Балансировка двух Tor-каналов vs анонимность

Если хочется получить бОльшую скорость работы через Tor, или если хочется не ассоциировать разные анонимные identity посредством использования одних и тех же цепочек в Tor, можно, в простейшем случае, поднять два разных тор-клиента, и связать каждый из них со своим пользователем на машине. Однако, у такого подхода, если единственная его цель – улучшение качества и скорости связи, есть очевидный минус: "ручная" балансировка задач между разными Tor-каналами далеко не самая оптимальная. В связи с этим предлагается обсудить следующую схему. Допустим, что у нас есть два тор-канала (соответствуют одновременно запущенным двум Tor-клиентам) с прозрачным заворачиванием всего трафика от нужных юзеров в сеть Tor. Логично было бы сделать автоматическую балансировку нагрузки между этими каналами стандартными средствами firewall'а (например, altq в OpenBSD PF с использованием опций типа round-robin, route-to и, может быть, source-hash: какие-то примеры обсуждались здесь). Однако, мне не очевидно что такая схема будет работать корректно, т.к. всё зависит от того, отправляются ли разные tcp-сессии через разные gateway (Tor-клиенты), и, если нет, то как отреагирует firewall на ситуацию с сосуществованием двух независимых маршрутов до одного и того же внешнего IP. Также возникает вопрос о всевозможных последствиях для анонимности в таком подходе: сможет ли, к примеру, внешний хост определить, что пользовательский Tor-клиент настроен именно вышеуказанным способом? Вдруг разные элементы web-страницы будут загружаться через разные exit-ноды? Просьба к уважаемым участникам, кто понимает как технически работают балансировки интернет-каналов и Tor высказаться по этому поводу. Конкретные тезисы, выносимые на обсуждение, следующие:

Возможно ли настроить такую схему (нет ли здесь противоречий со стандартами)?
Каковы последствия данной настройки для анонимности?
Какие конкретные технические рекомендации вы можете дать для организации такой настройки? (В терминологии iptables или, что лучше, pf, т.к. с ним я знаком лучше)

На страницу: 1, 2 След.

Комментарии

—	unknown (23/12/2009 16:25) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>как отреагирует firewall на ситуацию с сосуществованием двух независимых маршрутов до одного и того же внешнего IP.

Раньше были способы подключения двух медленных модемов в один канал. Наверняка можно через два псевдоустройства.

>Каковы последствия данной настройки для анонимности?

Первое, что приходит в голову:

первый клиент случайно выбирает цепочку: A-x-C, второй клиент выбирает цепочку: C-y-A, а трафик в данном случае идёт специфически коррелируемый и вообще нестандартный (половины пакетов нехватает).

—	*Гость* (23/12/2009 16:52) <#>

трафик в данном случае идёт специфически коррелируемый и вообще нестандартный (половины пакетов нехватает).

Если все пакеты в рамках одной TCP-сессии идут только через одну цепочку одного из Tor-клиентов, то корреляции будут не столь явными, по крайней мере, это не будет отличаться от случая двух независимых Tor-клиентов концептуально. Дело ещё в том, что пока я очень плохо представляю как работает тот же altq и route-to: данными вещами в pf пользоваться не приходилось. С другой стороны, данная задача мне кажется интересной по практике настройки балансировки трафика (я-то думал, что на десктопе такое понадобиться вряд ли сможет).

—	*Гость* (23/12/2009 19:14) <#>

Почему только двух? ;)

—	*Гость* (23/12/2009 19:28) <#>

Я мог бы написать n, но поначалу проще отлаживать на 2ух, да и понятнее излагать концепцию на 2ух, к тому же, при n>3, имхо, угроза анонимности может стать существенной.

—	*Гость* (24/12/2009 12:58) <#>

Ну допустим будет понятно, что два канала на самом деле – один, угрозы анонимности тут не более чем для одного "обычного" канала.

—	unknown (24/12/2009 13:15) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Если это будет понятно, то пользователи со сдвоенными каналами выделяются в заведомо маленькое множество. Примерно против этого же стараются скрывать ОС и браузер путём унифицированной подмены отправляемых заголовков.

