◆徐俊杰

匿名通信網絡Tor的實現(xiàn)原理及攻擊技術研究

◆徐俊杰

（江蘇理工學院 江蘇 213000）

Tor是目前使用最廣泛的匿名通信系統(tǒng)之一，是對洋蔥路由技術層層加密和多跳代理的一種增強實現(xiàn)。匿名通信網絡可以保護用戶的身份信息、地址等隱私不被泄露，但是由于隱私增強技術被廣泛應用于人們的日常生活，如網頁瀏覽、即時通信等，也使得針對匿名網絡通信系統(tǒng)的攻擊技術的研究不斷深入。本文以典型的匿名通信網絡Tor為例，概述了它的發(fā)展歷程，解釋了其實現(xiàn)的基本原理，介紹了目前針對匿名網絡的主流攻擊技術，供相關讀者參考。

匿名通信網絡；Tor；匿名性攻擊；水印技術；重放

匿名通信的概念最初由Chaum[1]在1981年提出，他也最早提出了Mix網絡技術，在該網絡中，Mix節(jié)點將接收到的來自發(fā)送者的信息通過加密、延遲、填充等方式進行混合處理后再傳輸給下一個節(jié)點，以此來隱藏通信雙方的身份信息，實現(xiàn)高匿名性，是一種犧牲了性能的高時延匿名通信技術。1996年，Goldschlag[2]等美國海軍研究實驗室的員工提出了第一代洋蔥路由技術，洋蔥路由網絡首先在通信雙方之間建立一條虛電路，傳輸路徑中的任一路由節(jié)點只知道前一個節(jié)點和后一個節(jié)點的身份信息，為建立連接的雙方提供實時的雙向匿名服務，因而它是一種低時延的匿名通信技術。2004年，Dingledine[3]等提出了第二代洋蔥路由技術，即實現(xiàn)Tor的主要技術，在第一代的基礎之上進一步提高了安全性，如將加密算法由公鑰加密變?yōu)榱薉iffie-Hellman密鑰交換算法。

1 Tor匿名網絡的基本原理

1.1 匿名的定義

本文中匿名的定義是基于Pfittzmann等在PET 2000上提出的匿名與隱私研究的術語提案，“匿名”是“一個主體在一組集合（即匿名集合，AnonymitySet）中不可識別的狀態(tài)”。匿名集合指的是“所有可能的主體構成的集合”。根據(jù)匿名集合的大小可以判斷匿名系統(tǒng)的匿名性強弱，可以理解為匿名集合越大，匿名集合中的每個對象被攻擊者關注的概率越低，則匿名性越強；根據(jù)匿名集合的變化可以衡量攻擊者對匿名系統(tǒng)的攻擊效果[4]。

對通信系統(tǒng)匿名性定性、定量的定義一般都采用基于信息熵的定義[5]，具體形式如下：

為匿名集合中對象的數(shù)量，P為集合中的對象被攻擊的概率。由于該匿名性定義將匿名集合中的對象數(shù)量、集合中每一個對象被攻擊的概率等因素都考慮到，因此可以使用它來定量的描述和判斷一個通信系統(tǒng)的匿名性。

匿名可以分為三種類型：發(fā)送者匿名（sender anonymity）、接受者匿名（receiver anonymity）和通信關系匿名（relationship anonymity），這三種類型分別保護了發(fā)送者的身份信息不被泄漏、接受者的身份信息不被泄漏、雙方是否在進行通信的狀態(tài)不被泄漏。

1.2 Tor系統(tǒng)組成概述

Tor網絡是由分散在全球的志愿者提供運行的路由節(jié)點構成的一個分布式的覆蓋網絡，其主要由以下5個基本節(jié)點構成：

（1）權威目錄服務器（Authoritative Directory）：Tor網絡的核心，負責整個網絡中節(jié)點信息的維護，并以節(jié)點快照和描述符的形式提高給Tor客戶端代理。

