Spoiled Onions:
Exposing Malicious Tor Exit Relays
Philipp Winter
Karlstad University
Stefan Lindskog
Karlstad University
arXiv:1401.4917v1 [cs.CR] 20 Jan 2014
Abstract
Several hundred Tor exit relays together push more than
1 GiB/s of network traffic. However, it is easy for exit
relays to snoop and tamper with anonymised network
traffic and as all relays are run by independent volun-
teers, not all of them are innocuous. In this paper, we
seek to expose malicious exit relays and document their
actions. First, we monitored the Tor network after devel-
oping a fast and modular exit relay scanner. We imple-
mented several scanning modules for detecting common
attacks and used them to probe all exit relays over a pe-
riod of four months. We discovered numerous malicious
exit relays engaging in different attacks. To reduce the
attack surface users are exposed to, we further discuss
the design and implementation of a browser extension
patch which fetches and compares suspicious X.509 cer-
tificates over independent Tor circuits. Our work makes
it possible to continuously monitor Tor exit relays. We
are able to detect and thwart many man-in-the-middle at-
tacks which makes the network safer for its users. All
our code is available under a free license.
1 Introduction
As of January 2014, nearly 1,000 exit relays [24] dis-
tributed all around the globe serve as part of the Tor
anonymity network [7]. As illustrated in Figure 1, the
purpose of these relays is to establish a bridge between
the Tor network and the “open” Internet. A user’s Tor
circuits, which are encrypted tunnels, terminate at exit
relays and from there, the user’s traffic proceeds to travel
over the open Internet to its final destination. Since exit
relays can see traffic as it is sent by a Tor user, their
role is particularly sensitive compared to entry guards
and middle relays; especially because traffic frequently
lacks end-to-end encryption.
By design, exit relays act as a “man-in-the-middle”
(MitM) in between a user and her destination. This
1
renders it possible for exit relay operators to run vari-
ous MitM attacks such as traffic sniffing, DNS poison-
ing, and SSL-based attacks such as HTTPS MitM and
sslstrip [19]. An additional benefit for attackers is that
exit relays can be set up quickly and anonymously, mak-
ing it very difficult to trace attacks back to their origin.
While it is possible for relay operators to specify con-
tact information such as an email address1 , this is op-
tional. As of January 2014, only 56% out of all 4,962
relays publish contact information. Even fewer relays
have valid contact information.
To thwart a number of popular attacks, Tor-
Browser [23]—the Tor Project’s modified version
of Firefox—ships with extensions such as HTTPS-
Everywhere [8] and NoScript [14]. While HTTPS-
Everywhere provides rules to rewrite HTTP traffic to
HTTPS traffic, NoScript attempts to prevent many script-
based attacks. However, there is little users can do if
web sites implement poor security such as the lack of
site-wide TLS, session cookies being sent in the clear, or
using weak cipher suites in their web server configura-
tion. Often, such bad practices enable attackers to spy on
users’ traffic or, even worse, hijack accounts. Besides,
TorBrowser cannot protect against attacks targeting pro-
tocols such as SSH.
All these attacks are not just of theoretical nature. In
2007, a security researcher published 100 POP3 govern-
ment credentials he captured by sniffing traffic on a set
of exit relays under his control [22]; supposedly to show
the need for end-to-end encryption when using Tor. In
Section 2, we will discuss additional attacks which were
found in the wild.
1.1
What Happens to Bad Exits?
The Tor Project has a way to prevent clients from se-
lecting bad exit relays as the last hop in their three-hop
information can be useful to get in touch with relay oper-
ators, e.g., if they misconfigured their relay.
1 Contact
circuits. After a suspected relay is communicated to the
project, the reported attack is first reproduced. If the at-
tack can be verified, a subset of two (out of all nine) di-
rectory authority operators manually blacklist the relay
using Tor’s AuthDirBadExit configuration option. Every
hour, the directory authorities vote on the network con-
sensus which is a signed list of all relays, the network
is comprised of. Among other information, the consen-
sus includes the BadExit flag. As long as the majority
of the authorities responsible for the BadExit flag, i.e.,
two out of two, agree on the flag being set for a partic-
ular relay, the next network consensus will label the re-
spective relay as BadExit. After the consensus was then
signed by a sufficient number of directory authorities, it
propagates through the network and is eventually used
by all Tor clients after a maximum of three hours. From
then on, clients will no longer select relays labelled as
BadExit as the last hop in their circuits. Note that this
does not mean that BadExit relays become effectively
useless. They keep getting selected by clients as their
entry guards and middle relays. All the malicious relays
we discovered were assigned the BadExit flag.
