薛鵬+周林

摘 要：針對(duì)新版Tor網(wǎng)絡(luò)（6.0.5版本）可實(shí)現(xiàn)國(guó)內(nèi)用戶輕松實(shí)現(xiàn)"翻墻"、并被不法分子利用的現(xiàn)狀，分析了新版Tor網(wǎng)絡(luò)的核心技術(shù)--基于 meek 的流量混淆技術(shù)，并用實(shí)例驗(yàn)證了新版Tor網(wǎng)絡(luò)的快速連通性提出了防范利用Tor網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)犯罪的相關(guān)措施。

關(guān)鍵詞：Tor洋蔥網(wǎng)絡(luò)；網(wǎng)絡(luò)犯罪；對(duì)策研究

1 Tor匿名網(wǎng)絡(luò)

洋蔥路由OR（Onion Router）是由美國(guó)海軍研究實(shí)驗(yàn)室的Syverson、Goldschlag 以及 Reed于1996 年共同提出，并在2001年獲得美國(guó)政府的技術(shù)專利。Free Haven工程組設(shè)計(jì)開(kāi)發(fā)的第二代洋蔥路由 Tor，是基于傳輸層TCP協(xié)議的第二代洋蔥路由的一種實(shí)現(xiàn)，它采用目錄服務(wù)器將Tor網(wǎng)絡(luò)中所有的節(jié)點(diǎn)信息分發(fā)給用戶，用戶采用源路由的方式選擇三個(gè)Tor節(jié)點(diǎn)并逐條建立加密隧道，通過(guò)該隧道用戶與遠(yuǎn)程的服務(wù)器建立連接，從而無(wú)法確定發(fā)送者與接收者之間的通信關(guān)系。此外，Tor 可以有效抵御本地竊聽(tīng)和部分流量分析攻擊。

Tor匿名網(wǎng)絡(luò)建設(shè)的初衷是方便美國(guó)情報(bào)人員利用互聯(lián)網(wǎng)匿名傳送信息，繼而被發(fā)展為于保護(hù)普通用戶通信隱私，但也為犯罪分子提供了方便。近年來(lái)，利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施犯罪的案件日趨增多且犯罪手段與方式也是不斷向智能化、專業(yè)化和隱蔽化發(fā)展。為了躲避網(wǎng)絡(luò)犯罪調(diào)查機(jī)構(gòu)的打擊，犯罪者利用匿名通信系統(tǒng)隱藏其真實(shí)網(wǎng)絡(luò)地址和身份，并在該系統(tǒng)的保護(hù)下隱蔽的進(jìn)行聯(lián)絡(luò)，實(shí)施網(wǎng)絡(luò)犯罪活動(dòng)，增加了打擊網(wǎng)絡(luò)犯罪工作的難度和復(fù)雜度。

2 基于Tor的網(wǎng)絡(luò)犯罪

隨著信息技術(shù)的發(fā)展，借助匿名通信系統(tǒng)實(shí)施犯罪的活動(dòng)不但沒(méi)有減少，反而逐年呈上升趨勢(shì)。世界最大的黑客組織“匿名者”，借助匿名網(wǎng)絡(luò)在2011年4月，針對(duì)索尼公司發(fā)起了“拒絕服務(wù)”攻擊，隨后索尼的計(jì)算機(jī)系統(tǒng)出現(xiàn)中斷，通過(guò)索尼在線游戲服務(wù)玩在線視頻游戲的約1億用戶的姓名、出生日期及其它個(gè)人資料被盜，攻擊造成了1.71億美元的損失?，F(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)追蹤技術(shù)，如基于IP包頭信息的傳統(tǒng)方法對(duì)這類系統(tǒng)不再有效。為了追蹤并確認(rèn)匿名信道上通信雙方的通信關(guān)系，必須研究有用且高效的追蹤技術(shù)對(duì)匿名網(wǎng)絡(luò)罪犯進(jìn)行追蹤，同時(shí)提供所需的在線隱私保護(hù)技術(shù)。

3 國(guó)內(nèi)Tor匿名網(wǎng)絡(luò)通連性

Tor的版本從2004年開(kāi)源以來(lái)，不斷迭代更新升級(jí)，目前最新版為6.0.5版本，當(dāng)前版本有一個(gè)重大的新特性是它內(nèi)置了meek流量混淆插件，依靠meek插件可以把Tor流量偽裝成訪問(wèn)云計(jì)算平臺(tái)的流量，逃脫過(guò)濾攔截。

首先，Tor網(wǎng)絡(luò)內(nèi)部（從“客戶本機(jī)”一直到“出口節(jié)點(diǎn)”）的傳輸是強(qiáng)加密的，“中間人”無(wú)法偷窺你的真實(shí)網(wǎng)絡(luò)數(shù)據(jù)，除非Tor軟件本身出現(xiàn)嚴(yán)重安全漏洞或者碰到的“出口節(jié)點(diǎn)”是蜜罐。雖然無(wú)法偷窺上網(wǎng)內(nèi)容，但在大型網(wǎng)絡(luò)節(jié)點(diǎn)是可以監(jiān)控到上網(wǎng)流量的，從而判斷出用戶是否在使用Tor。而“流量混淆”的作用就是把Tor流量偽裝成其它的上網(wǎng)流量，讓監(jiān)控者看不出你在用Tor。出于軟件架構(gòu)方面的考慮，“流量混淆”的功能不是做到Tor的核心代碼，而是通過(guò)插件的方式來(lái)提供，這樣通過(guò)插件來(lái)實(shí)現(xiàn)多種多樣的 “混淆流量”方式，就無(wú)需頻繁改動(dòng)核心模塊的代碼。

