Zahvaljujemo se vam, da ste si vzeli čas za branje tega besedila! Nismo strokovnjaki za omrežje Tor, vendar se v njem dobro znajdemo.
Če se vam kar koli od opisanega zdi smiselno in/ali sumite, kaj se dogaja, vam bomo izredno hvaležni za kakršne koli povratne informacije!
1. Kaj se dogaja?
Naša storitev je dolgo časa delovala dobro in stabilno. Nenadoma je naša storitev imela najprej lahke, nato hude težave z delovanjem, nato pa je postala popolnoma nedosegljiva.
Zdi se, da to ni "običajen" napad DDoS. Zdi se, da gre za napad DoS, vendar ne takšen, kot ga poznamo, saj se zdi, da gre za napad samo na demon Tor. Vsi protiukrepi, ki smo jih do zdaj preizkusili, niso bili uspešni. Napad ni opazen na dejansko delujoče storitve (http, ssh, ftp, pošta itd.), temveč le na samo povezavo Tor.
Tudi če smo opravili temeljito raziskavo in preiskavo, se zdi, da dogodek presega naše razumevanje. Dokumentacije o predhodnih napadih na skrite storitve Tor so redke in nimajo smisla za to, kar smo doživeli.
Nočemo verjeti, da obstaja scenarij napada, ki je neznan in se mu ni mogoče zoperstaviti, saj bi bila zaradi tega ranljiva vsaka posamezna skrita storitev Tor, pri čemer bi lahko nasprotniki po želji v nekaj minutah za nedoločen čas izklopili katero koli skrito storitev Tor. Vpliv na skupnost Tor bi bil nesluten.
Upamo, da nam lahko nekdo s potrebnim vpogledom in strokovnim znanjem vsaj namigne, kaj točno se dogaja, in nas usmeri v pravo smer iskanja rešitve za končanje tega napada ali zmanjšanje njegovega vpliva na naše sisteme ter za preprečevanje takšnih napadov v prihodnosti. To bi pomagalo zaščititi skrite storitve Tor po vsem svetu pred prihodnjimi napadi, kot je ta, ki smo mu priča.
2. Kakšna je nastavitev?
- Sistem deluje na trenutnem in vedno posodobljenem strežniku Linux (amd64)
- Ves promet je usmerjen prek Tor preko Tor transporta na vratih 9040, poizvedbe DNS se prav tako rešujejo prek Tor
- Skrita storitev Tor je v3
- Tor je različice 0.4.7.8, ki deluje z Libevent 2.1.12-stable, OpenSSL 1.1.1n, Zlib 1.2.11, Liblzma 5.2.5, Libzstd 1.4.8 in Glibc 2.31 kot libc
- Tor, ki je bil sestavljen z različico GCC 10.2.1. Nameščen je tudi program Vanguards 0.3.1
- Tor deluje kot storitev systemd
- Vanguards deluje kot storitev systemd
konfiguracija torrc:
CookieAuthentication 1
HashedControlPassword 16:<hash>
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 127.0.0.1:9040
DNSPort 127.0.0.1:53
HiddenServiceDir /var/lib/tor/hidden_service
HiddenServicePort 80 127.0.0.1:80
HiddenServiceVersion 3
HiddenServiceAllowUnknownPorts 0
3. Kakšni so simptomi?
- Manj kot minuto po zagonu brskalnika Tor z omogočeno skrito storitvijo procesor doseže 100 %, pomnilnik se zdi nedotaknjen.
- Uporabljena pasovna širina se poveča za približno 100 kb/s
- Deskriptor skrite storitve je nedosegljiv
- Sistem še vedno lahko razreši naslove Clearnet in Tor
- Sistem se še vedno lahko poveže z odhodnimi storitvami (npr. curl na spletno stran)
- Sistem je preplavljen z dohodnimi paketi tcp na vmesniku loopback
- Ko se Tor ponovno zažene, se poplava za nekaj sekund ustavi, nato pa se spet začne
- Ko Tor zaženete brez omogočene skrite storitve, se zdi, da ni težav.
- Ko se Tor zažene z omogočeno drugo skrito storitvijo, oba deskriptorja skritih storitev ostaneta nedosegljiva:
Tor Browser na primarnem HS:
Onionsite je prekinil povezavo
Najverjetnejši vzrok je, da je stran onionsite izključena. Obrnite se na skrbnika strani onionsite.
