从内部流量来分析Tor

作者:{RealWorlds}@ArkTeam

原文作者:Rob JansenMarc JuarezRafa G´alvezTariq ElahiClaudia Diaz

原文标题:Inside Job: Applying Traffic Analysis to Measure Tor from Within

原文会议:NDSS Symposium 2018

原文链接:https://www.ndss-symposium.org/ndss2018/programme/

近些年,使用机器学习方法对Tor网络中的站点进行网站指纹分析十分流行,比较经典的方法有Wang-kNN[1]CUMUL[2]k-Fingerprinting[3],深度学习的方法也用在了网站指纹分析上[4]。这些已有的方法都是在Tor的入口节点上进行监控和数据收集的,而本文提出了在Tor的中间节点来进行分析。


1 Tor的中间节点进行分析

从普通网络进入Tor网络一般需要三跳,分别对应着入口节点、中间节点和出口节点。入口节点直接与客户端相连,是进入Tor网络的第一步;出口节点直接与网站相连,对于明文传输的HTTP流量,能直接看到数据的内容;而中间节点既看不到用户,也看不到服务端。因此,以往的工作都是针对入口节点和出口节点进行分析的,而忽略了中间节点。

作者认为,要成为入口节点,中继服务器需要比中间节点和出口节点更稳定,在线时间更长;而由于客户端设置,每2-3个月就需要更换入口节点,因此其效率较低;在达到稳定状态这段时间里(通常为3个月),通过的流量相对较少,也不利于进行流量分析。对于出口节点,尽管它与Tor外部网络相连,但由于流量限制,它不会被选做onion服务的路径节点,因此也不符合作者对Tor网络测量的要求。而中间节点则有很多优势。客户端会为每一个Tor链路选择一个新的中间节点,选择的依据是中间节点的带宽;中间节点也没有特殊的中继要求,能够得到充分利用(对比入口节点);而中间节点得到的也是所有Tor使用者的一个统计抽样。因此,作者选择中间节点进行实验。

作者在中间节点部署了流量监控,采用[1][2][3]中的网站指纹方法和机器学习中常规的评估方法对onion服务中的网站指纹和链路指纹[5]进行了封闭环境和开放环境的对比实验,发现这些网站指纹方法仍然适用(图2),onion服务也能”被指纹”。作者进一步研究了onion服务的使用程度,为了保护用户隐私,用onion中的社交网站服务作为训练集,测试得到onion服务大概占Tor网络的1% ~ 1.5%(图3)。


2 使用[1][2][3]中的方法在中间节点进行实验得到的准确率


3 onion服务的使用占比

作者在进行实验之初就一直考虑着实验的道德与隐私问题,并为此咨询了Tor的设计团队,因此实验数据会比实际情况更低。同样的方法,如果是有足够资源的一方来进行实验,可能会得到更多更精确的结果。而作者在中间节点进行实验也提醒了我们,想当然的结果并不可靠,绝知此事还是要躬行。

参考文献:

[1] T. Wang, X. Cai, R. Nithyanand, R. Johnson, and I. Goldberg, “Effective Attacks and Provable Defenses for Website Fingerprinting,” in USENIX Security Symposium. USENIX Association, 2014, pp. 143–157.

[2] A. Panchenko, F. Lanze, A. Zinnen, M. Henze, J. Pennekamp, K.Wehrle, T. Engel, “Website fingerprinting at internet scale,” in Network & Distributed System Security Symposium (NDSS). IEEE Computer Society, 2016, pp. 1–15.

[3] J. Hayes and G. Danezis, “k-fingerprinting: a Robust Scalable Website Fingerprinting Technique,” in USENIX Security Symposium. USENIX Association, 2016, pp. 1–17.

[4] Rimmer, Vera, et al. “Automated Website Fingerprinting through Deep Learning.” in Network and Distributed System Security Symposium 2018.

[5] Kwon, Albert, et al. “Circuit fingerprinting attacks: passive deanonymization of tor hidden services.” Usenix Conference on Security Symposium USENIX Association, 2015:287-302.

发表评论

电子邮件地址不会被公开。 必填项已用*标注