Балансировка двух Tor-каналов vs анонимность
Если хочется получить бОльшую скорость работы через Tor, или если хочется не ассоциировать разные анонимные identity посредством использования одних и тех же цепочек в Tor, можно, в простейшем случае, поднять два разных тор-клиента, и связать каждый из них со своим пользователем на машине. Однако, у такого подхода, если единственная его цель – улучшение качества и скорости связи, есть очевидный минус: "ручная" балансировка задач между разными Tor-каналами далеко не самая оптимальная. В связи с этим предлагается обсудить следующую схему. Допустим, что у нас есть два тор-канала (соответствуют одновременно запущенным двум Tor-клиентам) с прозрачным заворачиванием всего трафика от нужных юзеров в сеть Tor. Логично было бы сделать автоматическую балансировку нагрузки между этими каналами стандартными средствами firewall'а (например, altq в OpenBSD PF с использованием опций типа round-robin, route-to и, может быть, source-hash: какие-то примеры обсуждались здесь). Однако, мне не очевидно что такая схема будет работать корректно, т.к. всё зависит от того, отправляются ли разные tcp-сессии через разные gateway (Tor-клиенты), и, если нет, то как отреагирует firewall на ситуацию с сосуществованием двух независимых маршрутов до одного и того же внешнего IP. Также возникает вопрос о всевозможных последствиях для анонимности в таком подходе: сможет ли, к примеру, внешний хост определить, что пользовательский Tor-клиент настроен именно вышеуказанным способом? Вдруг разные элементы web-страницы будут загружаться через разные exit-ноды? Просьба к уважаемым участникам, кто понимает как технически работают балансировки интернет-каналов и Tor высказаться по этому поводу. Конкретные тезисы, выносимые на обсуждение, следующие:
- Возможно ли настроить такую схему (нет ли здесь противоречий со стандартами)?
- Каковы последствия данной настройки для анонимности?
- Какие конкретные технические рекомендации вы можете дать для организации такой настройки? (В терминологии iptables или, что лучше, pf, т.к. с ним я знаком лучше)
комментариев: 9796 документов: 488 редакций: 5664
Раньше были способы подключения двух медленных модемов в один канал. Наверняка можно через два псевдоустройства.
Первое, что приходит в голову:
первый клиент случайно выбирает цепочку: A-x-C, второй клиент выбирает цепочку: C-y-A, а трафик в данном случае идёт специфически коррелируемый и вообще нестандартный (половины пакетов нехватает).
Если все пакеты в рамках одной TCP-сессии идут только через одну цепочку одного из Tor-клиентов, то корреляции будут не столь явными, по крайней мере, это не будет отличаться от случая двух независимых Tor-клиентов концептуально. Дело ещё в том, что пока я очень плохо представляю как работает тот же altq и route-to: данными вещами в pf пользоваться не приходилось. С другой стороны, данная задача мне кажется интересной по практике настройки балансировки трафика (я-то думал, что на десктопе такое понадобиться вряд ли сможет).
комментариев: 9796 документов: 488 редакций: 5664
Информация об ОС и броузере может теоретически помочь атаковать машину, т.е. подобрать уязвимость, эксплойт и т.д. А чем облегчает атаку (или чем грозит выделение в некое анонимное подмножество некоего также анонимного множества) информация о кол-ве каналов с точки, не совсем ясно.
Впрочем, ответ на то, что вы спрашиваете столь очевиден, что я с трудом сдерживаюсь не назвать Вас плохими словами. Подобные пустые вопросы отнимают время участников, а когда они превращаются в неприкрытый троллинг отбивается всякое желание на подобное отвечать. Если не отвечать вообще, то новички, который действительно не понимают, полностью перестанут получать ответы на свои вопросы. Самый обычный DDoS.
комментариев: 9796 документов: 488 редакций: 5664
Вот если зайти на pgpru.com, отключив блокировку баннеров, то можно увидеть через iptraf, что стартует множество сессий.
Вообще — это типично — множество TCP-сессий для одного HTTP-соединения.
Если они пойдут для одного пользователя не через один exit, а через два, то SATtva (или "человек-посредине") обо всём догадается :-)
Известны ли в IT какие-то способы связать все эти сессии воедино на правилах fw, т.е. иначе кроме как через привязывание всего трафика сгенерированного одним пользователем к одному и тому же Tor-клиенту? Конкретно web-трафик можно всегда пропускать через privoxy, а уж оно ведает, что все эти сессии порождены загрузкой одного и того же url. Вот бы познания privoxy, да fw'у в уши :-)
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Это раз. А ещё вэб-страница может иметь смешанный контент из разных url'ов — это два.