Сводная группа ученых из шведского Королевского технологического института, университета в Карлстаде и Принстонского университета представила новый метод атак, который получил имя DefecTor и способен помочь в деле деанонимизации пользователей Tor.
По сути, представленная методика является новым взглядом на так называемую корреляционную атаку, которая уже изучалась ранее. Ученые пишут, что ранее подобные векторы атак рассматривались весьма односторонне и фокусировались вокруг зашифрованного трафика в Tor-сети и HTTP-трафика, который проходит через выходные ноды. Но при этом совершенно игнорировалась еще одна важная составляющая исходящего трафика, а именно DNS-запросы, которые, по мнению исследователей, могут быть очень полезны во время корреляционных атак.
Исследователи пишут, что для реализации такой атаки наблюдающая сторона должна иметь возможность следить за трафиком в глобальных масштабах. К примеру, DNS resolver’ы Goolge обрабатывают около 40% DNS-запросов исходящих из Tor. И хотя пока Google не проявляется интереса к деанонимизации или саботированию Tor-трафика, в теории подобное возможно. Такие возможности есть и у компаний OVH и OpenDNS, хотя с масштабами Google им не сравниться.
Согласно данным исследователей, мониторинг DNS, в сочетании с известными техниками отслеживания пользователей при помощи различных цифровых отпечатков, сделают корреляционную атаку весьма эффективной. Изучение вопроса показало, что наибольший эффект атака DefecTor возымеет использовать против сайтов, которые посещают через Tor не слишком часто.
Ученые представили разработанный в рамках данного исследования инструмент ddptr (DNS Delegation Path Traceroute), который может использоваться для отслеживания всех путей делегирования для полных доменных имен, а затем, при помощи UDP, осуществлять трассировку для всех DNS-серверов маршрута.
Исследователи пишут, что на данный момент DefecTor нельзя назвать прямой угрозой сети Tor, ведь компании подобные Google и так способны мониторить значительную часть интернета. Тем не менее, исследователи рекомендуют операторам Tor relay не пользоваться публичными DNS резолверами (вроде тех, что предоставляют Google и OpenDNS), вместо этого полагаясь на проверенные решения или вообще поднимать резолверы самостоятельно.
Более подробная информация о DefecTor доступна на сайте исследователей. Также можно ознакомиться с отчетом, озаглавленным «Влияние DNS на анонимность Tor» (PDF).