自2020年1月以来,一个神秘的黑客组织一直在向Tor网络添加服务器,以便对通过Tor浏览器访问与加密货币相关站点的用户进行SSL剥离攻击。
该组织的攻击是如此的庞大和持久,以至于2020年5月,他们运行 了所有Tor出口中继的四分之一 -用户流量通过这些服务器离开Tor网络并访问公共互联网。
根据 独立安全研究人员和Tor服务器运营商Nusenu周日发布的一份报告,在Tor团队采取三项干预措施中的第一项来淘汰该网络之前,该小组在高峰期管理了380个恶意Tor出口中继。
SSL对比特币用户的攻击 努瑟努在周末写道:“他们运作的全部细节还不得而知,但动机似乎很简单:利润。”
研究人员说,该组织正在“通过操纵流过出口中继的流量来对Tor用户进行中间人攻击”,他们专门针对使用Tor软件或Tor浏览器访问与加密货币相关的网站的用户。
中间人攻击的目标是通过将用户的Web流量从HTTPS URL降级为不太安全的HTTP替代方案,来执行“ SSL剥离”攻击。
根据他们的调查,Nusenu说,这些SSL剥离攻击的主要目标是允许该组织替换进入比特币混合服务的HTTP流量内的比特币地址。
比特币混合器是一个网站,通过将少量资金分成零碎资金并通过数千个中间地址进行转移,然后再在目标地址重新加入资金,用户可以将比特币从一个地址发送到另一个地址。通过在HTTP流量级别替换目标地址,攻击者有效地劫持了用户的资金,而无需用户或比特币混合器的了解。
艰难的进攻 研究人员说:“比特币地址重写攻击并不新鲜,但是其操作规模却是新的。”
Nusenu表示,根据用于恶意服务器的联系电子邮件地址,他们跟踪了至少七个不同的恶意Tor出口中继群集,这些群集在过去七个月内被添加。
图片:Nusenu 研究人员说,恶意网络在5月22日达到380台服务器的峰值,当时所有Tor出口中继的23.95%受该小组控制,这使Tor用户有四分之一的机会登陆到恶意出口中继。
Nusenu表示,自5月份以来,他一直在向Tor管理员报告恶意出口中继,并且在6月21日最近一次撤离之后,威胁参与者的能力已大大降低。
图片:Nusenu 尽管如此,Nusenu还补充说,自上次下台以来,“有多个指标表明攻击者 的Tor网络出口容量仍然超过10% (截至2020-08-08)。”
研究人员认为,由于Tor项目对可加入其网络的实体没有适当的审查流程,威胁者可能会继续进行攻击。尽管匿名是Tor网络的核心特征,但研究人员认为,至少对出口中继运营商而言,可以进行更好的审查。
2018年类似的攻击地点 在2018年发生了类似的攻击; 但是,它不是针对Tor出口中继,而是针对Tor-to-web(Tor2Web)代理-公共互联网上的Web门户,允许用户访问通常只能通过Tor浏览器访问的.onion地址。
当时, 美国安全公司Proofpoint报告 称,至少有一个Tor-to-web代理运营商正在悄悄地替换比特币地址,以供用户访问旨在支付赎金要求的勒索软件支付门户,从而有效地劫持了付款并让受害者没有解密密钥,即使他们支付了赎金。
Tor网络正在经历宕机,可能是由于暗网市场之间不受控制的DDoS所致。由于无法保留共识的“实时”状态的错误,V3 Onion站点已关闭。大量网站受到影响,有些网站保持离线状态长达12个小时。 自2021年1月6日以来一直在对Tor网络进行协同攻击,导致所有v3洋葱域昨天离线12小时。一些服务启动了临时的v2洋葱域以使其联机返回,而Tor Project团队则忙于准备一个修补程序,甚至是一个临时的修补程序。他们现在宣布了一个实验补丁,该补丁需要同时应用于客户端和服务端。
关于为什么v3洋葱域受攻击影响而先前版本没有受到攻击的解释是,最新版本在服务实现中存在错误,即使共识仍然有效,也会导致共识的“实时”状态下降。如果有足够的时间(几个小时)和回合,共识进入的状态将不再被视为“实时”,因此服务不会发布描述符,客户端也不会获取描述符。
Tor(0.4.6.0)的“ Alpha”版本目前正在测试中,如果您想摆弄它,可以从此Git存储库中构建源代码 。对Tor的攻击暴露了以前未发现或仅未解决的bug的存在并不是什么新鲜事,但是让社区充满热情地做出响应非常重要。
自然,停机时间影响了许多洋葱网站,包括Wasabi和Bisq等比特币服务。据监视暗网的研究人员称,最近有一些活动涉及暗网市场之间的拒绝服务攻击。显然,这些攻击迅速升级为压倒了Tor网络的(HSDir)节点,导致无法连接到v3洋葱站点。
试图访问其资产和钱包并经历延迟或连接失败的加密货币持有者自然会感到恐慌,因为他们担心最坏的情况。Bisq敦促社区不要公开争端,向他们保证局势不会对其资产构成威胁。
同样,Wasabi迅速采取了将跟踪路由到v2和v1洋葱站点以及仍可通过Tor访问的clearnet后端端点的方法。当然,中断将继续,但是该平台保证没有什么可担心的。
身份窃取是一个日益严重的问题,几乎成了家常便饭–Marriott、MyFitness Pal、LinkedIn、Zynga,甚至Equifax(所有地方)近年来都发生了高调的在线数据泄露事件,影响了数亿人。为了帮助应对这一问题,Experian和其他公司正在营销 “暗网扫描 “以防止数据泄露。但什么是暗网扫描,你是否需要它?
