Geekly articles weekly

Identifikasi alamat IP nyata pengguna jaringan Tor melalui cache terdistorsi

gambar

Artikel ini menjelaskan contoh aplikasi praktis dari serangan "distorsi cache melalui 301 redirect", yang dapat digunakan oleh simpul output dari jaringan Tor dengan kode berbahaya untuk mengidentifikasi alamat IP asli dari pengguna yang dipilih.

Skenario serangan


Skenario serangan adalah sebagai berikut:


  • Klien: Chrome Canary (76.0.3796.0)
  • IP klien nyata: 5.60.164.177
  • Parameter Pelacakan Pelanggan: 6b48c94a-cf58-452c-bc50-96bace981b27
  • Alamat IP dari simpul keluaran jaringan Tor: 51.38.150.126
  • Transparent Reverse Proxy: tor.modlishka.io (Modlishka - kode yang diperbarui akan dirilis.)

Catatan: Dalam skenario ini, browser Chrome dikonfigurasi melalui protokol jaringan SOCKS5 untuk menggunakan jaringan Tor. Saluran Tor telah disetel ke simpul output uji khusus: '51 .38.150.126 '. Ini juga merupakan validasi konsep dan banyak pengaturan dapat dioptimalkan di masa depan ...

Dalam kasus simpul keluaran berbahaya dari jaringan Tor, semua lalu lintas dialihkan melalui server proxy Modlishka:

iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination ip_address:80 iptables -A FORWARD -j ACCEPT


Deskripsi skenario serangan


Asumsi:

  • Aplikasi peramban (dalam hal ini, peramban standar) yang akan menggunakan koneksi jaringan "Tor" dan, akhirnya, koneksi akan melalui simpul keluaran berbahaya.
  • Node keluaran berbahaya dari jaringan Tor, yang memotong dan mendistorsi cache semua lalu lintas HTTP (kode respons HTTP 301), yang tidak memiliki protokol kriptografi keamanan lapisan transpor (TLS).



Mari kita lihat langkah-langkah skenario serangan berikut:

  1. Pengguna terhubung ke Internet melalui jaringan Tor dengan mengkonfigurasi browser untuk menggunakan protokol jaringan SOCKS5 dari sistem Tor, atau dengan mengkonfigurasi sehingga semua lalu lintas sistem operasi dialihkan melalui jaringan Tor.
  2. Pengguna memulai sesi akses Internet normal dengan browser favoritnya, di mana biasanya banyak lalu lintas HTTP tanpa protokol keamanan TLS dikirim melalui terowongan jaringan Tor.
  3. Node keluaran berbahaya dari jaringan Tor memotong permintaan dan merespons dengan meneruskan masing-masing menggunakan kode respons HTTP 301. Pengalihan ini akan selalu di-cache oleh browser dan akan dikirim ke URL pelacakan dengan pengidentifikasi klien Tor yang ditugaskan. URL pelacakan dapat dibuat dengan cara berikut: user-identifier.evil.tld , di mana 'evil.tld' akan mengumpulkan semua informasi tentang alamat IP sumber dan mengarahkan pengguna ke host yang semula diminta ... atau, sebagai alternatif, ke reverse transparan server proxy yang akan mencoba mencegat semua aliran lalu lintas klien HTTP berikutnya. Selain itu, karena dimungkinkan untuk secara otomatis mendistorsi cache untuk sebagian besar domain paling populer (seperti yang dijelaskan dalam artikel sebelumnya), mis. 100 situs teratas menurut statistik perusahaan Β«AlexaΒ», penyerang memaksimalkan peluangnya untuk mengidentifikasi alamat IP asli.
  4. Setelah keluar dari sesi jaringan Tor, pengguna akan beralih ke jaringan reguler mereka.
  5. Segera setelah pengguna memasukkan alamat dari salah satu domain terdistorsi sebelumnya ke dalam bilah alamat (misalnya, "google.com"), browser menggunakan cache untuk pengalihan internal ke URL pelacakan dengan pengidentifikasi konteks dari node output.
  6. Host output akan dapat mencocokkan permintaan HTTP yang sebelumnya dicegat dengan alamat IP asli pengguna menggunakan informasi yang diterima dari host eksternal yang menggunakan URL pelacakan dengan ID pengguna. Tuan rumah evil.tld akan memiliki informasi tentang semua alamat IP yang digunakan untuk mengakses URL pelacakan.

