作者:{RealWorlds}@ArkTeam
原文作者:Katharina Kohls, Kai Jansen, David Rupprecht, Thorsten Holz and Christina P¨opper
原文标题:On the Challenges of Geographical Avoidance for Tor
原文会议:Network and Distributed Systems Security (NDSS) Symposium 2019
原文链接:https://dx.doi.org/10.14722/ndss.2019.23402
针对匿名网络的流量分析成为近年来的热点,包括网站指纹在内的一些技术给Tor用户的隐私带来了巨大的威胁。当一个国家级的网络审查机构进行Tor的流量分析时,所有途径此国家的Tor环路(circuit)都不再安全。为此,有研究人员提出了在建立Tor环路时对不信任区域(Forbidden Area,FA)进行规避,使所有新建立的环路都不经过此区域,以此规避该地区的网络审查。Li等人在2017年提出了一个地理规避方法DeTor [1],该方法结合客户端到服务端的距离,根据数据传输速度不超过光速的2/3的假设,使用RTT作为判断标准,对环路是否经过FA进行判别。本文作者认为这种路径上的地理规避是可行的,但在DeTor中存在一些缺陷。首先,DeTor未考虑Tor的离散网络结构,对所有的环路使用同一个决策阈值,会增加判别错误;其次,DeTor中对一些已知信息做了错误的假设;最后,DeTor没有考虑在真实环境部署中的限制。本文针对这三点进行改进和研究。
图1 DeTor和本文中最小时间计算公式
Dmin代表距离最小值,c和s代表客户端和服务端,小括号中的e、m、x分别代表Tor的入口、中间、出口节点,F代表不信任区域,小括号外的c代表光速
Tor的环路要从客户端经过入口节点、中间节点和出口节点到达服务端,这里每两个跳之间都可能会出现在FA中。在DeTor中,Li等分别计算两个跳中存在FA情况时的最小路径,取这几种情况的最小路径,以最大网络传播速度为2/3c进行往返时间阈值计算,如图1左。当实际测量的RTT小于阈值时,可以认为环路不经过FA;大于阈值时,可能经过FA,需要舍弃此环路。DeTor认为往返的路径是对称的,而本文作者认为,根据[2],往返的路径是不对称的,因此DeTor的计算结果会比实际情况要大。作为改进,作者提出了图1右的计算公式。图1中的计算是以节点IP和GeoIP数据库进行估算的,而GeoIP中也存在一些错误数据。作者提出了一种粗鉴别方法。根据服务器与节点之间的大圆距离和传输时间,可以测得大致的传输速度。如果GeoIP的距离过近,这个速度会超过光速;如果过远,这个速度会很小,这两种情况都应该排除。
图2 决策计算
图3 系统结构
在判别是否进入FA时,作者根据实际测量得到的时间Re2e和估计的时间Rest计算时间比Δ。作者首先估计最短增加延时extF,如图2(1)。D(A, F, B)代表节点A通过FA到达B的大圆距离;avg[S(A, F), S(F, B)]表示A节点到FA和FA到B节点的传播速度的平均值,以此经验速度代表FA到A、B的传播速度。随后,使用这个增加延时extF估计决策阈值,如图2(2),其中est(c, s \ extF)代表除与延时相关的跳外所有跳的估计,est(e, s)表示所有从服务端返回到客户端的跳的估计。最后,使用Rest和Re2e的比值作为判断依据,Δ为1时表示估计时间与RTT相同;Δ小于1表示RTT大于估计时间,即可能经过FA;Δ大于1表示RTT比估计更快,可以根据安全和性能的需要来确定决策的Δ值。整个系统组件如图3。网络端进行分布式测量,包括ICMP节点距离验证测算和TCP节点跳估计,测量结果将作为规避决策的输入。客户端将进行环路测量与评估,并计算对环路的接受和拒绝。
在进行本项工作的同时,作者也考虑了安全因素。因各种探测行为可能会留下指纹,作者利用Tor的环路建立过程进行RTT测量,不泄露多余信息,并且利用Tor组件的功能完成探测,也不会留下其他指纹。从对DeTor的借鉴与批判,到本文系统性的设计与实现,每一个细节都在谨慎地考虑与实施。设计者的不慎,有时会造成巨大损失。谨慎而全面,永恒的法则。
参考文献
[1] Z. Li, S. Herwig, and D. Levin, “DeTor: Provably Avoiding Geographic Regions in Tor,” in USENIX Security Symposium, ser. USENIX Security ’17. Vancouver, BC, Canada: USENIX Association, Aug. 2017, pp. 343–359.
[2] Y. Sun, A. Edmundson, L. Vanbever, O. Li, J. Rexford, M. Chiang, and P. Mittal, “RAPTOR: Routing Attacks on Privacy in Tor,” in USENIX Security Symposium, ser. USENIX Security ’15. Washington, D.C., USA: USENIX Association, Aug. 2015, pp. 271–286.