TOR network

[Kaito KID]

1. Tổng quan về Tor project

a. Khái niệm

- Tor là một mạng ảo(Thiết lập đường hầm kết nối như VPN), nó cho phép cá nhân, nhóm người để tăng cường tính riêng tư và mức độ bảo mật trên internet. Nó cũng cho phép người phát triển phần mềm tạo ra các công cụ với các tính năng riêng tư. Tor hỗ trợ một nền tảng cho hàng loạt các ứng dụng, các ứng dụng này cho phép chia sẻ thông tin trên mạng công cộng mà không ảnh hưởng tới tính riêng tư của người chia sẻ.
- Tor là một dự án phát triển bởi phòng nghiên cứu U.S. Naval, Mỹ.
b. Mục đích

- Trước khi tìm hiểu mục đích của Tor, chúng ta xem xét một số phương pháp theo dõi trên mạng hiện nay:

• Phương pháp truyền thống: phân tích lưu lượng gói tin, do gói tin bình thường gồm 2 phần: header và payload. Dữ liệu payload thường sẽ được mã hóa nhưng header thì không, do đó, bắt các gói tin và phân tích header có thể giám sát được truy cập trên internet.
• Đặt các điểm honeypot trên các phần của internet, theo dõi thông tin vào ra của đối tượng cần quan tâm, dựa vào một quy luật thống kê phù hợp để giám sát truy cập.

- Tor giúp người sử dụng vượt qua cả hai phương pháp theo dõi trên(Sẽ giải thích phần dưới). Mục đích của việc ra đời Tor:

• Trước tiên là bảo vệ các kết nối của chính phủ Mỹ. Hiện tại, Tor được sử dụng bởi rất nhiều người khác nhau.
  • Cá nhân: tránh sự giám sát từ các website, kết nối tới website mới với mục đích ẩn danh, truy cập các website bị khóa bởi chính quyền địa phương, tham gia các kết nối xã hội nhạy cảm, ...
  • Nhà báo: liên hệ với những người tố cáo, ... một cách an toàn hơn.
  • …

Sử dụng Tor chống lại việc lần vết, theo dõi khi truy cập mạng.

- Đặc điểm của Tor là độ trễ lớn, tốc độ truy cập mạng chậm ( tăng lên khi số lượng người dung tăng), dạng chia sẻ P2P. Tuy nhiên, độ an toàn và tính riêng tư cao.
2. Cơ chế hoạt động, hạn chế và cách khắc phục

a. Một số khái niệm

Trước khi bàn về cơ chế hoạt động của mạng Tor, chúng ta làm quen với một số khái niệm sau:

• Tor node: Là một máy tính tham gia mạng Tor, là một mắt xích tham gia vào việc tạo nên một đường kết nối từ người dùng tới đích mong muốn.
• Exit node: Là một Tor node, đây là node kết nối trực tiếp tới đích mà người dùng mong muốn.
• AES: thuật toán mã hóa đối xứng: http://people.eku.edu/styere/Encrypt/JS-AES.html
• Cell: Là một gói tin truyền trong mạng Tor, mỗi cell tối đa 512 bytes được mã hóa bởi mã hóa AES 128 bits. Có hai loại: cell và relay – cell đều có hai thành phần chính: header và payload. Sau đây, chúng ta sẽ quan tâm tới header của mỗi loại, payload là phần dữ liệu cần truyền đi.

Hình 1: Cell and Relay-cell​

• Cell: header sẽ gồm hai phần: CircID và CMD

CircID: xác định cell đang thuộc Circuit nào.
CMD: Xác định cách thức xử lí với phần payload:

• padding(sử dụng giữ kết nối).
• create or created(tạo một circuit mới)
• destroy(hủy một circuit)
• Relay – cell:Có thêm phần header trước payload(relay - header). Phần CMD sẽ quyết định sẽ làm gì với payload:
  • relay data(chuyển tiếp cell)
  • relay begin(mở một luồng)
  • relay end(đóng và làm sạch luồng)
  • relay teardown(đóng một luồng bị lỗi)
  • relay connected(thông báo cho onion proxy chuyển tiếp thành công)
  • relay extend or extended(mở rộng circuit bằng cách thêm hop)
  • relay truncate and relay truncated(hủy một phần của circuit)
  • relay sendme(điều khiển tắc nghẽn)
  • relay drop

b. Mô hình hoạt động:

​

Hình 2: Alice tập hợp danh sách các Tor node trên Server​

Hình 3: Alice chọn một đường ngẫu nhiên tới server đích​

Hình 4: Đường đi reset ngẫu nhiên sau một thời gian​

- Giả sử Alice muốn tạo một circuit mới, OP gửi một cell với cmd là create tới node đầu tiên(Bob) được chọn trên đường đi(chọn một circID mới chưa được sử dụng). Phần payload của gói tin này chứa một nửa của thuật toán bắt tay Diffie-Hellman(g^x), mã hóa bởi khóa của router. Bob phản gửi lại cell phản hồi với cmd: created, payload chứa g^y cùng với khóa băm: K = g^xy​

- Alice và Bob sẽ tiếp tục gửi các cell chuyển tiếp(mã hóa bằng khóa K)
- Mở rộng circuit:

• Alice gửi cell relay extend, xác định node tiếp theo là Carol, mã hóa bằng g^x2
• Bob copy thông tin này vào một cell create khác và gửi cho Carol, đồng thời Bob tạo một circID mới để liên lạc với Carol.
• Khi Carol phản hồi bằng cell created, Bob đóng gói lại phần payload vào cell relay extended và chuyển lại cho Alice.

Như vậy, circuit sẽ được mở rộng ra.
Thông tin được mã hóa nhiều lớp, circuit được thay đổi theo một chu kì nhất định để đảm bảo tính riêng tư, lạc danh.
c. Hạn chế và khắc phục

- Tor không giải quyết toàn bộ vấn đề lạc danh, Tor chỉ tập trung vào việc bảo về việc vận chuyển dữ liệu. Để tránh bị quan sát các thông tin cá nhân:

• Sử dụng giao thức đặc biệt do phần mềm hỗ trợ: Tor button
  • Ngăn cản plugins khi Tor đang chạy
  • Cách ly các nội dung động
  • Xóa cookie
  • Quản lí cache, lịch sử: chặn tấn công CSS, JS và ghi chép lịch sử(CSS, JS attacks + history recording)
  • Đưa ra cảnh báo trước khi chạy một ứng dụng nào đó
  • Quản lí người dùng và giả mạo vị trí
  • Giả mạo Timezone
• Tránh cung cấp thông tin trên các web form.

- Độ trễ lớn, tốc độ truy cập chậm và phụ thuộc vào lượng người dùng

 

3. Khả năng lần vết các Tor node và chống tấn công từ mạng Tor

- Chống lại các truy cập từ mạng Tor trước khi bị tấn công có thể thực hiện được:

• Tạo ra một hệ thống honeypot để thu thập thông tin mạng Tor, xây dựng bản đồ mạng Tor, monitor người dùng Tor từ các nước, thống kê việc luân chuyển các gói tin, bắt và phân tích để lấy nội dung gói tin từ đó có khả năng ngăn chặn các truy cập bất thường.
• Dựa vào danh sách các địa chỉ IP sử dụng Tor(Có khả năng thu thập được danh sách các IP gốc), từ danh sách IP này có thể đưa ra cách cấu hình để ngăn chặn truy cập tới server theo ý muốn.

- Khả năng lần vết sau khi bị tấn công, theo em là không thực hiện được:

• Do đặc điểm Tor là che giấu IP, xóa tất cả các dữ liệu liên quan đến người dùng sau khi thoát khỏi Tor, không lưu cache, cookie, … hơn nữa hacker có thêm một vài cấu hình xóa dữ liệu ngay trong khi dung Tor, không lưu trong cache hay xóa cookie và các dữ liệu web ngay khi thay đổi IP
• Luồng thông tin trên mạng Tor đã không được monitor trong quá trình bị tấn công, server chỉ ghi log được các IP gửi gói tin không mã hóa(gần server nhất), do đó, đường đi của gói tin không thể xác định được vì lượng người online(Tor node) là khá lớn(như em chạy thử Tor rơi vào khoảng gần 3000 và số kết nối từ bản thân node mình sử dụng sẽ đi tới hơn 10 node (và có thể hơn tùy cấu hình, ở đây em đặt mặc định) khác trên toàn thế giới dải IP không bị hạn chế).
• Trên thực tế:

Hình 5: Lượng người dùng trên tất cả các nước kết nối trực tiếp​

Hình 6: Lượng người dùng tại Việt Nam kết nối trực tiếp​

Hình 7: Lượng người kết nối từ tất cả các nước(gián tiếp)​

Hình 8: Lượng người dùng từ Việt Nam(gián tiếp)​

4. Một số nỗ lực từ các nước chống lại sử dụng Tor và kết quả

Trong phần này, chúng ta sẽ đề cập tới hai ví dụ chính: Great firewall của Trung Quốc và Filter của Iran
a. The great firewall: http://www.randomwire.com/how-the-great-firewall-of-china-works
- Được biết đến với tên: Golden Shield Project, là một hệ thống lọc, khóa và kiểm duyệt luồng thông tin trực tuyến nhằm bảo vệ người dân trước những luồng thông tin độc hại

• IP Blocking: Nếu nội dung máy chủ của bạn không thích hợp ở Trung Quốc, chính phủ sẽ khóa ngay IP.
• Keyword Filtering: Chính phủ điều khiển internet của quốc gia, họ có thể khóa trang web dựa trên các từ khóa xuất hiện trên URL.
• Self Censorship: Các công ty, tổ chức phải tự chịu trách nhiệm về nội dung website của họ nếu không muốn bị đóng cửa website
• Enforcement: Đó là đội ngũ khoảng 30,000 người Trung Quốc, làm cảnh sát internet, có nhiệm vụ monitor các đường truyền và khóa các nội dung nếu nó vi phạm.

Tuy nhiên, việc cài đặt Tor cùng với việc sử dụng FoxyProxy cho phép cấu hình một số luật giúp tự động tìm ra các trang bị khóa và tìm cách định tuyến để có thể kết nối bình thường.
b. Filter
Cũng như Trung Quốc và một số các quốc gia khác, Iran dùng một số biện pháp để ngăn chặn các truy cập internet. Iran tạo ra ngày càng nhiều bộ lọc để ngăn chặn các truy cập bất hợp pháp này, trong đó có mạng Tor, Tor đã dùng kết nối kiểu HTTPS để bypass qua firewall, tuy nhiên chứng thực của máy chủ cấp lại có vấn đề:

Hình 9: Chứng thực số​

- Đối với Tor, chứng thực được cấp có trường expire date được set trong 2 – 3 giờ, đó là một chứng thực phiên, giành cho kết nối đơn, dựa trên đặc điểm này, Iran đã tạo bộ lọc và ngăn chặn hoàn toàn các kết nối từ mạng Tor.
- Tuy nhiên, các nhà phát triển Tor nhanh chóng biết tin, chứng thực mới được thay đổi và bypass qua bộ lọc của Iran thành công
5. Kết luận

- Tor project đúng là một công cụ rất hữu hiệu cho việc truy cập lạc danh.
- Điều này mang lại nhiều thuận lợi cho người dùng trên các nước có các điều kiện khắt khe, tuy nhiên cũng là một phương pháp vô cùng hữu hiệu đối với các hacker khi tấn công vào các hệ thống mà không muốn bị phát hiện.
- Tuy vậy, Tor không hẳn đã là hoàn hảo, đã có một số chứng minh các phương pháp thống kê và phân tích có thể tấn công mạng Tor. Việc ngăn chặn, phát hiện, lần vết với mạng Tor vẫn còn là một ẩn số lớn cần được khai thác.
6. Tài liệu tham khảo

- http://www.techrepublic.com/blog/se...ct-defeated-iran-filters-inside-24-hours/6583
- http://metrics.torproject.org/users...end=2012-03-01&country=vn&dpi=72#bridge-users
- http://arstechnica.com/business/new...-critical-flaw-in-its-anonymizing-network.ars
- https://svn.torproject.org/svn/projects/design-paper/tor-design.html
- https://svn.torproject.org/svn/projects/design-paper/blocking.pdf
- https://svn.torproject.org/svn/projects/design-paper/tor-design.pdf
- https://www.torproject.org/torbutton/en/design/MozillaBrownBag.pdf
- http://www.cl.cam.ac.uk/~sjm217/papers/oakland05torta.pdf