暗网,解释 暗网是一个庞大的、隐蔽的网站网络,一般的搜索引擎不会收录或发现它。它也是非法活动的中心,包括买卖被盗的财务和个人信息。如果你的信息在数据泄露后出现在暗网网站上,身份窃贼可能会利用这些数据开立信用卡、贷款或从你的银行账户中提款。
暗网扫描如何工作 暗扫描会扫描暗网,查看医疗身份信息、银行账号和社会安全号码是否被共享。如果你得到的结果是正面的,暗网扫描服务会建议你更改密码,使用更强的密码,或者对你在三大机构(Experian、Equifax和TransUnion)的信用档案进行信用冻结。当然,一个负面的搜索结果并不一定意味着你没有发生数据泄露,因为任何公司都没有办法搜索整个暗网。
许多这些服务为你提供免费扫描,但这只涵盖某些信息,如电话号码、密码和社会安全号码。如果你想设置警报,或者搜索其他信息,如银行账号、护照、驾照,或者可以访问信用报告(已经是免费的),这些服务通常会收取月费(Experian提供的这项服务在30天免费试用后每月9.99美元)。
暗网扫描值得付费吗? 不一定。暗盘扫描只会显示你的个人信息在暗网上。保护自己最有效的步骤(注销卡片、更改密码、信用冻结)是免费的–你不需要为此向公司支付费用,除非你想委屈自己。而且考虑到大量的数据泄露事件,假设你的信息已经泄露,并实践良好的隐私习惯,比如频繁更换密码,其实更容易,也更便宜。
在接受NBC新闻 “Better “采访时,”身份盗窃委员会“(Identify Theft Council)执行主任尼尔-奥法雷尔(Neal O’Farrell)称,暗网扫描是 “烟幕弹的交易”,并没有 “去解决这个问题的原因,也就是提高警惕,提高意识,保管好自己的个人信息,冻结自己的信用”。
同样重要的是要明白,暗网只是出售被盗身份的一种方式,因为身份窃贼同样可以通过网络钓鱼或窃取你的邮件轻松获得这些信息。当然,如果你想花额外的钱购买警报,监控服务也无妨–只要记住,你可以免费主动监控和防止身份盗窃,而暗网扫描不会提供完全的保护。
恶意软件分析是一个棘手的过程。错误的处理会导致意外的自我暴露,这可能会造成严重破坏,具体取决于感染发生的位置。
如果将其放在日常使用的计算机中,那么您将注定要擦干净并重新启动。如果它在虚拟机内部,您可能会认为不必担心,但是VM的网络功能又如何呢?它是否与托管VM的主机连接到同一网络?如果是这样,则容易受到感染的VM的横向移动。如果我们将恶意软件移至不相邻的网络怎么办?您可以,但是如何连接到该端点?是RDP吗?如果是这样,那么您就不得不担心 剪贴板被利用了。 听起来好像无休止的事情需要担心。当然,您要研究的恶意软件可能不具备某些令人恐惧的超跳功能,但是由于意外暴露,损失太多了。您要担心的最后一件事是在深夜分析一些新的勒索软件,并在第二天清晨醒来,出现几条警报,警告您所有客户数据均已加密。那么最佳实践是什么?
好吧,让我们从第一个正方形开始;我们如何获取这些新样本?
第一步:恶意软件分析的样本在哪里? 假设您正在寻找一个新的示例,它恰好在.onion网站上的某个论坛上做广告。您的第一个想法是跳上Tor网络并下载它:这是您的第一个错误。当您与隐藏的服务进行交互时,这是另一回事。我说的是归因。
您看起来像其他所有Tor用户一样吗?还是你脱颖而出?并非所有Tor用户都使用同一操作系统,这只是浏览器泄漏的众多属性之一。那您的时区呢?您的用户代理?您的CPU类型?这只是一个平方,有很多事情要担心。更不用说您将所有安全性都委托给Firefox,这是从入侵计算机到您和漏洞利用工具包之间唯一存在的问题 。在您时间有限的时刻(例如在事件响应期间),这些小事情可以忽略。
因此,这是我的第一条建议: 减少归因。不要在其他人都不喜欢的地方漫游,也不要在没有其他研究的情况下对比赛场地了解很多。任何突出的单个属性都可能导致某些邪恶的Web服务操作员两次检查访问日志。如果您站出来大声尖叫,“研究人员的姓名!” 这可以启动损害控制,并且您可能会丢失样品。
第二步:存储样本 一个ssuming抓住你的样品时所采取的预防措施,你怎么存放?您是否公然将其下载到您的主计算机中?尚未执行任何操作(假设您的浏览器没有为您执行此操作),但实际上某些防病毒软件已将其选中,不是吗?如果防病毒软件确实选择了它,则可以安全地假定该示例现在已对该供应商的示例数据库公开。而且,如果造成恶意软件威胁的人再次看到该样本(例如在VirusTotal上),他们将启动损害控制,您将回到第一个方框。您可能认为您应该关闭所有保护措施,以使样本不会发送到任何地方-听起来不是个好主意!如果您关闭保护装置,则有遭受意外暴露的风险,甚至都不知道是什么原因击中了您。
有这么多细微差别,我们应该在哪里存储恶意软件?我会告诉您不保留它的地方:在您的本地端点上!无论您决定放置在何处,请确保它不是您的下载文件夹。将其存储在云中,将其存储在不相邻的地方,将其保存在不必为忙于移动它而双击的地方。
因此,如果到目前为止我们已经学到了任何东西,则用于获取恶意软件的工具和放置恶意软件的位置 都不应与本地网络相邻。
第三步:分析样本 因此,您已经做到了这一步而不会被烧毁,现在开始分解恶意软件的过程。静态分析技术使您无需运行即可查看恶意软件的内部。例如,如果您尝试确定行为并快速了解恶意软件内部存储的数据类型,则此方法很有用。也许其中一个字符串被编码了,也许导致了一些控制服务器。这是进行分析时要考虑的所有重要信息。
有很多工具可让您从Ghidra,IDA Pro等中执行此操作。但是,您没有考虑的一件事是恶意软件在运行时会做什么。如果该恶意软件仅在运行时进行了多次网络握手以加载下一组指令,该怎么办?你不想知道吗 这将要求您运行恶意软件。问题是,您不能在任何环境中都这样做。
首先,此环境不能成为常规虚拟机,因为一旦恶意软件检测到它位于其中,它便可能采取必要的步骤保持休眠状态。 恶意软件作者可以通过 多种方式来生成检测二进制文件是否驻留在虚拟机内部的逻辑。如果您的恶意软件是为您或组织量身定制的,那么您第一次失败就不会失败。可能还内置了其他规避策略,您可能不知道该规避策略可以提醒作者,由于在虚拟环境中执行了恶意软件,因此正在对其恶意软件进行分析。
那么如何避免这种情况呢?查看 提供沙盒执行功能的供应商,例如 Crowdstrike 和 Cuckoo,那样您就不必担心困扰虚拟环境的所有属性,因为那里已经有人在工作。重新发明轮子毫无意义,尤其是当您不能考虑可能有助于区分您的环境确实在虚拟化的每个属性时。
第四步:使用筒仓进行研究进行批量分析(工具箱) 如果您已经做到了这一点,则意味着您已经成功分析了第一个样本,并且对它是否良性有了很好的了解。问题是:您有一个以上的工件,并且要花很多时间才能做到这一点而又不会犯任何错误,这是有问题且耗时的。必须有一条更好的路线。
Silo for Research是一款独立的浏览器,可让您修改归因,可以快速帮助您减少指纹。它可以帮助您看起来像各种花园浏览器,还可以帮助您利用Tor网络。它还带有一个安全的存储平台,可将所有工件保存在不存在意外暴露的地方。
此外,我们的外部API允许您与文件进行交互,而无需离开平台。您可以创建一个脚本,将该脚本存储到存储中,将其发送到沙箱中,然后返回报表,而无需创建虚拟机或避免确保一切正常的麻烦。
