e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

Tor的恶意应用

2017/5/20    来源:FreeBuf    作者:ArkTeam      
关键字:Tor  Botnet  
Tor本来是为用户提供匿名上网保护用户隐私的工具,但是对于一些用户来说,他们可以利用Tor的隐蔽性进行黑客攻击或非法交易活动。总结Tor的恶意应用主要表现在以下几方面。

    但是,比特币通过Tor进行交易并不是一个好的想法,很容易被攻击者利用[5]。
 
    首先,在比特币网络中,如果比特币节点收到恶意构造的畸形消息(如某些协议字段的大小不正确),通过其内部机制的判断,会将消息发送者的源IP地址加入黑名单中,导致该IP在24小时内无法访问该比特币服务节点。
 
    攻击者的攻击流程如下:
 
    (1)分别构造少量恶意的比特币节点和Tor出口节点,并向各自所在网络中宣传,让普通用户的地址列表中存在这些恶意节点。
 
    (2)攻击者通过Tor网络向合法的比特币服务节点发送大量恶意构造消息,导致Tor网络正常的出口节点被比特币服务节点拒绝访问。
 
    (3)用户通过Tor网络访问合法比特币节点时,如果选择了被拒绝访问的Tor出口节点则不得不重新选择访问链路。此时用户可能会选择攻击者构造的恶意Tor出口节点,或者Tor出口节点是合法的,但最终指向了攻击者部署的恶意比特币节点(图8)。
 
    以上两种可能都实现了中间人攻击,可见Bitcoin利用Tor隐藏地址会出现新的风险。
 
    4.Tor出口节点嗅探流量
 
    Tor网络在设计之初,只是为了隐藏发送者和接收者的位置信息,并没有对内容信息进行隐藏,网站可以使用HTTPS对其加密。但是很多网站仍然使用HTTP协议构建网络,这给Tor网络的出口节点制造了嗅探流量的机会。利用蜜罐技术可以识别恶意出口节点(图9)。
 
    (1)研究者在实验中[6]部署一个蜜罐网站,并且设置访问权限。
 
    (2)通过正常的Tor网络访问该蜜罐网站,每次访问都分别使用唯一的用户名密码账号信息,并记录出口节点IP地址及其他信息。
 
    (3)如果该网站被登录过的用户名密码再次访问说明账号信息泄露,该账号对应的Tor出口节点已嗅探流量,视为恶意出口节点。
 
    实验证明在1400个出口节点中存在7个恶意嗅探流量的节点,毕竟大多数的志愿者是友好的。另外,Tor的出口节点也有可能修改用户请求数据或插入恶意代码实施中间人攻击,该种情况可以通过比较使用Tor网络访问网站和不使用Tor网络访问相同网站的响应数据是否一致,如果不一致即说明出口节点可能实现了中间人攻击(图10)。
 
识别恶意Tor出口节点嗅探流量
 
    图9 识别恶意Tor出口节点嗅探流量
 
识别恶意Tor出口节点中间人攻击
 
    图10 识别恶意Tor出口节点中间人攻击
 
    5.黑市交易
 
    Tor网络不仅可以隐藏发送者的地址信息,也可以隐藏接收者的服务器地址信息。很多黑市商人利用Tor网络搭建匿名服务器进行黑市交易,著名的“丝绸之路”就是利用Tor网络的犯罪市场。虽然“丝绸之路”已被查封,但是暗网中仍然存在大量的黑市交易产业(图11)。
 
暗网非法交易
 
    图11 暗网非法交易
 
    6.小结
 
    Tor的应用在一定程度上会给恶意应用者带来隐蔽性,但是由于Tor本身的流量特殊性以及去匿名化的研究越来越多,Tor的附加应用不一定会带来更好的效果。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