O echipă de cercetători de la Universitatea Georgetown și de la Laboratorul de Cercetare Navală din SUA rezistența rețelei Tor anonime la atacuri care duc la refuzul serviciului (DoS). Cercetările privind compromiterea rețelei Tor se bazează în principal pe cenzură (blocarea accesului la Tor), identificarea cererilor prin Tor în traficul de tranzit și analizarea corelației fluxurilor de trafic înainte de nodul de intrare și după nodul de ieșire Tor pentru a de-anonimiza utilizatorii. Această cercetare arată că atacurile DoS împotriva Tor sunt trecute cu vederea și, la un cost de mii de dolari pe lună, ar putea cauza perturbări Tor care ar putea forța utilizatorii să nu mai folosească Tor din cauza performanței slabe.
Cercetătorii au propus trei scenarii pentru efectuarea atacurilor DoS: crearea congestiei între nodurile punte, dezechilibrul de încărcare și crearea congestiei între relee, a căror implementare necesită ca atacatorul să aibă un debit de 30, 5 și 3 Gbit/s. În termeni monetari, costul efectuării unui atac pe parcursul unei luni va fi de 17, 2.8 și, respectiv, 1.6 mii de dolari. Pentru comparație, efectuarea unui atac DDoS direct pentru a perturba Tor ar necesita 512.73 Gbit/s de lățime de bandă și ar costa 7.2 milioane USD pe lună.
Prima metodă, la un cost de 17 mii de dolari pe lună, prin inundarea unui set limitat de noduri bridge cu o intensitate de 30 Gbit/s va reduce viteza de descărcare a datelor de către clienți cu 44%. În timpul testelor, doar 12 noduri punte obfs4 din 38 au rămas în funcțiune (nu sunt incluse în listele serverelor de directoare publice și sunt folosite pentru a ocoli blocarea nodurilor santinelă), ceea ce face posibilă inundarea selectivă a nodurilor punte rămase. . Dezvoltatorii Tor pot dubla costurile de întreținere și pot restaura nodurile lipsă, dar un atacator ar trebui doar să-și mărească costurile la 31 USD pe lună pentru a ataca toate cele 38 de noduri bridge.
A doua metodă, care necesită 5 Gbit/s pentru un atac, se bazează pe întreruperea sistemului centralizat de măsurare a lățimii de bandă TorFlow și poate reduce viteza medie de descărcare a datelor a clienților cu 80%. TorFlow este folosit pentru echilibrarea încărcăturii, ceea ce permite unui atac să perturbe distribuția traficului și să organizeze trecerea acestuia printr-un număr limitat de servere, determinând supraîncărcarea acestora.
A treia metodă, pentru care 3 Gbit/s este suficient, se bazează pe utilizarea unui client Tor modificat pentru a crea o încărcare parazită, care reduce viteza de descărcare a clientului cu 47% la un cost de 1.6 mii de dolari pe lună. Prin creșterea costului unui atac la 6.3 mii de dolari, puteți reduce viteza de descărcare a clienților cu 120%. Clientul modificat, în locul construcției standard a unui lanț de trei noduri (nod de intrare, intermediar și de ieșire), folosește un lanț de 8 noduri permise de protocol cu un număr maxim de hopuri între noduri, după care solicită descărcarea fișiere mari și suspendă operațiunile de citire după trimiterea cererilor, dar continuă să trimită comenzi SENDME de control care indică nodurilor de intrare să continue transmiterea datelor.
Se observă că inițierea unei refuzuri de serviciu este vizibil mai eficientă decât organizarea unui atac DoS folosind metoda Sybil la costuri similare. Metoda Sybil presupune plasarea unui număr mare de relee proprii pe rețeaua Tor, pe care lanțurile pot fi aruncate sau lățimea de bandă redusă. Având în vedere un buget de atac de 30, 5 și 3 Gbit/s, metoda Sybil realizează o reducere a performanței cu 32%, 7.2% și, respectiv, 4.5% a nodurilor de ieșire. În timp ce atacurile DoS propuse în studiu acoperă toate nodurile.
Dacă comparăm costurile cu alte tipuri de atacuri, atunci efectuarea unui atac de dezanonizare a utilizatorilor cu un buget de 30 Gbit/s ne va permite să obținem controlul asupra a 21% din nodurile de intrare și 5.3% din nodurile de ieșire și să atingem acoperirea toate nodurile din lanț în 1.1% din cazuri. Pentru bugetele de 5 și 3 Gbit/s, eficiența va fi de 0.06% (4.5% noduri de intrare, 1.2% noduri de ieșire) și 0.02% (2.8% noduri de intrare, 0.8% noduri de ieșire).
Sursa: opennet.ru