توضح هذه المقالة مثالًا للتطبيق العملي لـ "تشويه ذاكرة التخزين المؤقت من خلال هجوم إعادة توجيه 301" ، والذي يمكن استخدامه بواسطة عقدة إخراج شبكة Tor مع رمز خبيث لتحديد عناوين IP الحقيقية للمستخدمين المحددين.
سيناريو الهجوم
سيناريو الهجوم كما يلي:
- العميل: Chrome Canary (76.0.3796.0)
- عنوان IP للعميل الحقيقي: 5.60.164.177
- معلمة تتبع العملاء: 6b48c94a-cf58-452c-bc50-96bace981b27
- عنوان IP لعقدة إخراج شبكة Tor: 51.38.150.126
- وكيل عكس شفاف: tor.modlishka.io (Modlishka - رمز محدث سيصدر.)
ملاحظة: في هذا السيناريو ، تم تكوين متصفح Chrome من خلال بروتوكول شبكة SOCKS5 لاستخدام شبكة Tor. تم ضبط قناة Tor إلى عقدة مخرجات اختبار محددة: '51 .38.150.126 '. إنه أيضًا التحقق من صحة المفهوم ويمكن تحسين العديد من الإعدادات في المستقبل ...
في حالة وجود عقدة إخراج ضارة في شبكة Tor ، تتم إعادة توجيه كل حركة المرور من خلال خادم وكيل Modlishka:
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination ip_address:80 iptables -A FORWARD -j ACCEPT
وصف سيناريو الهجوم
الافتراضات:
- تطبيق متصفح (في هذه الحالة ، مستعرض قياسي) يستخدم اتصال شبكة "Tor" ، وأخيراً ، سيتم الاتصال عبر عقدة إخراج ضارة.
- العقدة الخبيثة لشبكة Tor ، التي تعترض وتشوه ذاكرة التخزين المؤقت لجميع زيارات HTTP (رمز الاستجابة HTTP 301) ، والتي لا تحتوي على بروتوكول تشفير أمان طبقة النقل (TLS).
دعونا نلقي نظرة على الخطوات التالية لسيناريو الهجوم:
- يتصل المستخدم بالإنترنت من خلال شبكة Tor عن طريق تكوين المتصفح لاستخدام بروتوكول شبكة SOCKS5 لنظام Tor ، أو عن طريق التكوين بحيث تتم إعادة توجيه جميع حركة مرور نظام التشغيل عبر شبكة Tor.
- يبدأ المستخدم جلسة الوصول العادية إلى الإنترنت باستخدام مستعرضه المفضل ، حيث يتم عادةً إرسال الكثير من زيارات HTTP دون بروتوكول أمان TLS عبر نفق شبكة Tor.
- تقوم عقدة الإخراج الضارة لشبكة Tor باعتراض الطلبات والرد عليها عن طريق إعادة توجيه كل منها باستخدام رمز استجابة HTTP 301. سيتم تخزين عمليات إعادة التوجيه هذه مؤقتًا بواسطة المتصفح وسيتم إرسالها إلى عنوان URL للتتبع باستخدام معرف عميل Tor المحدد. يمكن إنشاء عنوان URL للتتبع بالطريقة التالية: user-identifier.evil.tld ، حيث يقوم 'evil.tld' بجمع كل المعلومات حول عنوان IP المصدر وإعادة توجيه المستخدمين إلى المضيفين المطلوبين أصلاً ... أو بدلاً من ذلك ، إلى الخلف الشفاف خادم وكيل سيحاول اعتراض كل التدفق اللاحق لحركة مرور عميل HTTP. بالإضافة إلى ذلك ، نظرًا لأنه من الممكن تشويه ذاكرة التخزين المؤقت تلقائيًا لمعظم المجالات الأكثر شيوعًا (كما هو موضح في مقال سابق) ، على سبيل المثال أفضل 100 موقع وفقًا لإحصائيات شركة «Alexa» ، يزيد المهاجم من فرصه في تحديد عناوين IP الحقيقية.
- بعد الخروج من جلسة شبكة Tor ، سيتحول المستخدم إلى شبكته العادية.
- بمجرد قيام المستخدم بإدخال عنوان أحد المجالات المشوهة السابقة في شريط العناوين (على سبيل المثال ، "google.com") ، يستخدم المتصفح ذاكرة التخزين المؤقت لإعادة التوجيه الداخلي إلى عنوان URL للتتبع مع معرف السياق لعقدة المخرجات.
