楊歡樂(lè)，劉志天

(北京交通大學(xué) 計(jì)算機(jī)與信息技術(shù)學(xué)院，北京 100044)

0 引言

隨著匿名通信的發(fā)展與普及，Tor逐漸成為保護(hù)用戶隱私的主流通信工具。它由8 000多個(gè)洋蔥路由器組成，每天為數(shù)百萬(wàn)用戶提供服務(wù)，能夠隱藏用戶真實(shí)地址、避免網(wǎng)絡(luò)監(jiān)控及流量分析。由于Tor網(wǎng)絡(luò)具有節(jié)點(diǎn)發(fā)現(xiàn)難、服務(wù)定位難、用戶監(jiān)控難、通信關(guān)系確認(rèn)難等特點(diǎn)，其在為用戶提供隱私保護(hù)的同時(shí)，也被大量惡意隱藏服務(wù)用于掩蓋自身的非法網(wǎng)絡(luò)行為。

隨著Tor網(wǎng)絡(luò)的廣泛應(yīng)用，對(duì)Tor的攻擊研究受到了越來(lái)越多的關(guān)注。Tor隱藏服務(wù)涉及多種網(wǎng)絡(luò)節(jié)點(diǎn)資源和鏈路，面臨較大的安全威脅。目前已有的研究主要是對(duì)Tor隱藏服務(wù)地址的溯源攻擊，還沒(méi)有專門針對(duì)Tor隱藏服務(wù)的DoS攻擊的研究。本文通過(guò)利用目前Tor隱藏服務(wù)協(xié)議的特點(diǎn)，提出對(duì)Tor中的隱藏服務(wù)進(jìn)行DoS攻擊的方法。由于Tor隱藏服務(wù)在服務(wù)發(fā)布、鏈路建立以及數(shù)據(jù)傳輸不同階段需要隱藏服務(wù)目錄節(jié)點(diǎn)、引入節(jié)點(diǎn)、隱藏服務(wù)守衛(wèi)節(jié)點(diǎn)以及隱藏服務(wù)器等隱藏服務(wù)相關(guān)的網(wǎng)絡(luò)和終端節(jié)點(diǎn)，因此對(duì)這些網(wǎng)絡(luò)節(jié)點(diǎn)實(shí)施DoS攻擊就能降低隱藏服務(wù)本身的可用性。為了對(duì)這些節(jié)點(diǎn)實(shí)施DoS攻擊，需要確定這些網(wǎng)絡(luò)節(jié)點(diǎn)地址。本文首先介紹了確定這些節(jié)點(diǎn)地址的方法，然后采用文獻(xiàn)[1]的攻擊技術(shù)，對(duì)上述節(jié)點(diǎn)分別實(shí)施基于帶寬和基于內(nèi)存的DoS攻擊，并進(jìn)行了實(shí)驗(yàn)驗(yàn)證和理論分析。其中帶寬攻擊是利用在Tor中允許用戶自定義構(gòu)建最多為8跳路徑的協(xié)議漏洞，最多可以將守衛(wèi)節(jié)點(diǎn)3次包含在同一電路中，對(duì)于客戶端通過(guò)這個(gè)路徑進(jìn)行大量的數(shù)據(jù)傳輸，可以放大對(duì)于相關(guān)網(wǎng)絡(luò)節(jié)點(diǎn)的攻擊效果，降低攻擊者的帶寬成本。對(duì)隱藏服務(wù)器節(jié)點(diǎn)本身的帶寬攻擊主要采用HTTP POST方法上傳大量數(shù)據(jù)的方式進(jìn)行。而內(nèi)存級(jí)別的DoS攻擊是利用Tor的應(yīng)用程序級(jí)擁塞和流控制機(jī)制，使Tor隱藏服務(wù)相關(guān)網(wǎng)絡(luò)節(jié)點(diǎn)緩存大量的數(shù)據(jù)。仿真實(shí)驗(yàn)和分析表明，Tor隱藏服務(wù)面臨較大的DoS攻擊威脅。

