Tor и безмерная текучесть трафика
Здравствуйте, у меня проблема, которая заключается в том, что tor при простое системы для чего-то потребляет трафик.
Но, как полагаю я, это вовсе не на обновление каталога серверов, т.к:
Сначала немного скажу что я делал. Система у меня gentoo, если я просто поднимаю ppp1 без тора, то трафик не поступает вообще, т.е. как я получил 54 байта так это чисто и остается, как только я поднимаю сервис tor, через секунд 30-40 ко мне поступает иногда до 40кб иногда до 200кб разом, и потом, на протяжении десяти минут входящий трафик увеличивается примерно до 600кб, т.е. например минуту или две стабильно ничего не происходит, а потом поступает опять от 40 – 200 кб. Вообщем поведение разное, бывает что и просто по 20 кб / примерно в 20 секунд поступает.
Открыл в редакторе все файлы из каталога /var/lib/tor/data, и в это время, пока идет трафик, они не изменяются.
Как только останавливаю tor трафик тоже перестает поступать.
Отмечу еще раз, что я в это время ничего не делаю, прокси нигде не использую, все приложения которые могут испоьзовать сеть выключены, даже локальный днс пробовал отключать, просто запускаю в консоли тор и наблюдаю за текучестью трафика.
Интернет по технологии adsl.
конфиг тора:
конфиг privoxy:
Tor v0.1.1.23
Вывод tcpdump -i ppp1
87.119.245.48 – мой текущий динамический ip
Данный dump сделал кргда был опущен dns сервер и когда в конфиге тора была запись:
DirFetchPeriod 12 hours
Помогите минимизировать трафик при простое системы, ибо как полагаю я, это какой-то ненужный мне трафик.
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 9796 документов: 488 редакций: 5664
А если отключить всё лишнее, то он не будет активно перестраивать цепочки -> меньше траффик на проверку цепочек -> реже обновления статистики
комментариев: 1515 документов: 44 редакций: 5786
А что, траффик, потребляемый тором, зависит ещё от того какие программы лезут в интернет напрямую?
И вообще, он неаддитивен получается? То есть траффик нагрзуки != траффик холостого хода + траффик программ, работающих под тором(?). Да, как всё трудно. Я единственное что замечал, так это то, что если тор долго не трогать netstat в диагностике сетевого монитора не показывает соединения с тор-узлами: он что, усыпает и отключается на автопилоте?
комментариев: 9796 документов: 488 редакций: 5664
Запустили тор, он скачал статистику. Запустили программу через тор, он построила цепочки, если цепочка не строится, может ещё раз ткнуться в статистику – не выкачивая всю с главного узла, а только обновления с некоторых. Если программы в тор не ломятся, то и цепочки не строятся, а статистика обновляется редко и более глобально.
комментариев: 1515 документов: 44 редакций: 5786
Не уверен что она вообще будет обновляться. Мне всегда казалось, что если тор не используют, то он "усыпает".
Здесь вопрос идёт относительно серьёзной уязвимости в корреляции траффика:
Допустим, что оппнент подозревает, что пользователь "A", посещающий некоторый сайт, является Ивановым Иваном Ивановичем, при которого всё известно. Допустим, что оппонент обладает неограниченными возможностями в прослушивании входящего траффика на сервер, где хостится тот самый сайт, посещаемый пользователем "A". Поскольку все соединения с тором могут быть легко зафиксированы на уровне провайдера, то можно набирать статистику и проверять: не в промежутки ли времени между соединениями Ивана Ивановича с tor'ом пользователь "A" подключался к сайту. Если статистика говорит о том, что не обнаружено ни одного соединения пользователя "A" с сайтом в другое время, возникают мутные подозрения о том, что Иван Иванович и есть пользователь "А". Чтобы реализовать такую схему не надо быть совсем глобальным наблюдателем: надо лишь сидеть в двух местах в интернете: между Иваном Ивановичем и его провайдером и на потоках траффика перед самым сайтом. Вопрос: что может предпринять Иван Иванович? Например, сделать вид что соединение с тором у него есть всегда. Но если интенсивность скачки статистики сильно зависит от интенсивности использования тора, то атака остаётся осуществимой и лишь чуть-чуть усложняется. Делать равномерный покрывающий траффик непрактично в условиях ограниченности оного. В итоге, вопрос сводится к совсем простому: окупает ли эта "псевдозащита" от указанной уязвимости затраты на перерасход траффика в холостом ходу tor'а?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1515 документов: 44 редакций: 5786
Тут уж придется выбирать – "кошелёк(траффик) или жизнь(анонимность)" :).
А вобще то неограниченный траффик становиться всё более доступным...
комментариев: 9796 документов: 488 редакций: 5664
Запустить свой сервер (в данном случае хотя бы middleman-tor)! Справедливо для всех анонимных сетей.
комментариев: 1515 документов: 44 редакций: 5786
Но кто мне внешние соединения откроет? Итак админы стегут что трафа много народ расходует. даже об внешнем ssh не может быть речи. Только туеннели -((
комментариев: 11558 документов: 1036 редакций: 4118
В некоторых случаях проблема может быть серьёзнее, чем может показаться. Допустим, небольшой город, где все друг друга знают, а число интернет-пользователей сравнительно невелико. Если Иван Иваныч решит подключиться к какому-нибудь местному узлу через Tor, провайдер окажется для него глобальным наблюдателем, отслеживающих трафик обоих хостов. Ну, и в бОльших масштабах тоже могут возникнуть трудности.
комментариев: 1515 документов: 44 редакций: 5786
Если нет "продвинутых" средств подсчета рафа, можно сделать так:
1. ограничить число первых нод (через ReachableAddresses) и считать трафик только к этим ip.
2. завернуть трафик тора на локальный прокси (через HttpProxy и HttpsProxy) и считать трафик от тора к лок. проксе.
А вот насчет покрывающего трафика вопрос гораздо интереснее!
Допустим что нет возможности поднять сервер tor, даже как middle – как про техническим причинам (человек сидит за натом или проксей) так и по "юридическим" (в договоре с провайдером указано что нельзя проксировать чужой трафик или типа того).
Как быть?
Что-то вижу пока только один вариант – для всех цепочек всегда используется одна нода (EntryNodes и StrictEntryNodes)! Далле средствали ос ограничиваем входящую и исходящую скорость (например по 5кб), далее запускаем одновременно закачка большого файла с внешнего сервера и заливку большого ыайла на внешний сервер.
Очень топорный вариант, но что-то лучше придумать не получается.
Может у кого есть мысли?
комментариев: 11558 документов: 1036 редакций: 4118
...которые переполнят ограниченный канал, окончательно убив скорость сетевых приложений. Тогда придётся дополнительный трафик-шейпер поднимать, который бы динамически регулировал скорость закачки/загрузки "покрывающих файлов" в зависимости от нормального использования сети.
Вообще ParanoidAnt уже предлагал здесь некоторые инструменты. Может быть не совсем релевантно, но может пригодиться. Кроме того, генерировать трафик можно, пуская поток из /dev/urandom с хоста-инициатора в /dev/null на хосте-получателе.
Замечу также, что покрывающий трафик не реализован в Tor'е не только (и не столько) по экономическим соображениям. Дело в том, что пока нет бесспорного понимания, в какой мере использование покрывающего трафика способствует повышению анонимности соединения. В качестве одного из примеров, активный нападающий (с доступом к большим сегментам Сети) может разрывать некоторые соединения и смотреть, в какой момент ваше торифицированное подключение отвалится. Покрывающий трафик здесь не поможет.
Шейпер действительно будет не лишним. Но имхо и без него будет работать, искрене надеюсь, что каждое соединение получит равную часть полосы (4 целевых соединения и 1 покрывающее – каждомы по 1кб).
А насчет покрывающего трафика в целом и угрозы "разрыва соединения" – было бы здорово, если можно было средствами самого тора организовывать покрывающий трафик фиксированой полосы ДО ПЕРВОЙ ноды!
Те получаем, что в независимости какие соединения будут разорваны, трафик будет идти постоянным или не идти вообще. Хотя если будет разорвано соединение с первой нодой, то прекратится и целевой трафик, и вот это можно будет отследить.
А вот аткой вопрос – если построены две разные цепочки с одной и тойже EntryNode, то можно будет определить какой трафик относиться к одной и другой цепочке (если снимать трафик только от меня к EntryNodes)?