Une équipe de chercheurs de l'Université de Georgetown et du US Naval Research Laboratory résistance du réseau anonyme Tor aux attaques menant au déni de service (DoS). La recherche sur la compromission du réseau Tor s'articule principalement autour de la censure (blocage de l'accès à Tor), de l'identification des requêtes via Tor dans le trafic de transit et de l'analyse de la corrélation des flux de trafic avant le nœud d'entrée et après le nœud de sortie de Tor pour désanonymiser les utilisateurs. Cette recherche montre que les attaques DoS contre Tor sont négligées et, pour un coût de plusieurs milliers de dollars par mois, pourraient potentiellement provoquer une perturbation de Tor qui pourrait forcer les utilisateurs à cesser d'utiliser Tor en raison de mauvaises performances.
Les chercheurs ont proposé trois scénarios pour mener des attaques DoS : création de congestion entre nœuds de pont, déséquilibre de charge et création de congestion entre relais, dont la mise en œuvre nécessite que l'attaquant dispose d'un débit de 30, 5 et 3 Gbit/s. En termes monétaires, le coût de la réalisation d'une attaque au cours d'un mois sera respectivement de 17, 2.8 et 1.6 mille dollars. À titre de comparaison, mener une attaque DDoS directe pour perturber Tor nécessiterait 512.73 Gbit/s de bande passante et coûterait 7.2 millions de dollars par mois.
La première méthode, d'un coût de 17 30 dollars par mois, consistant à inonder un ensemble limité de nœuds de pont avec une intensité de 44 Gbit/s, réduira de 12 % la vitesse de téléchargement des données par les clients. Lors des tests, seuls 4 nœuds pont obfs38 sur 31 sont restés en fonctionnement (ils ne sont pas inclus dans les listes des serveurs d'annuaire publics et servent à contourner le blocage des nœuds sentinelles), ce qui permet d'inonder sélectivement les nœuds pont restants . Les développeurs de Tor peuvent doubler les coûts de maintenance et restaurer les nœuds manquants, mais un attaquant n'aurait qu'à augmenter ses coûts à 38 XNUMX $ par mois pour attaquer les XNUMX nœuds du pont.
La deuxième méthode, qui nécessite 5 Gbit/s pour une attaque, repose sur la perturbation du système centralisé de mesure de la bande passante TorFlow et peut réduire de 80 % la vitesse moyenne de téléchargement des données des clients. TorFlow est utilisé pour l'équilibrage de charge, ce qui permet à une attaque de perturber la répartition du trafic et d'organiser son passage à travers un nombre limité de serveurs, provoquant leur surcharge.
La troisième méthode, pour laquelle 3 Gbit/s suffisent, repose sur l'utilisation d'un client Tor modifié pour créer une charge parasite, ce qui réduit la vitesse de téléchargement des clients de 47 % pour un coût de 1.6 mille dollars par mois. En augmentant le coût d'une attaque à 6.3 mille dollars, vous pouvez réduire la vitesse de téléchargement des clients de 120 %. Le client modifié, au lieu de la construction standard d'une chaîne de trois nœuds (nœud d'entrée, intermédiaire et de sortie), utilise une chaîne de 8 nœuds autorisée par le protocole avec un nombre maximum de sauts entre nœuds, après quoi il demande le téléchargement de fichiers volumineux et suspend les opérations de lecture après l'envoi des requêtes, mais continue d'envoyer des commandes de contrôle SENDME qui demandent aux nœuds d'entrée de continuer à transmettre des données.
Il est à noter que lancer un déni de service est nettement plus efficace que d'organiser une attaque DoS en utilisant la méthode Sybil à des coûts similaires. La méthode Sybil consiste à placer un grand nombre de ses propres relais sur le réseau Tor, sur lesquels les chaînes peuvent être supprimées ou la bande passante réduite. Avec un budget d'attaque de 30, 5 et 3 Gbit/s, la méthode Sybil permet d'obtenir une réduction des performances de 32 %, 7.2 % et 4.5 % des nœuds de sortie, respectivement. Alors que les attaques DoS proposées dans l’étude couvrent tous les nœuds.
Si l'on compare les coûts avec d'autres types d'attaques, alors mener une attaque de désanonymisation des utilisateurs avec un budget de 30 Gbit/s nous permettra de contrôler 21 % des nœuds entrants et 5.3 % des nœuds sortants et d'atteindre une couverture de tous les nœuds de la chaîne dans 1.1% des cas. Pour les budgets 5 et 3 Gbit/s, l'efficacité sera de 0.06 % (4.5 % de nœuds entrants, 1.2 % de nœuds de sortie) et de 0.02 % (2.8 % de nœuds entrants, 0.8 % de nœuds de sortie).
Source: opennet.ru