幸运的是,一个研究人员团队致力于创建一个能够做到这一点的脚本。让我们谈谈有人将如何构建这样的脚本。
第五步:构建脚本 多亏了Authentic8安全存储API和外包的恶意软件分析工具,将文件从一个不相邻的网络传输到另一个网络非常简单。以下是有关如何构建脚本的步骤:
获取您的存储桶文件令牌和存储桶ID。Silo for Research允许您通过访问令牌(用户文件令牌和存储桶ID)安全地访问共享的安全存储驱动器。身份验证后,您可以使用API端点通过HTTP请求从安全存储中下载和上传文件。此外,还有列出文件的命令,这些命令使您可以循环访问目录以查找特定文件。在您的脚本中,这些命令将有助于在安全存储中查找文件和从中进行文件传输,并将其提交到恶意软件分析工具。当文件从一个位置传输到另一位置时,请确保将文件作为二进制文件传输并保存在内存中。例如,如果要用python编写脚本,则可以使用IO库将文件存储在内存中的二进制流(例如BytesIO对象)中。在这里查看更多文档 。这样可以确保您不会在主机上存储任何恶意软件,也不会意外触发有害病毒。下一步是找到恶意软件分析工具。
为了提供帮助,我们提供了一个使用Authentic8 External API进行此操作的示例。
选择一个恶意软件分析工具。为了使事情变得简单,请选择一个具有易于使用的API的工具,该工具可让您上载和扫描文件以及访问完成的报告。例如,假设我们要设计脚本来与VirusTotal API交互。在这种情况下,我们需要参考 VirusTotal API文档 以了解API的工作原理,并指出我们可以使用哪些API端点发送和接收信息。浏览完文档并了解如何与API通信之后,我们可以使用 / file / report 端点使用sha256哈希值检索最新的防病毒报告,并使用 / file / scan端点 发送文件进行扫描并生成防病毒软件报告。 对于VirusTotal,最好的方法是先搜索文件报告,然后再发送文件进行扫描(如果其他人也提交了相同的哈希值进行分析)。这样可以更快地生成报告。混合分析, Joe Sandbox Cloud 和 SecondWrite等供应商提供了其他可用的类似分析工具 。
生成报告。 该过程中最重要的部分是生成信息。根据您希望对恶意软件执行的分析的深度,HTML中的VirusTotal返回分析报告等API可以使您分析恶意软件的行为,查找相似的恶意软件,甚至查看其创建的网络流量。您可以将这些报告发送回安全存储,以与其他分析师共享或将其保留在本地计算机上。
您可能已经听说过,在过去的几年中,某些洋葱服务一直遇到拒绝服务(DoS)攻击的问题。
这些攻击利用了洋葱服务集合协议固有的不对称特性,这使其难以防御。在集合协议期间,恶意客户端可以向服务发送一条小消息,而服务必须对此进行大量昂贵的工作。这种不对称性使该协议容易受到DoS攻击,并且我们网络的匿名性质使将好客户与坏客户过滤开来极具挑战性。
在过去的两年中,我们一直为洋葱服务运营商提供更多扩展选项,支持更敏捷的电路管理,并保护网络和服务主机免受CPU耗尽的困扰。尽管这些方法不能解决根本问题,但它们为洋葱服务运营商提供了一个框架,以构建自己的DoS检测和处理基础结构。
尽管为洋葱服务运营商提供的可用防御工具箱已经增长,但DoS攻击的威胁仍然隐约可见。虽然仍然有一堆的smaller- 规模 的改进是可以做到,我们认为,这是不是那种问题,一个参数的调整或小的代码变化将使其消失。问题的固有性质使我们相信,我们需要做出根本性的改变来解决它。
在本文中,我们向您介绍两个选项,我们认为它们可以长期解决该问题,同时保持洋葱服务的可用性和安全性。
考虑这些设计时要记住的直觉是,我们需要能够提供不同的公平概念。在当今的洋葱服务中,每个连接请求都与所有其他请求是无法区分的(毕竟这是一个匿名系统),因此唯一可用的公平策略是对每个请求进行同等对待-这意味着提出更多请求的人会固有地受到更多关注。我们在这里描述的替代方案使用两个原则来改变余额:(1)客户应该可以选择在其请求中包含一些新信息,洋葱服务可以使用这些新信息来更智能地确定其响应的优先级;(2)而不是一直存在静态需求,我们应该让洋葱服务根据当前负载扩展防御能力,默认是回答所有问题。
