服務郵箱 [email protected]
服務郵箱 [email protected]
BigDDos网络防御
  • 首页
  • Web安全
  • DDos防禦
  • 業界新聞
  • 关于我们

追蹤那些隱藏在暗網深處的匿名者

BigDDos网络防御 > 業界新聞 > 追蹤那些隱藏在暗網深處的匿名者

追蹤那些隱藏在暗網深處的匿名者

7月 14, 2015BigDDos業界新聞0 Comment

143611166581072

Tor用戶是如何被確定身份的?

縱觀暗網的發展史,總有人嘗試各種方法挖出匿名用戶的真實身份。姑且可以把攻擊手段分爲兩類:對客戶端的攻擊(浏覽器),和對網絡流量的攻擊。

Web浏覽器存在的隱患

從泄露出來的NSA文檔中可以看到,由于Tor浏覽器是基于Firefox開發的,所以,情報機構可以利用Firefox中的漏洞進行攻擊。然而,正如NSA報告中提到的那樣,利用漏洞工具並不能長期的監控暗網居民。漏洞通常只有很短的生命周期,浏覽器的版本也一直在升級,所以只有很小的一部分人在使用有漏洞的浏覽器,這就導致相關部門只能監控小範圍內的用戶。

14360855316022

被泄露的NSA文檔,包括對Tor用戶如何被曝光的介紹(來源:www.theguardian.com)

除了這些非官方發布的文檔,Tor社區也發現了針對客戶端的有趣的攻擊。例如,來自MIT的研究人員已經發現了Flash會創建一條專用通道連到攻擊者的專用服務器,這條通道包含了客戶端的真實IP地址從而識別出受害者的身份。然而,Tor浏覽器的開發人員通過在浏覽器中禁用Flash傳輸通道,已經迅速解決了這個問題。

143608590811002

通過Flash通道發現受害者的真實IP

另一個針對浏覽器進行攻擊的方法就是使用WebRTC DLL。和上面提到的Flash通道一樣,這個動態鏈接庫是用來支持HTML5中視頻流量傳輸的,而且它也可以記錄受害者的真實IP。WebRTC的請求,使用STUN協議,並用文本傳輸,因此可以繞過Tor網絡,引發嚴重後果。但Tro浏覽器開發人員通過默認禁用WebRTC功能,也已經迅速修複了這個小缺陷。

對通信通道的攻擊

和浏覽器攻擊不同,針對Tor客戶端和服務器之間的網絡流量進行攻擊看起來有些牽強。到目前爲止,提出來的大多數理論也大都是在實驗室環境中實現的。針對真實Tor網絡通信的攻擊還未有人發表相關的文章。

在這些理論研究中,達成的一個基本的共識就是使用NetFlow協議來分析網絡流量。這篇文章的作者堅信,攻擊者對直連的Tor節點或是在節點附近的路由器的網絡流量進行分析,可以從網絡流量中得到如下信息:

網絡協議號
記錄編號
出入的網絡接口
數據流的首尾的時間戳
數據流中的數據包大小和個數
源地址和目的地址
源端口和目的端口
IP協議號
服務類型值
TCP連接的標志位
源地址和目的地址的子網掩碼

143608665397212

基于流量分析識別Tor客戶端(來源:https://mice.cs.columbia.edu)

這種基于流量分析的方案,如果攻擊者想要在任意時間段內識別Tor用戶,那麽他需要Tor網絡中大量的數據采集點。正是由于沒有充足的計算資源,獨立的研究員很難將上述研究應用到實際環境中去。所以,我們應該換個思路,考慮一些更容易方法,去分析Tor用戶的活動。

被動監控系統

任意的網絡用戶都可以共享計算機資源來建立一個節點服務器。節點服務器是Tor網絡中對客戶端數據進行轉發的一個中間人的角色。由于退出節點需要對流量進行解密操作,所以它們很可能成爲信息泄密的來源。

這就有可能讓我們從解密的數據流量中收集相關的信息,例如,onion資源地址可以從HTTP頭中提取。但由于HTTP數據包中可能包含一些關于不活躍的onion站點的幹擾信息,所以可能會避開內部搜索引擎和站點分類。