1 相關(guān)工作

目前國(guó)內(nèi)外對(duì)于DoS攻擊的研究主要集中在針對(duì)明網(wǎng)中DoS攻擊的檢測(cè)與過(guò)濾，明網(wǎng)中的DoS攻擊手段主要是圍繞五層網(wǎng)絡(luò)架構(gòu)進(jìn)行的，如網(wǎng)絡(luò)傳輸層的SYN洪泛攻擊[2]和UDP洪泛攻擊[3]，是利用TCP/UDP協(xié)議對(duì)目標(biāo)主機(jī)的連接資源進(jìn)行消耗，同時(shí)還有反射型DoS攻擊[4]，利用偽造IP來(lái)對(duì)攻擊進(jìn)行反射和放大。應(yīng)用層的DoS攻擊如CC攻擊[5]，通過(guò)僵尸網(wǎng)絡(luò)模擬正常用戶訪問(wèn)網(wǎng)頁(yè)來(lái)消耗服務(wù)器的內(nèi)存。這些攻擊手段是被大眾所公知的。同時(shí)，還有針對(duì)不同方式DoS攻擊的檢測(cè)與過(guò)濾方案。如多階段異常檢測(cè)框架[6]、基于BP神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測(cè)模型[7]、多信息融合的檢測(cè)模型[8]和布隆過(guò)濾器機(jī)制[9]。然而，Tor暗網(wǎng)與明網(wǎng)在網(wǎng)絡(luò)架構(gòu)與通信協(xié)議方面是有所不同的，明網(wǎng)中的攻擊和檢測(cè)手段在Tor中并不完全適用。

由于Tor通信協(xié)議的特殊性，目前對(duì)于Tor的研究方向主要集中在去匿名化和識(shí)別Tor用戶的通信內(nèi)容等方面。對(duì)于Tor暗網(wǎng)的DoS攻擊的研究目前相對(duì)較少。目前針對(duì)Tor的DoS攻擊有三種：去匿名DoS攻擊、降低特定節(jié)點(diǎn)的服務(wù)質(zhì)量、降低Tor網(wǎng)絡(luò)整體服務(wù)質(zhì)量。在去匿名DoS攻擊方面，Pappas等人[10]提出了一種針對(duì)Tor中繼節(jié)點(diǎn)的非對(duì)稱包自旋DoS攻擊。攻擊者首先在Tor網(wǎng)絡(luò)中植入惡意中繼節(jié)點(diǎn)，然后利用惡意中繼創(chuàng)建一個(gè)循環(huán)Tor電路，電路的起點(diǎn)和終點(diǎn)都在惡意中繼處，從而在惡意中繼處構(gòu)成循環(huán)。他們利用此攻擊的目的是去匿名化，沒(méi)有考慮對(duì)其他Tor組件的破壞性。Borisov等人[11]對(duì)DoS攻擊進(jìn)行了應(yīng)用，攻擊者可以在Tor網(wǎng)絡(luò)中植入一些受控節(jié)點(diǎn)，并選擇性地對(duì)一些誠(chéng)實(shí)Tor中繼進(jìn)行DoS攻擊，從而增加攻擊者的中繼將被選作守衛(wèi)節(jié)點(diǎn)的可能性，來(lái)降低大部分Tor電路的匿名性。自此，Tor部署了路徑偏差檢測(cè)系統(tǒng)來(lái)減輕DoS攻擊對(duì)Tor匿名性的影響。在降低特定節(jié)點(diǎn)的服務(wù)質(zhì)量方面，Evans等人[12]利用了舊版本Tor中電路長(zhǎng)度沒(méi)有上限的缺陷，利用高帶寬中繼節(jié)點(diǎn)構(gòu)建任意長(zhǎng)度的循環(huán)電路來(lái)進(jìn)行帶寬放大DoS攻擊。這種創(chuàng)建循環(huán)電路的漏洞已被官方修復(fù)，Tor協(xié)議在電路中限制了最多只能有8個(gè)中繼節(jié)點(diǎn)，本文中采用的帶寬級(jí)別的DoS攻擊就是基于此修改來(lái)展開的。Geddes等人[13]提出了利用Tor傳輸協(xié)議漏洞的套接字攻擊。通過(guò)實(shí)驗(yàn)表明，攻擊者可以通過(guò)耗盡套接字文件描述符來(lái)破壞任意中繼，并阻止合法連接電路。但是，該攻擊已不適用于新版本的Tor網(wǎng)絡(luò)。在降低Tor網(wǎng)絡(luò)整體服務(wù)質(zhì)量方面，Barbera等人[14]提出了針對(duì)Tor中繼節(jié)點(diǎn)的非對(duì)稱DoS攻擊，利用需要公鑰解密的CREATE信元對(duì)目標(biāo)中繼進(jìn)行洪泛攻擊，該研究表明通過(guò)策略性地對(duì)重要的中繼節(jié)點(diǎn)進(jìn)行攻擊，會(huì)引起未受到DoS攻擊的其余中繼節(jié)點(diǎn)負(fù)載增加，從而降低整個(gè)Tor網(wǎng)絡(luò)的速度。2019年Jansen等人[1]在Shadow仿真環(huán)境[15]下通過(guò)使用基于帶寬的DoS攻擊分別對(duì)網(wǎng)橋節(jié)點(diǎn)、TorFlow負(fù)載均衡器及普通的中繼節(jié)點(diǎn)進(jìn)行了攻擊并構(gòu)建了成本模型，從攻擊成本的角度探究了針對(duì)不同的Tor網(wǎng)絡(luò)組件實(shí)施帶寬DoS攻擊的效果。但針對(duì)于其他Tor網(wǎng)絡(luò)組件，論文并未進(jìn)行相關(guān)實(shí)驗(yàn)論證。