Note that the BadExit flag is not only given to relays
which are proven to be malicious. It is also assigned to
relays which are misconfigured or are otherwise unable
to fulfil their duty of providing unfiltered Internet access.
A frequent cause of misconfiguration is the use of third-
party DNS resolvers which block certain web site cate-
gories.
Apart from the BadExit flag, directory authorities can
blacklist relays by disabling its Valid flag which prevents
clients from selecting the relay for any hop in its circuit.
This option can be useful to disable relays running a bro-
ken version of Tor or are suspected to engage in end-to-
end correlation attacks.
Entry guard
Encrypted by Tor
Not encrypted by Tor
Tor client
Tor
network
Middle relay
Exit relay
Destination
Figure 1: The structure of a three-hop Tor circuit. Exit
relays constitute the bridge between encrypted circuits
and the open Internet. As a result, exit relay opera-
tors can see—and tamper with—the anonymised traffic
of users.
and implementation of exitmap. Section 4 then presents
the attacks we discovered in the wild. Next, Section 5
proposes the design and implementation of a browser ex-
tension patch which can protect against HTTPS MitM
attacks. Finally, Section 6 concludes this paper.
2
Related Work
1.2 Contributions
The three main contributions of this paper are as follows.
• We discuss the design and implementation of ex-
itmap; a flexible and fast exit relay scanner which is
able to detect several popular MitM attacks.
• Using exitmap, we monitored the Tor network over
a period of four months. We analyse the attacks we
discovered in the wild during that time period.
• We propose the design and prototype of a browser
extension patch which fetches and compares X.509
certificates over diverging Tor circuits. That allows
our patch to detect MitM attacks against HTTPS.
The remainder of this paper is structured as follows.
Section 2 begins by giving an overview of related work.
It is followed by Section 3 which discusses the design
2
While MitM attacks have generally received consider-
able attention in the literature [12, 30], their occurrence
in the Tor network remains largely unexplored. This
is unfortunate as the Tor network enables the study of
real-world MitM attacks which are rare and poorly doc-
umented outside the Tor network.
In 2006, Perry began developing the framework
“Snakes on a Tor” (SoaT) [25]. SoaT is a Tor network
scanner whose purpose—similar to our work—is to de-
tect misbehaving exit relays. Decoy content is first
fetched over Tor, then over a direct Internet connection,
and finally compared. Over time, SoaT was extended
with support for HTTP, HTTPS, SSH and several other
protocols. However, SoaT is no longer maintained and
makes use of deprecated libraries. Compared to SoaT,
our design is more flexible and significantly faster.
Similar to SoaT, Marlinspike implemented tortun-
nel [20]. The tool exposes a local SOCKS interface
which accepts connections from arbitrary applications.
Incoming data is then sent over exit relays using one-hop
circuits. By default, exitmap does not use one-hop cir-
cuits as that could be detected by attackers which could
then act innocuously.
A first attempt to detect malicious exit relays was
made in 2008 by McCoy et al. [21]. The authors estab-
lished decoy connections to servers under their control.
They further controlled the authoritative DNS server re-
sponsible for the decoy hosts’ domain names. As long as
an attacker on an exit relay sniffed network traffic with
reverse DNS lookups being enabled, the authors were
able to map reverse lookups to exit relays by monitor-
ing the authoritative DNS server’s traffic. Using that side
channel, McCoy et al. were able to find one exit re-
lay sniffing POP3 traffic at port 110. However, attack-
ers could avoid that side channel by disabling reverse
lookups. The popular tool tcpdump implements the com-
mand line switch -n for that exact purpose.
In 2011, Chakravarty et al. [3] attempted to detect exit
relays sniffing Tor users’ traffic by systematically trans-
mitting decoy credentials over all active exit relays. Over
a period of ten months, the authors uncovered ten relays
engaging in traffic snooping. Chakravarty et al. could
verify that the operators were sniffing exit traffic because
they were later found to have logged in using the snooped
credentials. While the work of Chakravarty et al. rep-
resents an important first step towards monitoring the
Tor network, their technique only focused on SMTP and
IMAP. At the time of writing, only 20 out of all ∼1,000
exit relays allow exiting to port 25. HTTP appears to be
significantly more popular [
Spoiled Onions:
Exposing Malicious Tor Exit Relays
Philipp Winter
Karlstad University
Stefan Lindskog
Karlstad University
arXiv:1401.4917v1 [cs.CR] 20 Jan 2014
Abstract
Several hundred Tor exit relays together push more than
1 GiB/s of network traffic. However, it is easy for exit
relays to snoop and tamper with anonymised network
traffic and as all relays are run by independent volun-
teers, not all of them are innocuous. In this paper, we
seek to expose malicious exit relays and document their
actions. First, we monitored the Tor network after devel-
oping a fast and modular exit relay scanner. We imple-
mented several scanning modules for detecting common
attacks and used them to probe all exit relays over a pe-
riod of four months. We discovered numerous malicious
exit relays engaging in different attacks. To reduce the
attack surface users are exposed to, we further discuss
the design and implementation of a browser extension
patch which fetches and compares suspicious X.509 cer-
tificates over independent Tor circuits. Our work makes
it possible to continuously monitor Tor exit relays. We
are able to detect and thwart many man-in-the-middle at-
tacks which makes the network safer for its users. All
our code is available under a free license.
