Атака на отказ обслуживания Tor-клиентов?
Последний месяц ряд известных и не очень сайтов блокируют большинство exit-node Tor. При этом вне Tor вход на них относительно свободный. Эти сайты объединяет то, что они регулярно подвергаются DDoS-атакам и поэтому используют защиту, в том числе облачную вроде CloudFlare. Подобное отмечалось и раньше, но тогда блокировалось меньше узлов и все быстро заканчивалось (обычно в связи с теми или иными событиями).
Все это наводит на мысль, что проводится борьба с анонимным доступом к определенному пулу ресурсов. Для этого атакующая сторона проводит достаточно интенсивную DDoS-атаку на этот пул через Tor, вынуждая систему защиты начала блокировать "вредоносные" узлы Tor. Это в свою очередь приводит к отказу на обслуживание всех Tor-клиентов.
Возникает вопрос, как с этим бороться. Атакующий давит публичные узлы, доступные ботам. Поэтому надо дополнять цепочку некими непубличными выходными узлами. Т.е. аналогия с bridge, но на выходе. Судя по всему, это противоречит идеологии Tor, оставляющей на усмотрение сайтов, давать или нет к себе анонимный доступ из сети.
Если решать вручную, то есть 2 варианта:
1) Найти непубличный exit-node Tor и попытаться удлинить им цепочку через torrc. Но где его искать неясно и как удлинять им тоже.
2) Использовать возможность прицеплять к цепочку transparent proxy через Polipo. Несмотря на некий геморрой, схема эта работает. Но честно говоря найти действующий непубличный (хотябы через капчу) transparent proxy непросто. (Может кто подскажет как найти/купить оные?)
Что скажете?
комментариев: 11558 документов: 1036 редакций: 4118
Досить через Tor невозможно банально из-за низкой пропускной способности сети — сам Tor задосится раньше, чем любой сетевой ресурс. На самом деле всё проще:
То есть службы, составляющие блэклисты, финансово заинтересованы в том, чтобы фигачить в них всё, что
движетсямало-мальски способно создать проблемы (а Tor — известный источник проблем, только не от DDoS'а).Tor Project в курсе этой проблемы, там по ссылке можете посмотреть, как её собираются решать.
Насколько знаю, средствами Tor это нельзя сделать – добавить прокси после эксита. Можно добавить только перед entry нодой. Самый простой выход – пользоваться веб-прокси через веб-интерфейс. Имеется недостаток – все сайты для браузера выглядят как один с разной query string в GET-запросе. Это значит что куки общие и сайты могут их читать. Правильней добавлять нормальный прокси (socks или http) с помощью обёртки-проксификатора (proxychains и т.п.). В Интернете их полно, но скорость обычно очень низкая.
Порочная идеология. Для ограничения доступа с сайту много других способов (регистрация, пароль на каталоги и т.д.) вместо тупого бана по IP-адресу.
Если не просто дос, а ддос (распределённый) со многих машин через множество эксит-нод, то сайт может задоситься раньше чем Tor. И вообще забивание канала трафиком далеко не единственный способ. Атака на системные ресурсы типа syn-флуда или SSL-renegotiation тоже разновидности доса. Боты на форумах также могут рассматриваться как атаки нарушающие нормальную работу ресурса.
комментариев: 9796 документов: 488 редакций: 5664
К сожалению, это вручную форум можно настроить на чтение из Tor, но не давать, к примеру, возможность постинга, но многие операторы сайтов и хостеры банят Tor готовыми внешними инструментами, которые заточены, как уже было сказано выше, банить всё по списку без разбора, не вникая в тонкости, Tor это или нет.
К сожалению, действительно, если раньше тот же ЖЖ (не будем обсуждать его актуальность и содержательность) лишь иногда не срабатывал через Tor, то сейчас он закрыт на чтение практически наглухо. И если кто-то даёт на него ссылку, то из под Tor не прочитать.
Этому противоречат 2 наблюдения:
1) Доступ к данным ресурсам вне Tor практически открыт
2) Подобные блокировки случались и раньше, причем довольно синхронно и имели небольшую продолжительность (редко более недели).
А сейчас начали блочить серьезно, где-то с середины августа, после известных событий. Учитывая очень большое желание определенных контор иметь полную информацию о пользователях некоторого множества ресурсов (Паша Дуров солидарен), такая атака имеет правдоподобное объяснение.