- سيكون مضيف الإخراج قادرًا على مطابقة طلب HTTP الذي تم اعتراضه مسبقًا بعنوان IP الحقيقي للمستخدم باستخدام المعلومات الواردة من مضيف خارجي يستخدم عنوان URL للتتبع مع معرف المستخدم. سيكون لدى المضيف evil.tld معلومات حول جميع عناوين IP التي تم استخدامها للوصول إلى عنوان URL للتتبع.
من الواضح ، تتيح لك هذه الطريقة مطابقة طلبات HTTP المحددة بكفاءة مع عناوين IP للعميل باستخدام عقدة الإخراج لشبكة Tor. يحدث هذا لأن العميل سيطلب عنوان URL الذي تم إنشاؤه مسبقًا من خلال نفق شبكة "Tor" ، ثم مرة أخرى ، بمجرد إجراء الاتصال من خلال الاتصال القياسي لمزود الإنترنت. كل هذا بسبب الكود المشوه في ذاكرة التخزين المؤقت.
قد تعتمد طريقة أخرى على إدخال شفرة JavaScript المعدلة مع عناوين URL مضمنة للتتبع في الاستجابات المقابلة التي لا تحتوي على بروتوكول أمان TLS ، وتغيير رؤوس ذاكرة التخزين المؤقت للتحكم اللازمة (مثل "التحكم في التخزين المؤقت: الحد الأقصى للعمر = 31536000") . ومع ذلك ، فإن هذا النهج ليس فعالا للغاية.
من الممكن أيضًا تتبع المستخدمين من خلال ملفات تعريف الارتباط القياسية لتطبيقات الويب المختلفة ، ولكن من الصعب جدًا إجبار العميل على زيارة المجال الخاضع لسيطرة المهاجم مرتين: أولاً ، عند الاتصال من خلال عقدة إخراج شبكة Tor ، ثم مرة أخرى بعد التبديل إلى اتصال الإنترنت القياسي الموفر.
النتائج
الحقيقة هي أن المهاجم لديه القدرة على إجراء تغييرات معينة في ذاكرة التخزين المؤقت للمتصفح عن طريق حقن الأكواد المشوهة من خلال عقد الإخراج الخبيثة والكشف عن عناوين IP الحقيقية لمستخدمي Tor الذين يرسلون حركة مرور HTTP دون بروتوكول أمان TLS.
بالإضافة إلى ذلك ، فإن تشويه عدد كبير من أسماء النطاقات الشعبية سيزيد من احتمال تلقي استجابة عكسية لطلب HTTP (مع تعيين معرف مستخدم) ، والذي سيحدد عنوان IP الحقيقي للمستخدم. يمكنك محاولة اعتراض المجال من بعض عملاء المستعرضات وآمل ألا يلاحظ المستخدم خطأ مطبعي في اسم المجال أو لن يتم عرضه (على سبيل المثال ، تطبيق الجوال WebViews).
طرق للحد من المخاطر:
- عند الاتصال بالإنترنت من خلال شبكة Tor ، تأكد من تعطيل كل حركة المرور التي لا تستخدم بروتوكول أمان TLS. مثال على المكونات الإضافية للمتصفح التي يمكن استخدامها: لمتصفحي Firefox و Chrome.
- بالإضافة إلى ذلك ، استخدم دائمًا وضع المستعرض "الخاص" عند الاتصال بالإنترنت من خلال شبكة Tor.
- لا تقم بإعادة توجيه حركة المرور إلى نظام التشغيل بالكامل من خلال شبكة Tor حتى تكون متأكدًا من أن كل حركة المرور الصادرة تستخدم بروتوكول أمان TLS ...
- كلما كان ذلك ممكنًا ، استخدم أحدث إصدار من متصفح Tor لتصفح الويب.
تتوفر أحدث تكوينات المعالج المزدوج للخوادم المخصصة مع معالجات Intel Scalable 2019 على
DEDIC.SH :
- 2x زيون سيلفر 4214 - ما مجموعه 24 النوى
- 2x زيون الذهب 5218 - ما مجموعه 32 النوى
- 2x زيون الذهب 6240 - التكوين مع 36 النوى.
تكلفة الخادم مع اثنين من زيون سيلفر 4214 -
من 15210 روبل / شهرنحن مستعدون أيضًا لجمع
أي تكوين من أجلك -
اكتب لنا !
إذا لم تكن هناك حاجة لقوى كبيرة من خادم مخصص -
VDS من 150 روبل / شهر هو ما تحتاجه!