1 Introduction
As of January 2014, nearly 1,000 exit relays [24] dis-
tributed all around the globe serve as part of the Tor
anonymity network [7]. As illustrated in Figure 1, the
purpose of these relays is to establish a bridge between
the Tor network and the “open” Internet. A user’s Tor
circuits, which are encrypted tunnels, terminate at exit
relays and from there, the user’s traffic proceeds to travel
over the open Internet to its final destination. Since exit
relays can see traffic as it is sent by a Tor user, their
role is particularly sensitive compared to entry guards
and middle relays; especially because traffic frequently
lacks end-to-end encryption.
By design, exit relays act as a “man-in-the-middle”
(MitM) in between a user and her destination. This
1
renders it possible for exit relay operators to run vari-
ous MitM attacks such as traffic sniffing, DNS poison-
ing, and SSL-based attacks such as HTTPS MitM and
sslstrip [19]. An additional benefit for attackers is that
exit relays can be set up quickly and anonymously, mak-
ing it very difficult to trace attacks back to their origin.
While it is possible for relay operators to specify con-
tact information such as an email address1 , this is op-
tional. As of January 2014, only 56% out of all 4,962
relays publish contact information. Even fewer relays
have valid contact information.
To thwart a number of popular attacks, Tor-
Browser [23]—the Tor Project’s modified version
of Firefox—ships with extensions such as HTTPS-
Everywhere [8] and NoScript [14]. While HTTPS-
Everywhere provides rules to rewrite HTTP traffic to
HTTPS traffic, NoScript attempts to prevent many script-
based attacks. However, there is little users can do if
web sites implement poor security such as the lack of
site-wide TLS, session cookies being sent in the clear, or
using weak cipher suites in their web server configura-
tion. Often, such bad practices enable attackers to spy on
users’ traffic or, even worse, hijack accounts. Besides,
TorBrowser cannot protect against attacks targeting pro-
tocols such as SSH.
All these attacks are not just of theoretical nature. In
2007, a security researcher published 100 POP3 govern-
ment credentials he captured by sniffing traffic on a set
of exit relays under his control [22]; supposedly to show
the need for end-to-end encryption when using Tor. In
Section 2, we will discuss additional attacks which were
found in the wild.
1.1
What Happens to Bad Exits?
The Tor Project has a way to prevent clients from se-
lecting bad exit relays as the last hop in their three-hop
information can be useful to get in touch with relay oper-
ators, e.g., if they misconfigured their relay.
1 Contact
circuits. After a suspected relay is communicated to the
project, the reported attack is first reproduced. If the at-
tack can be verified, a subset of two (out of all nine) di-
rectory authority operators manually blacklist the relay
using Tor’s AuthDirBadExit configuration option. Every
hour, the directory authorities vote on the network con-
sensus which is a signed list of all relays, the network
is comprised of. Among other information, the consen-
sus includes the BadExit flag. As long as the majority
of the authorities responsible for the BadExit flag, i.e.,
two out of two, agree on the flag being set for a partic-
ular relay, the next network consensus will label the re-
spective relay as BadExit. After the consensus was then
signed by a sufficient number of directory authorities, it
propagates through the network and is eventually used
by all Tor clients after a maximum of three hours. From
then on, clients will no longer select relays labelled as
BadExit as the last hop in their circuits. Note that this
does not mean that BadExit relays become effectively
useless. They keep getting selected by clients as their
entry guards and middle relays. All the malicious relays
we discovered were assigned the BadExit flag.
Note that the BadExit flag is not only given to relays
which are proven to be malicious. It is also assigned to
relays which are misconfigured or are otherwise unable
to fulfil their duty of providing unfiltered Internet access.
