Time Fingerprinting – новая угроза анонимности в сети


http://www.caida.org/outreach/.....2005/fingerprinting/[link1]

Пакеты данных, даже прошедгие маршрутизацию через множество узлов, могут быть точно определены по принадлежности к их владельцам.

Разработчики сети TOR говорят о неуязвимости этой сети к такой атаке.

http://archives.seul.org/or/talk/Mar-2005/msg00033.html
При обсуждениее на http://www.securityLab.ru/53121.html

было высказано интересное предложение – отключать
метки времени в пакетах. В Unix-системах это делается
одной простой коммандой: sysctl -w net.ipv4.tcp_timestamps=0

Затем можно проверить параметры работы ядра с tcp:
cat /proc/sys/net/ipv4/tcp_timestamps


Комментарии
— SATtva (09/03/2005 11:52)   
В Windows TCP-стек, как и всё прочее, простым корректировкам не поддаётся, но, действительно, работа через TOR проблему снимает: узлы TOR транслируют только ip-payload, срезая все заголовки пакета и подставляя вместо них параметры собственного стека. Единственный, кто может найти корреляции в сдвигах таймера целевого устройства, — это первый TOR-узел в цепочке, но поскольку цепочки постоянно перестраиваются, полной картины он не получит.

Я вот над каким вопросом задумался: а обычные HTTP- и SOCKS-прокси транслируют ip-пакеты целиком или только "полезную нагрузку"? Кто силён в этих протоколах?
— SATtva (10/03/2005 18:31)   
В шнайеровском блоге приведены интересные комментарии[link2], основанные на анализе самого документа. Итог таков: для идентификации физического устройства с приемлемой точностью требуется такой объём тестовых данных, что, если устройство достаточно часто меняет ip, опознать его будет невозможно. Главное, что в суде такие доказательства не примут — они недостаточно надёжны, чтобы в какой-либо мере полагаться на них.
Гость (04/04/2012 11:00)   
А отключение таймстампов не поспособствует атакам на анонимность через профилирование сендеров пакетов?
— unknown (04/04/2012 11:30)   
Первый узел и так знает ваш IP, а на выходе с эксита пакеты будут выглядеть в соответствии с настройками эксита, а не вашими.
Гость (11/05/2013 11:38)   
В шнайеровском блоге приведены интересные wwwкомментарии, основанные на анализе самого документа. Итог таков: для идентификации физического устройства с приемлемой точностью требуется такой объём тестовых данных, что, если устройство достаточно часто меняет ip, опознать его будет невозможно. Главное, что в суде такие доказательства не примут — они недостаточно надёжны, чтобы в какой-либо мере полагаться на них.


"В качестве контроля для пробудившихся Матрица создала программу контроля второго уровня – Оракула, которой мы верили"©Матрица-2 кажется :)
Гость (11/05/2013 11:41)   
... кто не понял: "управляемая оппозиция", "возглавь бунт, чтоб сделать его управляемым", "контролируй экстремистские организации через подставных лидеров", "создавай лже-сообщества" – типичные методы школы ГБ :)
Гость (11/05/2013 12:14)   
SATtva
Главное, что в суде такие доказательства не примут — они недостаточно надёжны, чтобы в какой-либо мере полагаться на них.

В чьём суде? В СНГ такое НЕ примут только, если поднимется шумиха и будет много наблюдателей.

Ссылки
[link1] http://www.caida.org/outreach/papers/2005/fingerprinting/

[link2] http://www.schneier.com/blog/archives/2005/03/remote_physical.html