出口节点

针对Tor节点的IP欺骗正在摧毁Tor网络,Tor官方称已经成功处置

Tor官方动态, 暗网动态, 暗网技术
11月6日,X用户Andrew Morris(@Andrew___Morris)发布推文称,有人正在攻击Tor,而且已经持续了几周。攻击者伪造了Tor出口和目录节点的IP地址,并在TCP/22端口上肆意发送TCP SYN数据包——这引发了托管服务提供商大量的滥用投诉,然后托管服务提供商就会临时屏蔽/禁止实际上并没有做错任何事的Tor基础设施。 Quick PSA: Someone is attacking Tor right now and has been for a few weeks. The attacker is spoofing the IPs of Tor Exit and Directory nodes, and blasting TCP SYN packets indiscriminately on 22/TCP- spurring a large amount of abuse complaints to hosting providers, which are… — Andrew Morris (@Andrew___Morris) November 6, 2024 目前,Andrew Morris建议所有主机提供商忽略“SSH 扫描”或 “22/TCP 端口扫描”并来自以下任何 IP 的滥用投诉:https://pastebin.com/idKU0agt。Andrew Morris表示这是一种巧妙的攻击,他正在与合作伙伴合作,以三角测量这些流量的真正来源,然后设法断开连接。他在推文后面提供了来自攻击者的奇怪网站:r00t[.]monster,并给出了社区报告的参考: https://gitlab.torproject.org/tpo/network-health/analysis/-/issues/85 https://archive.torproject.org/websites/lists.torproject.org/pipermail/tor-relays/2024-October/021953.html 11月8日,Tor官方在博客做出回复,称正在保卫Tor网络,号召社区共同努力,减少针对Tor的IP欺骗。 Tor官方称,10月底,Tor目录管理机构、中继运营者,甚至Tor项目系统管理团队都收到了来自其提供商的关于端口扫描的多项滥用投诉。这些投诉被追溯到一次有组织的IP欺骗攻击,攻击者欺骗非出口中继和其他Tor相关IP,以触发滥用报告,目的是破坏Tor项目和Tor网络。