Podrobnosti: V primeru, da je bil deskriptor najden, vendar storitev ni več povezana z vnosno točko, je treba vzeti v zakup, da bo storitev vzpostavila povezavo z vnosno točko. Verjetno je, da je storitev spremenila svoj deskriptor ali da se ne izvaja.
ali
Povezava se je iztekla
Strežnik na naslovu (napaden skriti deskriptor storitve).onion potrebuje predolgo za odgovor.
Stran je lahko začasno nedostopna ali preveč zasedena. Poskusite znova čez nekaj trenutkov.
Brskalnik Tor na Seconday HS:
ni mogoče vzpostaviti povezave
Firefox ne more vzpostaviti povezave s strežnikom na naslovu (second hidden service descriptor).onion
Stran je morda začasno nedostopna ali preveč zasedena. Poskusite znova čez nekaj trenutkov.
- Ko zaženete Tor z omogočeno drugo skrito storitvijo, ki je zaščitena z metodo OnionAuthentication, primarni skriti deskriptor storitve ostane nedosegljiv,
drugi (zaščiteni) opisnik skrite storitve je dosegljiv.
- Ko Tor zaženemo samo z omogočeno drugo skrito storitvijo (z ali brez OnionAuthentication), se zdi, da ni težav.
- Ko se Tor zažene s primarno skrito storitvijo, zaščiteno z OnionAuthentication, je deskriptor skrite storitve dosegljiv
- Ob napadu se v dnevniški datoteki Tor pojavijo ti zapisi:
Avg 24 19:42:18.000 [obvestilo] Zagon 100 % (končano): (končano)
Aug 24 19:42:34.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000 ms po 18 timeoutih in 388 časih izgradnje.
Aug 24 19:42:39.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 240 časih izgradnje.
Aug 24 19:42:53.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 489 časih gradnje.
Aug 24 19:43:11.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev časovne omejitve na 60000 ms po 18 prekinitvah in 659 časih gradnje.
...
Aug 24 19:46:09.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122s. Predvideva se skok ure. Namen 14 (Merjenje časovnega zamika vezja)
Aug 24 19:46:09.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122 minut: 122s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
Aug 24 19:46:09.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000 ms po 18 timeoutih in 114 časih izgradnje.
Aug 24 19:46:15.000 [obvestilo] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 125 časih gradnje.
...
Aug 24 19:47:08.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 123s. Predvideva se skok ure. Namen 14 (Merjenje časovnega zamika vezja)
Aug 24 19:47:10.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
Aug 24 19:47:10.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122 ur: 123s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
Aug 24 19:47:13.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 123s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
Aug 24 19:47:14.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000 ms po 18 timeoutih in 495 časih izgradnje.
Aug 24 19:47:18.000 [obvestilo] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 124 časih izgradnje.
Aug 24 19:47:21.000 [obvestilo] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122s. Predvideva se skok ure. Namen 14 (Merjenje časovnega zamika vezja)
Aug 24 19:47:23.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 123s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
...
Aug 24 19:47:55.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev časovne omejitve na 60000 ms po 18 časovnih omejitvah in 1000 časih izgradnje.
Aug 24 19:47:59.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 117 časih izgradnje.
...
Aug 24 19:52:43.000 [notice] Nenavadna vrednost za čas izgradnje vezja: 121581msec. Predvideva se skok ure. Namen 14 (Merjenje časovnega zamika vezja)
Aug 24 19:52:43.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev časa trajanja na 120000ms po 18 časih trajanja in 57 časih izgradnje.
Aug 24 19:52:53.000 [obvestilo] Prekinitev: čist zaključek.
4. Kaj ste poskusili storiti, da bi rešili težavo?
- Vzpostavili smo popolnoma nov strežnik iz nič, v katerem so nameščeni samo osnovni operacijski sistem ter tor in vanguard v standardni konfiguraciji, da bi izključili možnost napačne konfiguracije v našem prizadetem strežniku. Takoj ko smo tor zagnali z napadenim deskriptorjem, se dogajajo popolnoma enake stvari.