4 幾點(diǎn)對(duì)策

4.1 加大技術(shù)研究力度

現(xiàn)有主要的基于流量分析的匿名通信追蹤技術(shù)主要存在以下問(wèn)題：

（1） 追蹤的效率較低，難以快速定位匿名網(wǎng)絡(luò)罪犯。基于被動(dòng)的流量分析技術(shù)需要觀察較長(zhǎng)時(shí)間的流量以提高關(guān)聯(lián)的準(zhǔn)確率和降低誤報(bào)率。

（2） 追蹤的準(zhǔn)確性不夠高。目前Internet 骨干網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)量巨大、網(wǎng)絡(luò)抖動(dòng)嚴(yán)重，易受網(wǎng)絡(luò)噪聲的干擾，影響檢測(cè)的精度。

（3） 追蹤的隱避性差。部分基于主動(dòng)流量分析的追蹤技術(shù)很大程度的干擾了嫌疑者的流量，易被嫌疑者覺(jué)察或被其他人發(fā)現(xiàn)并利用。

4.2 加強(qiáng)與電信運(yùn)營(yíng)商和云計(jì)算平臺(tái)的協(xié)作追蹤

（1）由于大多數(shù)Tor節(jié)點(diǎn)的ip地址是可查的，因此電信運(yùn)營(yíng)商可以通過(guò)比對(duì)訪問(wèn)過(guò)網(wǎng)站的ip地址，做進(jìn)一步的分析處理。同時(shí)，作為網(wǎng)站擁有者或電信運(yùn)營(yíng)商，可以輕松的查找到網(wǎng)絡(luò)流量的出口，進(jìn)一步對(duì)出口節(jié)點(diǎn)進(jìn)行監(jiān)控，甚至相關(guān)部門(mén)可以自建出口節(jié)點(diǎn)以實(shí)現(xiàn)對(duì)Tor用戶的流量的深入分析，從中獲取有用信息，這也是國(guó)外間諜組織廣泛使用方法之一。

（2）目前最新版本的Tor軟件，利用的就是云計(jì)算平臺(tái)的流量訪問(wèn)Tor網(wǎng)絡(luò)。因此，要加強(qiáng)與云計(jì)算平臺(tái)運(yùn)營(yíng)商的協(xié)商，并制定相關(guān)政策法規(guī)，堵塞犯罪分子相互勾連的渠道。

4.3 部署Tor網(wǎng)絡(luò)橋節(jié)點(diǎn)加強(qiáng)監(jiān)控

國(guó)家安全部門(mén)也可利用此漏洞，大量部署Tor網(wǎng)絡(luò)的橋節(jié)點(diǎn)，一方面可以監(jiān)測(cè)Tor網(wǎng)絡(luò)的連接情況；另一方面可以對(duì)Tor用戶進(jìn)行追蹤。另外，安全部門(mén)還可與電信部門(mén)協(xié)商，對(duì)我方特定的Tor節(jié)點(diǎn)不予過(guò)濾，從而建立若干“蜜罐”，引誘別有用心的Tor用戶，從而方便對(duì)其進(jìn)行追蹤和監(jiān)測(cè)。

5 小結(jié)

Tor匿名網(wǎng)絡(luò)經(jīng)過(guò)十幾年的發(fā)展，現(xiàn)已成為擁有幾千個(gè)節(jié)點(diǎn)的大型匿名網(wǎng)絡(luò)，擁有大量用戶。其中，不乏犯罪分子利用匿名網(wǎng)絡(luò)從事非法活動(dòng)，并成功逃脫追蹤的案例。文章分析了當(dāng)前國(guó)內(nèi)Tor用戶實(shí)現(xiàn)“翻墻”的機(jī)制，測(cè)試了“翻墻”的效果，指出不法分子利用Tor網(wǎng)絡(luò)進(jìn)行非法活動(dòng)的可能性和隨之而來(lái)的安全威脅。作為國(guó)家安全部門(mén)，需要從技術(shù)和政策兩個(gè)方面雙管齊下、加快研究，不給不法分子可趁之機(jī)。

參考文獻(xiàn)：

[1] M. G. Reed， P. F. Syverson， and D. M. Goldschlag， “Anonymous Connections and Onion Routing，” in Proceedings of Symposium on Security and Privacy （S&P）， 1997，pp. 482 – 494.

[2]https：//atlas.torproject.org/

[3] Z. Ling， J. Luo， K. Wu， W. Yu， and X. Fu， “Torward： Discovery of Malicious Traffic over Tor，” in Proceedings of the 33th IEEE International Conference on Computer Communications （INFOCOM）， 2014.

[4] N. Christin， “Traveling the silk road： a measurement analysis of a large anonymous online marketplace，” in Proceedings of the 22nd International World Wide Web Conference （WWW）， 2013， pp. 213–224.

作者簡(jiǎn)介：

薛鵬（1996.01—），男，河南唐河，大專，在讀于西安通信學(xué)院一隊(duì)有線通信指揮專業(yè)。