论文部分内容阅读
摘 要:针对新版Tor网络(6.0.5版本)可实现国内用户轻松实现"翻墙"、并被不法分子利用的现状,分析了新版Tor网络的核心技术--基于 meek 的流量混淆技术,并用实例验证了新版Tor网络的快速连通性提出了防范利用Tor网络实施网络犯罪的相关措施。
关键词:Tor洋葱网络;网络犯罪;对策研究
1 Tor匿名网络
洋葱路由OR(Onion Router)是由美国海军研究实验室的Syverson、Goldschlag 以及 Reed于1996 年共同提出,并在2001年获得美国政府的技术专利。Free Haven工程组设计开发的第二代洋葱路由 Tor,是基于传输层TCP协议的第二代洋葱路由的一种实现,它采用目录服务器将Tor网络中所有的节点信息分发给用户,用户采用源路由的方式选择三个Tor节点并逐条建立加密隧道,通过该隧道用户与远程的服务器建立连接,从而无法确定发送者与接收者之间的通信关系。此外,Tor 可以有效抵御本地窃听和部分流量分析攻击。
Tor匿名网络建设的初衷是方便美国情报人员利用互联网匿名传送信息,继而被发展为于保护普通用户通信隐私,但也为犯罪分子提供了方便。近年来,利用计算机网络实施犯罪的案件日趋增多且犯罪手段与方式也是不断向智能化、专业化和隐蔽化发展。为了躲避网络犯罪调查机构的打击,犯罪者利用匿名通信系统隐藏其真实网络地址和身份,并在该系统的保护下隐蔽的进行联络,实施网络犯罪活动,增加了打击网络犯罪工作的难度和复杂度。
2 基于Tor的网络犯罪
随着信息技术的发展,借助匿名通信系统实施犯罪的活动不但没有减少,反而逐年呈上升趋势。世界最大的黑客组织“匿名者”,借助匿名网络在2011年4月,针对索尼公司发起了“拒绝服务”攻击,随后索尼的计算机系统出现中断,通过索尼在线游戏服务玩在线视频游戏的约1亿用户的姓名、出生日期及其它个人资料被盗,攻击造成了1.71亿美元的损失。现有的计算机网络追踪技术,如基于IP包头信息的传统方法对这类系统不再有效。为了追踪并确认匿名信道上通信双方的通信关系,必须研究有用且高效的追踪技术对匿名网络罪犯进行追踪,同时提供所需的在线隐私保护技术。
3 国内Tor匿名网络通连性
Tor的版本从2004年开源以来,不断迭代更新升级,目前最新版为6.0.5版本,当前版本有一个重大的新特性是它内置了meek流量混淆插件,依靠meek插件可以把Tor流量伪装成访问云计算平台的流量,逃脱过滤拦截。
首先,Tor网络内部(从“客户本机”一直到“出口节点”)的传输是强加密的,“中间人”无法偷窥你的真实网络数据,除非Tor软件本身出现严重安全漏洞或者碰到的“出口节点”是蜜罐。虽然无法偷窥上网内容,但在大型网络节点是可以监控到上网流量的,从而判断出用户是否在使用Tor。而“流量混淆”的作用就是把Tor流量伪装成其它的上网流量,让监控者看不出你在用Tor。出于软件架构方面的考虑,“流量混淆”的功能不是做到Tor的核心代码,而是通过插件的方式来提供,这样通过插件来实现多种多样的 “混淆流量”方式,就无需频繁改动核心模块的代码。
4 几点对策
4.1 加大技术研究力度
现有主要的基于流量分析的匿名通信追踪技术主要存在以下问题:
(1) 追蹤的效率较低,难以快速定位匿名网络罪犯。基于被动的流量分析技术需要观察较长时间的流量以提高关联的准确率和降低误报率。
(2) 追踪的准确性不够高。目前Internet 骨干网中的网络数据量巨大、网络抖动严重,易受网络噪声的干扰,影响检测的精度。
(3) 追踪的隐避性差。部分基于主動流量分析的追踪技术很大程度的干扰了嫌疑者的流量,易被嫌疑者觉察或被其他人发现并利用。
4.2 加强与电信运营商和云计算平台的协作追踪
(1)由于大多数Tor节点的ip地址是可查的,因此电信运营商可以通过比对访问过网站的ip地址,做进一步的分析处理。同时,作为网站拥有者或电信运营商,可以轻松的查找到网络流量的出口,进一步对出口节点进行监控,甚至相关部门可以自建出口节点以实现对Tor用户的流量的深入分析,从中获取有用信息,这也是国外间谍组织广泛使用方法之一。
(2)目前最新版本的Tor软件,利用的就是云计算平台的流量访问Tor网络。因此,要加强与云计算平台运营商的协商,并制定相关政策法规,堵塞犯罪分子相互勾连的渠道。
4.3 部署Tor网络桥节点加强监控
