取出的IP 地址分別發送HTTP請求（更改不同的請求信息，如HOST綁定），根據HTTP響應信息和body信息比較兩個網站的「距離」進而驗證是否有地址泄露。

四、注意事項

同一個伺服器上同時運行著暗網和互聯網網站，在相互切換或連接時，可能會有一些配置錯誤或內容展示錯誤，很容易泄露暗網地址。因此管理員在配置匿名網站時需注意：

1.使用一個專用的Web伺服器，而不是通過創建一個虛擬機來託管服務，也不要在暗網網站伺服器上運行多個其他網站。

2.配置暗網服務時，使Web伺服器只綁定到localhost，這樣除了通過Tor網路可以訪問服務，在互聯網上直接訪問泄露的IP地址是訪問不到的。

3.現場審計，管理員在發布網站之前要手動檢查網頁中是否包括互聯網IP地址或域名或容易被識別的身份信息。

4.合理利用證書，避免CN或SAN中包含其他DNS或IP，使證書只用於當前暗網服務。

5.避免在Tor中繼節點上託管暗網服務。Tor節點的正常運行時序、IP地址等信息都是公開的，可以一一驗證。

參考文獻

https://software.imdea.org/

~juanca/papers/caronte_ccs15.pdf

https://www.cs.princeton.edu/

~rensafi/papers/sybilhunting-sec16.pdf

https://www.torproject.org/docs/tor-hidden-service.html.en

https://www.symantec.com/content/zh/cn/enterprise/white_papers/WhitePaper_Multiuse_SSL_Cert_SC.pdf

*本文原創作者：ArkTeam/weedy，轉載請註明來自FreeBuf

請您繼續閱讀更多來自 FreeBuf 的精彩文章: