Tor и безмерная текучесть трафика

Здравствуйте, у меня проблема, которая заключается в том, что tor при простое системы для чего-то потребляет трафик.
Но, как полагаю я, это вовсе не на обновление каталога серверов, т.к:
Сначала немного скажу что я делал. Система у меня gentoo, если я просто поднимаю ppp1 без тора, то трафик не поступает вообще, т.е. как я получил 54 байта так это чисто и остается, как только я поднимаю сервис tor, через секунд 30-40 ко мне поступает иногда до 40кб иногда до 200кб разом, и потом, на протяжении десяти минут входящий трафик увеличивается примерно до 600кб, т.е. например минуту или две стабильно ничего не происходит, а потом поступает опять от 40 – 200 кб. Вообщем поведение разное, бывает что и просто по 20 кб / примерно в 20 секунд поступает.

Открыл в редакторе все файлы из каталога /var/lib/tor/data, и в это время, пока идет трафик, они не изменяются.
Как только останавливаю tor трафик тоже перестает поступать.
Отмечу еще раз, что я в это время ничего не делаю, прокси нигде не использую, все приложения которые могут испоьзовать сеть выключены, даже локальный днс пробовал отключать, просто запускаю в консоли тор и наблюдаю за текучестью трафика.

Интернет по технологии adsl.
конфиг тора:
User tor Group tor PIDFile /var/run/tor/tor.pid SocksPort 9050 SocksListenAddress 127.0.0.1 Log notice file /var/log/tor/tor.log DataDirectory /var/lib/tor/data ClientOnly 1 DirFetchPeriod 1 hours

конфиг privoxy:
forward-socks4a / 127.0.0.1:9050 . trust-info-url http://www.example.com/why_we_block.html trust-info-url http://www.example.com/what_we_allow.html confdir /etc/privoxy logdir /var/log/privoxy actionsfile standard # Internal purpose, recommended actionsfile default # Main actions file actionsfile user # User customizations filterfile default.filter logfile privoxy.log debug 4096 # Startup banner and warnings debug 8192 # Errors - *we highly recommended enabling this* listen-address 127.0.0.1:8118 toggle 1 enable-remote-toggle 1 enable-remote-http-toggle 1 enable-edit-actions 1 buffer-limit 4096 forward-socks4a / 127.0.0.1:9050 . forwarded-connect-retries 0

Tor v0.1.1.23

Вывод tcpdump -i ppp1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 68 bytes 18:09:23.340227 IP 78.96.117.44.31070 > 87.119.245.48.1026: UDP, length 366 18:09:38.461171 IP 87.119.245.48 > 78.96.117.44: ICMP host 87.119.245.48 unreachable - admin prohibited, length 402 18:11:15.056371 IP 87.119.245.48.46371 > 85.214.91.190.9030: S 1126139466:1126139466(0) win 5808 <mss 1452,sackOK,timestamp 48707900[|tcp]> 18:11:15.203194 IP 85.214.91.190.9030 > 87.119.245.48.46371: S 1116407089:1116407089(0) ack 1126139467 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp]> 18:11:15.203376 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 1 win 182 <nop,nop,timestamp 48707937 0> 18:11:15.203837 IP 87.119.245.48.46371 > 85.214.91.190.9030: P 1:101(100) ack 1 win 182 <nop,nop,timestamp 48707937 0> 18:11:15.372818 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 1:1441(1440) ack 101 win 65435 <nop,nop,timestamp 7816169 48707900> 18:11:15.372980 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 1441 win 272 <nop,nop,timestamp 48707979 7816169> 18:11:15.374003 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 1441:2881(1440) ack 101 win 65435 <nop,nop,timestamp 7816169 48707900> 18:11:15.374147 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 2881 win 362 <nop,nop,timestamp 48707980 7816169> 18:11:15.520865 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 2881:4321(1440) ack 101 win 65435 <nop,nop,timestamp 7816171 48707979> 18:11:15.521006 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 4321 win 452 <nop,nop,timestamp 48708016 7816171> 18:11:15.522066 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 4321:5761(1440) ack 101 win 65435 <nop,nop,timestamp 7816171 48707979> 18:11:15.522198 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 5761 win 542 <nop,nop,timestamp 48708017 7816171> 18:11:15.523512 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 5761:7201(1440) ack 101 win 65435 <nop,nop,timestamp 7816171 48707980> ............................ 18:11:16.433831 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 68417:69857(1440) ack 101 win 65435 <nop,nop,timestamp 7816180 48708208> 18:11:16.435355 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 69857:71297(1440) ack 101 win 65435 <nop,nop,timestamp 7816180 48708208> 18:11:16.435501 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 71297 win 2003 <nop,nop,timestamp 48708245 7816180> 18:11:16.437070 IP 85.214.91.190.9030 > 87.119.245.48.46371: . 71297:72737(1440) ack 101 win 65435 <nop,nop,timestamp 7816180 48708208> 18:11:16.437495 IP 85.214.91.190.9030 > 87.119.245.48.46371: P 72737:73505(768) ack 101 win 65435 <nop,nop,timestamp 7816180 48708208> 18:11:16.437648 IP 87.119.245.48.46371 > 85.214.91.190.9030: . ack 73505 win 2003 <nop,nop,timestamp 48708246 7816180> 18:11:33.786064 IP 87.119.238.63.4316 > 87.119.245.48.2967: S 275830455:275830455(0) win 65535 <mss 1440,nop,nop,sackOK> 18:11:33.786275 IP 87.119.245.48.2967 > 87.119.238.63.4316: R 0:0(0) ack 275830456 win 0 18:11:34.169175 IP 87.119.238.63.4316 > 87.119.245.48.2967: S 275830455:275830455(0) win 65535 <mss 1440,nop,nop,sackOK> 18:11:34.169365 IP 87.119.245.48 > 87.119.238.63: ICMP host 87.119.245.48 unreachable - admin prohibited, length 56 18:11:59.250219 IP 87.119.245.48.37113 > 128.31.0.34.9001: F 863861110:863861110(0) ack 2422099679 win 484 <nop,nop,timestamp 48718949 381939803> 18:11:59.250532 IP 87.119.245.48.46437 > 85.214.83.203.9001: F 929276118:929276118(0) ack 926556819 win 396 <nop,nop,timestamp 48718949 3047666157> 18:11:59.250966 IP 87.119.245.48.33308 > 212.42.236.140.https: F 920485137:920485137(0) ack 2261896261 win 359 <nop,nop,timestamp 48718949 284979766> 18:11:59.395624 IP 85.214.83.203.9001 > 87.119.245.48.46437: F 1:1(0) ack 1 win 3011 <nop,nop,timestamp 3047881466 48718949> 18:11:59.395802 IP 87.119.245.48.46437 > 85.214.83.203.9001: . ack 2 win 396 <nop,nop,timestamp 48718985 3047881466> 18:11:59.400792 IP 212.42.236.140.https > 87.119.245.48.33308: F 1:1(0) ack 1 win 43 <nop,nop,timestamp 285033831 48718949> 18:11:59.400962 IP 87.119.245.48.33308 > 212.42.236.140.https: . ack 2 win 359 <nop,nop,timestamp 48718986 285033831> 18:11:59.445614 IP 128.31.0.34.9001 > 87.119.245.48.37113: F 1:1(0) ack 1 win 113 <nop,nop,timestamp 381992303 48718949> 18:11:59.445837 IP 87.119.245.48.37113 > 128.31.0.34.9001: . ack 2 win 484 <nop,nop,timestamp 48718998 381992303>

87.119.245.48 – мой текущий динамический ip

Данный dump сделал кргда был опущен dns сервер и когда в конфиге тора была запись:
DirFetchPeriod 12 hours

Помогите минимизировать трафик при простое системы, ибо как полагаю я, это какой-то ненужный мне трафик.

На страницу: 1, 2, 3, 4, 5, 6, 7 След.

Комментарии

—	*Гость* (05/07/2007 01:52) <#>

Товарищи, имейте совесть! Тор и так еле дышит, а вы его еще покрывающим трафиком забивать собираетесь. И без этого тормоза настолько дикие, что зачастую приходиться его отключать, а вашими стараниями через тор скоро вобще нельзя будет работать.
Вот купите себе выделеный сервер, поставьте на него впн, и пускайте левый трафик хоть до посинения.

—	ent1 (05/07/2007 02:54) <#>

Гость
Ну, этот вариант я предложил для того случая, когда НЕТ ВОЗМОЖНОСТИ поднять сервер тора (только миддл), а если такая возможность есть, то и изобретать ничего не нужно – все уже давно готово, раз, и свой вклад вносишь в развитие сети тор, два. По-моему честно.

Один впн на личном сервере и покрывающий трафик до него не поможет, должен обязательно работать еще промежуточный сервер тора, чтобы с сервера шел не только твой трафик.

И еще, такое положение дел заставляет уделять больше внимания проблеме устойчивости сети к ДОС атакам. Ну например что мешает "незаинтересованным лицам" просто брать а качать много больших файлов через тор без всяких ограничений по скорости?

—	*Гость* (05/07/2007 04:39) <#>

что мешает "незаинтересованным лицам" просто брать а качать много больших файлов через тор без всяких ограничений по скорости?

Я думаю, чем строже будут преследовать нелегальных киноманов, тем больше будет нагрузка на Тор. И загнётся он именно от этого. :(

—	*Гость* (05/07/2007 04:54) <#>

если тор не используют, то он "усыпает"

В Опере щёлкаем правой кнокой и выбираем "обновлять каждые", например, 5 минут. А сами работаем на другой вкладке.
Вероятно и в других браузерах есть нечто аналогичное.

—	ent1 (05/07/2007 04:57) <#>

Искренне надеюсь, что нет!
Имхо, скорее сеть edk станет больше похожа на фринет, и тогда тор для этого будет не нужен. Да и пропускные способности растут, раньше тоже думали, что инет будет загибаться от p2p, и ничего, перешагнули и дальше пошло развитие и увеличение пропускной способности.

Offtop

нелегальных киноманов

Интересное определение. Дело в том, что сейчас в россии нельзя посмотреть фильм в хорошем качестве, кроме как скачав из инета DVD R1 и подогнав к нему дорожку от "лицензионной" R5. Все дело в том, что у нас под видом лицензии продаются банальные TC, и это ОФФИЦИАЛЬНО! Те "пираты" не имеют к этому никакого отношения вообще. Куда мир катится?

—	*Гость* (05/07/2007 07:33) <#>

Один впн на личном сервере и покрывающий трафик до него не поможет, должен обязательно работать еще промежуточный сервер тора, чтобы с сервера шел не только твой трафик.

Ну, во первых надо брать сервер не в россии, а там, куда не дотянуться руки у наших ментов, чтобы снизить вероятность снифания его исходящего трафика. Во вторых, на сервер можно повесить еще tor сервер, http, mail и кучу разного говна, так что хрен кто потом разбереться где чей трафик.

—	*Гость* (05/07/2007 07:36) <#>

Ну а TOR загнеться скорее всего от недостатка exit nodes. Слишком уж опасно разрешать exit на своем сервере, и мало кто это делает (а кто и делает, так только до первой связаной с этим неприятности).

Решением может стать создание дистрибутива tor тихо устанавливающегося в систему, и отгрузка его на ботнеты. Тогда не будет проблем с количеством узлов.

—	SATtva (05/07/2007 10:10) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

А вот аткой вопрос – если построены две разные цепочки с одной и тойже EntryNode, то можно будет определить какой трафик относиться к одной и другой цепочке (если снимать трафик только от меня к EntryNodes)?

Весьма затруднительно. Входной узел (который с недавних пор является ещё и охранным узлом, GuardNode, с большой пропускной способностью) транслирует ведь не только Ваш трафик, но и множества других клиентов, что само по себе становится покрывающим трафиком для Вас. Таким образом, противник не может просто, прослушивая канал от Вас к входному узлу и от входного узла далее, провести атаку пересечения трафика.

Ну, этот вариант я предложил для того случая, когда НЕТ ВОЗМОЖНОСТИ поднять сервер тора (только миддл)

Middleman'а уже достаточно.

—	spinore (05/07/2007 23:40) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

SATtva

В некоторых случаях проблема может быть серьёзнее, чем может показаться. Допустим, небольшой город, где все друг друга знают, а число интернет-пользователей сравнительно невелико. Если Иван Иваныч решит подключиться к какому-нибудь местному узлу через Tor, провайдер окажется для него глобальным наблюдателем, отслеживающих трафик обоих хостов.

Есть и другая модель: Иван Иванович является специалистом в области резки металла и поборником свободы слова. Он говорит на языке B и общается на нём же о резке металла на нескольких сайтах, но на каких-то – анонимно, а на других – нет. Глобальный оппонент, узнав что пользователь "А" есть специалист по резке, легко может решить обратную задачу: людей, владеющих языком B и в совершенстве владеющих резкой металла не так много, все они тем или иным образом представлены в сети на сайтах по резке металла. Так как Иван Иванович заходит на некоторые из них неанонимно, задача сводится к его отысканию не среди пользователей всей сети, а только среди пользователей сайтов о резке металла. Далее требуется доказать, что Иван Иванович есть пользователь А. Для этого можно, в том числе, применить атаку пересения траффика о которой сказал unknown, а также много других атак: как пассивных, так и активных.

ent1

завернуть трафик тора на локальный прокси (через HttpProxy и HttpsProxy) и считать трафик от тора к лок. проксе.

Не, настраивать локальный прокси – это уж слишком... да и как вообще траффик тора можно завернуть на локальный прокси если IP на реальный, например? Как последняя нода сможет мне послать пакет? Я что-то плохо представляю...

Что-то вижу пока только один вариант? Для всех цепочек всегда используется одна нода (EntryNodes и StrictEntryNodes)! Далле средствали ос ограничиваем входящую и исходящую скорость (например по 5кб), далее запускаем одновременно закачка большого файла с внешнего сервера и заливку большого ыайла на внешний сервер.

Сейчас тор использует 3 ноды. Это ужасный минимум. Если их сократить до "эффективных двух", зафиксировав одну из них, получится совсем плохо в плане безопасности.

SATtva

В качестве одного из примеров, активный нападающий (с доступом к большим сегментам Сети) может разрывать некоторые соединения и смотреть, в какой момент ваше торифицированное подключение отвалится. Покрывающий трафик здесь не поможет.

Конкретно это можно обойти, сконструировав сеть tor по топологии наподобие torrent'а: скачка и закачка велась бы с одного хоста через несколько цепочек одновременно, и чтобы прервать скачку пришлось бы разрывать их все одновременно, хотя да, согласен, это только экстенсивное усложнение решения проблемы, а не интенсивное (количественно а не качественно).
P. S.: если бы весь Internet был бы FreeNet'ом...

ent1

для чего было достаточно посмотреть "нефлоу с сor ма"

А по-русски?

ent1

А вот аткой вопрос? Если построены две разные цепочки с одной и тойже EntryNode, то можно будет определить какой трафик относиться к одной и другой цепочке (если снимать трафик только от меня к EntryNodes)?

Только по корреляциям в траффике в интернете: например, если по одной цепочке качается большой файл, а другая висит на холостой то тут и думать нечего ;-)

Гость

Товарищи, имейте совесть! Тор и так еле дышит, а вы его еще покрывающим трафиком забивать собираетесь. И без этого тормоза настолько дикие, что зачастую приходиться его отключать, а вашими стараниями через тор скоро вобще нельзя будет работать.
Вот купите себе выделеный сервер, поставьте на него впн, и пускайте левый трафик хоть до посинения.

Даже если бы такой сервер был одноразовым, при всём честном народе был демонстративно поставлен и без возможности логиниться... после настройки его бы легко похацкали (его анонимность) измеряя корреляции во входящем и исходящем с него траффике ;-)
В принципе, сервер VPN пытается решить проблему колчественно, а не качественно. Для примера рассмотрите VPN-сервер частью вашего компа и атаку на такую систему ;-)))

Гость

Я думаю, чем строже будут преследовать нелегальных киноманов, тем больше будет нагрузка на Тор. И загнётся он именно от этого. :(

Через сеть tor качают другие вещи. Музыку и кино скачивают нисколько не прикрываясь даже в странах типа Европы и их никто не ловит.

Гость

В Опере щёлкаем правой кнокой и выбираем "обновлять каждые", например, 5 минут. А сами работаем на другой вкладке. Вероятно и в других браузерах есть нечто аналогичное.

tor усыпает только тогда, когда вы не работаете ни в каких вкладках, и вообще ничего не шлёте в сеть tor никакими программами. Обновление страниц браузера здесь не совсем в тему.

Гость

Имхо, скорее сеть edk станет больше похожа на фринет, и тогда тор для этого будет не нужен.

Да, между прочим, осёл – это даааа... Не так давно получил информацию 0от знакомого по поводу найденного в локальном осле локальной сети маленького города и понял что это "даааа...", в общем, осла пока не стоит недооценивать.

Гость

Ну, во первых надо брать сервер не в россии, а там, куда не дотянуться руки у наших ментов

Не переживайте за нашу милицию ;-) Что уж что, а в этом плане они оччень хорошо скооперированы с коллегами очччень большого числа стран, если речь, конечно, не идёт о поднятии новостного сервера или информации о кавказе ;-), где будут играть уже чисто политические мотивы.

Гость

Решением может стать создание дистрибутива tor тихо устанавливающегося в систему, и отгрузка его на ботнеты. Тогда не будет проблем с количеством узлов.

А вот это – здравое решение! ;-))) Мне нравится ;-)) Кто напишет вирус?

—	ent1 (06/07/2007 00:22) <#>

SATtva

Ну, этот вариант я предложил для того случая, когда НЕТ ВОЗМОЖНОСТИ поднять сервер тора (только миддл)

Middleman'а уже достаточно.

Я это и хотел сказать, наверно неточно выразился.

Насчет двух цепочек. Конечно, провести корреляцию трафика EntryNode затруднительно, да и меня интересет больше не эта проблема, а то, если ли в трафике, который перехватывают только на моей стороне, какие-нибудь особенности, позволяющие отличить одну цепочку от другой.

А если например у меня будет запущено две копии тора, и каждый будет строить независимые цепочки, но через одну общую EntryNode, в таком случае можно сказать – что вот это от одного, это от второго?

—	ent1 (06/07/2007 00:50) <#>

spinore

Не, настраивать локальный прокси – это уж слишком... да и как вообще траффик тора можно завернуть на локальный прокси если IP на реальный, например? Как последняя нода сможет мне послать пакет? Я что-то плохо представляю...

Так у нас была задача посчитать трафик тора на "холостом ходу"! Прокси здесь используется чтобы тор не напрямую соединялся со всеми нодами, а через проксю. Если бы ты сидел за натом, можно было считать трафик на роутере, при условии что никаких других соединений нет. Извини если криво объясняю, по другоне не научился ;)

Сейчас тор использует 3 ноды. Это ужасный минимум. Если их сократить до "эффективных двух", зафиксировав одну из них, получится совсем плохо в плане безопасности.

Чем-то всегда приходится жертвовать, лишним трафиком, низкой скоростью и тд. Могу придложить "элементарное" решение как увеличить число нод до шести (6) без исправления исходников и перекомпилиции бинарников ;)

для чего было достаточно посмотреть "нефлоу с сor ма"

А по-русски?

Посмотреть поток данных (NetFlow) идущий на сервер c0pm_а.

Не так давно получил информацию 0от знакомого по поводу найденного в локальном осле локальной сети маленького города и понял что это "даааа..."

А что в этом предложении имелось ввиду?

А вот это – здравое решение! ;-))) Мне нравится ;-)) Кто напишет вирус?

Угу, поддерживаю. Если действительно сделают, то будет прецедент, когда вирус будет работать на благо общества!!!

—	*Гость* (06/07/2007 02:18) <#>

Угу, поддерживаю. Если действительно сделают, то будет прецедент, когда вирус будет работать на благо общества!!!

Ну это мы запросто. Отдельный вирус смысла делать нет, но дистрибутив тихо устанавливающий тор я собрал. Посмотрите плиз конфигурацию, и проверьте работоспособность. Если все нормально, то можно начинать грузить на ботнеты.

http://rapidshare.com/files/41249090/torinst.exe.html

—	spinore (06/07/2007 02:18) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

А если например у меня будет запущено две копии тора, и каждый будет строить независимые цепочки, но через одну общую EntryNode, в таком случае можно сказать – что вот это от одного, это от второго?

Сложно сказать... Я не знаю TCP/IP. Если промежуточный сервер, который рутит пакеты не знает как различить TCP-сессии, то нельзя.

Так у нас была задача посчитать трафик тора на "холостом ходу"! Прокси здесь используется чтобы тор не напрямую соединялся со всеми нодами, а через проксю. Если бы ты сидел за натом, можно было считать трафик на роутере, при условии что никаких других соединений нет. Извини если криво объясняю, по другоне не научился ;)

И кто меня допустит ставить что-то на рутер организации? ;-)

Могу придложить "элементарное" решение как увеличить число нод до шести (6) без исправления исходников и перекомпилиции бинарников ;)

и? Ставить фиксированный сервер, через который бы прокачивался весь траф между торами чур не предлагать...

А что в этом предложении имелось ввиду?

Что информации там много и она отличается разнообразием, по-видимому. Можно было бы и поиспользовать осла. А то руки всё не доходят.

Угу, поддерживаю. Если действительно сделают, то будет прецедент, когда вирус будет работать на благо общества!!!

Есть одна проблема: мало компов есть сейчас, которые имеют право получать пакеты извне. Сервера что ли будем заражать? ;-) Чтобы работало и за натом нужно что-то наподобие torrent+tor. Пока tor не сделали таким, чтобы он обладал свойствами torrent'а, и очень зря (имхо). Если бы tor был организован как torrent сервер tor-мог бы поднимать каждый. + Можно было бы заставить силком его работать одновременно как сервер и клиент, как это и сделано в torrent.

—	spinore (06/07/2007 02:21) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Гость

Ну это мы запросто. Отдельный вирус смысла делать нет, но дистрибутив тихо устанавливающий тор я собрал. Посмотрите плиз конфигурацию, и проверьте работоспособность. Если все нормально, то можно начинать грузить на ботнеты.

Ну вы исходник бы для начала опубликовали.. А кто знает "что" вы там понасобирали...

—	spinore (06/07/2007 02:29) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Ну вы исходник бы для начала опубликовали.. А кто знает "что" вы там понасобирали...

+ Ваш вирус должен не только ставить тор на машины, но и настраивать соответствующим образом. Для теста поставьте на машину, запустите, потом проверьте с другой машины – работает ли первая как entrynode.

На страницу: 1, 2, 3, 4, 5, 6, 7 След.

Ваша оценка документа [показать результаты]