Bunu okumaya zaman ayırdığınız için teşekkür ederiz! Tor ağı konusunda uzman değiliz, ancak yolumuzu biliyoruz.
Burada anlatılanlardan herhangi biri size mantıklı geliyorsa ve/veya neler olup bittiğine dair bir şüpheniz varsa, her türlü geri bildirim son derece takdire şayandır!
1. Neler oluyor?
Hizmetimiz uzun süredir iyi ve istikrarlı bir şekilde çalışıyordu. Birdenbire hizmetimiz önce hafif, sonra ciddi performans sorunları yaşadı, ardından tamamen ulaşılamaz hale geldi.
Bu "normal" bir DDoS saldırısı gibi görünmüyor. Bir DoS saldırısı gibi görünüyor, ancak bilinen herhangi bir şeye benzemiyor, çünkü yalnızca Tor daemon'a yönelik bir saldırı gibi görünüyor. Şimdiye kadar denediğimiz tüm karşı önlemler başarılı olmadı. Çalışan gerçek hizmetlerde (http, ssh, ftp, mail, vb.) fark edilebilir bir saldırı yok, sadece Tor bağlantısının kendisine yönelik bir saldırı var.
Derin bir araştırma ve inceleme yapmamıza rağmen, olay bizim kavrayışımızın ötesinde görünüyor. Tor Gizli Servislerine yönelik önceki saldırılarla ilgili belgeleri bulmak nadirdir ve yaşadıklarımıza anlam verememektedir.
Bilinmeyen ve karşı konulamayan bir saldırı senaryosu olduğuna inanmayı reddediyoruz, çünkü bu her bir Tor Gizli Hizmetini savunmasız hale getirecek ve düşmanlar herhangi bir Tor Gizli Hizmetini istedikleri zaman dakikalar içinde belirsiz bir süre için çevrimdışı hale getirebilecektir. Tor Topluluğu üzerindeki etkisi kapsamın ötesinde olacaktır.
Gerekli içgörü ve uzmanlığa sahip birinin en azından bize tam olarak neler olup bittiğine dair bir ipucu verebileceğini ve bu saldırıyı sona erdirmek ya da sistemlerimiz üzerindeki etkisini azaltmak ve gelecekte bu tür saldırıları önlemek için bir çözüm bulma konusunda bizi doğru yöne yönlendirebileceğini umuyoruz. Bu, dünyanın dört bir yanındaki Tor Gizli Servislerinin gelecekte bizim yaşadığımız gibi saldırılara karşı korunmasına yardımcı olacaktır.
2. Kurulum nasıldır?
- Sistem güncel ve her zaman güncel bir linux (amd64) sunucu üzerinde çalışmaktadır
- Tüm trafik 9040 numaralı bağlantı noktasındaki Tor aktarımı aracılığıyla Tor üzerinden yönlendirilir, DNS sorguları da Tor üzerinden çözümlenir
- Tor Gizli Hizmeti v3
- Tor, Libevent 2.1.12-stable, OpenSSL 1.1.1n, Zlib 1.2.11, Liblzma 5.2.5, Libzstd 1.4.8 ve libc olarak Glibc 2.31 ile çalışan 0.4.7.8 sürümüdür
- Tor, GCC sürüm 10.2.1 ile derlenmiştir. Vanguards 0.3.1 de yüklüdür
- Tor bir systemd hizmeti olarak çalışıyor
- Vanguards systemd hizmeti olarak çalışıyor
torrc yapılandırması:
CookieAuthentication 1
HashedControlPassword 16:<hash>
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 127.0.0.1:9040
DNSPort 127.0.0.1:53
HiddenServiceDir /var/lib/tor/hidden_service
HiddenServicePort 80 127.0.0.1:80
HiddenServiceSürüm 3
HiddenServiceAllowUnknownPorts 0
3. Belirtiler nelerdir?
- Gizli Hizmet etkinken Tor'u başlattıktan bir dakikadan kısa bir süre sonra CPU %100'e ulaşıyor, bellek etkilenmemiş görünüyor
- Kullanılan bant genişliği yaklaşık 100 kb/s artar
- Gizli Hizmet tanımlayıcısına erişilemiyor
- Sistem hala clearnet ve Tor adreslerini çözümleyebilir
- Sistem hala giden hizmetlere bağlanabilir (örneğin, bir web sitesine curl)
- Sistem, geri döngü arayüzünde gelen tcp paketleriyle dolup taşıyor
- Tor yeniden başlatıldığında, sel birkaç saniye için sona erer, sonra yeniden başlar
- Tor, Gizli Hizmet etkinleştirilmeden başlatıldığında sorun yok gibi görünüyor
- Tor ikinci bir Gizli Hizmet etkinleştirilerek başlatıldığında, her iki Gizli Hizmet Tanımlayıcısına da erişilemez:
Birincil HS'de Tor Tarayıcı:
Onionsite'ın Bağlantısı Kesildi
Bunun en olası nedeni onionsite'ın çevrimdışı olmasıdır. Onionsite yöneticisi ile iletişime geçin.
Ayrıntılar: 0xF2 - Giriş başarısız oldu; bu, tanımlayıcının bulunduğu ancak hizmetin artık giriş noktasına bağlı olmadığı anlamına gelir. Hizmetin tanımlayıcısını değiştirmiş olması veya çalışmıyor olması muhtemeldir.
veya
Bağlantı zaman aşımına uğradı
(attacked hidden service descriptor).onion adresindeki sunucunun yanıt vermesi çok uzun sürüyor.
Site geçici olarak kullanılamıyor veya çok meşgul olabilir. Birkaç dakika içinde tekrar deneyin.
Seconday HS'de Tor Tarayıcı:
Bağlanılamıyor
Firefox (ikincil gizli hizmet tanımlayıcısı).onion adresindeki sunucuyla bağlantı kuramıyor
Site geçici olarak kullanılamıyor veya çok meşgul olabilir. Birkaç dakika sonra tekrar deneyin.
- Tor, OnionAuthentication tarafından korunan ikinci bir Gizli Hizmet etkinleştirilerek başlatıldığında, birincil Gizli Hizmet Tanımlayıcısına erişilemez,
ikincil (korumalı) Gizli Hizmet Tanımlayıcısına erişilebilir.
- Tor yalnızca ikinci Gizli Hizmet etkinleştirilerek başlatıldığında (OnionAuthentication ile veya OnionAuthentication olmadan) sorun yok gibi görünüyor
- Tor, OnionAuthentication tarafından korunan birincil Gizli Hizmet ile başlatıldığında, Gizli Hizmet Tanımlayıcısına erişilebilir
- Saldırıya uğradığında, bu girdiler tor günlük dosyasında görünür:
Aug 24 19:42:18.000 [notice] Bootstrapped 100% (done): Tamamlandı
Aug 24 19:42:34.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 388 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:42:39.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 240 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:42:53.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 489 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:43:11.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 659 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
...
Aug 24 19:46:09.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 122s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:46:09.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 122s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:46:09.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 114 inşa süresinden sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:46:15.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 125 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
...
Aug 24 19:47:08.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 123s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:10.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 122s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:10.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 123s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:13.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 123s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:14.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 495 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:47:18.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 124 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:47:21.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 122s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:23.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 123s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
...
Aug 24 19:47:55.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 1000 inşa süresinden sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:47:59.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 117 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
...
Aug 24 19:52:43.000 [notice] Devre oluşturma süresi için garip değer: 121581msec. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:52:43.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 57 inşa süresinden sonra 120000 ms'ye sıfırlanıyor.
Aug 24 19:52:53.000 [notice] Kesme: temiz bir şekilde çıkılıyor.
4. Sorunu çözmek için ne denendi?
- Etkilenen sunucumuzda yanlış yapılandırma olasılığını ortadan kaldırmak için yalnızca temel işletim sisteminin yanı sıra tor ve vanguard'ları standart yapılandırmada çalıştıran sıfırdan tamamen yeni bir sunucu kurduk. Saldırıya uğrayan tanımlayıcı ile tor başlatılır başlatılmaz aynı şeyler oluyor.
