See on hädakutse abi saamiseks rünnaku korral Tor Hidden Service'ile

Lucifer

Don't buy from me
Resident
Joined
Apr 19, 2022
Messages
24
Reaction score
20
Points
3
Täname teid, et võtsite aega selle lugemiseks! Me ei ole Tor-võrgustiku eksperdid, kuid tunneme end hästi.

Kui midagi siin kirjeldatust on teile arusaadav ja/või teil on kahtlus, mis toimub, on igasugune tagasiside äärmiselt teretulnud!


1. Mis toimub?

Meie teenus töötas pikka aega hästi ja stabiilselt. Järsku tekkis meie teenusel algul kergeid, siis tõsiseid jõudlusprobleeme, seejärel muutus teenus täiesti kättesaamatuks.

See ei tundu olevat "tavaline" DDoS-rünnak. Tundub, et tegemist on DoS-rünnakuga, kuid mitte nagu midagi teadaolevat, sest see näib olevat rünnak ainult Tor'i deemonile. Kõik seni proovitud vastumeetmed ei olnud edukad. Rünnakut ei ole märgata tegelike käimasolevate teenuste (http, ssh, ftp, mail jne) vastu, vaid ainult Tor-ühenduse enda vastu.

Isegi kui me tegime põhjalikku uurimistööd ja uurimist, tundub, et see sündmus on meie arusaamatus. Dokumentatsioone varasemate rünnakute kohta Tor Hidden Services'ile on harva leida ja need ei ole mõistlikud selle suhtes, mida me kogeme.

Me keeldume uskumast, et on olemas rünnakustsenaarium, mis on tundmatu ja mida ei saa tõrjuda, kuna see muudaks iga üksiku Tor-i peidetud teenuse haavatavaks, kusjuures vastased suudavad iga Tor-i peidetud teenuse soovi korral minutite jooksul määramatuks ajaks offline võtta. Mõju Tori kogukonnale oleks üle mõistuse suur.

Me loodame, et keegi, kellel on vajalik ülevaade ja teadmised, saab meile vähemalt vihjeid anda, mis täpselt toimub, ja näidata meile õiget suunda, et leida lahendus selle rünnaku lõpetamiseks või selle mõju vähendamiseks meie süsteemidele ja selliste rünnakute vältimiseks tulevikus. See aitaks kaitsta Tor Hidden Services'i kogu maailmas tulevaste rünnakute eest, nagu see, mida me praegu kogeme.


2. Milline on ülesehitus?

- Süsteem töötab praegusel ja alati ajakohastatud linuxi (amd64) serveril.
- Kogu liiklus suunatakse läbi Tori transpordi kaudu Tori transpordipordi 9040 kaudu, DNS päringud lahendatakse samuti Tori kaudu.
- Tor Hidden Service on v3
- Tor on versioon 0.4.7.8, mis töötab koos Libevent 2.1.12-stable, OpenSSL 1.1.1n, Zlib 1.2.11, Liblzma 5.2.5, Libzstd 1.4.8 ja Glibc 2.31 kui libc.
- Tor, mis on kompileeritud GCC versiooniga 10.2.1. Samuti on installeeritud Vanguards 0.3.1.
- Tor töötab systemd teenusena
- Vanguards töötab systemd teenusena

torrc konfiguratsioon:

CookieAuthentication 1
HashedControlPassword 16:<hash>
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 127.0.0.0.1:9040
DNSPort 127.0.0.0.1:53

HiddenServiceDir /var/lib/tor/hidden_service
HiddenServicePort 80 127.0.0.0.1:80
HiddenServiceVersion 3
HiddenServiceAllowUnknownPorts 0


3. Millised on sümptomid?

- Vähem kui minut pärast Tor'i käivitamist, kui Hidden Service on sisse lülitatud, jõuab protsessor 100%-ni, mälu ei tundu mõjutatud olevat.
- Kasutatud ribalaius suureneb umbes 100kb/s.
- Hidden Service deskriptor on kättesaamatu.
- Süsteem suudab endiselt lahendada clearneti ja Tori aadressid
- Süsteem saab endiselt ühenduda väljaminevate teenustega (nt curl veebilehele).
- Süsteem saab sissetulevaid tcp-pakette loopback-liidese kaudu.
- Kui Tor taaskäivitatakse, lõpeb üleujutus mõneks sekundiks ja algab siis uuesti.