A frequent cause of misconfiguration is the use of third-
party DNS resolvers which block certain web site cate-
gories.
Apart from the BadExit flag, directory authorities can
blacklist relays by disabling its Valid flag which prevents
clients from selecting the relay for any hop in its circuit.
This option can be useful to disable relays running a bro-
ken version of Tor or are suspected to engage in end-to-
end correlation attacks.
Entry guard
Encrypted by Tor
Not encrypted by Tor
Tor client
Tor
network
Middle relay
Exit relay
Destination
Figure 1: The structure of a three-hop Tor circuit. Exit
relays constitute the bridge between encrypted circuits
and the open Internet. As a result, exit relay opera-
tors can see—and tamper with—the anonymised traffic
of users.
and implementation of exitmap. Section 4 then presents
the attacks we discovered in the wild. Next, Section 5
proposes the design and implementation of a browser ex-
tension patch which can protect against HTTPS MitM
attacks. Finally, Section 6 concludes this paper.
2
Related Work
1.2 Contributions
The three main contributions of this paper are as follows.
• We discuss the design and implementation of ex-
itmap; a flexible and fast exit relay scanner which is
able to detect several popular MitM attacks.
• Using exitmap, we monitored the Tor network over
a period of four months. We analyse the attacks we
discovered in the wild during that time period.
• We propose the design and prototype of a browser
extension patch which fetches and compares X.509
certificates over diverging Tor circuits. That allows
our patch to detect MitM attacks against HTTPS.
The remainder of this paper is structured as follows.
Section 2 begins by giving an overview of related work.
It is followed by Section 3 which discusses the design
2
While MitM attacks have generally received consider-
able attention in the literature [12, 30], their occurrence
in the Tor network remains largely unexplored. This
is unfortunate as the Tor network enables the study of
real-world MitM attacks which are rare and poorly doc-
umented outside the Tor network.
In 2006, Perry began developing the framework
“Snakes on a Tor” (SoaT) [25]. SoaT is a Tor network
scanner whose purpose—similar to our work—is to de-
tect misbehaving exit relays. Decoy content is first
fetched over Tor, then over a direct Internet connection,
and finally compared. Over time, SoaT was extended
with support for HTTP, HTTPS, SSH and several other
protocols. However, SoaT is no longer maintained and
makes use of deprecated libraries. Compared to SoaT,
our design is more flexible and significantly faster.
Similar to SoaT, Marlinspike implemented tortun-
nel [20]. The tool exposes a local SOCKS interface
which accepts connections from arbitrary applications.
Incoming data is then sent over exit relays using one-hop
circuits. By default, exitmap does not use one-hop cir-
cuits as that could be detected by attackers which could
then act innocuously.
A first attempt to detect malicious exit relays was
made in 2008 by McCoy et al. [21]. The authors estab-
lished decoy connections to servers under their control.
They further controlled the authoritative DNS server re-
sponsible for the decoy hosts’ domain names. As long as
an attacker on an exit relay sniffed network traffic with
reverse DNS lookups being enabled, the authors were
able to map reverse lookups to exit relays by monitor-
ing the authoritative DNS server’s traffic. Using that side
channel, McCoy et al. were able to find one exit re-
lay sniffing POP3 traffic at port 110. However, attack-
ers could avoid that side channel by disabling reverse
lookups. The popular tool tcpdump implements the com-
mand line switch -n for that exact purpose.
In 2011, Chakravarty et al. [3] attempted to detect exit
relays sniffing Tor users’ traffic by systematically trans-
mitting decoy credentials over all active exit relays. Over
a period of ten months, the authors uncovered ten relays
engaging in traffic snooping. Chakravarty et al. could
verify that the operators were sniffing exit traffic because
they were later found to have logged in using the snooped
credentials. While the work of Chakravarty et al. rep-
resents an important first step towards monitoring the
Tor network, their technique only focused on SMTP and
IMAP. At the time of writing, only 20 out of all ∼1,000
exit relays allow exiting to port 25. HTTP appears to be
significantly more popular [
การแปล กรุณารอสักครู่..