国家安全部门也可利用此漏洞,大量部署Tor网络的桥节点,一方面可以监测Tor网络的连接情况;另一方面可以对Tor用户进行追踪。另外,安全部门还可与电信部门协商,对我方特定的Tor节点不予过滤,从而建立若干“蜜罐”,引诱别有用心的Tor用户,从而方便对其进行追踪和监测。
5 小结
Tor匿名网络经过十几年的发展,现已成为拥有几千个节点的大型匿名网络,拥有大量用户。其中,不乏犯罪分子利用匿名网络从事非法活动,并成功逃脱追踪的案例。文章分析了当前国内Tor用户实现“翻墙”的机制,测试了“翻墙”的效果,指出不法分子利用Tor网络进行非法活动的可能性和随之而来的安全威胁。作为国家安全部门,需要从技术和政策两个方面双管齐下、加快研究,不给不法分子可趁之机。
参考文献:
[1] M. G. Reed, P. F. Syverson, and D. M. Goldschlag, “Anonymous Connections and Onion Routing,” in Proceedings of Symposium on Security and Privacy (S&P), 1997,pp. 482 – 494.
[2]https://atlas.torproject.org/
[3] Z. Ling, J. Luo, K. Wu, W. Yu, and X. Fu, “Torward: Discovery of Malicious Traffic over Tor,” in Proceedings of the 33th IEEE International Conference on Computer Communications (INFOCOM), 2014.
[4] N. Christin, “Traveling the silk road: a measurement analysis of a large anonymous online marketplace,” in Proceedings of the 22nd International World Wide Web Conference (WWW), 2013, pp. 213–224.
作者简介:
薛鹏(1996.01—),男,河南唐河,大专,在读于西安通信学院一队有线通信指挥专业。
关键词:Tor洋葱网络;网络犯罪;对策研究
1 Tor匿名网络
洋葱路由OR(Onion Router)是由美国海军研究实验室的Syverson、Goldschlag 以及 Reed于1996 年共同提出,并在2001年获得美国政府的技术专利。Free Haven工程组设计开发的第二代洋葱路由 Tor,是基于传输层TCP协议的第二代洋葱路由的一种实现,它采用目录服务器将Tor网络中所有的节点信息分发给用户,用户采用源路由的方式选择三个Tor节点并逐条建立加密隧道,通过该隧道用户与远程的服务器建立连接,从而无法确定发送者与接收者之间的通信关系。此外,Tor 可以有效抵御本地窃听和部分流量分析攻击。
Tor匿名网络建设的初衷是方便美国情报人员利用互联网匿名传送信息,继而被发展为于保护普通用户通信隐私,但也为犯罪分子提供了方便。近年来,利用计算机网络实施犯罪的案件日趋增多且犯罪手段与方式也是不断向智能化、专业化和隐蔽化发展。为了躲避网络犯罪调查机构的打击,犯罪者利用匿名通信系统隐藏其真实网络地址和身份,并在该系统的保护下隐蔽的进行联络,实施网络犯罪活动,增加了打击网络犯罪工作的难度和复杂度。
2 基于Tor的网络犯罪
随着信息技术的发展,借助匿名通信系统实施犯罪的活动不但没有减少,反而逐年呈上升趋势。世界最大的黑客组织“匿名者”,借助匿名网络在2011年4月,针对索尼公司发起了“拒绝服务”攻击,随后索尼的计算机系统出现中断,通过索尼在线游戏服务玩在线视频游戏的约1亿用户的姓名、出生日期及其它个人资料被盗,攻击造成了1.71亿美元的损失。现有的计算机网络追踪技术,如基于IP包头信息的传统方法对这类系统不再有效。为了追踪并确认匿名信道上通信双方的通信关系,必须研究有用且高效的追踪技术对匿名网络罪犯进行追踪,同时提供所需的在线隐私保护技术。
3 国内Tor匿名网络通连性
Tor的版本从2004年开源以来,不断迭代更新升级,目前最新版为6.0.5版本,当前版本有一个重大的新特性是它内置了meek流量混淆插件,依靠meek插件可以把Tor流量伪装成访问云计算平台的流量,逃脱过滤拦截。
