id: Гость   вход   регистрация
текущее время 18:37 28/03/2024
Владелец: unknown (создано 09/04/2010 14:21), редакция от 15/03/2011 13:43 (автор: unknown) Печать
Категории: софт, анонимность, анализ трафика, tor, атаки, человек посередине
https://www.pgpru.com/Новости/2010/ДеанонимизацияBitTorrentПользователейСовместноИспользующихСетьTor
создать
просмотр
редакции
ссылки

09.04 // Деанонимизация BitTorrent пользователей, совместно использующих сеть Tor


Состояние холодной войны между P2P пользователями и "антипиратскими" организациями приводит к попыткам использовать для файлообмена анонимные сети, позволяющие скрыть личность пользователей. Однако, если протокол P2P сам по себе неспособен обеспечить анонимность, то он создаёт опасность утечки данных, раскрывающих пользователей, даже если он запущен под прикрытием анонимной сети.


Исследователи Stevens Le Blond, Pere Manils, Abdelberi Chaabane, Mohamed Ali Kaafar, Arnaud Legout, Claude Castellucia, Walid Dabbous из французского национального иснтитута исследований в области компьютерных наук и управления I.N.R.I.A опубликовали анонс исследования "De-anonymizing BitTorrent Users on Tor", в котором они предложили три атаки по деанонимизации пользователей BitTorrent внутри сети Tor.


Совместное использование BitTorrent и Tor не приветствуется разработчиками сети Tor, так как нагружает сеть Tor избыточным трафиком, тем не менее многие пользователи прибегают к трём различным сценариям совместного использования: (1) использовать Tor для соединения с сервером (трэкером) для получения списка файлообменных узлов, у которых есть искомый файл, (2) для соединения с другими узлами для распространения файла, (3) для того и другого одновременно.


Исследователи запустили 6 исходящих узлов сети Tor и в течении 23 дней убедились, что атакуюший может деанонимизировать пользователя в любом из трёх вариантов использования. В дополнение к этому, если цепочки пользователя разделяются с другой сетевой активностью (например, посещение вэб страниц), то возможна также и деанонимизация сопутствующего пользовательского трафика. Исследователи предложили три различные атаки.


В первой атаке на исходящем узле просто прослушиваются контрольные сообщения BitTorrent для поиска IP-адреса пользователя. В частности сообщение, анонсирующее, что клиент посылает трэкеру запрос на список файлообменных узлов, распространяющих контент и расширенные сообщения подтверждения установления соединения, иногда содержат IP адрес пользователя в открытом виде.


Во второй атаке список файлообменных узлов, запрашиваемых пользователем подменяется на такой, в котором часть IP-адресов этих узлов контролируется атакующим. Если пользователь будет соединяться с этими узлами напрямую (не через Tor, используя Tor только для соединения с трекером), то выдаст свой IP-адрес.


В третьей атаке используется свойство DHT (хэш-таблиц распределённого контента) для поиска IP-адреса пользователя. Поскольку Tor не осуществляет транспорт UDP, то IP адрес пользователя попадает в DHT, минуя Tor. При этом атакующий, зная какой порт использует пользователь (так как они распределяются равномерно) и зная идентификатор контента, может вычислить IP-адрес пользователя. DHT-атака достаточно точна и работает, даже если пользователь соединяется с другими пользователями файлообменной сети также только через Tor.


Используя DHT-атаки и атаки перехвата, исследователи деанонимизировали 9000 IP-адресов, с которых использовался BitTorent через Tor, а для отдельных пользователей, используя распознавание смешивания трафика от разных сетевых приложений, одновременно работающих на пользовательской машине через одну Tor-цепочку, были составлены профили анонимного вэб-браузинга таких пользователей.


Подробнее работа будет представлена на конференции 7th USENIX Symposium on Network Design and Implementation (NSDI '10), San Jose, CA: United States (2010)


Источник: ArXiv.org: Cryptography and Security


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— Гость (13/04/2010 12:37)   <#>
На трекере лежит только список IP-адресов источников, занимающий в даже в худшем случае меньше мегабайта, и на общую скорость скачивания практически не влияющий. Не говоря уже о том, что есть DHT.

А какие ip-адреса на нем лежат при схеме, рекомендуемой разрабами Tor – когда заторена лишь связь с трекером?
Реальный ip или ip exit-ноды? И если реальный, то откуда его берет торрент-клиент, поднятый на машине имеющей частный ip-адрес и подключенной к сети через роутер, которые имеет внешний адрес?
— poptalk (13/04/2010 17:32)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Такие варианты P2P-сетей иногда называют F2F (Friend 2 Friend).

