匿名网络追踪溯源机制及方法

专注IP定位
• 阅读 100

Tor作为匿名网络的代表,被誉为“暗网之王”,而TOR这个网络具有双面性。Tor通过保护通信双方的身份信息,能有效防止用户个人信息的泄露,成为一种新的网络访问方式。但同时,攻击者也看到了匿名网络所带来的匿名性,可以利用匿名网络发动网络攻击,逃避司法取证人员的追踪调查,因此匿名网络中的攻击溯源问题也近几年追踪溯源的热点。

其实关于匿名网络的追踪溯源,虽然有难度,但是近几年还是有长足的进步,追溯方法也在逐步增加。

匿名网络追踪溯源机制及方法

陈周国、蒲石、祝世雄在《匿名网络追踪溯源》,将攻击溯源方法分为两类:匿名网络调制追踪和匿名网络渗透追踪。匿名网络调制追踪是指取证人员在匿名网络流量中添加流水印信息,通过检测流水印信息将不同的网络流量关联起来,从而识别网络流量的来源。

匿名网络渗透追踪是指取证人员控制部分匿名网络的节点,通过破坏或查看通过这些节点的流量,来识别网络流量的源头。

但是这两类方法需要取证人员掌握的资源有所不同,因此从取证人员的角度,可以将匿名网络中的攻击溯源方法分2种情况:

(1)取证人员能够控制全部或部分匿名网络的节点的情况下

①在这种情况下,《追踪洋葱包的高级标记方案与实现》中吴振强、杨波, 采用数据包标记方法来识别匿名流量。由于匿名网络 Tor 隐藏了数据发送端的IP地址,而且中间节点会剥去数据包的外层包头,因此该方法提出利用Tor 协议中网络层的32bit的GMT(包终止时间)字段,将其改造为5bit的距离和 19bit的IP地址 hash值。中间节点填入相应的信息,受害主机根据这些信息可以推算出数据流的来源。

②在《A new replay attack against anonymous communication networks》中针对Tor网络的追踪问题,利用了Tor 网络所采用的AES算法的计数器加密模式,需要计数器进行同步的特征,控制多个Tor 网络的节点,人为改变节点的计数器,导致后续节点解密失败,从而将节点间的通信流进行关联。

③在《A traceback attack on Freenet》中Guanyu Tian,等人研究了高延时匿名网络、匿名内容发布网络Freenet中的匿名追踪问题,指出可以利用网络中部分受控制的节点作为监控节点,通过监控节点所观察到的消息来推断内容请求者的真实主机,但该方法没有解决内容发布者的匿名追踪问题。 Young Hwan Lim等研究了BitTorrent 网络中初始种子的识别问题,给出一些识别特征。而《Is it an initial seeder?》研究了在种子初始传播阶段识别第一个上传者的规则。

匿名网络追踪溯源机制及方法

(2)取证人员能够控制匿名网络的部分通信流量并能部署检测传感器

①在《discovery, blocking, and traceback of malicious traffic over Tor》和《Rate-based watermark traceback: a new approach》中,采用数据包发包速率来作为载频的方式嵌入水印。如用较高的发包速率表示二进制1,用较低的发包速率表示二进制0。该方法可以有效抵抗由于各种原因引起的数据包的网络时延、丢包、增加包、重打包等对水印检测准确率的影响。

②在《Network flow wartermarking attack on low-latency anonymous communication Systems》中针对采用发包流率作为载频,而在实际应用中发包流速不稳定的问题,提出了一种以时隙质心的载频方法。即将时间分为多个时间片,以数据包落在时间片中的位置为质心,当数据包数量足够多时,无论发包速率如何波动,时隙质心是稳定的。这样可以提高流水印的健壮性和隐秘性。

③《DSSS-based flow marking technique for invisible traceback》中将直序扩频机制 DSSS 应用到流水印中, 不是直接在流中嵌入特征码, 而是利用伪噪声码 PN 码进行扩频, 嵌入到数据流中, 提高了流水印的隐蔽性。但是在《On the secrecy of spread-spectrum flow watermarks》中对该方法的隐蔽性进行了充分实验验证, 指出该方法的隐蔽性需要进一步提高。