- Kui Tor käivitatakse ilma Hidden Service'i sisselülitatud teenuseta, ei tundu probleemi olevat.
- Kui Tor käivitatakse koos teise aktiveeritud Varjatud teenusega, jäävad mõlemad Varjatud teenuse kirjeldajad kättesaamatuks:

Tor Browser primaarses HS-s:
Onionsite Has Disconnected
Kõige tõenäolisem põhjus on see, et onionsite on offline. Võtke ühendust onionsite administraatoriga.
Üksikasjad: 0xF2 - Sissejuhatus ebaõnnestus, mis tähendab, et kirjeldus leiti, kuid teenus ei ole enam sissejuhatuspunktiga ühendatud. Tõenäoliselt on teenus muutnud oma deskriptorit või see ei tööta.
või
Ühendus on aegunud.
Server aadressil (ründas varjatud teenuse deskriptor).onion võtab liiga kaua aega vastamiseks.
Sait võib olla ajutiselt kättesaamatu või liiga hõivatud. Proovige mõne hetke pärast uuesti.

Tor Browser on Seconday HS:
Ühendus ei õnnestu
Firefox ei saa luua ühendust serveriga aadressil (secondary hidden service descriptor).onion
Sait võib olla ajutiselt kättesaamatu või liiga hõivatud. Proovige mõne hetke pärast uuesti.

- Kui Tor käivitatakse koos teise varjatud teenuse aktiveerimisega, mis on kaitstud OnionAuthenticationiga, jääb esmane varjatud teenuse kirjeldaja kättesaamatuks,
teine (kaitstud) varjatud teenuse kirjeldus on kättesaadav.

- Kui Tor käivitatakse ainult teise varjatud teenuse aktiveerimisega (koos või ilma OnionAuthentication'iga), ei tundu probleemi olevat.

- Kui Tor käivitatakse koos esmase varjatud teenusega, mis on kaitstud OnionAuthenticationiga, on varjatud teenuse kirjeldaja kättesaadav.

- Rünnaku korral ilmuvad need kirjed Tor logifaili:

Aug 24 19:42:18.000 [notice] Bootstrapped 100% (done): Valmis
Aug 24 19:42:34.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 60000ms peale 18 timeouti ja 388 buildtime'i.
Aug 24 19:42:39.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 60000ms peale 18 timeouti ja 240 buildtime'i.
Aug 24 19:42:53.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 60000ms peale 18 timeouti ja 489 buildtime'i.
Aug 24 19:43:11.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 60000ms peale 18 timeouti ja 659 buildtime'i.
...
Aug 24 19:46:09.000 [notice] Äärmiselt suur väärtus vooluahela ehitamise aegumistähtajale: 122s. Eeldades, et kellahüpe. Eesmärk 14 (Mõõtmine circuit timeout)
Aug 24 19:46:09.000 [notice] Väga suur väärtus vooluahela loomise aegumistähtaeg: 122s. Eeldades kellahüpet. Eesmärk 14 (Mõõtmine circuit timeout)
Aug 24 19:46:09.000 [märkus] Teie võrguühenduse kiirus näib olevat muutunud. Ajakellause lähtestamine 60000ms peale 18 timeouti ja 114 buildtime'i.
Aug 24 19:46:15.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 60000ms peale 18 timeouti ja 125 buildtime'i.
...
Aug 24 19:47:08.000 [notice] Äärmiselt suur väärtus vooluahela ehitamise aegumistähtajale: 123s. Eeldades, et kellahüpe. Eesmärk 14 (Mõõtmine circuit timeout)
Aug 24 19:47:10.000 [notice] Väga suur väärtus vooluahela loomise aegumistähtajale: 122s. Eeldades kellahüpet. Eesmärk 14 (Mõõtmine circuit timeout)
Aug 24 19:47:10.000 [notice] Väga suur väärtus vooluahela loomise aegumistähtajale: 123s. Eeldades kellahüpet. Eesmärk 14 (Mõõtmine circuit timeout)
Aug 24 19:47:13.000 [notice] Väga suur väärtus vooluahela loomise aegumistähtajale: 123s. Eeldades kellahüpet. Eesmärk 14 (Mõõtmine circuit timeout)
Aug 24 19:47:14.000 [teate] Teie võrguühenduse kiirus näib olevat muutunud. Ajakellause lähtestamine 60000ms peale 18 timeouti ja 495 buildtime'i.
Aug 24 19:47:18.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 60000ms peale 18 timeouti ja 124 buildtime'i.
Aug 24 19:47:21.000 [notice] Äärmiselt suur väärtus vooluahela ehitamise timeout'ile: 122s. Eeldades, et kellahüpe. Eesmärk 14 (ahela aegumistähtaja mõõtmine)
Aug 24 19:47:23.000 [notice] Väga suur väärtus circuit build timeout: 123s. Eeldades kellahüpet. Eesmärk 14 (Mõõtmine circuit timeout)
...
Aug 24 19:47:55.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 60000ms peale 18 ajakatkestust ja 1000 buildtime'i.
Aug 24 19:47:59.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 60000ms peale 18 timeouti ja 117 buildtime'i.
...
Aug 24 19:52:43.000 [notice] Ringi ülesehitusaja veider väärtus: 121581msec. Eeldades, et kellahüpe. Eesmärk 14 (ahela aegumistähtaja mõõtmine)
Aug 24 19:52:43.000 [notice] Teie võrguühenduse kiirus näib olevat muutunud. Ajakatkestuse lähtestamine 120000ms peale 18 ajakatkestust ja 57 buildtime'i.
Aug 24 19:52:53.000 [notice] Interrupt: puhtast väljumine.