—	*Гость* (24/12/2009 17:44) <#>

Если это будет понятно, то пользователи со сдвоенными каналами выделяются в заведомо маленькое множество.

Информация об ОС и броузере может теоретически помочь атаковать машину, т.е. подобрать уязвимость, эксплойт и т.д. А чем облегчает атаку (или чем грозит выделение в некое анонимное подмножество некоего также анонимного множества) информация о кол-ве каналов с точки, не совсем ясно.

—	*Гость* (24/12/2009 18:19) <#>

Выделение в некое анонимное подмножество некоего также анонимного множества сужает область поиска анонима при переборе. Допустим, есть данные или гипотеза о том, что некто неанонимно посещает сайт А и настраивает свой Tor вышеуказанным образом. Также есть гипотеза, что он же анонимно посещает сайт B. Администраторы сайта B, зная об этой отличительной характеристике, могут с той или иной вероятностью подтвердить эту гипотезу, т.е. деанонимизировать анонима на сайте B. В предположении, что аноним соединяется с инетом через единственный интернет-канал, противник может провести атаку пересечения, доказав свою гипотезу, т.е. окончательно деанонимизировав нужного пользователя.

Впрочем, ответ на то, что вы спрашиваете столь очевиден, что я с трудом сдерживаюсь не назвать Вас плохими словами. Подобные пустые вопросы отнимают время участников, а когда они превращаются в неприкрытый троллинг отбивается всякое желание на подобное отвечать. Если не отвечать вообще, то новички, который действительно не понимают, полностью перестанут получать ответы на свои вопросы. Самый обычный DDoS.

—	*Гость* (25/12/2009 09:42) <#>

Вот только пожалуйста без эмоций, если можно, а за ответ спасибо

—	unknown (25/12/2009 11:17, исправлен 25/12/2009 11:33) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>Вдруг разные элементы web-страницы будут загружаться через разные exit-ноды?

Вот если зайти на pgpru.com, отключив блокировку баннеров, то можно увидеть через iptraf, что стартует множество сессий.

Вообще — это типично — множество TCP-сессий для одного HTTP-соединения.

Если они пойдут для одного пользователя не через один exit, а через два, то SATtva (или "человек-посредине") обо всём догадается :-)

—	*Гость* (25/12/2009 13:32) <#>

Вообще — это типично — множество TCP-сессий для одного HTTP-соединения.

Известны ли в IT какие-то способы связать все эти сессии воедино на правилах fw, т.е. иначе кроме как через привязывание всего трафика сгенерированного одним пользователем к одному и тому же Tor-клиенту? Конкретно web-трафик можно всегда пропускать через privoxy, а уж оно ведает, что все эти сессии порождены загрузкой одного и того же url. Вот бы познания privoxy, да fw'у в уши :-)

—	unknown (25/12/2009 14:14) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

По порту всё можно завернуть в privoxy, а сам исходящий трафик от привокси как балансировать, между двумя торами что-ли?

—	*Гость* (25/12/2009 14:26) <#>

Что-то типа того :) Только не факт, что можно сделать так, чтобы privoxy загружало всё, связанное с заданным url'ом, через один и тот же тор-клиент. Есть тагирование и покраска трафика, но вряд ли здесь это поможет, т.к., имхо, уровень, на котором нужно разгребать трафик, выше чем tcp, т.е. fw'у он не виден.

—	unknown (25/12/2009 15:06) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>Только не фактТолько не факт, что можно сделать так, чтобы privoxy загружало всё, связанное с заданным url'ом, через один и тот же тор-клиент.

Это раз. А ещё вэб-страница может иметь смешанный контент из разных url'ов — это два.

—	*Гость* (25/12/2009 15:13) <#>

Тогда получается, что только браузер знает, что надо грузить обязательно через один и тот же Tor-клиент :-(

На страницу: 1, 2 След.

Общая оценка документа [показать форму]

страница еще не оценена