亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

下圖可以幫我們了解Tor匿名過程。

首先，我們假設(shè)使用者已經(jīng)構(gòu)建了一個 Tor路徑，這意味著計算機已經(jīng)選擇了三個Tor節(jié)點（運行Tor軟件的服務(wù)器）來中繼消息并獲得了每個節(jié)點的共享密鑰。

(資料圖片僅供參考)

計算機首先對私有數(shù)據(jù)進行三層加密（上圖中的步驟 1），這也是洋蔥名稱的由來。之后，使用者的計算機以相反的順序加密數(shù)據(jù)：首先使用最后一個退出節(jié)點的密鑰 (Kn3)，然后使用中間中繼節(jié)點的密鑰 (Kn2)，最后使用保護節(jié)點的密鑰 (Kn1)。保護節(jié)點接收到數(shù)據(jù)后，使用 Kn1 去除最外層的加密，并將解密的消息發(fā)送到中繼節(jié)點。中間節(jié)點使用 Kn2 刪除下一層，并將其中繼到退出節(jié)點。最后，退出節(jié)點使用 Kn3 解密消息并將原始數(shù)據(jù)發(fā)送到 Web 服務(wù)器（在本例中是peel-the-orange[.]com）。分層加密實現(xiàn)了保密性，并限制了參與通信的人員，因為只有知道密鑰的節(jié)點才能解密消息。

上圖匯總了哪些節(jié)點知道哪些其他節(jié)點。守衛(wèi)節(jié)點（guard node）知道使用者是誰以及下一個接收使用者消息的節(jié)點，即中間中繼節(jié)點。但是，守衛(wèi)節(jié)點不知道最后的退出節(jié)點和使用者的最終目標地，因為只用Kn1解密，此時入口節(jié)點的消息仍然是亂碼。中繼節(jié)點知道的最少。它不知道誰是原始發(fā)送者或最終目標地，只知道入口和退出節(jié)點。退出節(jié)點知道中間中繼節(jié)點和目標服務(wù)器，而目標服務(wù)器只知道退出節(jié)點。

返回使用者的消息以類似的方式傳回，每個節(jié)點使用與使用者共享的密鑰添加一層加密。

上圖是全球Tor網(wǎng)絡(luò)中，使用者和監(jiān)控者的示意圖。Emilia代表使用者，Lemonheads代表監(jiān)控者。當使用者使用Tor時，監(jiān)控者只能觀察到使用者與入口節(jié)點的連接。即使他們對所傳遞的消息有完全的全局可見性，他們也很難跟蹤使用者的消息，因為它們混入了所有Tor用戶的流量，而且每次消息傳遞到另一個節(jié)點時，加密層都會發(fā)生變化。如前所述，如果使用者使用單一的VPN 提供商，它將知道使用者訪問的網(wǎng)站。此外，監(jiān)控者可以觀察來自 VPN 服務(wù)器的傳入和傳出消息，并可能確定使用者正在訪問哪些網(wǎng)站。

一個奇怪的問題是：使用者如何在不暴露身份的情況下與Tor節(jié)點共享密鑰？要解決這個問題需要分兩步。

首先，兩個節(jié)點如何在任何人都可以讀取所有通信的公共網(wǎng)絡(luò)上合作創(chuàng)建一個只有他們知道的密鑰？答案是 Diffie-Hellman key Exchange (DHE) 協(xié)議。首先，雙方需要各自生成他們自己的私有秘密，并將其組合成只有他們兩個人可以計算的共享秘密(Kn1。在實際應(yīng)用中，基于橢圓密碼學的認證ECDHE來解決vanilla DHE 的問題。

此時，使用者可以訪問每個Tor節(jié)點，并分別與它們建立一個密鑰，但這會讓每個節(jié)點都知道使用者的身份。問題的第二部分是使用DHE建立密鑰。使用者的計算機并沒有直接與所有三個節(jié)點通信，而是在與入口節(jié)點建立密鑰后，用 Kn1 對所有消息進行加密，并通過入口節(jié)點將消息發(fā)送到中繼節(jié)點。這意味著中繼節(jié)點只知道入口節(jié)點而不知道使用者。同樣，使用者的計算機用 Kn2 和 Kn1 加密 DHE 消息，并將它們通過守衛(wèi)節(jié)點和中繼節(jié)點發(fā)送到退出節(jié)點。