- Bu kurulumda OnionBalance aracılığıyla sunucumuzdaki yükü bölmeye çalıştık:
Sunucu1: Birincil Gizli Hizmet Tanımlayıcısı için Onionbalance çalıştırır
Sunucu2/3/4: Gizli Hizmeti yeni ve farklı Gizli Hizmet Tanımlayıcıları üzerinde çalıştırır
- Bu, orijinal Gizli Hizmet Tanımlayıcısını hayata döndürmez
- Sunucular 2/3/4 üzerindeki hizmet tanımlayıcılarına doğrudan açıldığında erişilebilir, ancak artık dengeli olan birincil tanımlayıcı üzerinden erişilemez
- Saldırı gerçekleştiği sürece sunucu 2/3/4'teki CPU %100'e çıkarken, sunucu 1'deki (dengeleyici) CPU normal kalır
- Dengeleyiciye daha fazla arka uç sunucusu eklemek de bir fark yaratmadı
- Bu yönergeleri torrc içindeki hidden service bloğuna ekledik ve üzerinde çeşitli ayarlar denedik:
HiddenServiceEnableIntroDoSDefense 1
HiddenServiceEnableIntroDoSBurstPerSec <çeşitli değerlerle test edildi>
HiddenServiceEnableIntroDoSRatePerSec <çeşitli değerlerle test edildi>
Bu, sunucu 2/3/4'teki CPU yükünü önemli ölçüde azalttı, ancak dengeli hizmet tanımlayıcısına erişilemiyor.
- vanguards.conf dosyasındaki çeşitli ayarları değiştirmeyi denedik ama başarılı olamadık.
- Saldıran tcp paketlerini tanımlamaya ve iptables aracılığıyla engellenmelerini sağlamaya çalıştık, ancak başarılı olamadık.
Uzmanlığımız, aşağıdaki gibi görünen söz konusu tcp paketlerinin içeriğini inceleyerek tam olarak ne olduğuna dair fikir edinmek için yeterli değil:
19:45:27.839934 IP (tos 0x0, ttl 64, id 35746, offset 0, flags [DF], proto TCP (6), length 4100)
127.0.0.1.9051 > 127.0.0.1.46712: Flags [P.], cksum 0x0df9 (incorrect -> 0xe713), seq 1543428574:1543432622, ack 1711981309, win 512, options [nop,nop,TS val 2971851406 ecr 2971851369], length 4048
E.....@[email protected]........#[.x[...f
.............
."...".i650 CIRC 9802 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC 9802 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC_MINOR 9802 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9818 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC 9818 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC_MINOR 9818 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9997 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:25.100429
650 CIRC 9997 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:25.10
Bu, Tor'un tek bir sunucuda çalıştığı durumdur. Dengeli olduğunda, |---------(saldırıya uğrayan gizli hizmet tanımlayıcısı)---------| sunucu 2/3/4'ün arka uç hizmet tanımlayıcıları ile değiştirilir.
Gerekirse daha büyük bir tcpdump snipplet'i hazırlayabiliriz.
5. Sonuçlar
Bir saldırganın, Tor daemon'u sayılamayacak kadar çok tcp paketiyle doldurup devreler oluşturmasını isteyerek bir Gizli Hizmet Tanımlayıcısını (ve dolayısıyla Gizli Hizmetin kendisini) "kesintiye uğratma" yeteneğine sahip olduğunu düşünüyoruz. CPU yüküne neden olan ve sonuçta Gizli Hizmet Tanımlayıcısını kullanılamaz hale getiren şey budur.
Bunu doğrulayabilecek biri var mı?
HiddenServiceEnableIntroDoSDefense, HiddenServiceEnableIntroDoSBurstPerSec ve HiddenServiceEnableIntroDoSRatePerSec gibi yönergeler, tıpkı öncülerin de yapması gerektiği gibi, bu tür saldırılara karşı savunma amaçlı gibi göründüğünden, bunların neden etkisiz kaldığını açıklayamıyoruz. Belki de bu değerlerin etkili olması için bazı çok özel ayarların yapılması gerekiyordur. Ne yazık ki bu direktifler (vanguards.config'deki ayarların yanı sıra) yalnızca belirsiz bir şekilde açıklanmıştır.
Bunların etkili olması için nasıl doğru ayarlanması gerektiğini bilen var mı?
Bu noktada tor ve vanguards yapılandırması ile ilgili internette bulabildiğimiz tüm referansları inceledik.
Yine, bu konuda herhangi bir yardım veya bilgi çok takdir edilecektir! Bunun bir çözümü olmadığına inanmıyoruz.
Burada anlatılanlardan herhangi biri size mantıklı geliyorsa ve/veya neler olup bittiğine dair bir şüpheniz varsa, her türlü geri bildirim son derece takdire şayandır!
