Tor是互联网上提供匿名的最广泛使用的工具之一。我们已经设计出新颖的方式来攻击Tor网络,能够频繁损害用户建立了长期连接的匿名用户访问服务以及可预测交互模式。

网络匿名是一把双刃剑。一方面,匿名服务使人们表达他们的想法和观点且没有任何约束带来的恐惧感;另一方面,它也可能被用于在数字化领域的犯罪行为并且不受惩罚和伤害。Tor网络是最广泛使用的网络匿名交流工具。通过路由器连接的三个“中继服务器”的一条可变链,自动运行的Tor服务器,原始的用户建立的“回路”就被隐藏了。

因此,用户连接的服务器看最终无法看到用户真实的ip地址而是看到在中继服务器中最后一台电脑的ip地址。为了使该机制更安全,新连接使用的服务器群每十分钟变化一次,且Tor中继服务器链间的连接多路复用多个用户的会话。

此外,链中的第一个中继服务器,所谓的“守卫”,是从一个中继服务器小集合——通常由3个元件总成——中由用户的Tor客户机程序随机挑选出来作为起点。守卫节点的概念使得用户能够避免落入攻击者控制Tor网络架构的陷阱。守卫中继服务器在集合里持续大约一个月。

图1:用户通过Tor网路连接服务器。

我们已经开发了扫描Tor中继服务器连通性的一些技术。这些能够提供给我们Tor网络的拓扑地图(例子见图2)。

有了每扫描一次路由器20秒的速度或以并行的方式3分钟扫描全网的速度,我们也能观测动态拓扑结构。

图2:105个最快的Tor中继服务器的连通性,3月14日,2012,13:59 GWT。

基于这些数据我们能够设计攻击方式来损害用户匿名通过Tor网络建立的以下2种交互模式:

• 长时间连接:

通过Tor产生的大量下载,大量的及时通讯协议和比特流会创建活跃数小时的回路。观察拓扑结构中的变化来识别中继服务器间保持稳定的那些,这使我们追踪与守卫节点的通信。

• 频繁的,可识别的重连接:

一些网络设备,例如网络邮箱设备Gmail,会频繁地重新到服务器的建立连接。一旦这类连接能够被识别出来是来自同一用户的,能检测大部分出口流量的攻击者就能追踪用户的守卫节点集合。特别的,我们将会用低带宽识别守卫节点。

随着Tor网络逐渐地扩大规模,我们已经创建了一个估计攻击任意参数有效性的模型。主要影响中继服务器连通性的参数是提供给Tor网络的带宽。任何被路由器选择的已知中继服务器主要取决于带宽贡献。虽然其他参数也有影响,这个简单的模型已经能够很好的预测被观测的连通性。

实验证实了我们实现的对真实Tor网络的连通性攻击,并且我们的模型成功地预测了有效性。

所有之前的研究都提到Tor网络难以理解。由于我们的攻击方法相关于其他文献中描述的攻击方式,推断Tor网络拓扑结构也能够被用于改进其他攻击方式。

本文中描述的这项工作已经被欧洲计算机安全研讨会(ESORICS 2012)所接受,且Tor项目也已经注意到我们的发现。文章中我们也描述了避免攻击的反向措施。