匿名网络追踪溯源机制及方法

专注IP定位
• 阅读 482

Tor作为匿名网络的代表,被誉为“暗网之王”,而TOR这个网络具有双面性。Tor通过保护通信双方的身份信息,能有效防止用户个人信息的泄露,成为一种新的网络访问方式。但同时,攻击者也看到了匿名网络所带来的匿名性,可以利用匿名网络发动网络攻击,逃避司法取证人员的追踪调查,因此匿名网络中的攻击溯源问题也近几年追踪溯源的热点。

其实关于匿名网络的追踪溯源,虽然有难度,但是近几年还是有长足的进步,追溯方法也在逐步增加。

匿名网络追踪溯源机制及方法

陈周国、蒲石、祝世雄在《匿名网络追踪溯源》,将攻击溯源方法分为两类:匿名网络调制追踪和匿名网络渗透追踪。匿名网络调制追踪是指取证人员在匿名网络流量中添加流水印信息,通过检测流水印信息将不同的网络流量关联起来,从而识别网络流量的来源。

匿名网络渗透追踪是指取证人员控制部分匿名网络的节点,通过破坏或查看通过这些节点的流量,来识别网络流量的源头。

但是这两类方法需要取证人员掌握的资源有所不同,因此从取证人员的角度,可以将匿名网络中的攻击溯源方法分2种情况:

(1)取证人员能够控制全部或部分匿名网络的节点的情况下

①在这种情况下,《追踪洋葱包的高级标记方案与实现》中吴振强、杨波, 采用数据包标记方法来识别匿名流量。由于匿名网络 Tor 隐藏了数据发送端的IP地址,而且中间节点会剥去数据包的外层包头,因此该方法提出利用Tor 协议中网络层的32bit的GMT(包终止时间)字段,将其改造为5bit的距离和 19bit的IP地址 hash值。中间节点填入相应的信息,受害主机根据这些信息可以推算出数据流的来源。

②在《A new replay attack against anonymous communication networks》中针对Tor网络的追踪问题,利用了Tor 网络所采用的AES算法的计数器加密模式,需要计数器进行同步的特征,控制多个Tor 网络的节点,人为改变节点的计数器,导致后续节点解密失败,从而将节点间的通信流进行关联。

③在《A traceback attack on Freenet》中Guanyu Tian,等人研究了高延时匿名网络、匿名内容发布网络Freenet中的匿名追踪问题,指出可以利用网络中部分受控制的节点作为监控节点,通过监控节点所观察到的消息来推断内容请求者的真实主机,但该方法没有解决内容发布者的匿名追踪问题。 Young Hwan Lim等研究了BitTorrent 网络中初始种子的识别问题,给出一些识别特征。而《Is it an initial seeder?》研究了在种子初始传播阶段识别第一个上传者的规则。

匿名网络追踪溯源机制及方法

(2)取证人员能够控制匿名网络的部分通信流量并能部署检测传感器

①在《discovery, blocking, and traceback of malicious traffic over Tor》和《Rate-based watermark traceback: a new approach》中,采用数据包发包速率来作为载频的方式嵌入水印。如用较高的发包速率表示二进制1,用较低的发包速率表示二进制0。该方法可以有效抵抗由于各种原因引起的数据包的网络时延、丢包、增加包、重打包等对水印检测准确率的影响。

②在《Network flow wartermarking attack on low-latency anonymous communication Systems》中针对采用发包流率作为载频,而在实际应用中发包流速不稳定的问题,提出了一种以时隙质心的载频方法。即将时间分为多个时间片,以数据包落在时间片中的位置为质心,当数据包数量足够多时,无论发包速率如何波动,时隙质心是稳定的。这样可以提高流水印的健壮性和隐秘性。

③《DSSS-based flow marking technique for invisible traceback》中将直序扩频机制 DSSS 应用到流水印中, 不是直接在流中嵌入特征码, 而是利用伪噪声码 PN 码进行扩频, 嵌入到数据流中, 提高了流水印的隐蔽性。但是在《On the secrecy of spread-spectrum flow watermarks》中对该方法的隐蔽性进行了充分实验验证, 指出该方法的隐蔽性需要进一步提高。

