匿名ネットワークとタイミング攻撃:TarzanとMorphmixへの低コスト攻撃

はじめに | Tor | ターザンとMorphMix | 低コスト攻撃 | TarzanおよびMorphmixに対する低コスト攻撃| 安全なシステム構築の原則(結論)



TarzanとMorphMixでテストするために、Torで使用されたのと同じ攻撃モデルを使用しました。 攻撃者には、悪意のあるノードと悪意のあるサーバーの2つのことが必要です。 送信者は、両方のネットワーク(TarzanとMorphMix)で悪意のあるノードとして機能します。 Tarzanの用語では、Tarzanクライアントと呼ばれ、MorphMixでは開始ノードです。



次に、悪意のあるホストはネットワーク上の他のすべてのホストのリストを受け取る必要があります。 次に、それぞれとの接続を確立し、接続で発生する遅延を監視します。 観察はしばらくの間行われるべきです。 監視期間全体を通して、悪意のあるサーバーはシステムへのトラフィックの送信を停止しません。 観測期間の終わりに、各接続の遅延測定の結果を使用して、各ノードのトラフィック量を推定します。 次に、ノードの負荷がサーバーのトラフィックと比較されます。 一致が検出されると、ノードは匿名化チェーンに入ります。 すべてのノードを比較した後、チェーン全体を特定できます。



したがって、攻撃を成功させるには、次の条件を満たす必要があります。



Torはアーキテクチャがこれらの要件を満たしているため、攻撃を受けやすくなっています。 まず、Tor開発者はミキシング操作とカバーするトラフィックを削除したため、ストリームの一時的な特性はチェーン全体で保持されます。 これは実験によって確認されました(Murdoch&Danezis 2005)。 第二に、Torは、Torクライアントがネットワーク内のすべてのノード(Torサーバー)のリストを取得できるディレクトリサービスを提供します。 第三に、TorクライアントがすべてのTorサーバーとの接続を確立することを妨げるものは何もありません。



ターザンでの低コスト攻撃



ターザンで上記の条件が満たされているかどうかを確認します。



遅延


TarzanとTorには、ネットワークの遅延に影響する2つの主な違いがあります。 まず、Torはラウンドロビン方式でキューを処理します。 第二に、Torではミキシングやトラフィックのカバーはありません。 ターザンでは、状況は異なります。 Tarzanはシミュレーターメカニズムを提供します。 そのため、ノードからの発信リンクのアクティビティは着信リンクのアクティビティに匹敵します。 接続が十分にアクティブでない場合、Tarzanは偽のトラフィックを追加します。 さらに、送信する前に、Tarzanノードはすべての発信ストリームでいくつかのミキシング操作を実行します。



したがって、問題は、シミュレータメカニズムが送信されたストリームのタイミング特性を破壊できるかどうかです。 確認する唯一の方法は、Torに配置されたものと同様の実験を行うことです。 残念ながら、シミュレータメカニズムのテストベンチはありません。 この質問を未解決のままにして、タイミング特性が破壊されないと仮定しましょう。 したがって、Torzanに対するTorの攻撃は効果的であると考えています。



すべてのネットワークノードに関する情報を取得する機能


他のネットワークノードを検索するために、Tarzanノードはgossip-protocolベースのメカニズムを使用します。 つまり 各Tarzanノードは、理論的には他のすべてのネットワークノードに関する情報を受信できます。 ただし、ターザンはピアツーピアネットワークであり、ノードの数は非常に多く、絶えず変化する可能性があるため、タスクを実行するのは困難です。 したがって、悪意のあるノードが他のすべてのネットワークノードの遅延を評価できるかどうかは疑わしいようです。 ただし、 理論的な可能性があり、条件が満たされていると仮定します。



他のネットワークノードへの直接接続を確立する機能


他のすべてのネットワークノードのリストを受信した後、悪意のあるノードがそれぞれのノードと直接接続を確立できる場合、3番目の条件が満たされます。 Torとは異なり、Tarzanでは、顔の表情だけでトラフィックを転送できます。 したがって、ノードが悪意のあるノードの表情に含まれていない場合、悪意のあるノードはノードとの直接接続を確立できません。 接続に中継が必要な場合、悪意のあるノードは遅延を正しく測定できません。 なぜなら 測定は、中間ノードによって作成された遅延に依存する場合があります。 したがって、すべてが見えるため、低コストの攻撃はターザンには適用されません。 しかし、これはそうではありません。 ターザンにはPNATがあります。これは、接続が外の世界に入るトンネル内の最後のノードです。 トンネル内の他の中間ノードとは異なり、各後続ノードの選択が表情のリストによって制限されている場合、任意のネットワークノードをPNATとして割り当てることができます。 したがって、悪意のあるノードは、ノードとの仲介なしに直接接続を確立することができます-表情のメカニズムは問題を解決しません。



まとめると。 低コスト攻撃は、ターザンに適用されます。 表情メカニズムはフローのタイミング特性を破壊せず、PNATは表情だけでなく、すべてのネットワークノードから選択できます。



MorphMixの低コスト攻撃



MorphMoxとTorの主な違いは、ネットワークアーキテクチャと、トンネルの転送ノードと出力ノードの選択方法です。 MorphMixはピアツーピアアーキテクチャに従い、Torは転送ノードとして専用サーバーを使用します。 Torでは、Torクライアントはすべてのノードを個別に選択して匿名トンネルを編成します。 MorphMixでは、すべての中間ノードがトンネルの形成に関与しています。 Torには出口ノードがありますが、MorphMixにはありません。 同じ3つの基準を使用して、MorphMixに対する低コスト攻撃の適用可能性をテストします。



遅延


トンネルが確立されると、MorphMixノードとTorノードは同じように機能します。 両方ともカバーするトラフィックがありません。 したがって、このセクションでは、攻撃をMorphMixに適用できます。



すべてのネットワークノードに関する情報を取得する機能


ネットワークを操作するために、各MorphMixノードは他のすべてのノードを認識しない場合があります。 すべてのノードが隣接ノードを知っていれば十分です。 ノードがトンネルを作成する場合、次の各MorphMixノードに推奨ノードのリストを順番に要求し、そこから次のトンネルノードが選択されます。 このメカニズムにより、すべてのネットワークノードのリストがなくても匿名トンネルを作成できます。



ポイントはこれです。 攻撃を実行するには、悪意のあるノードがすべてのネットワークノードのリストを取得する必要があります。 他のノードに関する情報はトンネル作成メカニズムを使用してのみ取得できるため、これは簡単なタスクではありません。 攻撃を成功させるには、より効率的な検索エンジンが必要です。そうしないと、すべてのネットワークノードのリストを定義するのに非常にコストがかかります。 つまり 「低コスト」攻撃は「高価」になります。 さらに、リストが作成されるまでに、リストは古くなっている可能性があります。 ピアツーピアネットワークの構成は非常に不安定です。 さらに、MorphMixノードは他のすべてのネットワークノードを認識しないため、すべてのノード間で通信を確立できるという保証はありません(直接であるかどうか)。 したがって、攻撃は実行できません。



他のネットワークノードへの直接接続を確立する機能


MorpMixには接続制限はありません。 つまり 各ノードは、他のノードへの直接接続を確立できます。



つまり、悪意のあるホストはネットワーク上の他のすべてのホストのリストを取得できないため、説明した攻撃はMorpMixには適用されません。



All Articles