นิสัยเสียหัวหอม :
เปิดเผยที่เป็นอันตรายออกจากร่าง TOR รีเลย์
ฤดูหนาวฟิลิปป์ มหาวิทยาลัยคาร์ลสตาด สเตฟาน ลินด์สเกิก
arxiv มหาวิทยาลัยคาร์ลสตาด : 1401.4917v1 [ CR ] 20 ม.ค. CS 2014
ต. นามธรรมออกหลายร้อยแบบร่วมกันผลักดันมากกว่า
1 กิกะไบต์ / วินาที จึงสร้างเครือข่าย C . อย่างไรก็ตาม , มันเป็นเรื่องง่ายสำหรับทางออก
รีเลย์ทศพิศราชธรรมและเข้ามายุ่งกับ anonymised จึงสร้างเครือข่าย
C และเป็นรีเลย์ทั้งหมดจะถูกเรียกใช้ โดย volun -
teers อิสระ ,ไม่ทั้งหมดของพวกเขาจะอันตราย ในบทความนี้เราต้องการที่จะเปิดเผยข้อมูล
ออกที่เป็นอันตรายและเอกสารการดำเนินการของตนเอง
ครั้งแรกที่เราตรวจสอบเครือข่าย TOR devel oping หลัง -
รวดเร็วและโมดูลทางออกการถ่ายทอดสแกนเนอร์ เรา imple -
mented หลายโมดูลสแกนตรวจจับการโจมตีทั่วไป
และใช้มันเพื่อสอบสวนทั้งหมดออกจากรีเลย์กว่า PE -
riod 4 เดือน เราพบมากมายที่เป็นอันตราย
ออกจากการมีส่วนร่วมในการโจมตีที่แตกต่างกัน ลดการโจมตีผู้ใช้จะสัมผัสกับผิว
เราหารือเกี่ยวกับการออกแบบและพัฒนาส่วนขยายของเบราว์เซอร์ซึ่งจะเรียกและเปรียบเทียบแพทช์
-
Ti จึงน่าสงสัย x.509 สเคทส์กว่าอิสระต่อวงจร งานของเราทำให้
มันเป็นไปได้อย่างต่อเนื่องต่อออกจากชั้น เรา
สามารถตรวจจับและป้องกันหลายชายคนที่อยู่ตรงกลางที่ -
หมุดซึ่งทำให้เครือข่ายปลอดภัยสำหรับผู้ใช้ ทั้งหมด
รหัสของเราสามารถใช้ได้ภายใต้ใบอนุญาตฟรี แนะนำ
1 ณมกราคม 2014 เกือบ 1000 ออกจากรีเลย์ [ 24 ] dis -
tributed ทั่วโลกเป็นส่วนหนึ่งของโต๋
เปิดเผยเครือข่าย [ 7 ] ตามที่แสดงในรูปที่ 1 ,
วัตถุประสงค์ของรีเลย์เหล่านี้คือการสร้างสะพานระหว่าง
TOR " เปิด " เครือข่ายและอินเทอร์เน็ต
TOR ของผู้ใช้วงจร ซึ่งเป็นอุโมงค์ที่เข้ารหัส , ยกเลิกที่ถ่ายทอดออก
จากตรงนั้นของผู้ใช้จึงสร้างรายได้ท่องเที่ยว
C ผ่านอินเทอร์เน็ตเปิดการถ่ายทอดระบบปลายทาง ตั้งแต่การสร้างจึงจะเห็นทางออก
c มันส่งมาจากเว็บผู้ใช้บทบาท
เป็นสําคัญโดยเฉพาะเมื่อเทียบกับยามเข้า
และกลางถ่ายทอด ; โดยเฉพาะอย่างยิ่งเพราะสร้างจึง C บ่อย
ขาดแบบ end - to - end เข้ารหัส โดยการออกแบบรีเลย์ออก ทำตัวเป็น " ชายคนที่อยู่ตรงกลาง "
( mitm ) ระหว่างผู้ใช้และปลายทางของเธอ นี้
1
ให้มันเป็นไปได้สำหรับผู้ประกอบการที่จะวิ่งออกจากรีเลย์ vari ous -
mitm การโจมตีเช่นสร้างจึง C snif จึงใช้ DNS พิษ -
ไอเอ็นจีและ SSL เช่น HTTPS และโจมตีตาม mitm
sslstrip [ 19 ] เพิ่มเติมครับสำหรับแฮกเกอร์จึงเป็นทางออก
รีเลย์สามารถตั้งค่าได้อย่างรวดเร็วและไม่ระบุชื่อมัค -
ไอเอ็นจีมันมากจึงแยกศาสนาเพื่อติดตามการโจมตีกลับไปประเทศของตน ในขณะที่มันเป็นไปได้สำหรับข้อมูล
-
( ระบุ con ชั้นเชิงข้อมูลเช่นอีเมล์ address1 นี่คือ OP -
tional . ณมกราคม 2014 เพียง 56% ของทั้งหมด 4962