- V tej konfiguraciji smo poskusili razdeliti obremenitev našega strežnika prek sistema OnionBalance:
Strežnik1: Onionbalance za primarni skriti deskriptor storitve
Strežnik2/3/4: izvaja skrito storitev na novih in različnih deskriptorjih skritih storitev
- To ne oživi prvotnega skritega deskriptorja storitve
- Opisniki storitev v strežnikih 2/3/4 so dosegljivi, če jih odprete neposredno, vendar ne prek zdaj uravnoteženega primarnega opisnika
- Procesorji na strežnikih 2/3/4 se povečajo na 100 %, dokler poteka napad, medtem ko procesorji na strežniku 1 (balanser) ostanejo normalni
- Tudi dodajanje več zalednih strežnikov na balancer ni prineslo spremembe
- Te direktive smo dodali v blok skritih storitev v torrc in zanje preizkusili različne nastavitve:
HiddenServiceEnableIntroDoSDefense 1
HiddenServiceEnableIntroDoSBurstPerSec <preizkušeno z različnimi vrednostmi>
HiddenServiceEnableIntroDoSRatePerSec <preizkušeno z različnimi vrednostmi>
S tem se je znatno zmanjšala obremenitev procesorja v strežnikih 2/3/4, vendar deskriptor uravnotežene storitve ostaja nedosegljiv.
- Poskusili smo spremeniti različne nastavitve v vanguards.conf, vendar brez uspeha.
- Poskušali smo identificirati napadalne pakete tcp in jih blokirati prek programa iptables, vendar brez uspeha.
Naše strokovno znanje ni zadostno, da bi lahko s pregledom vsebine omenjenih paketov tcp, ki so videti takole, ustvarili zamisli o tem, kaj se točno dogaja:
19:45:27.839934 IP (tos 0x0, ttl 64, id 35746, offset 0, flags [DF], proto TCP (6), length 4100)
127.0.0.0.1.9051 > 127.0.0.1.46712: zastavice [P.], cksum 0x0df9 (napačno -> 0xe713), seq 1543428574:1543432622, ack 1711981309, win 512, options [nop,nop,TS val 2971851406 ecr 2971851369], dolžina 4048
E.....@[email protected]........#[.x[...f
.............
."...".i650 CIRC 9802 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC 9802 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC_MINOR 9802 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(napaden skriti opisnik storitve)---------| TIME_CREATED=2022-08-24T19:45:22.060324 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9818 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC 9818 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC_MINOR 9818 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(napaden skriti opisnik storitve)---------| TIME_CREATED=2022-08-24T19:45:22.493699 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9997 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(napaden skriti opisnik storitve)---------| TIME_CREATED=2022-08-24T19:45:25.100429
650 CIRC 9997 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(napaden skriti opisnik storitve)---------| TIME_CREATED=2022-08-24T19:45:25.10
To se zgodi, ko je Tor zagnan v enem strežniku. Pri uravnoteženju se |---------(napadeni skriti storitveni deskriptor)---------| nadomesti z opisniki storitev zalednih strežnikov strežnika 2/3/4.
Po potrebi vam lahko damo na voljo večji izsek tcpdump.
5. Zaključki
Menimo, da ima nasprotnik možnost "prekiniti" deskriptor skrite storitve (in s tem samo skrito storitev), tako da preplavlja demon Tor z neštetimi paketi tcp in zahteva vzpostavitev vezij. To povzroči obremenitev procesorja in na koncu povzroči neuporabnost opisnika skrite storitve.
Ali lahko kdo to potrdi?
Ker se zdi, da so direktive, kot so omenjene HiddenServiceEnableIntroDoSDefense, HiddenServiceEnableIntroDoSBurstPerSec in HiddenServiceEnableIntroDoSRatePerSec, namenjene obrambi pred tovrstnimi napadi, tako kot bi se morale tudi avantgarde, ne moremo pojasniti, zakaj so še vedno neučinkovite. Morda so za njihovo učinkovitost potrebne zelo specializirane nastavitve teh vrednosti. Na žalost so te direktive (kot tudi nastavitve v datoteki vanguards.config) opisane le nejasno.
Ali kdo ve, kako jih je treba pravilno nastaviti, da so učinkovite?
Na tej točki smo izčrpali vse reference o torju in konfiguraciji vanguards, ki smo jih našli na spletu.
Še enkrat, vsaka pomoč ali informacija o tem vprašanju bi bila zelo hvaležna! Ne verjamemo, da za to ni rešitve.
Če se vam kar koli od opisanega zdi smiselno in/ali sumite, kaj se dogaja, vam bomo izredno hvaležni za kakršne koli povratne informacije!