Кстати, а как в Friend 2 Friend ищут сидов и строят цепочки?
— poptalk (13/04/2010 17:58)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
А какие ip-адреса на нем лежат при схеме, рекомендуемой разрабами Tor – когда заторена лишь связь с трекером?
Реальный ip или ip exit-ноды? И если реальный, то откуда его берет торрент-клиент, поднятый на машине имеющей частный ip-адрес и подключенной к сети через роутер, которые имеет внешний адрес?

Не могу сказать наверняка, но по теории трекер хранит только реальный IP-адрес и порт. Он нужен, чтобы пользователи файлообменной сети могли соединиться напрямую, минуя трекер. А инициировать соединение (из интернета, не из локальной сети) можно только с реальным IP-адресом.
— Гость (13/04/2010 19:05)   <#>
откуда его берет торрент-клиент
У торрент клиентов бывает функция "обмен пирами", и если заторена лишь связь с трекером, не исключено, что ваш IP всё равно может оказаться на нём через цепочку "третьих лиц".
— Гость (13/04/2010 19:32)   <#>
Вообще ловят не через трекер, а через подставных пиров: чтобы скачивать, очевидно должны становиться известны IP тех, кто раздаёт.
— Гость (16/04/2010 19:38)   <#>
В первой атаке на исходящем узле просто прослушиваются контрольные сообщения BitTorrent для поиска IP-адреса пользователя. В частности сообщение, анонсирующее, что клиент посылает трэкеру запрос на список файлообменных узлов, распространяющих контент и расширенные сообщения подтверждения установления соединения, иногда содержат IP адрес пользователя в открытом виде.


А иногда не содержит? Не подкажите как\чем определить, что действительно клиент(rtorrent в частности) посылает трэкеру?
— sentaus (16/04/2010 19:57)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Не подкажите как\чем определить, что действительно клиент(rtorrent в частности) посылает трэкеру?


Каким-нибудь wireshark-ом.
— Гость (19/04/2010 23:04)   <#>
Совместное использование BitTorrent и Tor не приветствуется разработчиками сети Tor, так как нагружает сеть Tor избыточным трафиком, тем не менее многие пользователи прибегают к трём различным сценариям совместного использования


Мне совсем не нравится, что в последнее время с упорством достойным лучшего применения участились призывы пользователей не нагружать сеть Тор. И некоторые даже ставят себя в пример другим бравируя подобным самоограничением. Если целью сети является удовлетворение потребностей этих самых пользователей в их анонимизации, то данный призыв не должен иметь права на существование. Ничего тут не поделаешь, но насущные потребности современных пользователей именно в том и заключаются, чтобы неслабо нагружать сеть. А чтобы просто почитать сайт ArXiv.org Тор как-то и не очень нужен. Извините геноцвале, но в Тор уходят не от хорошей жизни. А по сему сеть надо нагружать, а нагрузив надо расширять и снова нагружать. Перефразировав афоризм можно сказать – да наш пользователь плохой, но у нас нет другого! Не пользователи должны подстраиваться под сеть, а наоборот. И разработчик сети тоже должен это знать и чувствовать этот пользовательский фидбэк. Ящитаю.
— Гость (19/04/2010 23:22)   <#>
Вот поэтому Tor'у и нужен шейпинг. Либо всех насильно делать серверами.
— poptalk (20/04/2010 00:23)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
А по сему сеть надо нагружать, а нагрузив надо расширять...

Из первого не следует второе. :)
— unknown (20/04/2010 09:10)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Чаще наоборот: реально эффективная информация — компактна. Иногда достаточно килобайтов, чтобы что-то создать, изобрести, догадаться о чём-то важном в обход противника.
Плюс разработчики развивают ту идею которая заложена изначально, пока резкой смены концепции, да ещё и с изменением модели безопасности, не ожидается.
Это популизм! :-) И разработчик сети тоже должен это знать и чувствовать. Ящитаю.
— Гость (13/06/2010 20:32)   <#>
www.anomos.info
— Гость (14/06/2010 12:39)   <#>

http://anomos.info/wp/wp-content/themes/green-bug-10/images/anomossm.jpg
All of the peers must connect to a single tracker,
which maintains a model of the network and assigns pathways to download requested files.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3