Сводная группа ученых из шведского Королевского технологического института, университета в Карлстаде и Принстонского университета представила новый метод атак, который получил имя DefecTor и способен помочь в деле деанонимизации пользователей Tor.

По сути, представленная методика является новым взглядом на так называемую корреляционную атаку, которая уже изучалась ранее. Ученые пишут, что ранее подобные векторы атак рассматривались весьма односторонне и фокусировались вокруг зашифрованного трафика в Tor-сети и HTTP-трафика, который проходит через выходные ноды. Но при этом совершенно игнорировалась еще одна важная составляющая исходящего трафика, а именно DNS-запросы, которые, по мнению исследователей, могут быть очень полезны во время корреляционных атак.

Исследователи пишут, что для реализации такой атаки наблюдающая сторона должна иметь возможность следить за трафиком в глобальных масштабах. К примеру, DNS resolver’ы Goolge обрабатывают около 40% DNS-запросов исходящих из Tor. И хотя пока Google не проявляется интереса к деанонимизации или саботированию Tor-трафика, в теории подобное возможно. Такие возможности есть и у компаний OVH и OpenDNS, хотя с масштабами Google им не сравниться.

Согласно данным исследователей, мониторинг DNS, в сочетании с известными техниками отслеживания пользователей при помощи различных цифровых отпечатков, сделают корреляционную атаку весьма эффективной. Изучение вопроса показало, что наибольший эффект атака DefecTor возымеет использовать против сайтов, которые посещают через Tor не слишком часто.

tor-dns

Ученые представили разработанный в рамках данного исследования инструмент ddptr (DNS Delegation Path Traceroute), который может использоваться для отслеживания всех путей делегирования для полных доменных имен, а затем, при помощи UDP, осуществлять трассировку для всех DNS-серверов маршрута.

Исследователи пишут, что на данный момент DefecTor нельзя назвать прямой угрозой сети Tor, ведь компании подобные Google и так способны мониторить значительную часть интернета. Тем не менее, исследователи рекомендуют операторам Tor relay не пользоваться публичными DNS резолверами (вроде тех, что предоставляют Google и OpenDNS), вместо этого полагаясь на проверенные решения или вообще поднимать резолверы самостоятельно.

Более подробная информация о DefecTor  доступна на сайте исследователей. Также можно ознакомиться с отчетом, озаглавленным «Влияние DNS на анонимность Tor» (PDF).



1 комментарий

  1. dmitry_spb

    05.10.2016 at 13:55

    «DefecTor нельзя назвать промой угрозой сети Tor» — таки «прямой».

Оставить мнение