然而,由于研究人員暫時只能分析在實驗室中自己生成的網絡流量,所以,被動監控還不能在實際的網絡中識別出用戶的真實身份。

主動的監控系統

爲了找出更多的暗網居民,我們需要誘導他們,從而獲取更多系統環境中的數據。也就是說,我們需要一個主動的數據獲取系統。

一個來自Leviathan Security的專家發現大量的退出節點,並在真實的環境中部署了一個主動監控系統。這些節點和普通的退出節點不同,因爲他們可以向二進制文件中注入惡意代碼。當客戶端采用Tor技術來隱藏自己,並從網上下載文件,這些惡意退出節點就會進行中間人攻擊,將惡意代碼插入正在下載的文件中。

上述事件是主動監控系統概念的一個很好的例證。然而,它也從另一方面證實了,退出節點上的任何行爲,都會很快且很容易地被自動化工具識別,從而將這些節點快速地加到Tor社區的黑名單中。

讓我們從頭開始

HTML5不僅實現了WebRTC ,而且帶來了有趣的”畫布”標簽,一個通過JavaScript腳本,創建位圖的功能。這個標簽有個特性就是可以用來渲染圖片,而且根據不同的因素,每個浏覽器渲染出來的圖片也不同。其中的因素有:

不同的顯卡驅動和安裝在客戶端的硬件設備
操作系統中軟件的不同設置和軟件環境的不同配置

這些渲染參數可以唯一地識別出浏覽器和它的軟硬件環境。基于這種特性,一個所謂的指紋就産生了。這並不是一個新的技術,它已經被在線的廣告代理商用來追蹤用戶感興趣的事物。然而,並不是所有的識別技術都可以在Tor浏覽器中使用。舉例來說,supercookies就不能在Tor浏覽器中使用,Flash和Java是被默認禁用的,字體的使用也受到限制。其他的一些方法,也向用戶發出警報。

因此,我們的初步嘗試使用的,通過getImageData()函數提取圖片數據的“畫布指紋”,已經被Tor浏覽器禁用了。

143608705580332

然而,我們目前仍然可以找到其他漏洞,作爲Tor中的指紋識別,並且不會向用戶發出警報。

通過字體,我們就可以認出他們

Tor浏覽器可以通過畫布中測量被渲染文本寬度的measureTest()函數進行識別。

143608715962082

用measureTest()獲取對操作系統具有唯一性的字體大小屬性

如果得到字體寬度具有唯一性(有時是浮點數),那麽我們就可以去識別不同的浏覽器,當然也包括Tor浏覽器。我們知道,在某些情況下,生成的字體寬度值對不同的用戶可能相同。

我們應該意識到,獲取唯一值並不是只有這一個函數。另一個類似的函數,getBoundingClientRect()也可以獲取文本框的高度和寬度

當用戶指紋問題被社區所知曉(也影響到了Tor浏覽器用戶),一個合理的的安全需求就被提出來了。然而,Tor浏覽器的開發人員並不急于在配置中修複這個問題,這也說明了,僅僅將這些函數放入黑名單是無效的。

143608729317552

Tor開發者對字體渲染問題的官方回應
實戰演習

這個方法是有一個叫做”KOLANICH”的研究人員提出的。利用measureTest()和getBoundingClientRect()這兩個函數,他寫了個腳本,用來測本地的不同浏覽器,並獲取唯一的標識。

用同樣的方法,我們也布置了一個測試床,用來獲取不同軟硬件環境下的Tor浏覽器的指紋信息。

爲了達到目的,我們向用戶訪問的網頁中,嵌入了包含measureText()和getBoundingClientRect()兩個用來測量字體渲染函數的JavaScript腳本。這個腳本,會將獲取的數據通過POST請求,發送給web服務器,服務器將該請求日志記錄下來。

143608750116372

記錄Tor浏覽器指紋的日志片段

此時,我們正在收集script獲取到的數據。到目前爲止,所有的返回值都是唯一的。在適當的時候,我們會將這個實驗的結果公布于衆。

在實際環境中可能的部署方法

上述的方法如何在現實的環境中識別Tor浏覽器用戶? 如上所述的JavaScript代碼可以在暗網的不同環節進行部署:

退出節點。可以采用中間人攻擊,當暗網居民訪問外部網絡時,將JavaScript代碼注入到被訪問的網頁中。
內部的onion資源和外部的網站由攻擊者所控制。舉個例子,攻擊者爲浏覽信息的用戶精心構造了一個插入JavaScript代碼的網頁或是網站導航,收集所有訪問者的指紋信息。
內部和外部的網站一般都存在跨站腳本攻擊(XSS)漏洞(最好是存儲型XSS,但不是必須的)。

143608770831392

可以收集Tor用戶指紋信息的目標

最後一項研究尤其有趣。我們已經搜索了大約100個具有web漏洞的onion資源並且排除了誤報的情況。最後,我們發現被分析的暗網資源中大約有30%都具有跨站腳本攻擊漏洞。

這就意味著,在退出節點進行攻擊並不是攻擊者識別一個用戶的唯一手段。攻擊者還可以通過有漏洞的網站插入JavaScript腳本,來收集唯一的指紋信息。

143608777879652

識別一個Tor用戶的流程

攻擊者並不受限于將JavaScript腳本插入到合法的網站。由于可用來注入目標的數量在增加,包括那些暗網中的網站,所以JavaScript腳本的注入目標可以有更多的選擇。

通過這個方法,攻擊者可以在理論上發現例如指紋信息爲‘c2c91d5b3c4fecd9109afe0e’的用戶對網站的哪些主題感興趣,並查看這個用戶訪問了哪些網站。所以,攻擊者可以對用戶對哪些網絡資源感興趣有個大概的了解,並且可以查看該用戶的上網記錄。

不是總結的總結

在Tor項目的官網上,開發人員對“爲啥Tor浏覽器支持JavaScript腳本”做了解答。

143608784672372

Tor浏覽器對JavaScript問題的官方解答

從這個答案的可以看出,我們並不指望開發人員在Tor浏覽器中禁用JavaScript代碼。

關于Tor退出結點研究,都是純理論的,我們並沒有在真實的服務器上做研究。而且,所有的測試都是在和Internet隔絕的虛擬的暗網中完成。

譯者的話

如果能看到這裏,先感謝大家支持。第一次翻譯文章,花了一天時間,好累。英文好的可以看原文,翻譯錯的可以指出來。一直在安全圈子的邊緣厮混,現在剛轉戰漏洞挖掘相關工作,希望有組織能夠收留。

最後,希望翻譯的文章對各位看客老爺能有些許價值。

*本文譯者:九如,來源:securelist,原文名Uncovering Tor users: where anonymity ends in the Darknet,來自FreeBuf黑客與極客

Tags: tor

Written by BigDDos

← 英國政府將封殺WhatsApp、iMessage和Snapchat
DDos是什麽 →
  • 20150417142027590.jpg

留言

5W0K6I

最新文章

  • 業界文章停更說明
    2019年12月31日
  • 最強DDOS攻擊達3.7萬GPS,目標轉向應用層?
    2017年4月2日
  • 企業如何選擇最佳的SSL
    2016年8月17日

服務

  • 99.9% 正常運行時間保證
  • 300+ Gbps DDoS 保護
  • 多種DDoS緩解措施
  • 多種防禦 DDoS 方案
  • 24/7/365 技術支持
  • Geo DNS
  • 3分鍾內即時響應

緩解中心

  • 華盛頓
  • 蒙特利爾
  • 洛杉矶
  • 倫敦
  • 芝加哥
  • 多倫多
  • 達拉斯
  • 東京
  • 俄羅斯
  • 西雅圖
  • 烏克蘭
  • 荷蘭
  • 瑞典
  • 溫哥華
  • 馬來西亞
  • 香港
本站所有文章除特别声明外,皆转自互联网。如有侵权请联系 BigDDos 删除。
Powered by BigDDos.com | Copyright © 2004 - 2019 BigDDos.com All Rights Reserved