¿Los nodos TOR podrían recopilar direcciones IP y filtrarlas para desenmascarar las direcciones IP .onion url?

Navega tus respuestas
5

Siento que generalmente entiendo el enrutamiento de la cebolla TOR. Por lo que entiendo, el nodo conoce la IP de la que recibe los datos y la IP a la que está enviando los datos. Así que seguramente un nodo puede recopilar las direcciones IP y filtrar cualquier otra dirección IP de nodo (disponible públicamente) y luego recopilar el resto. Se puede acceder a las direcciones IP que aparecen con frecuencia y se pueden excluir TLD regulares como google. Si no lo son, es más que probable que sean una de las direcciones IP populares de .onion.

Obviamente, esto no es muy comprometedor, ya que no se sabe cuál es la dirección .onion, pero quizás se pueda hacer más una vez que tenga estas direcciones. Obviamente, también requiere un nodo con mucho tráfico, pero ¿es posible en teoría?

¿Se trata de una suposición razonable del modelo de enrutamiento? Si no, ¿dónde me equivoqué?

    
pregunta user20837 15.02.2013 - 23:29
fuente

1 respuesta

3

Estás hablando de ataques de un adversario con una vista parcial de la red; lo cual es posible, pero en realidad debe sospechar a su cliente y servidor con anticipación, y en términos prácticos, debe tener control y visibilidad sobre una gran cantidad de espacio de red.

Las Preguntas Frecuentes sobre Tor pueden ser un buen lugar para echar un vistazo, pero esencialmente el ataque es posible dado:

  

Un mal de los tres primeros servidores puede ver el tráfico Tor cifrado proveniente de su computadora. Todavía no sabe quién eres y qué estás haciendo con Tor.

y

  

Un tercio malo de tres servidores puede ver el tráfico que enviaste a Tor. No sabrá quién envió este tráfico.

Alguien tendría que controlar al menos tres servidores para hacer coincidir, y en la práctica tendría que controlar muchos, muchos más, ya que no hay forma de determinar qué tres servidores utilizará una conexión en un circuito de red. / p>

Ahora escala esto; solo quiere identificar los sitios .onion populares, pero está viendo el tráfico que viene de las IP y de las IP. No tiene ni idea, ninguna, qué tráfico es el tráfico de 'respuesta' y cuál es el tráfico de 'solicitud', no tiene idea si esas IPs son simplemente retransmisores que se eligen unas cuantas veces. En este escenario, es muy posible nunca vea la IP de los sitios .onion populares. Además, los circuitos de Tor están diseñados para resistir este tipo de ataque .

Específicamente, si está viendo todo el tráfico que entra y sale, e identifica 1.2.3.4 como popular, no sabe si es un punto final, un enrutador, un servidor / cliente que carga o descarga algo. Todo lo que sabes es que es el tráfico de Tor. Tor está configurado de modo que no es información realmente interesante; el hecho de que estés ejecutando Tor no es un secreto (y como notaste, publican la lista de exit nodes para fines de listas negras, pero todos los nodos que no son puentes se enumeran en los descriptores de retransmisión publicados regularmente / a>).

Es un poco diferente si ya tenga algunos sospechosos, los ataques de tiempo pueden funcionar en este caso, pero al final del día, es probable que solo pueda demostrar que dos máquinas se están comunicando , no de lo que se están comunicando, y usted no lo hace. Definitivamente no sabemos que no son solo un enrutador en la transacción.

Finalmente, si el servicio que intentas identificar es un servicio oculto todas las apuestas es probable que estén desactivados: están diseñados para distribuir el tipo de tráfico que está buscando en un enlace al agregar deliberadamente una cantidad de enrutadores pre-confiables en la ecuación, lo que anularía cualquier conocimiento que tuviera de la red.

    
respondido por el Bob Watson 16.02.2013 - 00:19
fuente

Lea otras preguntas en las etiquetas

Implicación de Websocket para firewalls ¿Es seguro usar estaciones de carga USB públicas? [duplicar]