Tor 作为匿名网络的代表,被誉为“暗网之王”,而 TOR 这个网络具备双面性。Tor 通过爱护通信单方的身份信息, 能无效避免用户个人信息的泄露, 成为一种新的网络拜访形式。
但同时,攻击者也看到了匿名网络所带来的匿名性, 能够利用匿名网络动员网络攻击, 回避司法取证人员的追踪调查, 因而匿名网络中的攻打溯源问题也近几年追踪溯源的热点。
其实对于匿名网络的追踪溯源,尽管有难度,然而近几年还是有长足的提高,追溯办法也在逐渐减少。
陈周国、蒲石、祝世雄在《匿名网络追踪溯源》,将攻打溯源办法分为两类:匿名网络调制追踪和匿名网络浸透追踪 。匿名网络调制追踪是指取证人员在匿名网络流量中增加流水印信息,通过检测流水印信息将不同的网络流量关联起来, 从而辨认网络流量的起源。
匿名网络浸透追踪是指取证人员管制局部匿名网络的节点, 通过毁坏或查看通过这些节点的流量, 来辨认网络流量的源头。
然而这两类办法须要取证人员把握的资源有所不同, 因而从取证人员的角度, 能够将匿名网络中的攻打溯源办法分 2 种状况:
(1)取证人员可能管制全副或局部匿名网络的节点的状况下 。
①在这种状况下,《追踪洋葱包的高级标记计划与实现》中吴振强、杨波, 采纳数据包标记办法来辨认匿名流量。
因为匿名网络 Tor 暗藏了数据发送端的 IP 地址, 而且两头节点会剥去数据包的外层包头,因而该办法提出利用 Tor 协定中网络层的 32bit 的 GMT(包终止工夫)字段, 将其革新为 5bit 的间隔和 19bit 的 IP 地址 hash 值。两头节点填入相应的信息,受益主机依据这些信息能够推算出数据流的起源。
②在《A new replay attack against anonymous communication networks》中针对 Tor 网络的追踪问题, 利用了 Tor 网络所采纳的 AES 算法的计数器加密模式,须要计数器进行同步的特色, 管制多个 Tor 网络的节点,人为扭转节点的计数器,导致后续节点解密失败,从而将节点间的通信流进行关联。
③在《A traceback attack on Freenet》中 Guanyu Tian, 等人钻研了高延时匿名网络、匿名内容公布网络 Freenet 中的匿名追踪问题, 指出能够利用网络中局部受管制的节点作为监控节点,通过监控节点所察看到的音讯来推断内容请求者的实在主机,但该办法没有解决内容发布者的匿名追踪问题。
Young Hwan Lim 等钻研了 BitTorrent 网络中初始种子的辨认问题, 给出一些辨认特色。而《Is it an initial seeder?》钻研了在种子初始流传阶段辨认第一个上传者的规定。
(2)取证人员可能管制匿名网络的局部通信流量并能部署检测传感器
①在《discovery, blocking, and traceback of malicious traffic over Tor》和《Rate-based watermark traceback: a new approach》中,采纳数据包发包速率来作为载频的形式嵌入水印。如用较高的发包速率示意二进制 1, 用较低的发包速率示意二进制 0。
该办法能够无效抵制因为各种起因引起的数据包的网络时延、丢包、减少包、重打包等对水印检测准确率的影响。
②在《Network flow wartermarking attack on low-latency anonymous communication Systems》中针对采纳发包流率作为载频, 而在理论利用中发包流速不稳固的问题,提出了一种以时隙质心的载频办法。行将工夫分为多个工夫片,以数据包落在工夫片中的地位为质心,当数据包数量足够多时,无论发包速率如何稳定, 时隙质心是稳固的。这样能够进步流水印的健壮性和隐秘性。
③《DSSS-based flow marking technique for invisible traceback》中将直序扩频机制 DSSS 利用到流水印中, 不是间接在流中嵌入特色码, 而是利用伪噪声码 PN 码进行扩频, 嵌入到数据流中, 进步了流水印的隐蔽性。然而在《On the secrecy of spread-spectrum flow watermarks》中对该办法的隐蔽性进行了充沛试验验证, 指出该办法的隐蔽性须要进一步提高。