（2）路由節(jié)點：也稱為中繼節(jié)點，是Tor網絡的基礎，兩個路由節(jié)點之間采用傳輸層協(xié)議TLS進行加密傳輸，在通信過程中，一般選擇3個節(jié)點建立匿名鏈路。

（3）洋蔥代理（Onion Proxy）：Tor的客戶端，為客戶端提供本地的SOCKS代理，負責建立匿名鏈路。由于其使用SOCKS代理，因此Tor只能通過TCP傳輸消息。

（4）網橋節(jié)點（Bridge）：網橋是一類特殊的中繼節(jié)點，屬于未公開的資源，Tor用戶只能通過Https或E-mail請求的方式獲取Tor網橋。網橋可以作為匿名鏈路中的第一跳，即入口節(jié)點，來對抗節(jié)點的枚舉攻擊。

（5）隱藏服務器：運行隱藏服務的服務器可以在為用戶提供網絡服務的同時，隱藏自身的IP地址。

1.3 Tor匿名通信的主要過程

（1）用戶首先通過Tor客戶端代理從目錄服務器獲得Tor路由節(jié)點的快照及描述。Tor代理會周期性地從目錄服務器中下載Tor網絡中節(jié)點的信息，如IP地址等，用于選擇建立匿名鏈路的路由節(jié)點。

（2）Tor代理基于Tor匿名鏈路建立算法選擇3個路由節(jié)點建立匿名鏈路，如圖1所示，分別是入口（Entry）節(jié)點，中間（Middle）節(jié)點，出口（Exit）節(jié)點。在鏈路的建立過程中，Tor代理分別與入口、中間、出口節(jié)點通過Diffie-Hellman密鑰協(xié)商生成共享密鑰K1，K2，K3，用于在接下來的通信過程中加密轉發(fā)數(shù)據(jù)。

圖1 Tor匿名網絡通信的基本結構

（3）在通信過程中，客戶端依次使用第二步中生成的密鑰K3，K2，K1對將要傳輸?shù)南⑦M行AES加密，當入口節(jié)點接收到來自客戶端的消息后，使用K1對其解密后轉發(fā)給中間節(jié)點；中間節(jié)點使用K2對接收到的消息進行解密后轉發(fā)給出口節(jié)點；出口節(jié)點使用K3對收到的消息進行解密，還原出客戶端發(fā)送的原始消息，最后發(fā)送給通信目標。當通信目標接收到來自客戶端的消息后，其會向客戶端返回相應的數(shù)據(jù)，通信過程與上述過程相同，不同的是由出口節(jié)點處開始，因此，針對每一個來自入口節(jié)點的數(shù)據(jù)，客戶端都會依次使用K1，K2，K3對其進行解密，以此來還原出通信目標所返回的數(shù)據(jù)。

客戶端代理除了選擇3個路由節(jié)點來建立匿名鏈路之外，也可以選擇Tor網橋節(jié)點來作為匿名鏈路的入口節(jié)點。由于Tor網橋節(jié)點并不是公開的資源，而是由Https，E-mail等方式發(fā)布，因此可以避免用戶和攻擊者通過枚舉方式得到所有的網橋節(jié)點，增加了網絡的匿名性。

2 針對Tor匿名網絡的攻擊技術

根據(jù)攻擊方法的不同，將匿名性攻擊技術分為被動攻擊和主動攻擊兩類。

2.1 被動攻擊技術

被動攻擊是攻擊者通過監(jiān)視和記錄進入和離開匿名網絡的流量來進行分析，得出一定的特征后再進行攻擊。它的優(yōu)點是隱蔽性好，只需要監(jiān)聽網絡流量目前主流的被動攻擊技術即基于網站指紋的匿名性攻擊。

2.1.1基于網站指紋的匿名性攻擊

指紋攻擊技術主要通過監(jiān)視匿名網絡通信的一端，如用戶端的流量，再利用觀察到的特定網站經匿名網絡返回的數(shù)據(jù)包進行特征分析，得出相應的網站指紋。