④《 Interval cen troid based flow watermarking technique for anonymous commu nication traceback》中综合利用时隙质心和PN码的方法提出一种新的流水印方法。作者指出长PN码可以提高水印检测的准确率,这一点在别的实验中得到了验证。

Xian Pan, Junwei Huang等人用基于DSSS的长PN码来嵌入水印,该方法能够阻止攻击者检测到流中可能存在水印信息,并且可以用于多个数据流嵌入水印的同时检测。而在《A double interval centroid-based watermark for network flow traceback》中则更进一步采用双重时隙质心和PN 码的方法,即将相邻时隙的质心联合进行考虑,可以更好的提高水印的隐蔽性。

⑤而《A new cell counter based attack against Tor》中则不直接针对时隙进行水印的嵌入,而是使用包数来表达嵌入的信号,即用连续的1个数据包代表“0”;用连续的3个数据包代表“1”。考虑到网络延时及缓冲队列造成的数据包合并、分离,提出了鲁棒的算法来提高检测率。这样,对于流持续时间较短的情况,仍然可以添加水印并能得到较好的检测效果。

《A new cell counter based attack against Tor》进一步指出,虽然Tor 匿名网络把应用层数据分割为固定大小的512字节(含头部信息,真正数据是 498个字节),但这一机制并不会导致网络层数据包分组也是固定大小。

利用这一现象,《Equal-sized cells mean equal sized packets in Tor?》中给出了一个新的嵌入水印的方法,即利用真正数据的498个字节代表“0”,2444个字节代表“1”。前者将被分割为1个数据包,而后者考虑到链路层的最大数据帧长度1500字节,将被分割为5个数据包。然后研究了数据包在网络层的分割、融合的各种情况,给出了水印检测算法。实验结果显示能够使用较少的数据包以较高的准确率检测到嵌入的水印信号。同时可以将类似的思想应用到另一匿名网络 Anonymizer 中,可以识别出访问网站的匿名客户端。但是以上方法都是针对单个数据流嵌入水印并进行检测的,如果同时存在多个数据流,在多个数据流中嵌入水印,将导致检测准确率急剧下降。

匿名网络追踪溯源机制及方法

面对同时存在多个数据流现象,针对这一问题,有一种针对多个数据流嵌入水印的方法,即事先生成一个种子序列,对每个数据流随机选择不同的种子, 在数据流中不同的时隙段内嵌入水印。当进行检测的时候, 解码器尝试采用每一个可能的种子来检测水水印, 找出最匹配的值, 从而解码出嵌入的水印值。

对于为什么可以采用时隙特征来嵌入水印的理论原因,主要影响追踪效果的三个因素:报文长度、干扰数据流中数据包的数量、转发节点的数据包缓冲时间,并给出了在给定检测准确率的情况下,所嵌入水印的最小延迟时间的计算方法。

一般的方法采用在固定时间长度的数据包间隔中嵌入水印, 常用的水印检测方法效率较差, 需要大量的数据包才能获得较高的检测准确率。针对这一问题,可以基于 SPRT(Sequential Probability Ratio Test)检验方法, 创建三种不同的假设检验构造方法, 在达到同样检测准确率的情况下, 明显减少了所需的数据包数量。但是这一类方法仅适用于低延时匿名网络, 对于高延时匿名网络将导致所添加的流水印信息丢失。

结语

未来网络安全事件,一定是以定向攻击为主的,而匿名网络则成为攻击者的保护伞。匿名网络的追踪溯源,有难度,但是并不是不可实现。尤其是以IP地址为基础的匿名网络,现在的IP代理识别技术基本可以实现识别用户是否使用Tor连接,这也降低了匿名网络追踪溯源的难度。随着国家对攻防演习的重视,未来对于匿名网络的追踪溯源能力也会越来越强,就让我们拭目以待吧。