首先,Tor网络内部(从“客户本机”一直到“出口节点”)的传输是强加密的,“中间人”无法偷窥你的真实网络数据,除非Tor软件本身出现严重安全漏洞或者碰到的“出口节点”是蜜罐。虽然无法偷窥上网内容,但在大型网络节点是可以监控到上网流量的,从而判断出用户是否在使用Tor。而“流量混淆”的作用就是把Tor流量伪装成其它的上网流量,让监控者看不出你在用Tor。出于软件架构方面的考虑,“流量混淆”的功能不是做到Tor的核心代码,而是通过插件的方式来提供,这样通过插件来实现多种多样的 “混淆流量”方式,就无需频繁改动核心模块的代码。
4 几点对策
4.1 加大技术研究力度
现有主要的基于流量分析的匿名通信追踪技术主要存在以下问题:
(1) 追蹤的效率较低,难以快速定位匿名网络罪犯。基于被动的流量分析技术需要观察较长时间的流量以提高关联的准确率和降低误报率。
(2) 追踪的准确性不够高。目前Internet 骨干网中的网络数据量巨大、网络抖动严重,易受网络噪声的干扰,影响检测的精度。
(3) 追踪的隐避性差。部分基于主動流量分析的追踪技术很大程度的干扰了嫌疑者的流量,易被嫌疑者觉察或被其他人发现并利用。
4.2 加强与电信运营商和云计算平台的协作追踪
(1)由于大多数Tor节点的ip地址是可查的,因此电信运营商可以通过比对访问过网站的ip地址,做进一步的分析处理。同时,作为网站拥有者或电信运营商,可以轻松的查找到网络流量的出口,进一步对出口节点进行监控,甚至相关部门可以自建出口节点以实现对Tor用户的流量的深入分析,从中获取有用信息,这也是国外间谍组织广泛使用方法之一。
(2)目前最新版本的Tor软件,利用的就是云计算平台的流量访问Tor网络。因此,要加强与云计算平台运营商的协商,并制定相关政策法规,堵塞犯罪分子相互勾连的渠道。
4.3 部署Tor网络桥节点加强监控
国家安全部门也可利用此漏洞,大量部署Tor网络的桥节点,一方面可以监测Tor网络的连接情况;另一方面可以对Tor用户进行追踪。另外,安全部门还可与电信部门协商,对我方特定的Tor节点不予过滤,从而建立若干“蜜罐”,引诱别有用心的Tor用户,从而方便对其进行追踪和监测。
5 小结
Tor匿名网络经过十几年的发展,现已成为拥有几千个节点的大型匿名网络,拥有大量用户。其中,不乏犯罪分子利用匿名网络从事非法活动,并成功逃脱追踪的案例。文章分析了当前国内Tor用户实现“翻墙”的机制,测试了“翻墙”的效果,指出不法分子利用Tor网络进行非法活动的可能性和随之而来的安全威胁。作为国家安全部门,需要从技术和政策两个方面双管齐下、加快研究,不给不法分子可趁之机。
参考文献:
[1] M. G. Reed, P. F. Syverson, and D. M. Goldschlag, “Anonymous Connections and Onion Routing,” in Proceedings of Symposium on Security and Privacy (S&P), 1997,pp. 482 – 494.
[2]https://atlas.torproject.org/
[3] Z. Ling, J. Luo, K. Wu, W. Yu, and X. Fu, “Torward: Discovery of Malicious Traffic over Tor,” in Proceedings of the 33th IEEE International Conference on Computer Communications (INFOCOM), 2014.
[4] N. Christin, “Traveling the silk road: a measurement analysis of a large anonymous online marketplace,” in Proceedings of the 22nd International World Wide Web Conference (WWW), 2013, pp. 213–224.
作者简介:
薛鹏(1996.01—),男,河南唐河,大专,在读于西安通信学院一队有线通信指挥专业。