不幸的是，在使用者了解Tor并開始使用它之后，監(jiān)控者開始審查與公開宣傳的Tor節(jié)點 IP 的連接。為了安全，開發(fā)者開始運行秘密的Tor網(wǎng)橋（私下替換公開宣傳的入口節(jié)點），并一次只向少數(shù)用戶提供小批量的服務(wù)。

對使用者來說，更糟糕的是，研究人員發(fā)現(xiàn)他們可以通過掃描整個IPv4空間來發(fā)現(xiàn)Tor網(wǎng)橋。

總之，對于使用者來說，這是一場持續(xù)的貓捉老鼠游戲。

Tor 的惡意和良性示例

使用Tor的用戶可以可能是壞人也可能是好人。不管怎樣，人們可能會使用Tor訪問受地理限制的內(nèi)容或規(guī)避政府的審查或機構(gòu)的內(nèi)容封鎖。例如，如果Tor流量沒有被阻止，高級URL過濾的客戶無法阻止使用Tor的員工規(guī)避基于分類的過濾。

Tor 還以其洋蔥服務(wù)而聞名。例如，Tor 有助于隱藏多個舉報人網(wǎng)站，用戶可以在這些網(wǎng)站上舉報其組織中的非法和不道德活動，而不必擔心遭到報復。洋蔥服務(wù)通過允許用戶僅使用Tor進行連接來保護其 IP 地址的秘密。這個想法是，用戶和洋蔥服務(wù)都通過Tor連接，它們在中間的一個集合點（一個Tor節(jié)點）相遇。雖然這些洋蔥服務(wù)的目的不一定是為了使非法活動成為可能，但過去的研究發(fā)現(xiàn)，Tor用戶建立了很大一部分或大部分用于非法目的的隱藏服務(wù)。然而，只有 6.7% 的Tor用戶連接到隱藏服務(wù)。與洋蔥服務(wù)相比，絕大多數(shù)用戶訪問不太可能是非法的那些網(wǎng)站。例如，超過 100 萬人使用Tor查看 Facebook 的隱藏服務(wù)，該服務(wù)允許來自政府審查的地區(qū)的訪問。

攻擊者也可以利用Tor進行他們的活動。攻擊通常從偵察開始，攻擊者探索目標的基礎(chǔ)設(shè)施并搜索潛在漏洞，例如，通過掃描開放的端口和運行的服務(wù)。通過使用Tor，攻擊者可以隱藏他們的位置，并將他們的活動分布到多個退出節(jié)點。

同樣，攻擊者可以使用Tor進行攻擊的后續(xù)步驟，例如利用偵察期間發(fā)現(xiàn)的漏洞、更新目標設(shè)備上的惡意代碼、命令和控制通信以及數(shù)據(jù)泄露。Tor的其他惡意用途包括 DoS 攻擊、虛假帳戶創(chuàng)建、垃圾郵件和網(wǎng)絡(luò)釣魚。

攻擊者以各種方式利用Tor進行勒索軟件攻擊。在 Ryuk 和 Egregor 勒索軟件的示例中，名為 SystemBC 的初始遠程訪問木馬 (RAT)使用Tor隱藏服務(wù)作為命令和控制通信的后門。在構(gòu)建木馬攻擊時，使用Tor隱藏服務(wù)進行命令和控制非常有用，因為這使得命令和控制難以取消并保持其可訪問性，除非使用各種安全產(chǎn)品阻止與Tor的連接。Gold Waterfall 攻擊組織在安裝 DarkSide 勒索軟件時也使用Tor進行后門通信。Tor隱藏的基于服務(wù)的泄漏網(wǎng)站也被用來托管與 DarkSide 和Ranzy locker相關(guān)的被盜數(shù)據(jù)。此外，DoppelPaymer還利用Tor支付網(wǎng)站收取贖金。 Unit 42 最近發(fā)表了關(guān)于 Cuba勒索軟件和BlueSky Ransomware勒索軟件的研究，前者使用基于Tor隱藏服務(wù)的泄漏網(wǎng)站，后者發(fā)送勒索通知，指示目標下載Tor瀏覽器，作為獲取文件訪問權(quán)的一部分。