点赞
收藏
评论区
推荐文章
专注IP定位 专注IP定位
1年前
跳板攻击原理及如何追踪定位攻击者主机(下)
跳板攻击溯源中,我们需要先确定本地网络中是否存在攻击者的跳板,在本地网络中发现跳板后,又要如何追踪定位攻击者主机?
专注IP定位 专注IP定位
2年前
浅析蜜罐技术
前言:蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。自网络诞生以来,攻击威胁事件层出不穷,网络攻防对抗已成为信息时代背景下的无硝烟战争。然而,
Stella981 Stella981
3年前
OnionShare:一个安全共享文件的开源工具
OnionShare是一个自由开源工具,它利用Tor网络安全和匿名地共享文件。已经有很多在线服务可以安全地共享文件,但它可能不是完全匿名的。此外,你必须依靠一个集中式服务来共享文件,如果服务决定像 FirefoxSend(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2
E小媛同学 E小媛同学
9个月前
IP代理识别API:打击网络欺诈与匿名访问的新工具
随着互联网的飞速发展,网络欺诈和匿名访问行为日益猖獗。为了应对这一挑战,IP代理识别API应运而生,成为了打击网络欺诈与匿名访问的新工具。本文将探讨IP代理识别API的工作原理、应用场景以及它如何帮助企业和个人提高网络安全。
E小媛同学 E小媛同学
7个月前
IP代理识别API:网络世界的真相揭示者
在网络世界中,用户的真实位置和身份往往被VPN、代理服务器或Tor网络所掩盖。为了维护网络安全、防止欺诈行为以及遵守地区性法规,识别用户是否通过这些服务连接互联网变得至关重要。IP代理识别API应运而生,成为了揭示网络连接真相的关键工具。本文将探讨IP代理识别API的功能、应用及其在现代网络环境中的重要性。
曼成 曼成
6个月前
实名认证:身份证二要素API的应用与重要性
在数字化时代,网络安全和用户身份的确认变得尤为重要。实名认证作为一种有效的网络安全措施,不仅有助于保护用户的个人信息安全,还能够遏制网络犯罪和欺诈行为。身份证二要素API作为实名认证的一种方式,通过整合身份证信息与额外的验证要素,为用户提供了一种便捷且安全的认证手段。
网络审计:为什么定期检查您的网络很重要
在数字化时代,网络安全成为组织和个人必须面对的重要挑战。网络审计是一种关键的安全措施,通过定期检查和评估网络系统的安全性,帮助发现潜在的安全漏洞和弱点,从而防止数据泄露和其他安全威胁。本文将介绍网络审计的重要性,并提供一系列具体的操作步骤,帮助您有效地执行网络审计。
小白学大数据 小白学大数据
6个月前
Kotlin 中如何使用 Fuel 库进行代理切换?
随着互联网的快速发展,网络编程在现代软件开发中变得越来越重要。无论是构建移动应用、Web应用还是后端服务,都需要与网络进行交互。而代理服务器在网络通信中扮演着至关重要的角色,它可以帮助我们实现匿名访问、提高访问速度、解决网络限制等问题。本文将介绍Kotli
专注IP定位 专注IP定位
2年前
网络攻击中常见掩盖真实IP的攻击方式及虚假IP地址追踪溯源方法
前言:在网络取证领域,网络攻击溯源一直是一个重要的追踪方式。近年来,网络安全事件层出不穷,各种网络攻击给国家、社会和个人带来了严重的危害,如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的高级可持续攻击(APT)、利用远程控制木马的信息窃取等。在这些攻击方法中,攻击者会向目标主机,也就是受害主机,发送特定的攻击数据包。从受害主机的角度来看,能够
专注IP定位 专注IP定位
2年前
什么是Tor?Tor浏览器更新有什么用?
前言:Tor项目团队近日宣布,发布Tor浏览器11.5版本。Tor被美国国家安全局(NSA)誉为“互联网匿名系统之王"。系统就是洋葱路由技术的具体实现。Tor项目团队发布Tor浏览器11.5版本,而此次更新1.帮助用户自动绕过互联网审查2.HTTPS默认开启3.对网络设置菜单进行了重大改进。说起TOR浏览器都略有耳闻,那么Tor是什么样的技术原理?到底要如