④《 Interval cen troid based flow watermarking technique for anonymous commu nication traceback》中综合利用时隙质心和PN码的方法提出一种新的流水印方法。作者指出长PN码可以提高水印检测的准确率,这一点在别的实验中得到了验证。

Xian Pan, Junwei Huang等人用基于DSSS的长PN码来嵌入水印,该方法能够阻止攻击者检测到流中可能存在水印信息,并且可以用于多个数据流嵌入水印的同时检测。而在《A double interval centroid-based watermark for network flow traceback》中则更进一步采用双重时隙质心和PN 码的方法,即将相邻时隙的质心联合进行考虑,可以更好的提高水印的隐蔽性。

⑤而《A new cell counter based attack against Tor》中则不直接针对时隙进行水印的嵌入,而是使用包数来表达嵌入的信号,即用连续的1个数据包代表“0”;用连续的3个数据包代表“1”。考虑到网络延时及缓冲队列造成的数据包合并、分离,提出了鲁棒的算法来提高检测率。这样,对于流持续时间较短的情况,仍然可以添加水印并能得到较好的检测效果。

《A new cell counter based attack against Tor》进一步指出,虽然Tor 匿名网络把应用层数据分割为固定大小的512字节(含头部信息,真正数据是 498个字节),但这一机制并不会导致网络层数据包分组也是固定大小。

利用这一现象,《Equal-sized cells mean equal sized packets in Tor?》中给出了一个新的嵌入水印的方法,即利用真正数据的498个字节代表“0”,2444个字节代表“1”。前者将被分割为1个数据包,而后者考虑到链路层的最大数据帧长度1500字节,将被分割为5个数据包。然后研究了数据包在网络层的分割、融合的各种情况,给出了水印检测算法。实验结果显示能够使用较少的数据包以较高的准确率检测到嵌入的水印信号。同时可以将类似的思想应用到另一匿名网络 Anonymizer 中,可以识别出访问网站的匿名客户端。但是以上方法都是针对单个数据流嵌入水印并进行检测的,如果同时存在多个数据流,在多个数据流中嵌入水印,将导致检测准确率急剧下降。

匿名网络追踪溯源机制及方法

面对同时存在多个数据流现象,针对这一问题,有一种针对多个数据流嵌入水印的方法,即事先生成一个种子序列,对每个数据流随机选择不同的种子, 在数据流中不同的时隙段内嵌入水印。当进行检测的时候, 解码器尝试采用每一个可能的种子来检测水水印, 找出最匹配的值, 从而解码出嵌入的水印值。

对于为什么可以采用时隙特征来嵌入水印的理论原因,主要影响追踪效果的三个因素:报文长度、干扰数据流中数据包的数量、转发节点的数据包缓冲时间,并给出了在给定检测准确率的情况下,所嵌入水印的最小延迟时间的计算方法。

一般的方法采用在固定时间长度的数据包间隔中嵌入水印, 常用的水印检测方法效率较差, 需要大量的数据包才能获得较高的检测准确率。针对这一问题,可以基于 SPRT(Sequential Probability Ratio Test)检验方法, 创建三种不同的假设检验构造方法, 在达到同样检测准确率的情况下, 明显减少了所需的数据包数量。但是这一类方法仅适用于低延时匿名网络, 对于高延时匿名网络将导致所添加的流水印信息丢失。

结语

未来网络安全事件,一定是以定向攻击为主的,而匿名网络则成为攻击者的保护伞。匿名网络的追踪溯源,有难度,但是并不是不可实现。尤其是以IP地址为基础的匿名网络,现在的IP代理识别技术基本可以实现识别用户是否使用Tor连接,这也降低了匿名网络追踪溯源的难度。随着国家对攻防演习的重视,未来对于匿名网络的追踪溯源能力也会越来越强,就让我们拭目以待吧。

