NetFlow هو بروتوكول شبكة مصممة لجمع ومراقبة حركة الشبكة. وساعدت على تبادل البيانات في تدفقات الشبكة، التي يمكن أن تتوافق مع اتصالات TCP أو حزم IP الأخرى تقاسم الخصائص المشتركة، مثل هذه حزم UDP تقاسم عناوين IP المصدر والمقصد، وأرقام الساحلية، وغيرها من المعلومات.
وقد أجري البحث لمدة ست سنوات من قبل أستاذ Sambuddho تشاكرافارتي، وهو باحث سابق في مختبر شبكة الأمن التابع لجامعة كولومبيا والبحث الآن شبكة المجهولية والخصوصية في معهد Indraprastha تقنية المعلومات في دلهي.
تستخدم تشاكرافارتي تقنية، من أجل تحديد التتابع تور، التي انطوت على الخادم تور العام المعدلة التي تعمل على لينكس، والوصول إليها من قبل العميل ضحية، وتعديلها عقدة تور التي يمكن أن تشكل الدوائر قفزة واحدة مع العقد المشروعة التعسفية.
"ينظم الملقم البيانات التي يتم إرسالها إلى العميل، في حين يتم استخدام عقدة تور الفاسدة لقياس التأخير بين نفسها والعقد تور"، وكتب الباحثون في ورقة PDF. "إن ارتباط بين اضطرابات في حركة تبادل مع عقدة تور، وساعد تيار الخادم تحديد التبديلات تشارك في دائرة معينة."
ووفقا للصحيفة البحوث، لتنفيذ هجمات تحليل حركة المرور على نطاق واسع في البيئة تور واحدة لن تحتاج بالضرورة موارد الدولة الأمة، حتى يجوز للAS واحد مراقبة جزء كبير من الدخول والمرور عقدة الخروج، كما جاء في ورقة - وAS واحد (نظام الحكم) يمكن مراقبة أكثر من 39٪ من الدوائر تور بشكل عشوائي.
"ليس من الضروري أن يكون حتى خصما العالمي لإطلاق مثل هذه الهجمات تحليل حركة المرور"، وكتب تشاكرافارتي. "قوية والخصم العالمي بعد عدم يمكن استخدام أساليب تحليل حركة المرور [...] لتحديد التبديلات المختلفة المشاركة في دارة تور ومباشرة مراقبة حركة المرور التي تدخل العقدة دخول اتصال الضحية".
هذه التقنية تعتمد على حقن نمط حركة المرور التكرار في اتصال TCP أنه يلاحظ أنها ناشئة من عقدة الخروج المستهدفة، ومن ثم ربط حركة الخروج للملقم للعملاء تور، والمستمدة من سجلات تدفق الموجه، لتحديد العميل تور.
"ولتحقيق نوعية مقبولة من الخدمة، [محاولات تور] للحفاظ على الخصائص interarrival الحزمة، مثل تأخير بين الحزمة. ونتيجة لذلك، يمكن للخصم قوي لشن هجمات تحليل حركة المرور من خلال مراقبة أنماط حركة المرور مماثلة في نقاط مختلفة من الشبكة، وربط معا خلاف ذلك شبكة اتصالات غير ذات صلة "، تشاكرافارتي يفسر.
البحث تشاكرافارتي على تحليل حركة المرور لا يحتاج مئات الملايين من الدولارات في النفقات، كما أنه يلزم بذل جهود البنية التحتية التي وضعت وكالة الأمن القومي داخل هم FoxAcid تور الموجهات، ومع ذلك فهي تستفيد من تشغيل واحد أو أكثر النطاق الترددي العالي، عالية الأداء، العالية التبديلات الجهوزية تور.
قبل أيام قليلة فقط، أعلنت السلطات الأمريكية والأوروبية الاستيلاء على 27 مواقع مختلفة كجزء من عملية أكبر بكثير تسمى عملية Onymous، الأمر الذي أدى إلى اتخاذ إلى أسفل من أكثر من "410 المجالات الخفية" التي تبيع السلع والخدمات غير المشروعة من المخدرات ل جريمة قتل مقابل استئجار قتلة من قبل اخفاء هوياتهم باستخدام شبكة تور التشفير.
UPDATE
ومع ذلك، استجاب مشروع تور عبر بلوق وظيفة. في بيان تور عضو مشروع "أرما" أكدت أنها كانت على بينة من هجمات تحليل الشبكة، ونفذت بالفعل الاجراءات الامنية في المكان.
"انه لشيء رائع أن نرى المزيد من الأبحاث حول الهجمات ارتباط حركة المرور، وخصوصا على الهجمات التي لا تحتاج لرؤية تدفق كله على كل جانب. ولكن من المهم أيضا أن ندرك أن الهجمات ارتباط حركة المرور ليست منطقة جديدة." يقرأ بلوق وظيفة.
"إن مناقشة ايجابيات كاذبة هي المفتاح لهذه الورقة الجديدة أيضا: تذكر ورقة Sambuddho في معدل ايجابية كاذبة من 6٪ ... ومن السهل أن نرى كيف على نطاق واسع، هذه المشكلة" قاعدة معدل مغالطة "يمكن أن يجعل الهجوم غير مجدية على نحو فعال، وقال "انه.
0 التعليقات