從目前國(guó)內(nèi)外研究現(xiàn)狀來(lái)看，目前還沒(méi)有對(duì)隱藏服務(wù)的守衛(wèi)節(jié)點(diǎn)及其他網(wǎng)絡(luò)組件進(jìn)行DoS攻擊的相關(guān)探索。本文對(duì)隱藏服務(wù)的守衛(wèi)節(jié)點(diǎn)進(jìn)行攻擊研究，采用文獻(xiàn)[1]中提出的帶寬及內(nèi)存DoS攻擊方法來(lái)放大攻擊效果，并從攻擊者成本、守衛(wèi)節(jié)點(diǎn)性能以及隱藏服務(wù)的性能變化三方面來(lái)對(duì)攻擊效果展開分析，同時(shí)也對(duì)直接向隱藏服務(wù)發(fā)起POST請(qǐng)求的攻擊效果進(jìn)行了探究，最后對(duì)Tor中的引入節(jié)點(diǎn)和隱藏目錄服務(wù)器在DoS攻擊下對(duì)Tor網(wǎng)絡(luò)產(chǎn)生的影響進(jìn)行了理論分析。

2 基本原理介紹

隱藏服務(wù)通過(guò)6跳電路接受來(lái)自Tor客戶端的訪問(wèn)(訪問(wèn)明網(wǎng)服務(wù)只需要3跳節(jié)點(diǎn))。如圖1所示的網(wǎng)絡(luò)拓?fù)鋱D[16]，客戶端和隱藏服務(wù)分別構(gòu)造多個(gè)3跳的電路，并從中選擇出一個(gè)電路。這3跳電路分別是入口節(jié)點(diǎn)、中間節(jié)點(diǎn)和出口節(jié)點(diǎn)，并通過(guò)內(nèi)部協(xié)議選擇出一個(gè)匯合節(jié)點(diǎn)IPO來(lái)連接這兩個(gè)獨(dú)立電路。其中隱藏服務(wù)或者客戶端的上一跳節(jié)點(diǎn)(入口節(jié)點(diǎn))通常被稱為守衛(wèi)節(jié)點(diǎn)，通常每2~3個(gè)月更換一次，它對(duì)用戶和隱藏服務(wù)的性能和匿名性起著至關(guān)重要的作用。Tor在傳輸數(shù)據(jù)時(shí)會(huì)使用電路中每個(gè)節(jié)點(diǎn)的共享密鑰來(lái)對(duì)數(shù)據(jù)進(jìn)行層層加密。接收數(shù)據(jù)的每個(gè)節(jié)點(diǎn)都“剝離”一層加密并傳遞數(shù)據(jù)。在電路中，每個(gè)節(jié)點(diǎn)只知道自己的上一個(gè)節(jié)點(diǎn)和下一個(gè)節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)依次將數(shù)據(jù)傳遞給下一個(gè)節(jié)點(diǎn)，最后一個(gè)節(jié)點(diǎn)將數(shù)據(jù)發(fā)送到服務(wù)端。

圖1 Tor網(wǎng)絡(luò)拓?fù)鋱D

3 攻擊策略

3.1 對(duì)Tor隱藏服務(wù)DoS攻擊準(zhǔn)備

根據(jù)Tor網(wǎng)絡(luò)的通信協(xié)議，目前與Tor隱藏服務(wù)相關(guān)的資源包括：Tor隱藏服務(wù)器、守衛(wèi)節(jié)點(diǎn)、隱藏目錄服務(wù)器、引入節(jié)點(diǎn)，對(duì)其中任意一種資源的攻擊都會(huì)導(dǎo)致隱藏服務(wù)質(zhì)量的下降。

