Tor и безмерная текучесть трафика

Здравствуйте, у меня проблема, которая заключается в том, что tor при простое системы для чего-то потребляет трафик.
Но, как полагаю я, это вовсе не на обновление каталога серверов, т.к:
Сначала немного скажу что я делал. Система у меня gentoo, если я просто поднимаю ppp1 без тора, то трафик не поступает вообще, т.е. как я получил 54 байта так это чисто и остается, как только я поднимаю сервис tor, через секунд 30-40 ко мне поступает иногда до 40кб иногда до 200кб разом, и потом, на протяжении десяти минут входящий трафик увеличивается примерно до 600кб, т.е. например минуту или две стабильно ничего не происходит, а потом поступает опять от 40 – 200 кб. Вообщем поведение разное, бывает что и просто по 20 кб / примерно в 20 секунд поступает.

Открыл в редакторе все файлы из каталога /var/lib/tor/data, и в это время, пока идет трафик, они не изменяются.
Как только останавливаю tor трафик тоже перестает поступать.
Отмечу еще раз, что я в это время ничего не делаю, прокси нигде не использую, все приложения которые могут испоьзовать сеть выключены, даже локальный днс пробовал отключать, просто запускаю в консоли тор и наблюдаю за текучестью трафика.

Интернет по технологии adsl.
конфиг тора:
User tor Group tor PIDFile /var/run/tor/tor.pid SocksPort 9050 SocksListenAddress 127.0.0.1 Log notice file /var/log/tor/tor.log DataDirectory /var/lib/tor/data ClientOnly 1 DirFetchPeriod 1 hours

конфиг privoxy:
forward-socks4a / 127.0.0.1:9050 . trust-info-url http://www.example.com/why_we_block.html trust-info-url http://www.example.com/what_we_allow.html confdir /etc/privoxy logdir /var/log/privoxy actionsfile standard # Internal purpose, recommended actionsfile default # Main actions file actionsfile user # User customizations filterfile default.filter logfile privoxy.log debug 4096 # Startup banner and warnings debug 8192 # Errors - *we highly recommended enabling this* listen-address 127.0.0.1:8118 toggle 1 enable-remote-toggle 1 enable-remote-http-toggle 1 enable-edit-actions 1 buffer-limit 4096 forward-socks4a / 127.0.0.1:9050 . forwarded-connect-retries 0

Tor v0.1.1.23

Вывод tcpdump -i ppp1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 68 bytes 18:09:23.340227 IP 78.96.117.44.31070 > 87.119.245.48.1026: UDP, length 366 18:09:38.461171 IP 87.119.245.48 > 78.96.117.44: ICMP host 87.119.245.48 unreachable - admin prohibited, length 402 18:11:15.056371 IP 87.119.245.48.46371 > 85.214.91.190.9030: S 1126139466:1126139466(0) win 5808 <mss 1452,sackOK,timestamp 48707900[|tcp]> 18:11:15.203194 IP 85.214.91.190.9030 > 87.119.245.48.46371: S 1116407089:1116407089(0) ack 1126139467 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp]> 18:11:15.203376 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 1 win 182 <nop,nop,timestamp 48707937 0> 18:11:15.203837 IP 87.119.245.48.46371 > 85.214.91.190.9030: P 1:101(100) ack 1 win 182 <nop,nop,timestamp 48707937 0> 18:11:15.372818 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 1:1441(1440) ack 101 win 65435 <nop,nop,timestamp 7816169 48707900> 18:11:15.372980 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 1441 win 272 <nop,nop,timestamp 48707979 7816169> 18:11:15.374003 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 1441:2881(1440) ack 101 win 65435 <nop,nop,timestamp 7816169 48707900> 18:11:15.374147 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 2881 win 362 <nop,nop,timestamp 48707980 7816169> 18:11:15.520865 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 2881:4321(1440) ack 101 win 65435 <nop,nop,timestamp 7816171 48707979> 18:11:15.521006 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 4321 win 452 <nop,nop,timestamp 48708016 7816171> 18:11:15.522066 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 4321:5761(1440) ack 101 win 65435 <nop,nop,timestamp 7816171 48707979> 18:11:15.522198 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 5761 win 542 <nop,nop,timestamp 48708017 7816171> 18:11:15.523512 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 5761:7201(1440) ack 101 win 65435 <nop,nop,timestamp 7816171 48707980> ............................ 18:11:16.433831 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 68417:69857(1440) ack 101 win 65435 <nop,nop,timestamp 7816180 48708208> 18:11:16.435355 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 69857:71297(1440) ack 101 win 65435 <nop,nop,timestamp 7816180 48708208> 18:11:16.435501 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 71297 win 2003 <nop,nop,timestamp 48708245 7816180> 18:11:16.437070 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 71297:72737(1440) ack 101 win 65435 <nop,nop,timestamp 7816180 48708208> 18:11:16.437495 IP 85.214.91.190.9030 > 87.119.245.48.46371: P 72737:73505(768) ack 101 win 65435 <nop,nop,timestamp 7816180 48708208> 18:11:16.437648 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 73505 win 2003 <nop,nop,timestamp 48708246 7816180> 18:11:33.786064 IP 87.119.238.63.4316 > 87.119.245.48.2967: S 275830455:275830455(0) win 65535 <mss 1440,nop,nop,sackOK> 18:11:33.786275 IP 87.119.245.48.2967 > 87.119.238.63.4316: R 0:0(0) ack 275830456 win 0 18:11:34.169175 IP 87.119.238.63.4316 > 87.119.245.48.2967: S 275830455:275830455(0) win 65535 <mss 1440,nop,nop,sackOK> 18:11:34.169365 IP 87.119.245.48 > 87.119.238.63: ICMP host 87.119.245.48 unreachable - admin prohibited, length 56 18:11:59.250219 IP 87.119.245.48.37113 > 128.31.0.34.9001: F 863861110:863861110(0) ack 2422099679 win 484 <nop,nop,timestamp 48718949 381939803> 18:11:59.250532 IP 87.119.245.48.46437 > 85.214.83.203.9001: F 929276118:929276118(0) ack 926556819 win 396 <nop,nop,timestamp 48718949 3047666157> 18:11:59.250966 IP 87.119.245.48.33308 > 212.42.236.140.https: F 920485137:920485137(0) ack 2261896261 win 359 <nop,nop,timestamp 48718949 284979766> 18:11:59.395624 IP 85.214.83.203.9001 > 87.119.245.48.46437: F 1:1(0) ack 1 win 3011 <nop,nop,timestamp 3047881466 48718949> 18:11:59.395802 IP 87.119.245.48.46437 > 85.214.83.203.9001: . ack 2 win 396 <nop,nop,timestamp 48718985 3047881466> 18:11:59.400792 IP 212.42.236.140.https > 87.119.245.48.33308: F 1:1(0) ack 1 win 43 <nop,nop,timestamp 285033831 48718949> 18:11:59.400962 IP 87.119.245.48.33308 > 212.42.236.140.https: . ack 2 win 359 <nop,nop,timestamp 48718986 285033831> 18:11:59.445614 IP 128.31.0.34.9001 > 87.119.245.48.37113: F 1:1(0) ack 1 win 113 <nop,nop,timestamp 381992303 48718949> 18:11:59.445837 IP 87.119.245.48.37113 > 128.31.0.34.9001: . ack 2 win 484 <nop,nop,timestamp 48718998 381992303>

87.119.245.48 – мой текущий динамический ip

Данный dump сделал кргда был опущен dns сервер и когда в конфиге тора была запись:
DirFetchPeriod 12 hours

Помогите минимизировать трафик при простое системы, ибо как полагаю я, это какой-то ненужный мне трафик.

На страницу: 1, 2, 3, 4, 5, 6, 7 След.

Комментарии

—	SATtva (12/06/2007 18:41) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Нет, но кое-кому следует оборвать слишком длинные руки. :-) Если есть сомнения в авторстве — смотрите профиль пользователя, дату его регистрации и группы, в которых он состоит. Но вообще это уязвимость, конечно. Уязвимость к социальной инженерии. Исправим.

—	unknown (12/06/2007 18:48, исправлен 12/06/2007 18:49) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Вот секретный код эксплойта (все равно уже все догадались):

0000000: 756e 6b6e 6f77 6e0a                      unknown.
0000000: 756e 6b6e d0be 776e 0a                   unkn..wn.

—	spinore (12/06/2007 20:47) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

SATtva:
SATtva (12/06/2007 18:41) профиль <#>
комментариев: 3569 документов: 736 редакций: 304
отпечаток ключа: ... FAEB 26F7 8443 620A

Нет, но кое-кому следует оборвать слишком длинные руки. :-) Если есть сомнения в авторстве – смотрите профиль пользователя, дату его регистрации и группы, в которых он состоит. Но вообще это уязвимость, конечно. Уязвимость к социальной инженерии. Исправим.

Давайте попытаемся понять, кто есть человек опубликовавший этот пост. Подпись есть? Я не вижу подписи. У меня есть ключ настоящего SATtva'ы – я его ещё с год назад импортировал, но в данном случае он ничего мне не даёт. Что видим? Ник пользователя, хэш, параметры профиля... Хм, интригующе. А хотите если можно прийти на сервер с корочками или просто с омоном под болаговидным или не очень предлогом и вручную поставить хоть 10.000 комментариев а включить себя в группу Gods (а чё мелочиться?). У меня нет никаких априорных оснований отвергать этот случай, особенно всвязи с тематикой сайта (мало ли кому он мог помешать? Скажут ещё, что "плодят тут умников... а потом от них проблемы"). Итого: not trusted.

Теперь суммирую в чём состоит тонкая язва социнженерии:
Допустим, на этом сайте есть сотни активно обчающихся одновременно пользователей, и подробной информации о каждом у меня нет, даже априорной. Я не знаю время регистрации каждого из них, параметры профиля и прочее. Вот и рассмотрим 2 тактих серых человечка: пусть, ники их отличаются едва заметно, тогда это будет всё отличие между ними если не рассматривать отличия по хэшу (особенно актуально когда не знаете правильный хэш). Но всё может быть и хитрее: один из этих пользователей, допустим, публикует в одной ветке форума "да не знаю я, отстаньте вы от меня" – такую фразу, а другой её тут же перепостит под своим ником в другой ветке форума. Что тогда? Хэши разные но если их знать. Подпись верна относительно того под кого подделана, расхождения по дате нет, профиль и ник сложны к детекции на вшивость... Итого остаётся один хэш. А нет подписи – нет проблемы, то есть можно писать всё что угодно от кого угодно.
Этот форум маленький и все друг друга знают. И джае при этом можно отметить что я пока запомнил только последние цифры своего хэша – не залазяя в кейринг я не могу сказать, например, какой хэш для SATtva'ы верный, а про большинство остальных хэшей (остальных участников) вообще не могу ничего сказать: если кто-то захочет подделать, он подделает всё кроме хэша, а как узнать чей хэшг верный? Вот в этом и проблема.

P. S.: а вообще смешно: начали за здравие, а кончили за упокой. Начали с того, что все параметры сайта могут быть подменены потенциально, потому опираемся на хэши и подписи, а в итоге говорим "подпись это фигня ибо хэш неизвестен", а вот подделываемые параметры типа принадлежности к админам – это trueъ.

А ещё можно вот какую защиту сделать: в окне отправки сообщения выводить случайную строку, которая должна содержаться в подписанном сообщении чтобы сайт расценил подпись как верную – многие проблемы это бы как рукой сняло и даже дату выводить не пришлось для подписей. Как вам идея? То есть при каждой регенерации страницы должна создаваться случайная строка некоторой длины и печататься в уголке на сайте...

Ну вот, а кто-то хотел ещё какой-то функционал на промежутки по времени между созданием подписи и опубликованием повесить,.. там бы ещё веселей было :-)

—	spinore (12/06/2007 20:54) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

unknown:

0000000: 756e 6b6e 6f77 6e0a unknown.
0000000: 756e 6b6e d0be 776e 0a unkn..wn.

НУ кто есть 2-й пользователь я понял, а 1-й – это что за подделка? Да unknown и боится утверждать что-то – подписи нет на сообщении, значит боится что её сверят :-)

—	spinore (12/06/2007 21:02) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

unknown:
Не может же быть у Вас текучести трафика и пустой карты сети одновременно?

про текучесть спросил автор темы, а про карту случайный заходимецъ. Вещи не связаны между собой.

—	*Гость* (16/06/2007 04:54) <#>

Блин!
Понедельник начинается в субботу.

Если spinore будет хулиганить, по сусалам его, по сусалам!

:D

—	spinore (16/06/2007 05:09) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

может, по сусекам?

—	spinore (03/07/2007 11:51) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

В тему:
Если кто знает или у кого слишком умный файерволл, чтобы это узнать: сколько траффика ест tor на холостом ходу в единицу времени?

—	spinore (03/07/2007 11:52) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

ему же типа надо время от времени обновления статистики выкачивать...

—	unknown (03/07/2007 11:58, исправлен 03/07/2007 11:59) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Iptraf с обратным DNS запустите и прикиньте.

Точно сказать сложно.
Где-то метр-два на старте и затем по несколько сот килобайт в течении часа, плюс мелкие всплески.

—	spinore (03/07/2007 12:32) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Iptraf с обратным DNS запустите и прикиньте.

А у нас век ещё каменный ;(

—	unknown (03/07/2007 12:56) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

А у нас век ещё [WWW] каменный ;(

Ни юникода, ни айпитрафа. Как Вы там живётё ?-)

—	spinore (03/07/2007 13:03) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Вот так и мучаемся :-( Тяжела судьба "альтернативщиков".

—	unknown (03/07/2007 13:25) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Запустите сниффер и посчитайте пакеты.

—	spinore (03/07/2007 13:29) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Запустите сниффер и посчитайте пакеты.

Тогда уж сразу во все тяжкие: ставить осциллограф между сетевой и проводом и мерить, мерить, мерить.... ;-)))

На страницу: 1, 2, 3, 4, 5, 6, 7 След.

Ваша оценка документа [показать результаты]