Tor网络:匿名与追踪的双重属性
Tor网络以其匿名特性而闻名,它通过保护用户身份信息,有效防止个人信息的,成为一种新兴的网络访问方式。匿名网络也成为了攻击者发动网络攻击的庇护所,使得攻击者能够逃避司法取证人员的追踪调查。匿名网络中的攻击溯源问题近年来成为了研究的热点。
尽管追踪匿名网络存在挑战,但近年来在技术进步的推动下,溯源方法不断增多。
匿名网络的渗透追踪是指取证人员控制部分匿名网络的节点,通过分析或通过这些节点的流量来识别网络流量的源头。
针对不同的取证人员资源情况,匿名网络中的攻击溯源方法可大致分为两种情况。
- 当取证人员能够控制全部或部分Tor网络的节点时,可以利用Tor网络所采用的AES算法的计数器加密模式进行追踪。
- 当取证人员能够控制部分通信流量并部署检测传感器时,则可采用不同的水印嵌入技术来追踪。
在《A new replay attack against anonymous communication networks》中,研究人员利用Tor网络的特性,通过控制多个Tor网络节点并人为改变节点的计数器,导致后续节点解密失败,从而关联节点间的通信流。
《A traceback attack on Freenet》一文中研究了高延时匿名网络Freenet的匿名追踪问题,以及《Is it an initial seeder?》研究了BitTorrent网络中初始种子的识别问题。
对于水印嵌入技术,一方面可以通过采用数据包发包速率作为载频的方式嵌入水印来抵抗网络干扰。如《discovery, blocking, and traceback of malicious traffic over Tor》和《Rate-based watermark traceback: a new approach》中所示。
为解决发包流速不稳定的问题,《Network flow watermarking attack on low-latency anonymous communication Systems》中提出了一种以时隙质心为载频的方法,以提高水印的健壮性和隐秘性。
《DSSS-based flow marking technique for invisible traceback》中将直序扩频机制应用于流水印中,提高其隐蔽性。尽管《On the secrecy of spread-spectrum flow watermarks》指出了该方法的不足,但仍有研究者继续探索并提出了改进方法。
在面对多个数据流的情况时,有方法事先生成种子序列并对每个数据流使用不同的种子进行水印嵌入。当进行检测时,将尝试使用每个可能的种子来检测水印,找出最匹配的值以解码出水印值。
基于SPRT检验方法的三种不同假设检验构造方法被提出,以减少在达到相同检测准确率时所需的数据包数量。
结语:
随着网络安全事件的日益增多,定向攻击成为主要威胁。而匿名网络则成为攻击者的保护伞。虽然匿名网络的追踪溯源存在挑战,但随着技术的发展和攻防演习的重视,未来对于匿名网络的追踪溯源能力将不断增强。我们期待在未来的网络安全领域中取得更多突破。