Jelas, metode ini memungkinkan Anda untuk secara efisien mencocokkan permintaan HTTP yang dipilih dengan alamat IP klien menggunakan simpul output dari jaringan Tor. Ini terjadi karena URL pelacakan yang dibuat sebelumnya akan diminta oleh klien melalui terowongan jaringan "Tor", dan sekali lagi, segera setelah koneksi dilakukan melalui koneksi standar penyedia Internet. Itu semua karena kode kacau dalam cache.

Pendekatan lain mungkin didasarkan pada pengenalan kode JavaScript yang dimodifikasi dengan URL yang tertanam untuk pelacakan dalam tanggapan terkait yang tidak memiliki protokol keamanan TLS, dan mengubah header cache kontrol yang diperlukan (mis. 'Kontrol Tembolok: maks-age = 31536000') . Namun, pendekatan ini tidak terlalu efektif.

Melacak pengguna melalui cookie standar dari berbagai aplikasi web juga dimungkinkan, tetapi sangat sulit untuk memaksa klien mengunjungi domain yang berada di bawah kendali penyerang dua kali: pertama, ketika menghubungkan melalui simpul output dari jaringan Tor, dan kemudian lagi setelah beralih ke koneksi internet standar penyedia.

Kesimpulan


Faktanya adalah bahwa penyerang memiliki kemampuan untuk mencapai perubahan tertentu dalam cache browser dengan menyuntikkan kode cacat melalui node output berbahaya dan mendeteksi alamat IP nyata pengguna Tor yang mengirim lalu lintas HTTP tanpa protokol keamanan TLS.

Selain itu, distorsi sejumlah besar nama domain populer akan meningkatkan kemungkinan menerima respons balik dari permintaan HTTP (dengan ID pengguna yang ditetapkan), yang akan menentukan alamat IP asli pengguna. Anda dapat mencoba mencegat domain dari beberapa klien browser dan berharap bahwa kesalahan ketik pada nama domain tidak akan diketahui oleh pengguna atau tidak akan ditampilkan (misalnya, aplikasi seluler WebViews).

Cara untuk mengurangi risiko:

  • Saat menghubungkan ke Internet melalui jaringan Tor, pastikan bahwa semua lalu lintas yang tidak menggunakan protokol keamanan TLS dinonaktifkan. Contoh plugin browser yang dapat digunakan: untuk browser Firefox "dan" Chrome ".
  • Selain itu, selalu gunakan mode browser "pribadi" saat menghubungkan ke Internet melalui jaringan Tor.
  • Jangan mengarahkan lalu lintas ke seluruh sistem operasi Anda melalui jaringan Tor sampai Anda yakin bahwa semua lalu lintas keluar menggunakan protokol keamanan TLS ...
  • Kapan pun memungkinkan, gunakan versi terbaru browser Tor untuk menjelajahi web.


Konfigurasi prosesor ganda terbaru dari server khusus dengan prosesor Intel Scalable 2019 tersedia di DEDIC.SH :

  • 2x Xeon Silver 4214 - total 24 core
  • 2x Xeon Gold 5218 - total 32 core
  • 2x Xeon Gold 6240 - konfigurasi dengan 36 core.

Biaya server dengan dua Xeon Silver 4214 - dari 15210 rubel / bulan
Kami juga siap mengumpulkan konfigurasi apa pun untuk Anda - kirim surat kepada kami !

Jika kekuatan besar dari server khusus tidak diperlukan - VDS dari 150 rubel / bulan adalah yang Anda butuhkan!

Source: https://habr.com/ru/post/id456896/

More articles:


All Articles