Ну не все. Тот же CloudFlare подсовывает тест Тьюринга, что вполне достаточно для нормальной деятельности.
Вот как раз один из. С середины августа эта канитель. Если раньше проблема решалась перебором 1-2 цепочек в Vidalia, то теперь порой и 10 смен не хватает. А с одноранговых прокси или прямо – ходи не хочу.
Через Polipo и сейчас все работает как часы, только действительно прикручивать его надо вручную вместе с Vidalia. Самая большая проблема теперь отыскать подходящий прокси. Раньше найти их было довольно просто, а сейчас даже на freeproxylist.org надо попотеть. Можно купить платный доступ, но опыт отсутствует и хотелось бы доброго совета по этой теме.
Веб-прокси не очень-то дружат с Tor. Да и блочат их тоже. К сожалению.
комментариев: 11558 документов: 1036 редакций: 4118
Кто-нибудь наблюдал/документировал (D)DoS-атаки из Tor in-the-wild? Гости на форуме пишут о них не первый раз, но я на их реальность смотрю крайне скептически.
Здесь нет противоречия. Доступ из Tor и иных подозрительных источников могут блокировать по причинам, отличным от предотвращения именно (D)DoS-атак — чтобы меньше провоцировать зуд у скрипткиддис, например.
Это можно и сейчас, но нужно иметь в виду что
1. Можно добавить только HTTP-прокси, SOCKS нельзя
2. В Privoxy нет pipelining, что облегчает анализ Tor-трафика (видимо из-за этого torproject от него отказался).
3. В Privoxy нужно включить keep-alive, который по умолчанию отключен. Иначе не будет длительной HTTP-сессии с фиксированной цепочкой для сайта, и ноды будут регулярно меняться повышая риск раскрытия анонимности.
Вариант с отдельным проксификатором выглядит безопасней. Насчёт Polipo не знаю, может у него нет перечисленных недостатков.
Большинство нормально дружат. Их плюс в том что они стабильней и реже меняются.
Речь шла не о личном опыте, а о технической возможности. Она есть и скорей всего кем-то используется.
На крайний случай, можно использовать переводчик гугловский. Из недостатков: нет поддержки https сайтов.
Если ссылка популярна, то она закеширована поисковиком — пусть хотя бы тем же startpage.com. Дальше её ищем в нём, и, если находится, выбираем «View by Ixquick Proxy». Аналогично с гугл-кэшем. Геморрой, да. Если ссылка непопулярная, то помогут только web-прокси или ещё более геморройные решения.
Я последнее время наблюдаю выкидывание ReCapcha на множестве ресурсов. Типа, пока её не пройдёте, страницу не увидите. Если JS отключен, капча усложняется. Надо её пройти, сайт возвращает ответ, ответ копипастим в поле ввода и жмём кнопку. Когда-то это работало. Теперь сколько эту процедуру ни делай, вместо редиректа на целевую страницу происходит повторный запрос с капчей и так до бесконечности. Они таким образом вынуждают включить JS.
Ну да, да, man spamhouse: blackmailing, шантаж, угрозы.
По теме: почему Tor Project не может подать в суд на те компании, которые добавляют его узлы в свои списки?
Да, по ссылке выше оно и есть:
В последнее время читаю ЖЖ через http://anonymouse.org/cgi-bin/anon-www.cgi/http://адрес, получается, но авторизация невозможна. Выход напрямую из Tor почти всегда банит. В редких случаях удается загрузить ЖЖ без анонимайзера и авторизоваться, но в связи с последними "улучшениями" интерфейса, просмотр сообщений в почте невозможен, статистика тоже не видна. Вывод: ЖЖ скурвился, из ЖЖ нужно уходить.
комментариев: 11558 документов: 1036 редакций: 4118
Потому что для этого нет оснований.
VirtualBox + TB + js. Другого выхода не вижу. Норамльно юзать сеть без js практически нереально, как ни крути, даже этот сайт.
Ведь дыр в VirtualBox гораздо меньше, чем дыр в TB с включенными скриптами.
комментариев: 11558 документов: 1036 редакций: 4118
На этом сайте JS абсолютно не обязателен.