Tor出口节点运营组织再次遭德国警方突击搜查

其他国家动态, 暗网动态, 独家报道
Tor 是一种匿名连接路径技术,而不是隐藏通信内容本身。当用户从自己的电脑访问所需的网页(如 google.com)时,通信路径上会添加多个中继点(节点),如其他电脑,并通过加密除出口节点(即最终访问路径)以外的所有内容来保持匿名性。 节点是通过Tor进行匿名通信的关键,由支持Tor理念的志愿者和组织运营。近日,”暗网下/AWX“获悉,其中一个运营出口节点的组织,德国的“Artikel_5_e.V”,于2024年9月8日在Tor项目论坛上报告说,它’遭到了德国警方的突袭’。 在Tor项目的官方论坛讨论组里,用户“Artikel_5_e.V”发布主题邮件称,作为运营Tor出口节点的非营利组织,他们组织注册地址的住所和办公室再次遭德国警方突袭。 该用户称,2024年8月16日,德国警方再次突击搜查了他们组织注册地址的住所和办公室。警方的第一次搜查发生在2017年。显然,如今仍有在德国执法部门工作的人认为搜查Tor出口节点运营者(非政府组织)会在某种程度上实现个人Tor用户的去匿名化,至少警方在文件中是这么说的。 与第一次一样,幸运的是,德国警方的突袭小组受过更好的教育,行为也比申请突袭的非技术人员和签字的法官要合理得多。因此,再次没有扣押任何硬件。除了一个烧毁的(中间中继)节点和一些与出口节点有关的账单文件外,该突击小组在一个半小时的搜查之后几乎空手而归。该组织打算对搜查令提出法律挑战与质疑,以确保这种情况不会再次发生。 该用户称,这又是一次在私人客厅里与武装警察共处了一个半小时,并被威胁要事实上摧毁一名非营利组织董事会成员的生计和软件业务(运走一卡车硬件),以迫使其合作。 该用户在文中表示,只要该组织还继续运行Tor的出口节点,他们就面临着更多被警方突袭的风险。因此,他个人不再愿意提供他自己的个人地址和办公空间作为该非营利组织/非政府组织的注册地址,他说他再也不愿意承担这种风险了。 “Artikel_5_e.V”呼吁于2024年9月21日召开该组织的全体成员大会。他们正在寻找新的董事会成员(接管并组织新的注册地址并继续运行Tor的出口节点)或讨论所有替代方案。这些方案包括“停止运营Tor的出口节点”,甚至采取最激烈的措施,即清算整个组织并将剩余预算分配给其他德国组织(这些组织必须符合他们的非营利章程)。 邮件在最后表示,会议时间和地点详情可以访问https://artikel5ev.de/查询,不过该网站目前无法正常访问。该组织打算主要为组织成员,以及无法亲自参加的但是感兴趣的人提供直播视频流。不过,活动/直播将仅使用德语。直播的详细信息将在活动开始前不久在网站上公布。如果有人计划亲自参加,需要提前发送电子邮件,以便选择合适的房间进行安排。 对此,网友“edm0nd”在ycombinator发帖称,他不再运行任何Tor的出口节点的部分原因是执法部门的骚扰。他曾经运行了一些出口节点,前后大约有5年时间。但是在这5年中,他的托管服务提供商(DigitalOcean)收到了3份传票,要求他提供账户信息。 根据“edm0nd”的描述,3份传票源自网络犯罪分子利用其提供的出口节点IP进行的三次犯罪行为:第一次是有人向一所大学发送炸弹威胁邮件;第二次是有人发送了一封钓鱼邮件;最后一次也是最严重的一次,一些来自卡塔尔的民族国家黑客使用他提供的出口节点IP入侵了一些其感兴趣的人的电子邮件账户,监视他们并窃取了一些信息。 “edm0nd”称,幸好Tor项目和EFF都能无偿帮助他。被指派给他的EFF律师帮忙对抗了传票,但最终还是不得不把他的账户信息交给司法部,而且还必须提供一份宣誓书,声明自己只是一名节点运营者,服务器上的任何信息都不会对他们的调查有用。因为不得不与执法部门、律师打交道,还得面对可能因为一些无聊的事情而被抄家的压力,最终导致他关闭了他运营5年的Tor出口节点。 “edm0nd”还表示,尽管他的所有出口都采用了避规的措施,并将已知的恶意IP和c2/malware信息列入黑名单,使其无法使用,但他仍然不可避免成为执法部门的一个目标。他觉得可能是执法部门意识到运营Tor出口节点的人是其可以瞄准的一大弱点,因为很多Tor出口节点运营者都是个人,没有太多资源与执法部门对抗。执法部门可以利用法律系统来吓唬运营者,迫使他们关闭。 不过,“edm0nd”希望有朝一日他能够重新开始运营Tor的出口节点,因为他觉得能以微薄之力帮助世界各地的人们是一件很有意义的事情。 在该回复下面,有许多网友进行了评论,虽然大家认为提供Tor的出口节点是一个公益行为,虽然带来了隐私和自由等理想主义,但是也让”坏人都可以使用相同的基础设施来逃避调查/起诉“,而且任何Tor的基础设施其实都是恐怖主义的工具。”暗网下/AWX“其实也认可这种说法,Tor的存在、暗网的存在一直有着两面性,就看利弊如何权衡。 Tor的中继节点很重要,组成了暗网网络,但是,出口节点最为重要,早在2021年,曾有超过27%的Tor出口节点被黑客组织控制用来监视暗网用户的活动。德国也是Tor节点的较大提供国家,在2021年,在所有6519个中继节点(relays)中,约24%在德国;在所有3634个保护节点(guard nodes)中,约25%位于德国;在所有1195个出口节点(exit nodes)中,约有23%位于德国。