1. Neler oluyor?
Hizmetimiz uzun süredir iyi ve istikrarlı bir şekilde çalışıyordu. Birdenbire hizmetimiz önce hafif, sonra ciddi performans sorunları yaşadı, ardından tamamen ulaşılamaz hale geldi.
Bu "normal" bir DDoS saldırısı gibi görünmüyor. Bir DoS saldırısı gibi görünüyor, ancak bilinen herhangi bir şeye benzemiyor, çünkü yalnızca Tor daemon'a yönelik bir saldırı gibi görünüyor. Şimdiye kadar denediğimiz tüm karşı önlemler başarılı olmadı. Çalışan gerçek hizmetlerde (http, ssh, ftp, mail, vb.) fark edilebilir bir saldırı yok, sadece Tor bağlantısının kendisine yönelik bir saldırı var.
Derin bir araştırma ve inceleme yapmamıza rağmen, olay bizim kavrayışımızın ötesinde görünüyor. Tor Gizli Servislerine yönelik önceki saldırılarla ilgili belgeleri bulmak nadirdir ve yaşadıklarımıza anlam verememektedir.
Bilinmeyen ve karşı konulamayan bir saldırı senaryosu olduğuna inanmayı reddediyoruz, çünkü bu her bir Tor Gizli Hizmetini savunmasız hale getirecek ve düşmanlar herhangi bir Tor Gizli Hizmetini istedikleri zaman dakikalar içinde belirsiz bir süre için çevrimdışı hale getirebilecektir. Tor Topluluğu üzerindeki etkisi kapsamın ötesinde olacaktır.
Gerekli içgörü ve uzmanlığa sahip birinin en azından bize tam olarak neler olup bittiğine dair bir ipucu verebileceğini ve bu saldırıyı sona erdirmek ya da sistemlerimiz üzerindeki etkisini azaltmak ve gelecekte bu tür saldırıları önlemek için bir çözüm bulma konusunda bizi doğru yöne yönlendirebileceğini umuyoruz. Bu, dünyanın dört bir yanındaki Tor Gizli Servislerinin gelecekte bizim yaşadığımız gibi saldırılara karşı korunmasına yardımcı olacaktır.
2. Kurulum nasıldır?
- Sistem güncel ve her zaman güncel bir linux (amd64) sunucu üzerinde çalışmaktadır
- Tüm trafik 9040 numaralı bağlantı noktasındaki Tor aktarımı aracılığıyla Tor üzerinden yönlendirilir, DNS sorguları da Tor üzerinden çözümlenir
- Tor Gizli Hizmeti v3
- Tor, Libevent 2.1.12-stable, OpenSSL 1.1.1n, Zlib 1.2.11, Liblzma 5.2.5, Libzstd 1.4.8 ve libc olarak Glibc 2.31 ile çalışan 0.4.7.8 sürümüdür
- Tor, GCC sürüm 10.2.1 ile derlenmiştir. Vanguards 0.3.1 de yüklüdür
- Tor bir systemd hizmeti olarak çalışıyor
- Vanguards systemd hizmeti olarak çalışıyor
torrc yapılandırması:
CookieAuthentication 1
HashedControlPassword 16:<hash>
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 127.0.0.1:9040
DNSPort 127.0.0.1:53
HiddenServiceDir /var/lib/tor/hidden_service
HiddenServicePort 80 127.0.0.1:80
HiddenServiceSürüm 3
HiddenServiceAllowUnknownPorts 0
3. Belirtiler nelerdir?
- Gizli Hizmet etkinken Tor'u başlattıktan bir dakikadan kısa bir süre sonra CPU %100'e ulaşıyor, bellek etkilenmemiş görünüyor
- Kullanılan bant genişliği yaklaşık 100 kb/s artar
- Gizli Hizmet tanımlayıcısına erişilemiyor
- Sistem hala clearnet ve Tor adreslerini çözümleyebilir
- Sistem hala giden hizmetlere bağlanabilir (örneğin, bir web sitesine curl)
- Sistem, geri döngü arayüzünde gelen tcp paketleriyle dolup taşıyor
- Tor yeniden başlatıldığında, sel birkaç saniye için sona erer, sonra yeniden başlar
- Tor, Gizli Hizmet etkinleştirilmeden başlatıldığında sorun yok gibi görünüyor
- Tor ikinci bir Gizli Hizmet etkinleştirilerek başlatıldığında, her iki Gizli Hizmet Tanımlayıcısına da erişilemez:
Birincil HS'de Tor Tarayıcı:
Onionsite'ın Bağlantısı Kesildi
Bunun en olası nedeni onionsite'ın çevrimdışı olmasıdır. Onionsite yöneticisi ile iletişime geçin.
Ayrıntılar: 0xF2 - Giriş başarısız oldu; bu, tanımlayıcının bulunduğu ancak hizmetin artık giriş noktasına bağlı olmadığı anlamına gelir. Hizmetin tanımlayıcısını değiştirmiş olması veya çalışmıyor olması muhtemeldir.
veya
Bağlantı zaman aşımına uğradı
(attacked hidden service descriptor).onion adresindeki sunucunun yanıt vermesi çok uzun sürüyor.
Site geçici olarak kullanılamıyor veya çok meşgul olabilir. Birkaç dakika içinde tekrar deneyin.
Seconday HS'de Tor Tarayıcı:
Bağlanılamıyor
Firefox (ikincil gizli hizmet tanımlayıcısı).onion adresindeki sunucuyla bağlantı kuramıyor
Site geçici olarak kullanılamıyor veya çok meşgul olabilir. Birkaç dakika sonra tekrar deneyin.
- Tor, OnionAuthentication tarafından korunan ikinci bir Gizli Hizmet etkinleştirilerek başlatıldığında, birincil Gizli Hizmet Tanımlayıcısına erişilemez,
ikincil (korumalı) Gizli Hizmet Tanımlayıcısına erişilebilir.
- Tor yalnızca ikinci Gizli Hizmet etkinleştirilerek başlatıldığında (OnionAuthentication ile veya OnionAuthentication olmadan) sorun yok gibi görünüyor
- Tor, OnionAuthentication tarafından korunan birincil Gizli Hizmet ile başlatıldığında, Gizli Hizmet Tanımlayıcısına erişilebilir
- Saldırıya uğradığında, bu girdiler tor günlük dosyasında görünür:
Aug 24 19:42:18.000 [notice] Bootstrapped 100% (done): Tamamlandı
Aug 24 19:42:34.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 388 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:42:39.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 240 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:42:53.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 489 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:43:11.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 659 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
...
Aug 24 19:46:09.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 122s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:46:09.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 122s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:46:09.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 114 inşa süresinden sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:46:15.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 125 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
...
Aug 24 19:47:08.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 123s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:10.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 122s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:10.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 123s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:13.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 123s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:14.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 495 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:47:18.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 124 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:47:21.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 122s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:47:23.000 [notice] Devre oluşturma zaman aşımı için aşırı büyük değer: 123s. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
...
Aug 24 19:47:55.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 1000 inşa süresinden sonra 60000ms'ye sıfırlanıyor.
Aug 24 19:47:59.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 117 oluşturma zamanından sonra 60000ms'ye sıfırlanıyor.
...
Aug 24 19:52:43.000 [notice] Devre oluşturma süresi için garip değer: 121581msec. Saat atlaması olduğu varsayılıyor. Amaç 14 (Devre zaman aşımını ölçme)
Aug 24 19:52:43.000 [notice] Ağ bağlantı hızınız değişmiş görünüyor. Zaman aşımı 18 zaman aşımı ve 57 inşa süresinden sonra 120000 ms'ye sıfırlanıyor.
Aug 24 19:52:53.000 [notice] Kesme: temiz bir şekilde çıkılıyor.
4. Sorunu çözmek için ne denendi?
- Etkilenen sunucumuzda yanlış yapılandırma olasılığını ortadan kaldırmak için yalnızca temel işletim sisteminin yanı sıra tor ve vanguard'ları standart yapılandırmada çalıştıran sıfırdan tamamen yeni bir sunucu kurduk. Saldırıya uğrayan tanımlayıcı ile tor başlatılır başlatılmaz aynı şeyler oluyor.
- Bu kurulumda OnionBalance aracılığıyla sunucumuzdaki yükü bölmeye çalıştık:
Sunucu1: Birincil Gizli Hizmet Tanımlayıcısı için Onionbalance çalıştırır
Sunucu2/3/4: Gizli Hizmeti yeni ve farklı Gizli Hizmet Tanımlayıcıları üzerinde çalıştırır
- Bu, orijinal Gizli Hizmet Tanımlayıcısını hayata döndürmez
- Sunucular 2/3/4 üzerindeki hizmet tanımlayıcılarına doğrudan açıldığında erişilebilir, ancak artık dengeli olan birincil tanımlayıcı üzerinden erişilemez
- Saldırı gerçekleştiği sürece sunucu 2/3/4'teki CPU %100'e çıkarken, sunucu 1'deki (dengeleyici) CPU normal kalır
- Dengeleyiciye daha fazla arka uç sunucusu eklemek de bir fark yaratmadı
- Bu yönergeleri torrc içindeki hidden service bloğuna ekledik ve üzerinde çeşitli ayarlar denedik:
HiddenServiceEnableIntroDoSDefense 1
HiddenServiceEnableIntroDoSBurstPerSec <çeşitli değerlerle test edildi>
HiddenServiceEnableIntroDoSRatePerSec <çeşitli değerlerle test edildi>
Bu, sunucu 2/3/4'teki CPU yükünü önemli ölçüde azalttı, ancak dengeli hizmet tanımlayıcısına erişilemiyor.
- vanguards.conf dosyasındaki çeşitli ayarları değiştirmeyi denedik ama başarılı olamadık.
- Saldıran tcp paketlerini tanımlamaya ve iptables aracılığıyla engellenmelerini sağlamaya çalıştık, ancak başarılı olamadık.
Uzmanlığımız, aşağıdaki gibi görünen söz konusu tcp paketlerinin içeriğini inceleyerek tam olarak ne olduğuna dair fikir edinmek için yeterli değil:
19:45:27.839934 IP (tos 0x0, ttl 64, id 35746, offset 0, flags [DF], proto TCP (6), length 4100)
127.0.0.1.9051 > 127.0.0.1.46712: Flags [P.], cksum 0x0df9 (incorrect -> 0xe713), seq 1543428574:1543432622, ack 1711981309, win 512, options [nop,nop,TS val 2971851406 ecr 2971851369], length 4048
E.....@[email protected]........#[.x[...f
.............
."...".i650 CIRC 9802 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC 9802 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC_MINOR 9802 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9818 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC 9818 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC_MINOR 9818 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9997 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:25.100429
650 CIRC 9997 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:25.10
Bu, Tor'un tek bir sunucuda çalıştığı durumdur. Dengeli olduğunda, |---------(saldırıya uğrayan gizli hizmet tanımlayıcısı)---------| sunucu 2/3/4'ün arka uç hizmet tanımlayıcıları ile değiştirilir.
Gerekirse daha büyük bir tcpdump snipplet'i hazırlayabiliriz.
5. Sonuçlar
Bir saldırganın, Tor daemon'u sayılamayacak kadar çok tcp paketiyle doldurup devreler oluşturmasını isteyerek bir Gizli Hizmet Tanımlayıcısını (ve dolayısıyla Gizli Hizmetin kendisini) "kesintiye uğratma" yeteneğine sahip olduğunu düşünüyoruz. CPU yüküne neden olan ve sonuçta Gizli Hizmet Tanımlayıcısını kullanılamaz hale getiren şey budur.
Bunu doğrulayabilecek biri var mı?
HiddenServiceEnableIntroDoSDefense, HiddenServiceEnableIntroDoSBurstPerSec ve HiddenServiceEnableIntroDoSRatePerSec gibi yönergeler, tıpkı öncülerin de yapması gerektiği gibi, bu tür saldırılara karşı savunma amaçlı gibi göründüğünden, bunların neden etkisiz kaldığını açıklayamıyoruz. Belki de bu değerlerin etkili olması için bazı çok özel ayarların yapılması gerekiyordur. Ne yazık ki bu direktifler (vanguards.config'deki ayarların yanı sıra) yalnızca belirsiz bir şekilde açıklanmıştır.
Bunların etkili olması için nasıl doğru ayarlanması gerektiğini bilen var mı?
Bu noktada tor ve vanguards yapılandırması ile ilgili internette bulabildiğimiz tüm referansları inceledik.
Yine, bu konuda herhangi bir yardım veya bilgi çok takdir edilecektir! Bunun bir çözümü olmadığına inanmıyoruz.
Last edited:
