Ett team av forskare från Georgetown University och US Naval Research Laboratory Tors anonyma nätverks motstånd mot attacker som leder till denial of service (DoS). Forskning om att kompromissa med Tor-nätverket är huvudsakligen uppbyggd kring censurering (blockering av åtkomst till Tor), identifiering av förfrågningar genom Tor i transittrafik och analys av sambandet mellan trafikflöden före ingångsnoden och efter Tor-utgångsnoden för att avanonymisera användare. Denna forskning visar att DoS-attacker mot Tor förbises och, till en kostnad av tusentals dollar per månad, potentiellt kan orsaka störningar på Tor som kan tvinga användare att sluta använda Tor på grund av dålig prestanda.
Forskare har föreslagit tre scenarier för att utföra DoS-attacker: skapa trängsel mellan bryggnoder, lastobalans och skapa trängsel mellan reläer, vars implementering kräver att angriparen har en genomströmning på 30, 5 och 3 Gbit/s. I monetära termer kommer kostnaden för att genomföra en attack under loppet av en månad att vara 17, 2.8 respektive 1.6 tusen dollar. Som jämförelse, att genomföra en direkt DDoS-attack för att störa Tor skulle kräva 512.73 Gbit/s bandbredd och kosta $7.2 miljoner per månad.
Den första metoden, till en kostnad av 17 tusen dollar per månad, genom att översvämma en begränsad uppsättning bryggnoder med en intensitet på 30 Gbit/s kommer att minska hastigheten för nedladdning av data från klienter med 44%. Under testerna förblev endast 12 obfs4 bryggnoder av 38 i drift (de ingår inte i listorna över publika katalogservrar och används för att kringgå blockeringen av sentinelnoder), vilket gör det möjligt att selektivt översvämma de återstående bryggnoderna . Tor-utvecklare kan fördubbla underhållskostnaderna och återställa de saknade noderna, men en angripare skulle bara behöva öka sina kostnader till $31 38 per månad för att attackera alla XNUMX bryggnoder.
Den andra metoden, som kräver 5 Gbit/s för en attack, är baserad på att störa det centraliserade TorFlow bandbreddsmätningssystemet och kan minska den genomsnittliga datanedladdningshastigheten för klienter med 80 %. TorFlow används för lastbalansering, vilket gör att en attack kan störa distributionen av trafik och organisera dess passage genom ett begränsat antal servrar, vilket gör att de överbelastas.
Den tredje metoden, för vilken 3 Gbit/s räcker, bygger på att använda en modifierad Tor-klient för att skapa en parasitisk belastning, vilket minskar hastigheten på klientnedladdningar med 47% till en kostnad av 1.6 tusen dollar per månad. Genom att öka kostnaden för en attack till 6.3 tusen dollar kan du minska hastigheten på klientnedladdningar med 120%. Den modifierade klienten, istället för standardkonstruktionen av en kedja av tre noder (input-, mellan- och utgångsnod), använder en kedja av 8 noder som tillåts av protokollet med ett maximalt antal hopp mellan noder, varefter den begär nedladdning av stora filer och avbryter läsoperationer efter att ha skickat förfrågningar, men fortsätter att skicka kontroll SENDME-kommandon som instruerar ingångsnoder att fortsätta sända data.
Det noteras att det är märkbart effektivare att initiera ett överbelastningsskydd än att organisera en DoS-attack med Sybil-metoden till liknande kostnader. Sybil-metoden går ut på att placera ett stort antal egna reläer på Tor-nätverket, på vilka kedjor kan kasseras eller bandbredd minskas. Givet en attackbudget på 30, 5 och 3 Gbit/s, uppnår Sybil-metoden en prestandaminskning på 32 %, 7.2 % respektive 4.5 % av utmatningsnoderna. Medan DoS-attackerna som föreslås i studien täcker alla noder.
Om vi jämför kostnaderna med andra typer av attacker, kommer att genomföra en attack för att avanonymisera användare med en budget på 30 Gbit/s att vi kan uppnå kontroll över 21 % av inkommande och 5.3 % av utgående noder och uppnå täckning av alla noder i kedjan i 1.1 % av fallen. För 5 och 3 Gbit/s budgetar kommer effektiviteten att vara 0.06 % (4.5 % inkommande, 1.2 % utgående noder) och 0.02 % (2.8 % inkommande, 0.8 % utgående noder).
Källa: opennet.ru