点赞
收藏
评论区
推荐文章
李志宽 李志宽
12个月前
学完渗透赌博网站!从零基础到实战的Web渗透学习路线+手册
前言大家好我是周杰伦!大家都知道IT是一个非常复杂和混沌的领域,充斥着各种已经半死不活的过时技术和数量更多的新系统、新软件和新协议。保护现在的企业网络不能仅仅依靠补丁管理、防火墙和用户培训,而更需要周期性地对网络中的安全防御机制进行真实环境下的验证与评估,以确定哪些是有效的哪些是缺失的,而这就是渗透测试所要完成的目标。渗透测试是一项非常具有挑战性的工作。
Stella981 Stella981
1年前
Python Scrapy 实战
PythonScrapy什么是爬虫?网络爬虫(英语:webcrawler),也叫网络蜘蛛(spider),是一种用来自动浏览万维网的网络机器人。其目的一般为编纂网络索引。Python爬虫在爬虫领域,Python几乎是霸主地位,将网络一切数据作为资源,通过自动化程序进行有针对性
Wesley13 Wesley13
1年前
HTTPS安全证书访问连接知识讲解
HTTPS安全证书访问连接知识讲解01:网络安全涉及的问题:①.网络安全问题数据机密性问题传输的数据可能会被第三方随时都能看到②.网络安全问题数据完整性问题传输的数据不能随意让任何人进行修改③.网络安全问题身份验证问题第一次通讯时,需要确认通讯双方的身份正确02:网络安
Wesley13 Wesley13
1年前
Go 语言基础入门教程 —— 函数篇:匿名函数和闭包
匿名函数熟悉Laravel框架(一个PHPWeb框架)的同学对匿名函数应该很熟悉,Laravel框架中有着大量匿名函数的应用场景,比如路由定义、绑定实现到接口等://路由定义再比如Swoole中通过回调函数处理网络事件实现异步事件驱动也是匿名函数的典型应用场景://收到请求时触发可以看到,匿名函数
Wesley13 Wesley13
1年前
TCP协议详解
  TCP协议作为基本的传输控制协议,提供了面向连接的、可靠的通信机制。由于其优越的特性,被广泛应用于网络通信中,成为了今天互联网的基石。其为了屏蔽网络底层种种复杂的因素做出了巨大的努力,同时也导致了TCP内部各种机制之间的相互作用,让初接触它的人们很难理清头绪。本文就从TCP的传输窗口这个点切入,带领大家一睹TCP实现机制的风采。1. 前言
Stella981 Stella981
1年前
OnionShare:一个安全共享文件的开源工具
OnionShare是一个自由开源工具,它利用Tor网络安全和匿名地共享文件。已经有很多在线服务可以安全地共享文件,但它可能不是完全匿名的。此外,你必须依靠一个集中式服务来共享文件,如果服务决定像 FirefoxSend(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2
Wesley13 Wesley13
1年前
Java网络编程入门
网络编程1、网络编程入门计算机网络是指将地理位置不同的具有独立功能的多态计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统!(https://oscimg.oschina.net/oscnet/865ba598
专注IP定位 专注IP定位
4个月前
什么是Tor?Tor浏览器更新有什么用?
前言:Tor项目团队近日宣布,发布Tor浏览器11.5版本。Tor被美国国家安全局(NSA)誉为“互联网匿名系统之王"。系统就是洋葱路由技术的具体实现。Tor项目团队发布Tor浏览器11.5版本,而此次更新1.帮助用户自动绕过互联网审查2.HTTPS默认开启3.对网络设置菜单进行了重大改进。说起TOR浏览器都略有耳闻,那么Tor是什么样的技术原理?到底要如
helloworld_22282466 helloworld_22282466
8个月前
移动云Web全栈防护,支持40大类上千种Web攻击防护,加固云网安全
随着信息技术的不断发展,各种网络数据层出不穷,网络安全也成为关注热点。每年全球由极端网络攻击带来的经济损失高达上千亿美元,而因恶意攻击造成的网络瘫痪、信息泄露、信誉受损等事件更是层出不穷。这时,像移动云Web全栈防护这样的云端产品就显得尤为重要了。该产品能提供Web应用安全防护,通过修改域名指向将业务流量牵引至移动云高防中心,实时监测防护,以保障用户网站业务
专注IP定位 专注IP定位
2个月前
浅析蜜罐技术
前言:蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。自网络诞生以来,攻击威胁事件层出不穷,网络攻防对抗已成为信息时代背景下的无硝烟战争。然而,