Tor 的使用并不特定于針對服務(wù)器和個人計算機的惡意軟件。一種Android惡意軟件還使用Tor隱藏服務(wù)作為命令和控制服務(wù)器，使攻擊變得困難。

此外，研究人員發(fā)現(xiàn)Tor被用來發(fā)送各種惡意垃圾郵件，通常以評論和約會垃圾郵件的形式出現(xiàn)。研究人員還發(fā)現(xiàn)，通過Tor發(fā)送的電子郵件可能包含嚴重的威脅，包括 AgentTesla RAT 的傳播、以 Adobe 為主題的網(wǎng)絡(luò)釣魚電子郵件和 Covid-19 貸款詐騙。

使用Tor的攻擊者是如何被抓住的？

雖然Tor提供了比許多其他解決方案更好的匿名性，但它并不完美。

2013 年，一名哈佛學生試圖通過發(fā)送炸彈攻擊來逃避他的期末考試。他通過Tor連接到一個匿名電子郵件提供商以隱藏他的身份。然后他使用這個電子郵件提供商發(fā)送炸彈攻擊。雖然他正確使用了 Tor，但當他從哈佛的 wifi 網(wǎng)絡(luò)連接到Tor時，他犯了一個大錯誤。該生的錯誤是Tor只隱藏了使用者所做的事情，而不隱藏使用Tor的事實。學校管理者從電子郵件的標題中發(fā)現(xiàn)有人使用Tor發(fā)送電子郵件。他們從那個位置檢查了網(wǎng)絡(luò)日志，看看是否有學生在學校收到郵件的時間內(nèi)連接到 Tor。

臭名昭著的洋蔥服務(wù)“絲綢之路”(Silk Road)的創(chuàng)始人羅斯·烏布里希(Ross Ulbricht)也正確使用了洋蔥網(wǎng)絡(luò)，但他在操作上犯了另一個錯誤，導致他被捕。絲綢之路是當時最著名的暗網(wǎng)市場，賣家提供毒品、假鈔、偽造身份證件和槍支等商品。美國聯(lián)邦調(diào)查局(FBI)發(fā)現(xiàn)，早些時候，有人用“薄荷糖”(Altoid)這個筆名四處推銷絲綢之路。8個月后，Ulbricht用這個筆名發(fā)布了招聘廣告，聯(lián)系人是rossulbricht@gmail[.]com ，以聘請一名 IT 專家，來幫助“一家由風投支持的比特幣創(chuàng)業(yè)公司”。據(jù)報道，聯(lián)邦調(diào)查局隨后能夠訪問Ulbricht使用的 VPN 服務(wù)器的日志和谷歌訪問他的 Gmail 地址的日志。這兩項記錄都指向了舊金山的一家網(wǎng)吧，并導致了他的被捕。

攻擊者可以通過其他方法對Tor用戶進行去匿名化，例如，通過使用 JavaScript 或設(shè)置非法Tor節(jié)點（現(xiàn)在可能正在現(xiàn)實世界中發(fā)生）。關(guān)鍵是，雖然Tor確實提供了一定程度的匿名性，但用戶可以通過操作錯誤泄露他們的身份，或者如果追查者確定并擁有資源，他們可以被識別。