④《Interval cen troid based flow watermarking technique for anonymous commu nication traceback》中综合利用时隙质心和 PN 码的办法提出一种新的流水印办法。作者指出长 PN 码能够进步水印检测的准确率, 这一点在别的试验中失去了验证。Xian Pan, Junwei Huang 等人用基于 DSSS 的长 PN 码来嵌入水印,该办法可能阻止攻击者检测到流中可能存在水印信息, 并且能够用于多个数据流嵌入水印的同时检测。而在《A double interval centroid-based watermark for network flow traceback》中则更进一步采纳双重时隙质心和 PN 码的办法, 行将相邻时隙的质心联结进行思考,能够更好的进步水印的隐蔽性。
⑤而《A new cell counter based attack against Tor》中则不间接针对时隙进行水印的嵌入,而是应用包数来表白嵌入的信号,即用间断的 1 个数据包代表“0”; 用间断的 3 个数据包代表“1”。思考到网络延时及缓冲队列造成的数据包合并、拆散, 提出了鲁棒的算法来进步检测率。这样, 对于流持续时间较短的状况,依然能够增加水印并能失去较好的检测成果。
《A new cell counter based attack against Tor》进一步指出,尽管 Tor 匿名网络把应用层数据宰割为固定大小的 512 字节 (含头部信息,真正数据是 498 个字节), 但这一机制并不会导致网络层数据包分组也是固定大小。利用这一景象,《Equal-sized cells mean equal sized packets in Tor?》中给出了一个新的嵌入水印的办法,即利用真正数据的 498 个字节代表“0”,2444 个字节代表“1”。前者将被宰割为 1 个数据包,而后者思考到链路层的最大数据帧长度 1500 字节, 将被宰割为 5 个数据包。而后钻研了数据包在网络层的宰割、交融的各种状况, 给出了水印检测算法。
试验结果显示可能应用较少的数据包以较高的准确率检测到嵌入的水印信号。同时能够将相似的思维利用到另一匿名网络 Anonymizer 中,能够辨认出拜访网站的匿名客户端。但 是以上办法都是针对单个数据流嵌入水印并进行检测的,如果同时存在多个数据流,在多个数据流中嵌入水印,将导致检测准确率急剧下降。
面对同时存在多个数据流景象,针对这一问题, 有一种针对多个数据流嵌入水印的办法,即当时生成一个种子序列, 对每个数据流随机抉择不同的种子, 在数据流中不同的时隙段内嵌入水印。
当进行检测的时候, 解码器尝试采纳每一个可能的种子来检测水水印, 找出最匹配的值, 从而解码出嵌入的水印值。对于为什么能够采纳时隙特色来嵌入水印的实践起因,次要影响追踪成果的三个因素: 报文长度、烦扰数据流中数据包的数量、转发节点的数据包缓冲工夫,并给出了在给定检测准确率的状况下,所嵌入水印的最小延迟时间的计算方法。
个别的办法采纳在固定工夫长度的数据包距离中嵌入水印, 罕用的水印检测办法效率较差, 须要大量的数据包能力取得较高的检测准确率。针对这一问题,能够基于 SPRT(Sequential Probability Ratio Test)测验办法, 创立三种不同的假设检验构造方法, 在达到同样检测准确率的状况下, 显著缩小了所需的数据包数量。
然而这一类办法仅实用于低延时匿名网络, 对于高延时匿名网络将导致所增加的流水印信息失落。
结语:将来网络安全事件,肯定是以定向攻打为主的,而匿名网络则成为攻击者的保护伞。匿名网络的追踪溯源,有难度,然而并不是不可实现。尤其是以 IP 地址为根底的匿名网络,当初的 IP 代理辨认技术根本能够实现辨认用户是否应用 Tor 连贯,这也升高了匿名网络追踪溯源的难度。随着国家对攻防演习的器重,将来对于匿名网络的追踪溯源能力也会越来越强,就让咱们刮目相待吧。