ถ่ายทอดเผยแพร่ข้อมูลการติดต่อ แม้แต่น้อย รีเลย์
มีข้อมูลที่ติดต่อที่ถูกต้อง เพื่อป้องกันจำนวนของการโจมตี
-
นิยม , ต.เบราว์เซอร์ [ 23 ] - TOR โครงการอนุรักษ์สิ่งแวดล้อมจึงเอ็ดรุ่น
Firefox พร้อมกับส่วนขยายเช่น HTTPS -
ทุกที่ [ 8 ] และ noscript [ 14 ] ในขณะที่ HTTPS -
ทุกที่มีกฎเขียน C
https http สร้างจึงสร้างความพยายามที่จะป้องกัน noscript จึง C -
หลายสคริปต์โจมตีตาม อย่างไรก็ตาม ยังมีผู้ใช้น้อยสามารถทำได้ถ้า
เว็บไซต์ใช้ไม่ดีการรักษาความปลอดภัยเช่นการขาด
เว็บไซต์ TLS กว้างคุกกี้ของเซสชันที่ถูกส่งในชัดเจน หรือใช้ตัวเลขที่อ่อนแอของ
สวีทเซิร์ฟเวอร์เว็บหลอกจึงกุระ -
tion . มักจะ , การปฏิบัติไม่ดีดังกล่าวช่วยให้ผู้โจมตีสามารถสอดแนมในผู้ใช้จึงสร้าง
C หรือแม้แต่เลว , จี้ , บัญชี นอกจากนี้ torbrowser ไม่สามารถป้องกันการโจมตีเป้าหมาย
-
โปรโทคอลเช่น SSH .
การโจมตีทั้งหมดไม่ได้เป็นเพียงแค่ทฤษฎีธรรมชาติ ใน
2007การรักษาความปลอดภัยนักวิจัยเผยแพร่ 100 POP3 ปกครอง --
ment ตัวเขาถูกจับโดย snif จึงหลุดจึงสร้าง C ในชุด
ทางออกรีเลย์ภายใต้การควบคุมของเขา [ 22 ] ; คาดคะเนให้
ต้อง end การเข้ารหัสลับเมื่อใช้ ท. ในส่วนที่ 2
, เราจะหารือเพิ่มเติมการโจมตีที่พบในป่า
.
1.1
เกิดอะไรขึ้นกับทางออกที่ไม่ดี ?
โครงการ TOR มีวิธีการป้องกันไม่ให้ลูกค้าจากเซ -
lecting รีเลย์ออกเลวเป็น Hop ล่าสุดข้อมูลสามกระโดด
ของพวกเขาสามารถเป็นประโยชน์ที่จะได้รับในการติดต่อกับรีเลย์ Oper -
ators เช่นถ้าพวกเขา miscon จึง gured Relay .
1 ติดต่อ
วงจร หลังจากถ่ายทอดสงสัยจะสื่อสารไปยัง
โครงการ , รายงานการโจมตีจึงตัดสินใจเดินทางไปทำซ้ำ . ถ้าที่ -
แทคสามารถข้อมูลจึงเอ็ด ย่อย 2 ( จากทั้งหมด 9
) ตี้ผู้ประกอบการบ้านพักเจ้าหน้าที่ด้วยตนเอง โดยการถ่ายทอดของ authdirbadexit คอนโต๋
จึง guration ตัวเลือก ทุก
ชั่วโมง , ไดเรกทอรีเจ้าหน้าที่ลงคะแนนบนเครือข่ายคอน -
Mentality ซึ่งเป็นการลงนามของรีเลย์ , เครือข่าย
ประกอบด้วย . ของข้อมูลอื่น ๆ consen -
SUS มี badexit flเอจี . ตราบใดที่คนส่วนใหญ่
ของหน่วยงานที่รับผิดชอบ badexit fl AG , I ,
สองจากสอง ยอมรับในfl AG เป็นชุดสำหรับ partic -
ular ถ่ายทอดต่อไปเครือข่ายเอกฉันท์จะป้าย Re -
spective ถ่ายทอดเป็น badexit . หลังจากที่มีมติแล้ว
ลงนามโดยซุฟจึง cient จำนวนเจ้าหน้าที่ทำเนียบ มัน
แพร่กระจายผ่านทางเครือข่าย และในที่สุดได้ใช้
โดยลูกค้าทั้งหมด TOR หลังจากได้สูงสุด 3 ชั่วโมง จาก
จากนั้น ลูกค้าจะไม่เลือกรีเลย์ labelled เป็น
badexit เป็นกระโดดสุดท้ายในวงจรของ โปรดทราบว่านี้ไม่ได้หมายความ ว่า รีเลย์ badexit
เป็นอย่างไร้ประโยชน์ พวกเขายังได้รับเลือกจากลูกค้า เป็นทหารผู้
และกลางชั้น ทั้งหมดที่เราเจอคือ รีเลย์
มอบหมาย badexit fl AG .