基于匿名令牌的防御 匿名令牌最近很热,它们像手套一样适合Tor。您可以将匿名令牌视为票证或奖励给好客户的通行证。在这种特定情况下,当发生拒绝服务攻击时,我们可以使用匿名令牌作为优先顺序,将好客户端优先于恶意客户端。
这里的一个主要问题是好的客户如何获得这种代币。通常,令牌分发是使用DoS攻击者没有的稀缺资源进行的:验证码,资金,电话号码,IP地址,商誉。当然,我们网络的匿名性质限制了我们在这里的选择。同样,在DoS问题的背景下,如果恶意客户端获取一些令牌并不是什么大问题,但是重要的是,他们不能获取足够的令牌来承受DoS攻击。
引导令牌系统的一种合理方法是设置一个CAPTCHA服务器(也许使用hCaptcha),该服务器用盲令牌奖励用户。或者,洋葱服务本身可以用令牌奖励可信任的用户,这些令牌以后可以用来重新获得访问权限。我们还可以向Tor项目的每次捐赠都向用户提供令牌。我们可以使用许多不同类型的令牌,并且可以支持不同的用户工作流程。关于这些令牌如何相互交互,它们可以提供哪些额外的好处以及“钱包”的外观(包括Tor浏览器集成),我们有很多想法。
基于令牌的方法的另一个好处是,它将在未来为Tor提供更多的用例。例如,将来可以使用令牌通过垃圾邮件和自动化工具来限制对Tor出口节点的恶意使用,从而通过集中式服务来减少出口节点的审查。令牌也可以用于为洋葱服务注册让人难忘的名称。它们还可以用于获取专用网桥和出口节点,以提高安全性。许多细节需要解决,但是匿名令牌似乎非常适合我们的未来工作。
在加密方面,基本形式的匿名令牌是一种匿名证书,并使用与PrivacyPass类似的技术和UX 。但是,我们不能按原样使用PrivacyPass,因为我们希望能够让一方签发令牌,而另一方对令牌进行验证-PrivacyPass当前不支持该功能。例如,我们希望能够在一些单独或独立的网站上设置令牌发行服务器,并且仍然具有洋葱服务(或它们的引入点)能够验证该服务器发行的令牌。
当然,当大多数技术人员在2020年听到“令牌”一词时,他们的想法就直接跳到了区块链上。尽管我们非常感兴趣地监视着区块链空间,但我们在选择区块链解决方案时也保持谨慎。尤其是,鉴于Tor的私有性质,很难找到满足我们的隐私要求并仍为我们提供实现所有未来目标所需的灵活性的区块链。我们仍然充满希望。
基于工作量证明的防御 解决DoS问题的另一种方法是使用工作量证明系统来减少服务与攻击者之间的计算不对称性差距。
特别是,洋葱服务可以要求客户在允许进入之前解决工作量证明难题。有了正确的工作量证明算法和难题难度,这可以使攻击者无法淹没该服务,同时仍然使普通客户端仅需很小的延迟就可以访问该服务。还针对TLS 提出了类似的设计。
我们已经开始在该系统上编写提案(在朋友和志愿者的大力帮助下),并且我们有足够的信心相信现有的工作量证明算法可以满足我们的用例,同时提供适当的保护级别。考虑到系统的复杂性,仍然需要在参数调整以及Tor引入调度程序的调整上进行工作,但是初步分析似乎很有成果。
这种方法的最大好处是,所提出的PoW系统是动态的,并会根据攻击该服务的恶意活动的数量自动调整其难度。因此,当攻击波很大时,难度会增加,但是当攻击波通过时,难度也会自动降低。此外,如果我们选择工作量证明系统,在其中进行更多的工作可以提供更好的证据,那么有动力的客户可以通过花时间创建额外的证据来“吸引”注意力,这将使洋葱服务优先于洋葱服务。其他要求。这种方法将不对称性转化为我们的优势:好的客户建立了少量连接,他们需要一种在冒充很多客户的攻击者中脱颖而出的方法。
结论 我们认为,以上两个方案提供了一个具体的框架,将从根本上增强洋葱服务的弹性。
这两个建议可以一起应用,并且彼此互补。值得指出的是,这两个建议在技术和密码上都很繁重,并且都有各自的缺点和局限性。没有人想要一个充满验证码或禁止移动PoW拼图的Tor网络。参数调整和精心设计在这里至关重要。毕竟,DoS抵御能力是一场经济博弈:目标不是完美无缺;目的是提高标准,以使攻击者维持攻击的财务成本高于所获得的收益。换句话说,我们想要达到的稳定状态是您通常不需要出示验证码或令牌就可以访问洋葱服务,原因是没有人在攻击他们,因为攻击没有用。
希望我们的帖子激发您思考我们的想法,并提出您自己的攻击和改进措施。这不是我们一天可以解决的问题,我们感谢所有研究和获得的帮助。请保持联系!
