Пользователей Tor можно отследить используя DNS-трафик

  • Автор темы madman
  • Дата начала
  • Просмотров 4139 Просмотров

madman

Резидент
225
266
2 Июл 2016
Сводная группа ученых из шведского Королевского технологического института, университета в Карлстаде и Принстонского университета представила новый метод атак, который получил имя Для просмотра ссылки Войди или Зарегистрируйся и способен помочь в деледеанонимизации пользователей Tor.

По сути, представленная методика является новым взглядом на так называемую корреляционную атаку, которая уже изучалась ранее. Ученые пишут, что ранее подобные векторы атак рассматривались весьма односторонне и фокусировались вокруг зашифрованного трафика в Tor-сети и HTTP-трафика, который проходит через выходные ноды. Но при этом совершенно игнорировалась еще одна важная составляющая исходящего трафика, а именно DNS-запросы, которые, по мнению исследователей, могут быть очень полезны во время корреляционных атак.

Tor.png
Исследователи пишут, что для реализации такой атаки наблюдающая сторона должна иметь возможность следить за трафиком в глобальных масштабах. К примеру, DNS resolver’ы Goolge обрабатывают около 40% DNS-запросов исходящих из Tor. И хотя пока Google не проявляется интереса к деанонимизации или саботированию Tor-трафика, в теории подобное возможно. Такие возможности есть и у компаний OVH и OpenDNS, хотя с масштабами Google им не сравниться.

Согласно данным исследователей, мониторинг DNS, в сочетании с известными техниками отслеживания пользователей при помощи различных цифровых отпечатков, сделают корреляционную атаку весьма эффективной. Изучение вопроса показало, что наибольший эффект атака DefecTor возымеет использовать против сайтов, которые посещают через Tor не слишком часто.

Ученые представили разработанный в рамках данного исследования инструмент Для просмотра ссылки Войди или Зарегистрируйся (DNS Delegation Path Traceroute), который может использоваться для отслеживания всех путей делегирования для полных доменных имен, а затем, при помощи UDP, осуществлять трассировку для всех DNS-серверов маршрута.

Исследователи пишут, что на данный момент DefecTor нельзя назвать промой угрозой сети Tor, ведь компании подобные Google и так способны мониторить значительную часть интернета. Тем не менее, исследователи рекомендуют операторам Tor relay не пользоваться публичными DNS резолверами (вроде тех, что предоставляют Google и OpenDNS), вместо этого полагаясь на проверенные решения или вообще поднимать резолверы самостоятельно.
Более подробная информация о DefecTor доступна на Для просмотра ссылки Войди или Зарегистрируйся. Также можно ознакомиться с отчетом, озаглавленным «Для просмотра ссылки Войди или Зарегистрируйся» (PDF).