如何阻止攻擊者利用Tor

如何使用不同的方法來阻止攻擊者利用 Tor。標記為 Part 1* 和 2* 的單元格表示需要同時使用這兩種解決方案來保護企業(yè)。

要阻止進出Tor網(wǎng)絡(luò)的流量，我們可以阻止公開發(fā)布的TorIP，或者識別和阻止Tor應(yīng)用程序流量。上圖總結(jié)了每種阻止機制的示例。首先，我們可以使用已知退出節(jié)點 IP 列表來阻止來自Tor的攻擊，例如偵察、利用、命令和控制通信、數(shù)據(jù)泄露和 DoS 攻擊。使用已知保護節(jié)點 IP 列表，我們可以阻止我們的用戶及其設(shè)備向Tor發(fā)送流量，并防止數(shù)據(jù)泄露、命令和控制通信、規(guī)避地理限制和內(nèi)容阻止以及訪問 .onion 網(wǎng)站。

由于Tor網(wǎng)橋節(jié)點列表未知，基于保護節(jié)點 IP 的阻止只是部分解決方案。相反，我們可以使用 Palo Alto Networks 流量分類系統(tǒng) App-ID 直接檢測和阻止Tor流量。除了使用可用的保護和橋接節(jié)點 IP，App-ID 還會查看連接的特征，例如使用的密碼套件或數(shù)據(jù)包的大小來識別Tor流量。

此外，攻擊者可以從Tor網(wǎng)絡(luò)或受感染的設(shè)備發(fā)起數(shù)據(jù)泄露以及命令和控制通信。因此，要阻止這些攻擊，最好同時使用基于退出IP 和基于流量分析的阻止。

Palo Alto Networks 收集所有公開宣傳的Tor退出IP，并利用它們建立一個電路來測試它們是否有效。已知且有效的Tor退出列表構(gòu)成了Palo Alto Networks 預(yù)定義的Tor退出IP 外部動態(tài)列表。

使用Tor退出 IP 外部動態(tài)列表和 App-ID，研究人員觀察到企業(yè)使用Tor很常見，因為我們在一個月內(nèi)確定了 204 個客戶網(wǎng)絡(luò)中 691 臺設(shè)備上的 6617473 個會話。

除了阻止Tor流量外，企業(yè)還可以利用 Cortex XDR 等端點保護來覆蓋基于Tor的攻擊。 Cortex XDR 基于用戶和實體行為分析 (UEBA)、端點檢測和響應(yīng) (EDR)、網(wǎng)絡(luò)檢測和響應(yīng) (NDR) 以及云審計日志來檢測以下活動：

與Tor中繼服務(wù)器的可能網(wǎng)絡(luò)連接；來自Tor的成功 VPN 連接；從Tor成功登錄；來自Tor退出節(jié)點的可疑 API 調(diào)用；來自Tor的 SSO 成功登錄。

總結(jié)

Tor 為其用戶提供匿名性，不過匿名性經(jīng)常被不法分子利用，一方面，Tor 可以幫助人們改善隱私和保護舉報人。另一方面，Tor 可用于各種惡意活動，包括匿名偵察、數(shù)據(jù)盜竊、逃避地理限制、規(guī)避內(nèi)容阻止以及在暗網(wǎng)上運行非法市場。

由于網(wǎng)絡(luò)犯罪分子經(jīng)常將Tor用于惡意目標，因此建議在企業(yè)環(huán)境中禁止使用Tor。根據(jù)調(diào)查，企業(yè)使用Tor很常見，研究人員在一個月內(nèi)發(fā)現(xiàn)了 204 個客戶網(wǎng)絡(luò)上的 691 臺設(shè)備的 6617473 個會話。

Palo Alto Networks 提供了兩種用于阻止Tor流量的解決方案，作為攻擊預(yù)防的一部分，最好一起使用。他們向客戶提供經(jīng)過驗證的內(nèi)置Tor退出IP 外部動態(tài)列表，他們可以使用該列表來阻止與Tor退出節(jié)點的連接。此外，可以使用 Palo Alto Networks 流量分類系統(tǒng) App-ID 阻止企業(yè)網(wǎng)絡(luò)中的Tor流量。此外，客戶可以利用 Cortex XDR 來提醒和響應(yīng)端點設(shè)備、網(wǎng)絡(luò)或云中的Tor相關(guān)活動。

本文翻譯自：https://unit42.paloaltonetworks.com/tor-traffic-enterprise-networks/