Panchenko[6]等提出了一種通過提取Tor客戶端用戶訪問特定網站的流量的大小、時間和方向特征來得出指紋，以此來識別匿名通信的目標服務器，如圖2所示。

圖2 基于指紋特征的匿名性攻擊

首先通過匿名網絡訪問特定的網站，通過提取網站流量的特征來構造向量機模型，再通過嗅探用戶的網絡流量，利用訓練好的模型進行分類和識別，最終推斷出用戶訪問的網站或者目標服務器。

隨著對機器學習研究不斷深入，為匿名網絡的指紋攻擊技術提供了技術支持，目前指紋攻擊方法使用的機器學習算法通常包括支持向量機（SVM）、k近鄰算法以及深度神經網絡等，通過這些算法訓練出的模型對指紋的識別會更準確，從而破壞匿名通信網絡的匿名性。

2.2 主動攻擊技術

被動攻擊需要對通信網絡的一端進行長時間的監(jiān)視和記錄大量的流量數(shù)據(jù)，雖然具有很高的隱蔽性，但是攻擊效率不高。與被動攻擊相比，主動攻擊技術具有高效率和較高的實時性。常見的匿名性主動攻擊方法有惡意節(jié)點攻擊、水印攻擊、單元計數(shù)攻擊、重放攻擊等。本文主要介紹基于流量確認或者流量分析的匿名性攻擊技術：水印攻擊、單元計數(shù)攻擊和重放攻擊。

2.2.1水印攻擊和單元計數(shù)攻擊

水印攻擊技術屬于一種流關聯(lián)技術，即攻擊者在匿名通信鏈路的一端主動植入水印，在可能的鏈路另一端進行流量監(jiān)測，如果能夠在鏈路的另一端檢測到水印，則說明兩者之間存在通信關系，也就是發(fā)送者和接受者的通信關系不再是匿名，如圖3所示。水印攻擊方式兼具高隱蔽性、高效率和實時性的特點，是網絡層最主要的流量攻擊方式之一。

圖3 基于流量確認的水印攻擊

水印載體可分為包載荷、流速率、包時間3種類型，基于這3種類型，流水印攻擊技術的研究方向也多種多樣，如基于流速率特征的水印攻擊、基于流時間時隙分割特征的水印攻擊等。

單元計數(shù)攻擊的原理類似于水印攻擊，但與水印攻擊通過修改水印載體的特征不同的是，單元計數(shù)攻擊主要針對通信過程中的傳輸單元特征，在單元之間插入特殊信號，攻擊者在已經被控制的惡意節(jié)點處進行檢測。

2.2.2重放攻擊

重放攻擊技術最初是由Pries[7]等提出的一種匿名網絡追蹤技術，其屬于流量確認攻擊。由于Tor在通信過程中采用計數(shù)模式的AES加密算法（AES-CTR），因此只要改變中途的計數(shù)器數(shù)量，導致后續(xù)的出口節(jié)點解密失敗，就可以使匿名通信過程受到干擾失敗。

Fu[8]等基于Tor的AES計數(shù)器加密模式的協(xié)議缺陷，提出了一種主動的流量確認攻擊方法。首先，假設攻擊者已經控制了匿名鏈路的入口節(jié)點，則攻擊者就可以在該入口節(jié)點處對要發(fā)送的數(shù)據(jù)包進行復制，然后沿著相同的匿名路徑發(fā)送給出口節(jié)點，由于重放的數(shù)據(jù)包擾亂了AES計數(shù)器的結果，在出口節(jié)點處無法正確解密重放的數(shù)據(jù)包，導致此匿名鏈路通信失敗，如圖4所示。

圖4 重放攻擊完整過程

重放攻擊是一種效率極高的攻擊方式，并且需要的資源也很少，通過控制Tor匿名網絡中的小部分節(jié)點，即可使大部分的匿名通信鏈路中斷，降低整個網絡的匿名性。

3 結語

本文首先概述了匿名網絡Tor的發(fā)展歷程，從最初的Mix網絡技術直到第二代洋蔥路由技術，Tor網絡是基于第二代洋蔥路由技術的匿名網絡。匿名性是對于一個匿名通信系統(tǒng)的重要衡量標準，是通信系統(tǒng)安全的核心問題，采用基于信息熵的匿名度定義可以較為準確評價一個系統(tǒng)的匿名性。匿名通信網絡可以使得用戶在進行網絡行為時自身的隱私不被泄露，但是匿名網絡的快速發(fā)展以及用戶的不斷增加，導致針對匿名通信的攻擊技術也在不斷迭代更新。

匿名性攻擊分為被動攻擊和主動攻擊，被動攻擊技術以耗費大量時間和資源對流量進行監(jiān)測和記錄分析為主，如基于指紋推斷的攻擊技術，盡管通過機器學習算法如支持向量機等技術可以幫助攻擊者建立更為準確的模型，但是隨著網絡的發(fā)展和網站的不斷更新，并且由于用戶訪問網站的時間是隨機的，導致攻擊者想要及時更新指紋庫和嗅探流量都很困難，因此，在現(xiàn)實生活中，這種攻擊方式是不可取的。與被動攻擊技術相比，主動攻擊技術具有更高的效率和實時性。水印技術通過在發(fā)送者要發(fā)送的數(shù)據(jù)包中植入標記特征或者信號，然后在出口節(jié)點處進行流量的監(jiān)測，如果發(fā)現(xiàn)標記匹配，則可以確定發(fā)送者和接受者的通信關系。重放攻擊是一種以較低的資源來獲得較高的攻擊效果的方式，具有高效率。假設攻擊者控制了入口節(jié)點，通過在入口節(jié)點處復制要傳輸?shù)臄?shù)據(jù)包，然后沿著相同的路徑經過中間節(jié)點，發(fā)送給出口節(jié)點。由于中途計數(shù)器受到了重放的干擾，導致出口節(jié)點不能夠正常的解密數(shù)據(jù)包，因此通信過程被迫中斷，從而降低了系統(tǒng)的匿名性。

隨著互聯(lián)網安全的不斷發(fā)展，匿名通信已經成為其不可分割的一部分。匿名通信網絡最初的目的是保護通信雙方的隱私不被泄露，但是如今匿名攻擊技術層出不窮，未來希望Tor匿名網絡可以在保護用戶隱私的同時也能夠監(jiān)測惡意流量并屏蔽惡意行為。

[1]CHAUM D.Untraceableelectronicmail，returnaddre-sses， and digitalpseudonyms[J].CommunicationsoftheAC-M，1981，24（2）：84-90.

[2]GOLDSCHLAG R，MATHEWSON N，SYVERSON P F. Hiding routing information[C]//First International Worksh-op on Information Hiding. 1996：137-150.

[3]DINELEGINE R，MATHEWSON N，SYVERSON P. Tor：the second-generation onion router[C]//Proceedings of th-e 13thUSENIX Security Symposium. 2004：303-320.

[4]PFITZMANN A，KHNTOPP M. Anonymity，unobserv-ability，and pseudonymity：a proposal for terminology[C]//Pr-oceedings of Workshop on Design Issues in Anonymity and Unobservability. 2000：10-29.

[5]Díaz C，Seys S，Claessens J，et al. Towards measuri-ng anonymity. Privacy Enhancing Technologies，2482：54-68.

[6]PANCHENKO A，NIESSEN L，ZINNEN A，et al. W-ebsite fingerprinting in onion routing based anonymization n-etworks[C]//Proceedings of the 10thannual ACM workshop on Privacy in the electronic society. 2011：103-114.

[7]Pries R，Yu W，F(xiàn)u Xinwen，et al. A new replay atta-ck against anonymous communication networks. //Proc of th-e IEEE Int Conf on Communications（ICC）. Piscataway，NJ：IEEE， 2008.

[8]FU X，LING Z，LUO J，et al. One cell is enough t-o break Tor’s anonymity[J]. Proc. Black Hat DC，2009.