隱藏目錄服務(wù)器與引入節(jié)點(diǎn)這兩種網(wǎng)絡(luò)組件對(duì)于隱藏服務(wù)至關(guān)重要。隱藏服務(wù)器在加入Tor網(wǎng)絡(luò)時(shí)需要按照一定規(guī)則選擇3個(gè)Tor的中繼節(jié)點(diǎn)作為自身的引入節(jié)點(diǎn)，并同時(shí)分別與引入節(jié)點(diǎn)建立3跳鏈路，接著隱藏服務(wù)器將隱藏服務(wù)描述符上傳至隱藏目錄服務(wù)器，其中隱藏服務(wù)描述符包含RSA密鑰和引入節(jié)點(diǎn)的信息。當(dāng)客戶端訪問(wèn)隱藏服務(wù)時(shí)，首先需要建立起到達(dá)引入節(jié)點(diǎn)的連接來(lái)與隱藏服務(wù)協(xié)商出匯合節(jié)點(diǎn)，這樣客戶端才能通過(guò)匯合節(jié)點(diǎn)與隱藏服務(wù)進(jìn)一步建立起連接。

根據(jù)Tor通信協(xié)議的描述[17]，隱藏服務(wù)根據(jù)自身的隱藏服務(wù)描述符ID和隱藏目錄服務(wù)器通過(guò)指紋來(lái)確定隱藏目錄服務(wù)器是否存儲(chǔ)其描述符，它利用自身公鑰的SHA-1摘要標(biāo)識(shí)作為自身的指紋將對(duì)應(yīng)的隱藏目錄服務(wù)器排成一個(gè)封閉的哈希環(huán)，并選擇三個(gè)最接近的正向中繼作為隱藏目錄服務(wù)器。也就是說(shuō)，如果隱藏服務(wù)的描述符ID位于某兩個(gè)隱藏目錄服務(wù)器HSDirk-1和HSDirk之間，則選擇HSDirk，HSDirk+1和HSDirk+2來(lái)存儲(chǔ)描述符。敵手能夠通過(guò)此種規(guī)則計(jì)算得出隱藏目錄服務(wù)器的位置。

對(duì)于引入節(jié)點(diǎn)身份信息的獲取，敵手可以通過(guò)訪問(wèn)隱藏服務(wù)目錄服務(wù)器，利用自身的計(jì)算資源解析后獲得查詢結(jié)果，得到其中的引入節(jié)點(diǎn)。由于隱藏服務(wù)器是通過(guò)公開列出的一組長(zhǎng)期存活的引入節(jié)點(diǎn)來(lái)訪問(wèn)的，如果一個(gè)節(jié)點(diǎn)被選擇作為隱藏服務(wù)的引入節(jié)點(diǎn)，敵手將很容易地從隱藏目錄服務(wù)器通過(guò)檢索引入節(jié)點(diǎn)的可用性來(lái)發(fā)現(xiàn)節(jié)點(diǎn)。

在已經(jīng)獲取得到相關(guān)身份信息的情況下，可以對(duì)Tor中的引入節(jié)點(diǎn)和隱藏目錄服務(wù)器進(jìn)行DoS攻擊。

用戶與隱藏服務(wù)建立連接、下載和上傳文件的過(guò)程中，會(huì)一直使用到隱藏服務(wù)的守衛(wèi)節(jié)點(diǎn)。針對(duì)Tor隱藏服務(wù)守衛(wèi)節(jié)點(diǎn)的攻擊分為兩種情況，一種是敵手不知道Tor隱藏服務(wù)守衛(wèi)節(jié)點(diǎn)身份信息的情況直接攻擊，另一種是已經(jīng)通過(guò)其他手段獲取得到Tor隱藏服務(wù)守衛(wèi)節(jié)點(diǎn)身份信息的情況。

針對(duì)敵手不知道Tor隱藏服務(wù)守衛(wèi)節(jié)點(diǎn)情況，可以對(duì)隱藏服務(wù)本身發(fā)起DoS攻擊的同時(shí)消耗其守衛(wèi)節(jié)點(diǎn)的帶寬，因此這也是對(duì)隱藏服務(wù)守衛(wèi)節(jié)點(diǎn)實(shí)施了DoS攻擊。顯然，當(dāng)守衛(wèi)節(jié)點(diǎn)的可用帶寬小于隱藏服務(wù)的可用帶寬，那么守衛(wèi)節(jié)點(diǎn)將成為性能瓶頸。

敵手可以通過(guò)多種方法獲取隱藏服務(wù)的守衛(wèi)節(jié)點(diǎn)，其中一種方法就是文獻(xiàn)[18]提出的側(cè)信道攻擊方法。該方法中敵手可以通過(guò)受控客戶端持續(xù)地向隱藏服務(wù)發(fā)送數(shù)據(jù)包，來(lái)使原有通信鏈路上守衛(wèi)節(jié)點(diǎn)的吞吐量產(chǎn)生變化。在一段時(shí)間以后，通過(guò)解析歷史共識(shí)文檔來(lái)獲取到Tor中所有節(jié)點(diǎn)的帶寬信息并經(jīng)過(guò)篩選來(lái)獲取到隱藏服務(wù)的守衛(wèi)節(jié)點(diǎn)。