ทราบว่า badexit fl AG จะไม่เพียง แต่ได้รับการถ่ายทอด
ซึ่งพิสูจน์ให้เป็นที่เป็นอันตราย นอกจากนี้ยังมอบหมายให้
รีเลย์ ซึ่งเป็น miscon จึง gured หรือเป็นอย่างอื่นไม่สามารถที่จะ ful L
จึงปฏิบัติหน้าที่ให้สหประชาชาติจึง ltered อินเตอร์เน็ต .
ซึ่งก่อให้เกิด miscon จึง guration คือการใช้สาม -
พรรค DNS resolvers ซึ่งบล็อกบางเว็บไซต์ gories เคท -
.
นอกจาก badexit flโดยเจ้าหน้าที่ทำเนียบสามารถ
รีเลย์บัญชีดำโดยปิดที่ถูกต้องfl AG ซึ่งป้องกัน
ลูกค้าจากการถ่ายทอดของใด ๆเข้ามาจร .
ตัวเลือกนี้จะเป็นประโยชน์ในการปิดการใช้งานการเรียกพี่ -
เคนรุ่นของ TOR หรือต้องสงสัยว่ามีส่วนร่วมในการโจมตีสิ้นสุดความสัมพันธ์จบ -
.
รายการยามเข้ารหัสโดยโต๋
ไม่ได้เข้ารหัสโดยโต๋
ลูกค้าเครือข่าย TOR โต๋ กลางถ่ายทอดออกจากรีเลย์
: รูปที่ 1 : โครงสร้างของทั้งสามกระโดดต่อวงจร ทางออก
การเป็นสะพานเชื่อมระหว่างการเข้ารหัสวงจร
และเปิดอินเทอร์เน็ต การถ่ายทอดออกทีวี -
ทอร์สสามารถเห็นและยุ่งกับ anonymised จึงสร้าง C
ของผู้ใช้ และการดำเนินงานของ exitmap . ส่วนที่ 4 แล้วเสนอ
การโจมตีเราพบในป่า ต่อไปมาตรา 5
เสนอการออกแบบและการใช้เบราว์เซอร์ EX -
แรงแก้ไขซึ่งสามารถป้องกันการโจมตี HTTPS mitm
.ในที่สุด , มาตรา 6 สรุปกระดาษนี้ .
2
ที่เกี่ยวข้อง 1.2 ผลงาน 3 ผลงานหลักของบทความนี้ มีดังนี้
- เราหารือเกี่ยวกับการออกแบบและใช้ EX -
itmap ; fl exible และรวดเร็วออกจากรีเลย์สแกนเนอร์ที่สามารถตรวจจับการโจมตี mitm หลาย
- ใช้เป็นที่นิยม exitmap เราตรวจสอบ TOR เครือข่ายกว่า
ช่วงเวลา 4 เดือน เราวิเคราะห์การโจมตีเรา
พบในป่าในช่วงเวลานั้น .
- เรานำเสนอการออกแบบเครื่องต้นแบบของเบราว์เซอร์และการแก้ไขซึ่งจะเรียกและเปรียบเทียบ
certi จึง x.509 เคสมากกว่าการต่อวงจร ที่ช่วยให้
แพทของเราตรวจจับการโจมตี mitm กับ HTTPS .
ส่วนที่เหลือของกระดาษนี้เป็นโครงสร้างดังนี้ .
ส่วน 2 เริ่มต้นด้วยการให้ภาพรวมของงานที่เกี่ยวข้อง .
มันก็เป็นตาม มาตรา 3 ซึ่งได้กล่าวถึงการออกแบบ
2
ตอนที่ mitm การโจมตีได้โดยทั่วไปรับพิจารณา --
สามารถความสนใจในวรรณคดี [ 12 , 30 ] ,
ผู้ที่เกิดขึ้นใน TOR เครือข่ายส่วนใหญ่ยังคง unexplored . นี้จะโชคร้ายเป็นโต๋
จริงเครือข่ายช่วยให้ศึกษา mitm การโจมตีซึ่งหายาก และงานเอกสาร -
umented นอกเว็บเครือข่าย .