从今天(2020年7月2日)开始,互联网大约有16个月的时间从洋葱服务v2一次迁移到v3。 怀旧
15年前,洋葱服务(当时称为“隐藏服务”)日渐成熟。最初是一个实验,目的是了解更多有关Tor网络可以提供的内容。该协议在部署后不久便达到了其版本2。
多年以来,洋葱服务不断发展,第2版已发展成为一款功能强大且稳定的产品,至今已使用了十多年。在所有这些年中,洋葱服务的采用量急剧增加。从ICANN认可的.onion tld到颁发给.onion地址的SSL证书。如今,洋葱服务支持整个客户端应用程序生态系统:从Web浏览到文件共享和私人消息传递。
随着人类对数学和密码学的理解的发展,版本2的基础变得脆弱,并且在此时不安全。如果您想了解有关版本2面临的技术问题的更多信息,请阅读这篇文章,不要犹豫问任何问题。
这导致我们进入2015年:历时3年的大规模开发工作产生了版本3。2018年1月9日,Tor版本0.3.2.9发布,这是第一个支持洋葱服务版本3的Tor。我敢打赌,您遇到了它们有56个字符,并以.onion;)结尾。
现在,Tor网络上的每个中继都支持版本3。在创建洋葱服务时,它也是今天的默认版本。
随着洋葱v3的稳固发展,我们处于淘汰第2版的良好位置:第2版已经完成。顺其自然,它为全球无数人提供了安全和隐私。但更重要的是,它创造并推动了私人和安全通信的新时代。
退休
这是我们计划的弃用时间表:
2020年9月15日
0.4.4.x:Tor将开始警告洋葱服务运营商和客户v2已过时,并且在0.4.6版本中已过时。2021年7月15日
0.4.6.x:Tor将不再支持v2,并且支持将从代码库中删除。2021年10月15日,
我们将为所有受支持的系列发布新的Tor客户端稳定版本,这些版本将禁用v2。 这实际上意味着,从今天(2020年7月2日)开始,互联网将有大约16个月的时间从v2永久迁移到v3。
我们在这里可能会遇到一些困难。无论我们认为自己有多准备,我们都会发现总是有更多的惊喜。尽管如此,我们会尽力解决出现的问题,并尝试使此过程尽可能顺利。
从v2过渡到v3
本节详细介绍如何从现有v2服务设置v3服务。不幸的是,没有机制可以交叉验证这两个地址。
在torrc中,要创建第3版地址,您只需要添加这两行。现在,默认版本设置为3,因此您无需显式设置它。
HiddenServiceDir /full/path/to/your/hs/v3/directory/ HiddenServicePort <virtual port> <target-address>:<target-port>
最后,如果您希望一直运行版本2服务,直到不建议使用它来为用户提供过渡路径,请将此行添加到版本2服务的配置块中:
HiddenServiceVersion 2
这将允许您在配置文件中标识哪个版本。
祝您迁移顺利。
从设计上来说,SSH是一种相当安全的方式,可以获得远程机器的shell访问权限。然而,总有一些方法可以从这些连接中获得更多的安全和隐私。
这样的方法之一就是借助于Tor的帮助。使用Tor,你可以增加一个匿名性,甚至可以隐藏你的服务,避免被窥探/黑客的眼睛。
我将会告诉你通过Tor进行SSH连接的过程。这个过程并不难,所以任何管理SSH的人都应该能够做到这一点。
您需要做的是 将在两台Ubuntu服务器上进行演示,但这个过程可以在任何Linux发行版上使用。你还需要一个具有sudo权限的用户。
如何安装Tor 您必须做的第一件事就是安装Tor。你需要在客户端和服务器上都要安装,所以要登录并分别运行以下命令。
sudo apt-get install tor -y
一旦安装完成,你就可以配置Tor了。
如何配置Tor 我们需要向默认的Tor配置文件中添加几个配置选项。登录到要连接的服务器,然后发出以下命令:
sudo nano /etc/tor/torrc
在该文件的底部,添加以下内容。
HiddenServiceDir /var/lib/tor/other_hidden_service/
隐藏服务端口 22
保存并关闭文件。
用命令重启Tor。
sudo systemctl restart tor
重启Tor会在/var/lib/tor/other_hidden_service中生成所有必要的文件。在这个目录中,你需要使用主机名从远程客户端连接到服务器。要找到这个主机名,请执行以下命令。
