wa11ed.city [ a / bb / cyb / media / r / meta捐赠 FAQ 

/bb/ - 老大哥

Big Brother is Watching You
昵称
电子邮件
主题
评论
文件
密码 (用于删除文件)

File: 152562601447.jpg (238.65 KB, 922x518)

 No.285

概述:通過 Tor 的協議層對 GFW 實施大規模的 DDOS,從多個節點嘗試連接境外 Tor 節點,產生對 Tor 偵別的資源消耗。

先訣條件:需要攻擊者掌握境內具備一定節點數量的殭屍網路。

可能性: GFW 對 TOR 從協議層面進行識別,而非封殺節點。相對於 clearnet 的協議封殺和 DNS 污染, 所消耗的系統資源略大。此特徵可用於放大 DDOS 的攻擊效果。

動機: 擊垮 GFW 對於 TOR 協議的主動探測功能。

風險:高,老大哥的觸手長度長,數量大。

否決的因素:亦從動機角度考慮,實際收益有待商榷。

 No.286

File: 1525647661932-0.png (31.74 KB, 641x313)

File: 1525647645397-1.pdf (414.11 KB)

File: 1525647619620-2.pdf (1.79 MB)

首先要强调 >>>/cyb/214 中所描述的图示,GFW 是部署在国际互联网交换中心的旁路设备,通过分光器对出入流量进行分析和阻断,互联网出口和 GFW 本身不会直接相互影响。而 GFW 识别 Tor 桥的原理,根据 [Winter2012] 则分为三个阶段,首先是对所有的出境流量进行 DPI,具体来说是匹配 Tor 在 TLS 握手时使用的密钥列表等流量特征;其次是在匹配到刻意流量后,GFW 会进入主动探测阶段尝试以 Tor 客户端协议连接该桥;如果连接成功,最后该桥的 IP 地址被列入黑名单从而阻断连接。

因此可见,第一 GFW 的 DPI 是 always-on 的,制造符合特征的大量流量并不会给 GFW 造成额外的系统负载;第二即使有办法制造高系统负载,其影响也是暂时的;第三,就算此攻击可以临时让 GFW 消耗大量系统资源检测 Tor 桥,一旦所有的桥被全部封锁,攻击就会失去效果,而且没有第二次机会。

此外,Tor 网络的实际情况不利于发动任何形式的攻击。首先,目前 90% 以上的绝大多数公开 Tor 中继与 Tor 桥已经被 GFW 全部封锁 IP,因此无论是用 Tor 桥发动攻击还是让 GFW 的动态审查失效都是不可行的。而目前 Tor 主要依靠地址不公开并带有 obfs4 混淆的桥,以及 meek 套件突破封锁,这两种技术要么无法被 GFW 检测和封锁,要么就已经进入了黑名单,因此无法利用。

最后,根据 [Ensafi2015b] 的研究,用于检测可疑服务器是否为 Tor 中继的探测程序似乎是一套与 GFW 相连接但又独立于 GFW 的一套设施,因此就算发动攻击也只能让 GFW 的主动探测短暂实效一段时间,更不用说发动攻击已经是不可行的情况。那是否可以利用相似的手法引诱 GFW 连接蜜罐服务器进行钓鱼攻击,收集 GFW 使用的探测服务器 IP?研究报告同样指出,GFW 主动探测使用的 IP 地址来自电信、联通等家用宽带的动态 IP 池,每次的地址完全随机。

因此,无论从哪方面来说,攻击都是一件不可行也意义甚微的事情。

[Winter2012] How the Great Firewall of China is Blocking Tor
Philipp Winter, Stefan Lindskog
In Proc. of: Free and Open Communications on the Internet, 2012, USENIX

[Ensafi2015b] Examining How the Great Firewall Discovers Hidden Circumvention Servers
Roya Ensafi, David Fifield, Philipp Winter, Nick Feamster, Nicholas Weaver, Vern Paxson
In Proc. of: Internet Measurement Conference, 2015, ACM

 No.287

>>286
已知GFW使用旁路方式進行偵測,但之前並不知道對於 Tor 的識別是在獨立的節點進行的。這樣考慮也方便了對 GFW 系統的靈活配置。

早就預料到了這種攻擊形式並不可行,但仍然要提出目的是引發一些討論和對 GFW 的研究。

不過我認爲蜜罐或許是可行的 - 從社工的角度?

 No.301

Talk in cheap, show me your code.



[返回][返回顶部] [Catalog] [Post a Reply]
删除帖子 [ ]
[ a / bb / cyb / media / r / meta ]