1. Kaj se dogaja?
Naša storitev je dolgo časa delovala dobro in stabilno. Nenadoma je naša storitev imela najprej lahke, nato hude težave z delovanjem, nato pa je postala popolnoma nedosegljiva.
Zdi se, da to ni "običajen" napad DDoS. Zdi se, da gre za napad DoS, vendar ne takšen, kot ga poznamo, saj se zdi, da gre za napad samo na demon Tor. Vsi protiukrepi, ki smo jih do zdaj preizkusili, niso bili uspešni. Napad ni opazen na dejansko delujoče storitve (http, ssh, ftp, pošta itd.), temveč le na samo povezavo Tor.
Tudi če smo opravili temeljito raziskavo in preiskavo, se zdi, da dogodek presega naše razumevanje. Dokumentacije o predhodnih napadih na skrite storitve Tor so redke in nimajo smisla za to, kar smo doživeli.
Nočemo verjeti, da obstaja scenarij napada, ki je neznan in se mu ni mogoče zoperstaviti, saj bi bila zaradi tega ranljiva vsaka posamezna skrita storitev Tor, pri čemer bi lahko nasprotniki po želji v nekaj minutah za nedoločen čas izklopili katero koli skrito storitev Tor. Vpliv na skupnost Tor bi bil nesluten.
Upamo, da nam lahko nekdo s potrebnim vpogledom in strokovnim znanjem vsaj namigne, kaj točno se dogaja, in nas usmeri v pravo smer iskanja rešitve za končanje tega napada ali zmanjšanje njegovega vpliva na naše sisteme ter za preprečevanje takšnih napadov v prihodnosti. To bi pomagalo zaščititi skrite storitve Tor po vsem svetu pred prihodnjimi napadi, kot je ta, ki smo mu priča.
2. Kakšna je nastavitev?
- Sistem deluje na trenutnem in vedno posodobljenem strežniku Linux (amd64)
- Ves promet je usmerjen prek Tor preko Tor transporta na vratih 9040, poizvedbe DNS se prav tako rešujejo prek Tor
- Skrita storitev Tor je v3
- Tor je različice 0.4.7.8, ki deluje z Libevent 2.1.12-stable, OpenSSL 1.1.1n, Zlib 1.2.11, Liblzma 5.2.5, Libzstd 1.4.8 in Glibc 2.31 kot libc
- Tor, ki je bil sestavljen z različico GCC 10.2.1. Nameščen je tudi program Vanguards 0.3.1
- Tor deluje kot storitev systemd
- Vanguards deluje kot storitev systemd
konfiguracija torrc:
CookieAuthentication 1
HashedControlPassword 16:<hash>
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 127.0.0.1:9040
DNSPort 127.0.0.1:53
HiddenServiceDir /var/lib/tor/hidden_service
HiddenServicePort 80 127.0.0.1:80
HiddenServiceVersion 3
HiddenServiceAllowUnknownPorts 0
3. Kakšni so simptomi?
- Manj kot minuto po zagonu brskalnika Tor z omogočeno skrito storitvijo procesor doseže 100 %, pomnilnik se zdi nedotaknjen.
- Uporabljena pasovna širina se poveča za približno 100 kb/s
- Deskriptor skrite storitve je nedosegljiv
- Sistem še vedno lahko razreši naslove Clearnet in Tor
- Sistem se še vedno lahko poveže z odhodnimi storitvami (npr. curl na spletno stran)
- Sistem je preplavljen z dohodnimi paketi tcp na vmesniku loopback
- Ko se Tor ponovno zažene, se poplava za nekaj sekund ustavi, nato pa se spet začne
- Ko Tor zaženete brez omogočene skrite storitve, se zdi, da ni težav.
- Ko se Tor zažene z omogočeno drugo skrito storitvijo, oba deskriptorja skritih storitev ostaneta nedosegljiva:
Tor Browser na primarnem HS:
Onionsite je prekinil povezavo
Najverjetnejši vzrok je, da je stran onionsite izključena. Obrnite se na skrbnika strani onionsite.
Podrobnosti: V primeru, da je bil deskriptor najden, vendar storitev ni več povezana z vnosno točko, je treba vzeti v zakup, da bo storitev vzpostavila povezavo z vnosno točko. Verjetno je, da je storitev spremenila svoj deskriptor ali da se ne izvaja.
ali
Povezava se je iztekla
Strežnik na naslovu (napaden skriti deskriptor storitve).onion potrebuje predolgo za odgovor.
