Ein Forscherteam der Georgetown University und des US Naval Research Laboratory Widerstand des anonymen Tor-Netzwerks gegen Angriffe, die zu Denial of Service (DoS) führen. Die Forschung zur Kompromittierung des Tor-Netzwerks basiert hauptsächlich auf der Zensur (Blockierung des Zugangs zu Tor), der Identifizierung von Anfragen über Tor im Transitverkehr und der Analyse der Korrelation der Verkehrsströme vor dem Eingangsknoten und nach dem Tor-Ausgangsknoten, um Benutzer zu deanonymisieren. Diese Untersuchung zeigt, dass DoS-Angriffe gegen Tor übersehen werden und mit Kosten von Tausenden von Dollar pro Monat möglicherweise zu Störungen bei Tor führen können, die Benutzer dazu zwingen könnten, Tor aufgrund schlechter Leistung nicht mehr zu verwenden.
Forscher haben drei Szenarien für die Durchführung von DoS-Angriffen vorgeschlagen: Schaffung einer Überlastung zwischen Bridge-Knoten, Lastungleichgewicht und Schaffung einer Überlastung zwischen Relays, deren Umsetzung vom Angreifer einen Durchsatz von 30, 5 und 3 Gbit/s erfordert. In Geld ausgedrückt belaufen sich die Kosten für die Durchführung eines Angriffs im Laufe eines Monats auf 17, 2.8 bzw. 1.6 Dollar. Zum Vergleich: Die Durchführung eines direkten DDoS-Angriffs zur Störung von Tor würde eine Bandbreite von 512.73 Gbit/s erfordern und 7.2 Millionen US-Dollar pro Monat kosten.
Die erste Methode, die 17 US-Dollar pro Monat kostet und eine begrenzte Anzahl von Bridge-Knoten mit einer Intensität von 30 Gbit/s überflutet, wird die Geschwindigkeit des Daten-Downloads durch Clients um 44 % reduzieren. Während der Tests blieben nur 12 von 4 obfs38-Bridge-Knoten in Betrieb (sie sind nicht in den Listen der öffentlichen Verzeichnisserver enthalten und werden verwendet, um die Blockierung von Sentinel-Knoten zu umgehen), was eine selektive Flutung der verbleibenden Bridge-Knoten ermöglicht . Tor-Entwickler können die Wartungskosten verdoppeln und die fehlenden Knoten wiederherstellen, aber ein Angreifer müsste seine Kosten nur auf 31 US-Dollar pro Monat erhöhen, um alle 38 Bridge-Knoten anzugreifen.
Die zweite Methode, die für einen Angriff 5 Gbit/s erfordert, basiert auf der Störung des zentralen TorFlow-Bandbreitenmesssystems und kann die durchschnittliche Daten-Download-Geschwindigkeit von Clients um 80 % reduzieren. TorFlow wird für den Lastausgleich verwendet, der es einem Angriff ermöglicht, die Verteilung des Datenverkehrs zu stören und seinen Durchgang durch eine begrenzte Anzahl von Servern zu organisieren, was zu einer Überlastung dieser Server führt.
Die dritte Methode, für die 3 Gbit/s ausreichen, basiert auf der Verwendung eines modifizierten Tor-Clients, um eine parasitäre Last zu erzeugen, die die Geschwindigkeit der Client-Downloads um 47 % reduziert und 1.6 Tausend Dollar pro Monat kostet. Indem Sie die Kosten eines Angriffs auf 6.3 Tausend Dollar erhöhen, können Sie die Geschwindigkeit von Client-Downloads um 120 % reduzieren. Der modifizierte Client verwendet anstelle der Standardkonstruktion einer Kette aus drei Knoten (Eingangs-, Zwischen- und Ausgangsknoten) eine vom Protokoll zugelassene Kette aus 8 Knoten mit einer maximalen Anzahl von Sprüngen zwischen den Knoten, wonach er den Download anfordert große Dateien und unterbricht Lesevorgänge nach dem Senden von Anforderungen, sendet jedoch weiterhin SENDME-Steuerbefehle, die Eingabeknoten anweisen, weiterhin Daten zu übertragen.
Es wird darauf hingewiesen, dass die Einleitung eines Denial-of-Service deutlich effektiver ist als die Organisation eines DoS-Angriffs mit der Sybil-Methode zu ähnlichen Kosten. Bei der Sybil-Methode wird eine große Anzahl eigener Relays im Tor-Netzwerk platziert, auf denen Ketten verworfen oder die Bandbreite reduziert werden kann. Bei einem Angriffsbudget von 30, 5 und 3 Gbit/s erreicht die Sybil-Methode eine Leistungsreduzierung von 32 %, 7.2 % bzw. 4.5 % der Ausgangsknoten. Während die in der Studie vorgeschlagenen DoS-Angriffe alle Knoten abdecken.
Wenn wir die Kosten mit anderen Arten von Angriffen vergleichen, können wir durch die Durchführung eines Angriffs zur Deanonymisierung von Benutzern mit einem Budget von 30 Gbit/s die Kontrolle über 21 % der eingehenden und 5.3 % der ausgehenden Knoten erlangen und eine Abdeckung von erreichen alle Knoten in der Kette in 1.1 % der Fälle. Für 5- und 3-Gbit/s-Budgets beträgt die Effizienz 0.06 % (4.5 % eingehende, 1.2 % ausgehende Knoten) und 0.02 % (2.8 % eingehende, 0.8 % ausgehende Knoten).
Source: opennet.ru