sudo cat /var/lib/tor/other_hidden_service/hostname
你应该看到的东西是这样的。
riludi2kstjwmlzn.onion
如何连接到服务器 转到你的客户端,你也在那里安装了Tor。为了连接到服务器,你将使用上面的cat命令提供的主机名。因此,要建立连接,你会发出以下命令。
torify ssh USER@HOSTNAME
其中USER是远程用户,HOSTNAME是Tor提供的主机名。
比如说
torify ssh [email protected]
你会被提示你的远程用户密码(或SSH密钥密码),然后被允许进入服务器。
以这种方式使用Tor的唯一注意事项是,它的连接速度要比直接的SSH连接稍慢。这几秒钟的牺牲是非常值得的,因为你可以获得匿名性。
当您必须使用请求而不透露IP地址时,Tor非常有用,尤其是在进行网络抓取时。本教程将在python中使用包装器,以帮助您解决此问题。
什么是TOR? TOR是“洋葱计划”的缩写,“洋葱计划”是美国海军使用的全球服务器网络。TOR在使人们能够匿名浏览Internet的同时,还充当着非盈利组织的角色,致力于研究和开发在线隐私工具。
TOR可能意味着两件事
您安装在计算机上以运行TOR的软件管理TOR连接的计算机网络 简而言之,TOR允许您通过其他几台计算机路由Web流量,以使第三方无法将流量追溯到用户。任何尝试查找流量的人都会在TOR网络上看到随机的不可追踪节点。
安装TOR TorRequest将TOR作为依赖项。首先安装TOR。
这些说明适用于Ubuntu / Debian用户。要在Windows或Mac上安装,请在此处检查。
sudo apt-get更新 sudo apt-get安装 重新启动TOR服务
sudo /etc/init.d/tor重新启动 配置TOR 让我们对新密码进行哈希处理,以防止外部代理随机访问端口。
tor --hash-password <在此处输入密码> 您将获得字母和数字的长组合作为新的哈希密码。现在,我们转到TOR配置文件(torrc)并进行必要的更改。
放置torrc文件的位置取决于您使用的操作系统以及从中接收tor的位置。我的位置在./etc/tor/torrc。您可以参考此以了解更多信息。
我们有三件事要做
为TOR启用“ ControlPort”侦听器以侦听端口9051,因为这是TOR侦听来自与Tor控制器进行通信的应用程序的任何通信的端口。更新哈希密码实施Cookie身份验证 您可以通过取消注释和编辑位置隐藏服务部分上方的以下行来实现此目的。
SOCKSPort 9050 HashedControlPassword <您在此处较早获得的哈希密码> CookieAuthentication 1 ###本部分仅用于位置隐藏的服务### 保存并退出并重新启动TOR。
sudo /etc/init.d/tor重新启动 现在,TOR已全部设置好!荣誉!
什么是TorRequest? TorRequest是围绕请求和主干库的封装库,允许通过TOR发出请求。在此处查看项目。
您可以通过PyPI安装torrequest:
pip安装torrequest 让我们尝试TorRequest。打开您的python终端。
从torrequest导入TorRequest 将密码传递给Tor
tr = TorRequest(密码='这里您的未使用密码') 让我们检查一下当前的IP地址 导入请求 response = request.get(' http://ipecho.net/plain') 打印(“我的原始IP地址:”,response.text) 我的回应是
我的原始IP地址:45.55.117.170 让我们通过TorRequest尝试相同的方法
tr.reset_identity()#重置Tor 响应= tr.get(' http://ipecho.net/plain') 打印(“新IP地址”,response.text) 您现在将获得另一个IP地址。再次重置Tor,以再次获得新的IP地址。
现在,您可以使用Torrequests在python中轻松屏蔽IP地址。
祝一切顺利!
Scallion允许你使用OpenCL创建虚构的GPG密钥和.onion地址(用于Tor的 隐藏服务)。它可以在Mono(在Arch Linux上测试)和.NET 3.5+(在Windows 7和Server 2008上测试)上运行。
它目前处于测试阶段,并且正在积极开发中。尽管如此,我们认为它已经可以使用了。预期主要在性能,用户界面和安装简便性方面有所改进,而不是在用于生成密钥的整体算法方面有所改进。
常问问题
以下是一些常见问题及其解答:
为什么要生成GPG密钥?Scallion用于在Web of Trust的强大集中查找每个32位密钥ID的冲突,这表明32位密钥ID的不安全程度。在DEFCON上有一个演讲(视频),可以在https://evil32.com/上找到更多信息。什么是有效字符?Tor .onion地址使用Base32,由所有字母和2到7(包括2和7)组成。它们不区分大小写。GPG指纹使用十六进制,由数字0-9和字母AF组成。您可以使用比特币ASIC(例如Jalapeno,KnC)来加速此过程吗?可悲的是没有。尽管Scallion使用的过程在概念上是相似的(增加随机数并检查哈希),但细节有所不同(SHA-1与比特币的双SHA-256)。此外,比特币ASIC之所以能如此之快,是因为它们非常适合比特币挖矿应用。例如,这是数据表对于CoinCraft A-1,这是一种从未问世的ASIC,但可能表示通用方法。微控制器以比特币块的最后128位,前几位的哈希中间状态,目标难度以及要尝试的最大随机数的形式发送工作。ASIC选择插入随机数的位置,然后选择满足散列的块。Scallion必须在其他位置插入随机数,并且它检查模式匹配,而不仅仅是“低于XXXX”。如何使用多个设备?运行多个Scallion实例。?葱的搜索是概率性的,因此您不会重复使用第二个设备。真正的多设备支持不是很困难,但也不会增加太多。我已经在tmux或screen中运行了多个葱实例,并取得了巨大的成功。您只要找到一个模式就可以手动中止所有作业(或编写一个shell脚本来监视输出文件,并在看到结果时将其全部杀死)。 依存关系
OpenCL和相关的驱动程序已安装和配置。请参阅您的发行版文档。OpenSSL。对于Windows,包含预构建的x86 DLL仅在Windows上,VC ++ Redistributable 2008 编译Linux
先决条件
为您的Linux发行版获取最新的Mono:http : //www.mono-project.com/download/安装通用依赖项: sudo apt-get update sudo apt-get install libssl-dev mono-develAMD /开源构建 sudo apt-get install ocl-icd-opencl-devNvidia构建 sudo apt-get install nvidia-opencl-dev nvidia-opencl-icd最后 msbuild scallion.sln Docker Linux(仅限nvidia GPU)
具有nvidia-docker容器运行时构建容器: docker build -t scallion -f Dockerfile.nvidia .运行:docker run --runtime=nvidia -ti --rm scallion -l 预期输出的屏幕截图 建立视窗
在VS Express中为Desktop 2012打开’scallion.sln’构建解决方案后,我在调试模式下进行了所有操作。 多模式散列
Scallion支持通过原始正则表达式语法查找多个模式中的一个或多个。仅支持字符类(例如[abcd])。该.字符代表任意字符。洋葱地址始终为16个字符,GPG指纹始终为40个字符。您可以通过$在比赛的末尾放置一个后缀(例如DEAD$)。最后,管道语法(例如pattern1|pattern2)可用于查找多个模式。搜索多重模式(在合理的范围内)不会显着降低速度。许多正则表达式将在GPU上产生单个模式,并且不会降低速度。
Tor出口节点是加密的Tor流量到达Internet的网关。这意味着出口节点可能被滥用来监视Tor流量(离开洋葱网络后)。
在Tor网络的设计中,应该很难确定通过网络的流量来源。但是,如果出口流量未加密且包含标识信息,则可能会滥用出口节点。
TOR项目, 因此,依赖于一个多元化和广泛出口节点。与任何技术一样,通过对信息的工作原理有基本的了解,您将获得最大的利益并确保信息安全。通过了解,您将可以更好地评估风险。大多数出口节点可能不会受到监控,并且是“安全的”。他们由相信Tor项目目标的优秀互联网公民管理。但是,当您使用Tor网络时,出口节点也会定期更改,因此即使是少数不良节点也是一个威胁。
了解技术,了解风险 活动家和人权捍卫者对Tor项目的使用可以成为避免监视的宝贵工具。但是,由于这些出口节点中的任何一个都可能在监视您的流量,因此您应该始终对风险有充分的了解,并端对端地对流量进行加密。
在最基本的级别上,除非您使用加密协议(HTTPS / SSH / TLS),否则可以监控 Tor流量。这是两个简单的示例:
使用不使用HTTPS的论坛,您的登录名,密码,会话cookie和帖子都可以被捕获。如果您使用SMTP(无TLS)发送电子邮件,则该电子邮件可能会被拦截。 要了解技术,Tor Project网站是最好的起点。
Tor出口节点的地理位置定位和映射 地图和图表每天更新 出口节点列表以csv格式从Tor项目下载。使用MaxMind GeoLite2数据库(https://maxmind.com)对IP地址执行地理定位。
从地图上可以清楚地看到欧洲境内Tor出口节点的高度集中,一旦开始放大并看到欧洲节点,就可以清楚地看到Tor节点的运行位置相当分散。
图表中的Internet服务提供商和国家/地区是Tor出口节点集中度最高的前20名。
结论 在这篇文章中,我谈到了Tor网络的一些安全威胁和好处。我鼓励任何打算使用Tor网络的人围绕操作安全性进行可靠的研究。如果您使用Tor绕过代理,则需要了解流量的风险。如果您是使用Tor来避免通过压迫性手段进行监视的激进主义者,则需要对这项技术有深入的了解。在不知道威胁的情况下,您正在使自己以及其他人处于危险之中。