Stran je lahko začasno nedostopna ali preveč zasedena. Poskusite znova čez nekaj trenutkov.
Brskalnik Tor na Seconday HS:
ni mogoče vzpostaviti povezave
Firefox ne more vzpostaviti povezave s strežnikom na naslovu (second hidden service descriptor).onion
Stran je morda začasno nedostopna ali preveč zasedena. Poskusite znova čez nekaj trenutkov.
- Ko zaženete Tor z omogočeno drugo skrito storitvijo, ki je zaščitena z metodo OnionAuthentication, primarni skriti deskriptor storitve ostane nedosegljiv,
drugi (zaščiteni) opisnik skrite storitve je dosegljiv.
- Ko Tor zaženemo samo z omogočeno drugo skrito storitvijo (z ali brez OnionAuthentication), se zdi, da ni težav.
- Ko se Tor zažene s primarno skrito storitvijo, zaščiteno z OnionAuthentication, je deskriptor skrite storitve dosegljiv
- Ob napadu se v dnevniški datoteki Tor pojavijo ti zapisi:
Avg 24 19:42:18.000 [obvestilo] Zagon 100 % (končano): (končano)
Aug 24 19:42:34.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000 ms po 18 timeoutih in 388 časih izgradnje.
Aug 24 19:42:39.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 240 časih izgradnje.
Aug 24 19:42:53.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 489 časih gradnje.
Aug 24 19:43:11.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev časovne omejitve na 60000 ms po 18 prekinitvah in 659 časih gradnje.
...
Aug 24 19:46:09.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122s. Predvideva se skok ure. Namen 14 (Merjenje časovnega zamika vezja)
Aug 24 19:46:09.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122 minut: 122s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
Aug 24 19:46:09.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000 ms po 18 timeoutih in 114 časih izgradnje.
Aug 24 19:46:15.000 [obvestilo] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 125 časih gradnje.
...
Aug 24 19:47:08.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 123s. Predvideva se skok ure. Namen 14 (Merjenje časovnega zamika vezja)
Aug 24 19:47:10.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
Aug 24 19:47:10.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122 ur: 123s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
Aug 24 19:47:13.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 123s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
Aug 24 19:47:14.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000 ms po 18 timeoutih in 495 časih izgradnje.
Aug 24 19:47:18.000 [obvestilo] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 124 časih izgradnje.
Aug 24 19:47:21.000 [obvestilo] Izjemno velika vrednost za časovno omejitev gradnje vezja: 122s. Predvideva se skok ure. Namen 14 (Merjenje časovnega zamika vezja)
Aug 24 19:47:23.000 [notice] Izjemno velika vrednost za časovno omejitev gradnje vezja: 123s. Predvideva se preskok ure. Namen 14 (Merjenje časovne omejitve vezja)
...
Aug 24 19:47:55.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev časovne omejitve na 60000 ms po 18 časovnih omejitvah in 1000 časih izgradnje.
Aug 24 19:47:59.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev timeouta na 60000ms po 18 timeoutih in 117 časih izgradnje.
...
Aug 24 19:52:43.000 [notice] Nenavadna vrednost za čas izgradnje vezja: 121581msec. Predvideva se skok ure. Namen 14 (Merjenje časovnega zamika vezja)
Aug 24 19:52:43.000 [notice] Zdi se, da se je hitrost vaše omrežne povezave spremenila. Ponastavitev časa trajanja na 120000ms po 18 časih trajanja in 57 časih izgradnje.
Aug 24 19:52:53.000 [obvestilo] Prekinitev: čist zaključek.
4. Kaj ste poskusili storiti, da bi rešili težavo?
- Vzpostavili smo popolnoma nov strežnik iz nič, v katerem so nameščeni samo osnovni operacijski sistem ter tor in vanguard v standardni konfiguraciji, da bi izključili možnost napačne konfiguracije v našem prizadetem strežniku. Takoj ko smo tor zagnali z napadenim deskriptorjem, se dogajajo popolnoma enake stvari.