ในปี 2006เพอร์รี่ได้เริ่มพัฒนากรอบ
" งูใน TOR " ( soat ) [ 25 ] soat เป็น TOR เครือข่าย
สแกนเนอร์ที่มีวัตถุประสงค์คล้ายคลึงกับของเราทำงานเพื่อ de -
ป้อง misbehaving ออกจากชั้น ล่อเนื้อหาจึงตัดสินใจเดินทางไป
รับ TOR แล้วมากกว่าการเชื่อมต่ออินเทอร์เน็ตโดยตรง และแนลลี่
จึงเปรียบเทียบ ตลอดเวลา soat ขยาย
สนับสนุน HTTP , HTTPS และ SSH โปรโตคอลอื่น
หลาย อย่างไรก็ตามsoat ไม่รักษาไว้ และทำให้การใช้ปฏิเสธ
ห้องสมุด เมื่อเทียบกับ soat
ออกแบบของเรา , exible signi จึงลดลงอย่างมีนัยสําคัญเมื่อflมากขึ้นและเร็วขึ้น คล้ายกับ soat
-
marlinspike , ใช้ tortun เนล [ 20 ] เครื่องมือ exposes ถุงเท้าท้องถิ่นอินเตอร์เฟซ
ซึ่งยอมรับการเชื่อมต่อจากการใช้งานโดยพลการ .
ข้อมูลขาเข้าแล้วส่งผ่านออกจากรีเลย์ใช้ Hop
วงจร โดยค่าเริ่มต้นexitmap ไม่ได้ใช้หนึ่งกระโดด cir -
cuits นั้นสามารถตรวจพบได้โดยผู้โจมตีที่สามารถแสดงได้ innocuously
.
A จึงตัดสินใจเดินทางพยายามที่จะตรวจสอบรีเลย์ออกที่เป็นอันตรายคือ
ทำในปี 2008 โดยแท้ et al . [ 21 ] ผู้เขียนได้ estab lished -
ล่อการเชื่อมต่อไปยังเซิร์ฟเวอร์ภายใต้การควบคุม .
พวกเขาเพิ่มเติมควบคุมเผด็จการ DNS Server Re -
sponsible เพื่อล่อของโฮส โดเมน ชื่อ ตราบใดที่
โจมตีบนเครือข่ายจึงออกจากรีเลย์ดมสร้าง C
กลับถูกเปิดใช้งาน DNS การค้นหา ผู้เขียนเคย
สามารถแผนที่ออกโดยการค้นหาแบบย้อนกลับ --
ไอเอ็นจีเซิร์ฟเวอร์ DNS ของเผด็จการจึงสร้าง C . ใช้ด้าน
ช่อง ของแท้ et al . สามารถถ่ายทอดครั้งที่หนึ่งออก Re -
วาง snif จึงสร้างของ POP3 จึง C ที่พอร์ต 110 . อย่างไรก็ตาม การโจมตี -
ERS อาจหลีกเลี่ยงที่ช่องด้านข้างโดยการปิดกลับ
การค้นหา . ที่เป็นที่นิยมเครื่องมือ tcpdump ใช้ COM -
mand สลับสาย - N สำหรับวัตถุประสงค์ที่แน่นอน .
ใน 2011 , chakravarty et al . [ 3 ] พยายามที่จะตรวจสอบออก
รีเลย์ snif จึงของ TOR ของผู้ใช้จึงสร้าง C โดยมีระบบทรานส์ -
mitting นกต่อตัวมากกว่าทุกงานออกแบบ . กว่า
เป็นระยะเวลา 10 เดือน ผู้เขียนเปิดสิบรีเลย์
มีส่วนร่วมในการสร้างจึง C การสอดแนม chakravarty et al . อาจ
ตรวจสอบว่า ผู้ประกอบการจึงเป็นทางออกของ snif สร้างจึง C เพราะ
พวกเขาถูกพบในภายหลังจะมีล็อกอิน ใช้สอดแนม
บัตรประจำตัว ขณะที่ผลงานของ chakravarty et al . ตัวแทน -
ไม่พอใจเป็นสำคัญ จึงตัดสินใจเดินทางต่อขั้นตอนการตรวจสอบ
TOR เครือข่าย เทคนิคของพวกเขามุ่งเน้นเฉพาะใน SMTP IMAP และ
. ที่เวลาของการเขียน เพียง 20 จากทั้งหมด∼ 1000
ออกจากรีเลย์ให้ออกจากพอร์ต 25
http ปรากฏเป็นsigni จึงลดลงอย่างมีนัยสําคัญเมื่อได้รับความนิยมมากขึ้น [
การแปล กรุณารอสักครู่..