4. Mida prooviti probleemi lahendamiseks?

- Me seadistasime täiesti uue serveri nullist, kus jooksevad ainult põhilised operatsioonisüsteemid ning tor ja avangardid standardkonfiguratsioonis, et välistada meie mõjutatud serveril vale konfiguratsiooni võimalus. Niipea, kui tor käivitati rünnatud deskriptoriga, toimuvad täpselt samad asjad.

- Proovisime selles seadistuses jagada meie serveri koormust OnionBalance'i kaudu:

Server1: Onionbalance'i käivitamine esmase peidetud teenuse kirjelduse jaoks.
Server2/3/4: Käivitab Hidden Service'i uute ja erinevate Hidden Service Descriptor'ide peal.

- See ei ärata algset Hidden Service Descriptor'i uuesti ellu.
- Serverite 2/3/4 teenusekirjeldajad on kättesaadavad, kui need avatakse otse, kuid mitte nüüd tasakaalustatud esmase kirjeldaja kaudu.
- Serverite 2/3/4 protsessor läheb 100% peale, kuni rünnak toimub, samal ajal kui server 1 (tasakaalustaja) protsessor jääb normaalseks.
- Ka rohkemate backend-serverite lisamine tasakaalustajale ei muutnud midagi.

- Lisasime need direktiivid torrc-i peidetud teenuseplokki ja proovisime erinevaid seadistusi neile:

HiddenServiceEnableIntroDoSDefense 1
HiddenServiceEnableIntroDoSBurstPerSec <testitud erinevate väärtustega>
HiddenServiceEnableIntroDoSRatePerSec <testitud erinevate väärtustega>

See vähendas oluliselt CPU koormust serverites 2/3/4, kuid tasakaalustatud teenuse kirjeldaja jääb kättesaamatuks.

- Proovisime muuta erinevaid sätteid vanguards.conf'is, kuid edutult.

- Proovisime tuvastada ründavad tcp-paketid ja lasta neid iptablesi kaudu blokeerida, kuid edutult.
Meie teadmised ei ole piisavad, et teha ideid, mis täpselt toimub, inspekteerides nimetatud tcp-pakettide sisu, mis näeb välja selline:

19:45:27.839934 IP (tos 0x0, ttl 64, id 35746, offset 0, flags [DF], proto TCP (6), length 4100).
127.0.0.0.1.9051 > 127.0.0.0.1.46712: Flags [P.], cksum 0x0df9 (vale -> 0xe713), seq 1543428574:1543432622, ack 1711981309, win 512, options [nop,nop,TS val 2971851406 ecr 2971851369], length 4048.
E.....@[email protected]........#[.x[...f
.............
."...".i650 CIRC 9802 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC 9802 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324
650 CIRC_MINOR 9802 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7B46F20449D6F25150E189428B62E1E3BA5848A9~galtlandeu,$BF93594384A02DE7689C4FD821E2638DA2CD4792~labaliseridicule BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.060324 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9818 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC 9818 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699
650 CIRC_MINOR 9818 PURPOSE_CHANGED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$CED577F091DCB15AD8C87FBD452A51EA9E60BFC2~strayWires,$CC8B218ED3615827A5DCF008FC62598DEF533B4F~mikrogravitation02,$7A319C431F38CB30A0BC0C49144369A611920725~BahnhufPowah2,$8587A1B4CCD0700F164CCD588F79743C74FE8700~mev4PLicebeer16b BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_JOINED REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:22.493699 OLD_PURPOSE=HS_SERVICE_REND OLD_HS_STATE=HSSR_CONNECTING
650 CIRC 9997 EXTENDED $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:25.100429
650 CIRC 9997 BUILT $2BCA0A8B5759DBD764BF9FA5D1B3AEE9D74D2B68~Waeswynn,$8D896C8B367813030591A00DB7E7722EF6C4C23C~Luxembourg,$FF353F5D011E69ECDA10A57B46D06BC7B3FEB196~fuego,$347253D1D5246CB1C4CF8088C6982FE77CF7AB9C~ph3x,$E84F41FA1D1FA303FD7A99A35E50ACEF4269868C~Quetzalcoatl BUILD_FLAGS=IS_INTERNAL,NEED_CAPACITY PURPOSE=HS_SERVICE_REND HS_STATE=HSSR_CONNECTING REND_QUERY=|---------(attacked hidden service descriptor)---------| TIME_CREATED=2022-08-24T19:45:25.10

See on koos Toriga, mis töötab ühes serveris. Tasakaalustamisel asendatakse |---------(attacked hidden service descriptor)---------| serveri 2/3/4 backends service descriptoriga.

Vajadusel saame teha suurema tcpdump'i snippleti kättesaadavaks.


5. Järeldused

Me arvame, et vastane on võimeline "katkestama" peidetud teenuse deskriptori (ja seega ka peidetud teenuse enda), üle ujutades Tori deemonit loendamatute tcp-pakettidega, taotledes ahelate ehitamist. See on see, mis põhjustab protsessori koormust ja muudab lõpuks Hidden Service Descriptori kasutuskõlbmatuks.

Kas keegi oskab seda kinnitada?

Kuna sellised direktiivid nagu nimetatud HiddenServiceEnableIntroDoSDefense, HiddenServiceEnableIntroDoSBurstPerSec ja HiddenServiceEnableIntroDoSRatePerSec näivad olevat mõeldud kaitseks sedalaadi rünnakute vastu, nagu ka avangardid peaksid, ei saa seletada, miks need jäävad ebaefektiivseks. Võib-olla on nende väärtuste tõhusaks muutmiseks vaja mingeid väga spetsiifilisi seadistusi. Kahjuks on neid direktiive (nagu ka vanguards.config'i seadeid) kirjeldatud vaid ebamääraselt.

Kas keegi teab, kuidas need peavad olema õigesti seadistatud, et need oleksid efektiivsed?

Praegusel hetkel me ekshaused kõik viited tor ja vanguards konfiguratsiooni me leidsime Internetis.

Jällegi, igasugune abi või teave selles küsimuses oleks väga teretulnud! Me ei usu, et sellele ei ole lahendust.
 
Last edited:

KokosDreams

Don't buy from me
Resident
Joined
Aug 16, 2022
Messages
912
Solutions
2
Reaction score
600
Points
93
Kas olete selle ka cryptbbi postitanud? Ma tõesti soovitaksin seda, kuna see foorum on enamasti keskendunud keemilistele teemadele
 

Oppenheimer

Don't buy from me
New Member
Joined
Aug 31, 2022
Messages
11
Reaction score
6
Points
3
Kas teil on projekti varasem versioon, mille saate taastada?

Loon alati kujutised igast VPSist, mida ma projektide jaoks kasutan, et saaksin nende juurde tagasi pöörduda ja tõrkeid kõrvaldada.

Ma usun, et midagi, mis on teie süsteemis kasutusel, on rikutud ja põhjustab protsessori drosseldamist. Ma uuriksin kõiki teie kasutatavaid kohandatud skripte.
 
Top