- V tej konfiguraciji smo poskusili razdeliti obremenitev našega strežnika prek sistema OnionBalance:
Strežnik1: Onionbalance za primarni skriti deskriptor storitve
Strežnik2/3/4: izvaja skrito storitev na novih in različnih deskriptorjih skritih storitev
- To ne oživi prvotnega skritega deskriptorja storitve
- Opisniki storitev v strežnikih 2/3/4 so dosegljivi, če jih odprete neposredno, vendar ne prek zdaj uravnoteženega primarnega opisnika
- Procesorji na strežnikih 2/3/4 se povečajo na 100 %, dokler poteka napad, medtem ko procesorji na strežniku 1 (balanser) ostanejo normalni
- Tudi dodajanje več zalednih strežnikov na balancer ni prineslo spremembe
- Te direktive smo dodali v blok skritih storitev v torrc in zanje preizkusili različne nastavitve:
HiddenServiceEnableIntroDoSDefense 1
HiddenServiceEnableIntroDoSBurstPerSec <preizkušeno z različnimi vrednostmi>
HiddenServiceEnableIntroDoSRatePerSec <preizkušeno z različnimi vrednostmi>
S tem se je znatno zmanjšala obremenitev procesorja v strežnikih 2/3/4, vendar deskriptor uravnotežene storitve ostaja nedosegljiv.
- Poskusili smo spremeniti različne nastavitve v vanguards.conf, vendar brez uspeha.
- Poskušali smo identificirati napadalne pakete tcp in jih blokirati prek programa iptables, vendar brez uspeha.
Naše strokovno znanje ni zadostno, da bi lahko s pregledom vsebine omenjenih paketov tcp, ki so videti takole, ustvarili zamisli o tem, kaj se točno dogaja:
19:45:27.839934 IP (tos 0x0, ttl 64, id 35746, offset 0, flags [DF], proto TCP (6), length 4100)
127.0.0.0.1.9051 > 127.0.0.1.46712: zastavice [P.], cksum 0x0df9 (napačno -> 0xe713), seq 1543428574:1543432622, ack 1711981309, win 512, options [nop,nop,TS val 2971851406 ecr 2971851369], dolžina 4048
E.....@[email protected]........#[.x[...f
.............
."...".i650 CIRC 9802 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC 9802 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC_MINOR 9802 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(napaden skriti opisnik storitve)---------| TIME_CREATED=2022-08-24T19:45:22.060324 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9818 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC 9818 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC_MINOR 9818 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(napaden skriti opisnik storitve)---------| TIME_CREATED=2022-08-24T19:45:22.493699 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9997 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(napaden skriti opisnik storitve)---------| TIME_CREATED=2022-08-24T19:45:25.100429
650 CIRC 9997 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(napaden skriti opisnik storitve)---------| TIME_CREATED=2022-08-24T19:45:25.10
To se zgodi, ko je Tor zagnan v enem strežniku. Pri uravnoteženju se |---------(napadeni skriti storitveni deskriptor)---------| nadomesti z opisniki storitev zalednih strežnikov strežnika 2/3/4.
Po potrebi vam lahko damo na voljo večji izsek tcpdump.
5. Zaključki
Menimo, da ima nasprotnik možnost "prekiniti" deskriptor skrite storitve (in s tem samo skrito storitev), tako da preplavlja demon Tor z neštetimi paketi tcp in zahteva vzpostavitev vezij. To povzroči obremenitev procesorja in na koncu povzroči neuporabnost opisnika skrite storitve.
Ali lahko kdo to potrdi?
Ker se zdi, da so direktive, kot so omenjene HiddenServiceEnableIntroDoSDefense, HiddenServiceEnableIntroDoSBurstPerSec in HiddenServiceEnableIntroDoSRatePerSec, namenjene obrambi pred tovrstnimi napadi, tako kot bi se morale tudi avantgarde, ne moremo pojasniti, zakaj so še vedno neučinkovite. Morda so za njihovo učinkovitost potrebne zelo specializirane nastavitve teh vrednosti. Na žalost so te direktive (kot tudi nastavitve v datoteki vanguards.config) opisane le nejasno.
Ali kdo ve, kako jih je treba pravilno nastaviti, da so učinkovite?
Na tej točki smo izčrpali vse reference o torju in konfiguraciji vanguards, ki smo jih našli na spletu.
Še enkrat, vsaka pomoč ali informacija o tem vprašanju bi bila zelo hvaležna! Ne verjamemo, da za to ni rešitve.
Last edited:
