Skip to main content
QUICK REVIEW

[论文解读] One Bad Apple Spoils the Bunch: Exploiting P2P Applications to Trace and Profile Tor Users

Stevens Le Blond, Pere Manils|arXiv (Cornell University)|Mar 8, 2011
Internet Traffic Analysis and Secure E-voting参考文献 10被引用 49
一句话总结

本文表明,运行在Tor上的不安全点对点(P2P)应用(如BitTorrent)可被利用来追踪并分析使用安全匿名应用的用户。通过劫持BitTorrent追踪器响应或利用DHT的统计模式,作者在23天内追踪了10,000名Tor用户,发现由于Tor的流多路复用机制,有193%更多的流——包括27%的HTTP流——可被关联到这些用户,暴露了匿名网络中一个关键的隐私漏洞。

ABSTRACT

Tor is a popular low-latency anonymity network. However, Tor does not protect against the exploitation of an insecure application to reveal the IP address of, or trace, a TCP stream. In addition, because of the linkability of Tor streams sent together over a single circuit, tracing one stream sent over a circuit traces them all. Surprisingly, it is unknown whether this linkability allows in practice to trace a significant number of streams originating from secure (i.e., proxied) applications. In this paper, we show that linkability allows us to trace 193% of additional streams, including 27% of HTTP streams possibly originating from "secure" browsers. In particular, we traced 9% of Tor streams carried by our instrumented exit nodes. Using BitTorrent as the insecure application, we design two attacks tracing BitTorrent users on Tor. We run these attacks in the wild for 23 days and reveal 10,000 IP addresses of Tor users. Using these IP addresses, we then profile not only the BitTorrent downloads but also the websites visited per country of origin of Tor users. We show that BitTorrent users on Tor are over-represented in some countries as compared to BitTorrent users outside of Tor. By analyzing the type of content downloaded, we then explain the observed behaviors by the higher concentration of pornographic content downloaded at the scale of a country. Finally, we present results suggesting the existence of an underground BitTorrent ecosystem on Tor.

研究动机与目标

  • 调查在Tor上运行的不安全P2P应用是否可被用于追踪和分析安全应用的用户。
  • 评估“坏苹果”攻击在现实世界中的可行性与规模,即一个不安全应用是否可破坏共享Tor电路上所有流的匿名性。
  • 基于追踪到的IP地址,分析Tor用户的地理与行为特征,特别关注BitTorrent和网页浏览模式。
  • 评估特定国家高Tor使用率背后的社会学与技术因素,特别是内容类型的影响。
  • 提出并评估现代匿名网络中针对“坏苹果”攻击的防御措施。

提出的方法

  • 在六个Tor出口节点上进行仪器化,通过劫持追踪器响应和基于DHT的时序分析来监控并操控BitTorrent流量。
  • 在真实环境中持续攻击23天,仅收集非识别性数据(ASN和国家),以符合伦理标准。
  • 利用追踪到的BitTorrent用户IP地址,关联并分析其在不同国家的网页浏览行为。
  • 分析下载内容类型,以解释国家层面Tor使用率的差异,特别关注色情内容的影响。
  • 评估潜在防御措施,如应用特定电路、基于端口的隔离和单流电路,同时指出其局限性。
  • 通过测量“坏苹果”效应导致额外关联的流数量,验证攻击的可扩展性与影响范围。

实验结果

研究问题

  • RQ1在Tor上运行的不安全P2P应用是否可被利用来追踪和分析安全匿名应用的用户?
  • RQ2Tor在电路间进行流多路复用的机制,在多大程度上使非P2P流量可被关联到使用不安全应用的用户?
  • RQ3Tor上的BitTorrent用户在地理与行为特征上如何表现?与非Tor的BitTorrent用户有何不同?
  • RQ4某些内容类型(尤其是色情内容)的集中使用,是否可解释地区间Tor采用率的差异?
  • RQ5在现实匿名网络中,针对“坏苹果”攻击的防御措施存在哪些实际限制与权衡?

主要发现

  • “坏苹果”攻击使追踪的流数量比仅BitTorrent流多出193%,其中包括可能源自安全浏览器的27%的HTTP流。
  • 在23天的攻击期间,共揭示了10,000个Tor用户的IP地址,使其成为目前已知针对Tor追踪用户数量最多的攻击。
  • 通过仪器化出口节点传输的全部Tor流中,有9%被追踪,证明了该攻击在现实世界中的显著影响。
  • 与非Tor的BitTorrent用户相比,某些国家的Tor用户在BitTorrent使用上存在过度代表现象,主要由于这些国家的色情内容下载量更高。
  • 本研究为Tor上存在一个地下BitTorrent生态系统提供了证据,表明其可能存在协调或隐蔽的使用模式。
  • 单流电路或应用特定隔离等防御措施在技术上难以实现,受限于操作系统层面的限制,并可能面临绕过攻击。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。