對(duì)隱藏服務(wù)器本身的攻擊也可以分為兩種情況。一種是不知道隱藏服務(wù)的IP地址時(shí)，就只能通過(guò)隱藏服務(wù)onion地址發(fā)起攻擊；另一種是通過(guò)隱藏服務(wù)地址溯源獲取隱藏服務(wù)IP地址，從而可以采用明網(wǎng)的攻擊方法對(duì)其DoS攻擊。

3.2 對(duì)Tor隱藏服務(wù)目標(biāo)節(jié)點(diǎn)的DoS攻擊實(shí)施

本文在敵手已經(jīng)獲取到Tor隱藏服務(wù)各類網(wǎng)絡(luò)節(jié)點(diǎn)的地址信息情況下對(duì)它們發(fā)起DoS攻擊。攻擊策略與文獻(xiàn)[1]中采用的攻擊策略類似。對(duì)于帶寬級(jí)別的DoS攻擊，通過(guò)自定義構(gòu)建8跳長(zhǎng)路徑的方式來(lái)對(duì)目標(biāo)守衛(wèi)節(jié)點(diǎn)發(fā)起DoS攻擊，在這種攻擊策略下守衛(wèi)節(jié)點(diǎn)最多可出現(xiàn)在同一電路中3次，對(duì)于客戶端通過(guò)電路下載文件傳輸?shù)臄?shù)據(jù)流，將多次經(jīng)過(guò)守衛(wèi)節(jié)點(diǎn)，這能夠放大帶寬攻擊效果。對(duì)于內(nèi)存級(jí)別的DoS攻擊，首先創(chuàng)建一個(gè)TCP連接，使用目標(biāo)守衛(wèi)節(jié)點(diǎn)作為入口節(jié)點(diǎn)創(chuàng)建電路，從某個(gè)公共服務(wù)器發(fā)送一個(gè)大數(shù)據(jù)塊請(qǐng)求，然后指示客戶端停止從電路的TCP連接到入口節(jié)點(diǎn)的讀取，接著向電路的另一側(cè)發(fā)送SENDME信元，來(lái)保證出口節(jié)點(diǎn)不斷地從數(shù)據(jù)源讀取數(shù)據(jù)，這樣守衛(wèi)節(jié)點(diǎn)會(huì)持續(xù)緩沖數(shù)據(jù)，不斷地占用內(nèi)存。

就隱藏服務(wù)本身而言，相較于開放的明網(wǎng)在鏈路建立以及訪問(wèn)資源速度方面性能并不出色，直接向隱藏服務(wù)發(fā)送大量POST請(qǐng)求會(huì)進(jìn)一步降低隱藏服務(wù)性能，同樣也會(huì)影響到整個(gè)系統(tǒng)的安全性，用戶很可能會(huì)不愿等待更長(zhǎng)的加載時(shí)間而更換鏈路或棄用Tor瀏覽器。因此，本文對(duì)于直接向隱藏服務(wù)發(fā)起POST請(qǐng)求的攻擊效果進(jìn)行了探究，發(fā)送POST請(qǐng)求的攻擊方法相比于其他類型的DoS攻擊，攻擊思路和過(guò)程并不復(fù)雜。最重要的一點(diǎn)，這種發(fā)送POST請(qǐng)求的攻擊方法在Tor暗網(wǎng)中通常不會(huì)被被攻擊者發(fā)現(xiàn)，一方面原因是Tor網(wǎng)絡(luò)是動(dòng)態(tài)變化的，另一方面向目標(biāo)隱藏服務(wù)發(fā)送POST請(qǐng)求，往往會(huì)被當(dāng)作用戶的正常行為。在敵手構(gòu)建的攻擊電路中會(huì)不斷地消耗目標(biāo)隱藏服務(wù)的資源，這樣會(huì)導(dǎo)致被選中的目標(biāo)隱藏服務(wù)器性能下降，最終影響到其他正常用戶對(duì)目標(biāo)服務(wù)器的正常訪問(wèn)。

4 實(shí)驗(yàn)與分析

4.1 實(shí)驗(yàn)環(huán)境及實(shí)驗(yàn)數(shù)據(jù)

本實(shí)驗(yàn)是在Tor官方公認(rèn)的開源網(wǎng)絡(luò)仿真軟件Shadow上進(jìn)行的。實(shí)驗(yàn)硬件平臺(tái)為：處理器為1.4 GHz四核Intel Core i5，內(nèi)存為16 GB，顯卡為Intel Iris Plus Graphics645 1 536 MB，操作系統(tǒng)為Ubuntu-20.04.3，使用流量生成器Tgen以及可在Shadow中運(yùn)行的真實(shí)私有Tor網(wǎng)絡(luò)模型工具Tornettools來(lái)進(jìn)行仿真實(shí)驗(yàn)[15]。使用的數(shù)據(jù)是Tor官網(wǎng)2020年11月的共識(shí)文件，服務(wù)器描述符、帶寬信息以及中繼信息作為構(gòu)建本地仿真Tor網(wǎng)絡(luò)的數(shù)據(jù)。本地生成的仿真Tor網(wǎng)絡(luò)是1%規(guī)模的真實(shí)Tor網(wǎng)絡(luò)。

4.2 實(shí)驗(yàn)結(jié)果及分析

如圖2所示，本文將長(zhǎng)路徑攻擊策略與普通的帶寬攻擊進(jìn)行了對(duì)比，敵手控制的每個(gè)客戶端都配置為2 MB/s的吞吐量，每種攻擊策略都通過(guò)構(gòu)建20個(gè)電路來(lái)進(jìn)行攻擊。目標(biāo)守衛(wèi)節(jié)點(diǎn)在無(wú)攻擊的情況下平均吞吐量大約為1.05 MB/s，普通的帶寬攻擊下目標(biāo)守衛(wèi)節(jié)點(diǎn)的平均吞吐量達(dá)到了1.65 MB/s，而通過(guò)構(gòu)建自定義長(zhǎng)路徑攻擊策略在中位數(shù)處能令目標(biāo)守衛(wèi)節(jié)點(diǎn)的吞吐量增至2.24 MB/s。圖3顯示了在這樣的攻擊強(qiáng)度下，普通客戶端在兩種攻擊策略下通過(guò)電路下載1 MB文件的所需時(shí)間，在無(wú)攻擊的情況下，下載時(shí)間中位數(shù)為9 s左右，而在普通的帶寬攻擊下，下載時(shí)間中位數(shù)達(dá)到了19 s，在放大長(zhǎng)路徑攻擊策略下，下載時(shí)間中位數(shù)達(dá)到了30 s。綜合圖2和圖3結(jié)果可以得出，利用Tor構(gòu)建自定義的8跳路徑的帶寬攻擊方式能夠明顯地放大對(duì)目標(biāo)守衛(wèi)節(jié)點(diǎn)的帶寬消耗。在停止讀內(nèi)存級(jí)別的攻擊下，客戶端下載時(shí)間為21 s，在攻擊填滿目標(biāo)守衛(wèi)節(jié)點(diǎn)內(nèi)存前，在消耗帶寬資源方面與普通帶寬DoS攻擊的效果并無(wú)區(qū)別。因此，本文對(duì)內(nèi)存級(jí)別的停止讀攻擊分別構(gòu)造10個(gè)、20個(gè)、40個(gè)電路進(jìn)行了實(shí)驗(yàn)，如圖4所示，隨著構(gòu)建電路數(shù)量的增加，內(nèi)存級(jí)別的DoS攻擊對(duì)目標(biāo)守衛(wèi)節(jié)點(diǎn)的內(nèi)存消耗速度也逐漸變大。對(duì)比無(wú)攻擊的情況，內(nèi)存級(jí)別的停止讀攻擊能夠在短時(shí)間內(nèi)明顯地對(duì)目標(biāo)節(jié)點(diǎn)進(jìn)行內(nèi)存消耗，在目標(biāo)守衛(wèi)節(jié)點(diǎn)的內(nèi)存填滿以后，會(huì)導(dǎo)致目標(biāo)節(jié)點(diǎn)的Tor客戶端崩潰而被迫終止程序。同時(shí)如圖5所示，由帶寬消耗結(jié)果可以得出，每構(gòu)建一個(gè)內(nèi)存級(jí)別的停止讀攻擊連接，在中位數(shù)處消耗敵手的下行帶寬和上行帶寬分別為41.3 KB/s和66.8 KB/s。實(shí)驗(yàn)結(jié)果表明，內(nèi)存級(jí)別的DoS攻擊方法使敵手能夠相對(duì)容易地利用自身的帶寬資源去消耗目標(biāo)守衛(wèi)節(jié)點(diǎn)的內(nèi)存資源并取得可觀的效果。

圖2 不同帶寬攻擊策略對(duì)守衛(wèi)節(jié)點(diǎn)吞吐量的影響

圖3 不同攻擊策略下客戶端下載文件時(shí)間

圖4 內(nèi)存攻擊策略對(duì)守衛(wèi)節(jié)點(diǎn)的影響

圖5 敵手進(jìn)行內(nèi)存DoS攻擊的帶寬消耗率

本文同樣探究了對(duì)隱藏服務(wù)直接發(fā)起POST攻擊時(shí)下載文件錯(cuò)誤率的變化情況。在模擬實(shí)驗(yàn)中，在一段時(shí)間后敵手對(duì)隱藏服務(wù)直接發(fā)起POST攻擊會(huì)占用隱藏服務(wù)的連接資源，這樣會(huì)導(dǎo)致正?？蛻舳讼螂[藏服務(wù)構(gòu)建通信連接時(shí)下載文件的錯(cuò)誤率急劇增加，最后趨于穩(wěn)定。結(jié)合圖6可以分析得出，對(duì)隱藏服務(wù)直接發(fā)起POST攻擊偏向于占用隱藏服務(wù)的連接資源，這樣會(huì)導(dǎo)致其他用戶連接隱藏服務(wù)失敗率變高，但是此種攻擊對(duì)隱藏服務(wù)的帶寬消耗并不明顯。

圖6 隱藏服務(wù)在POST攻擊的下載失敗率

4.3 對(duì)各類Tor資源攻擊的分析

基于上述針對(duì)守衛(wèi)節(jié)點(diǎn)的攻擊實(shí)驗(yàn)，可以對(duì)Tor隱藏服務(wù)相關(guān)的資源包括隱藏服務(wù)目錄服務(wù)器和引入節(jié)點(diǎn)等的攻擊效果進(jìn)行分析。

在Tor隱藏服務(wù)器運(yùn)行時(shí)，將自身的RSA公鑰和引入節(jié)點(diǎn)信息上傳至選定的6個(gè)隱藏目錄服務(wù)器讓用戶尋址。它們利用分布式哈希表來(lái)進(jìn)行組織，作為其中的節(jié)點(diǎn)來(lái)存儲(chǔ)數(shù)據(jù)。每個(gè)隱藏目錄服務(wù)器負(fù)責(zé)部分范圍的路由，并負(fù)責(zé)存儲(chǔ)一部分?jǐn)?shù)據(jù)，從而實(shí)現(xiàn)整個(gè)Tor網(wǎng)絡(luò)的尋址和存儲(chǔ)，由于不需要中心節(jié)點(diǎn)服務(wù)器而采用分散控制，即使組成的局部網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)出現(xiàn)故障，也不會(huì)影響全局的操作，因而具有很高的可靠性。若敵手針對(duì)隱藏目錄服務(wù)器進(jìn)行DoS攻擊，則無(wú)法使用針對(duì)隱藏服務(wù)守衛(wèi)節(jié)點(diǎn)的內(nèi)存級(jí)別和帶寬級(jí)別的攻擊手段來(lái)放大攻擊效果，這是由于隱藏目錄服務(wù)器不參與Tor鏈路的構(gòu)建，因此就無(wú)法采用自定義構(gòu)建路徑的方式來(lái)進(jìn)行DoS攻擊，敵手只能采用常規(guī)的DoS攻擊方式來(lái)消耗其資源。其次，隱藏目錄服務(wù)器為了給Tor用戶提供更好的服務(wù)，通常擁有高內(nèi)存和高帶寬的資源，對(duì)其進(jìn)行攻擊也將消耗敵手更多的資源。另外，由于隱藏目錄服務(wù)器通常會(huì)在關(guān)鍵字最接近的節(jié)點(diǎn)上復(fù)制備份冗余信息，敵手僅對(duì)其中少數(shù)幾個(gè)節(jié)點(diǎn)進(jìn)行攻擊，用戶仍然能夠通過(guò)其他隱藏目錄服務(wù)器來(lái)獲取得到隱藏服務(wù)。因此，敵手只有對(duì)組成分布式哈希表的6個(gè)隱藏目錄服務(wù)器均進(jìn)行攻擊才能致使用戶無(wú)法尋址獲取到隱藏服務(wù)。因此，敵手想要通過(guò)攻擊隱藏目錄服務(wù)器來(lái)影響目標(biāo)隱藏服務(wù)，將會(huì)令攻擊代價(jià)達(dá)到最大化。

由于當(dāng)客戶端訪問(wèn)隱藏服務(wù)時(shí)，需要通過(guò)3個(gè)引入節(jié)點(diǎn)與隱藏服務(wù)協(xié)商出匯合節(jié)點(diǎn)來(lái)與隱藏服務(wù)進(jìn)一步建立連接，敵手也可以通過(guò)對(duì)引入節(jié)點(diǎn)進(jìn)行攻擊來(lái)影響隱藏服務(wù)，其中引入節(jié)點(diǎn)是由隱藏服務(wù)從普通中繼節(jié)點(diǎn)中選擇得到的。但由于引入節(jié)點(diǎn)不需傳輸大量數(shù)據(jù)，通常相較于Tor其他中繼節(jié)點(diǎn)擁有更多的空閑資源，敵手對(duì)其進(jìn)行攻擊需要消耗比其他中繼節(jié)點(diǎn)更多的資源。另外，由于一個(gè)隱藏服務(wù)同時(shí)擁有3個(gè)引入節(jié)點(diǎn)，敵手需要對(duì)所有的引入節(jié)點(diǎn)進(jìn)行攻擊才能令客戶端無(wú)法與隱藏服務(wù)通過(guò)匯合節(jié)點(diǎn)建立起連接。結(jié)合以上兩方面，敵手若通過(guò)對(duì)引入節(jié)點(diǎn)攻擊的方式來(lái)間接影響隱藏服務(wù)，同樣將消耗自身的攻擊成本，但并不會(huì)高于隱藏目錄服務(wù)器。

5 防御措施建議

對(duì)于內(nèi)存級(jí)別的攻擊，可以給用戶一個(gè)自定義的最大內(nèi)存閾值，當(dāng)Tor進(jìn)程占用的內(nèi)存達(dá)到了閾值時(shí)，一方面可以從緩存中釋放內(nèi)存，對(duì)于每個(gè)中繼節(jié)點(diǎn)的描述符緩存、DNS緩存和統(tǒng)計(jì)緩存，檢查各個(gè)部分是否超過(guò)閾值，從超過(guò)的部分進(jìn)行緩存釋放；另一方面可以從緩沖區(qū)中釋放，釋放數(shù)據(jù)后可以查看內(nèi)存是否仍高于最大閾值，如果仍高于，可以嘗試關(guān)閉電路和連接。在釋放連接時(shí)，可以對(duì)連接和電路的連接時(shí)間進(jìn)行排序，優(yōu)先關(guān)閉最舊的連接和電路，釋放緩存時(shí)也同時(shí)優(yōu)先淘汰掉最久的緩存數(shù)據(jù)。對(duì)于帶寬級(jí)別的攻擊，可以通過(guò)修改協(xié)議來(lái)對(duì)缺陷進(jìn)行修復(fù)。Tor協(xié)議為用戶提供靈活構(gòu)造電路的同時(shí)，可以增加一種用以監(jiān)管的分布式共識(shí)服務(wù)器，這種服務(wù)器監(jiān)控所有自定義構(gòu)建鏈路的所有身份信息與帶寬實(shí)時(shí)變化信息，同時(shí)設(shè)置電路對(duì)節(jié)點(diǎn)消耗帶寬的上限值。如果一個(gè)電路中對(duì)于某個(gè)節(jié)點(diǎn)的帶寬消耗高于上限值，則應(yīng)該對(duì)該電路進(jìn)行關(guān)閉或者采用限流的相關(guān)措施。另外，為隱藏服務(wù)設(shè)置多個(gè)守衛(wèi)節(jié)點(diǎn)和多路徑的策略也是一種防御DoS攻擊的有效方法。

6 結(jié)論

本文提出了針對(duì)隱藏服務(wù)進(jìn)行DoS攻擊的策略。針對(duì)Tor隱藏服務(wù)的發(fā)布、鏈路建立以及數(shù)據(jù)傳輸不同階段對(duì)隱藏服務(wù)目錄、引入節(jié)點(diǎn)、隱藏服務(wù)守衛(wèi)節(jié)點(diǎn)以及隱藏服務(wù)器等隱藏服務(wù)相關(guān)的網(wǎng)絡(luò)節(jié)點(diǎn)實(shí)施基于帶寬和內(nèi)存的DoS攻擊，達(dá)到降低隱藏服務(wù)可用性的目的。通過(guò)仿真實(shí)驗(yàn)進(jìn)行了攻擊驗(yàn)證，實(shí)驗(yàn)結(jié)果表明，對(duì)守衛(wèi)節(jié)點(diǎn)的DoS攻擊具有較好的攻擊效果，采用帶寬級(jí)別的DoS攻擊能夠通過(guò)大量消耗守衛(wèi)節(jié)點(diǎn)帶寬資源，進(jìn)而極大地影響普通用戶獲取隱藏服務(wù)的延遲時(shí)間。采用內(nèi)存級(jí)別的DoS攻擊策略，敵手每構(gòu)建一個(gè)內(nèi)存級(jí)別的停止讀攻擊連接只需要消耗少量帶寬資源就能大量消耗守衛(wèi)節(jié)點(diǎn)內(nèi)存。