[论文精读]TorWard: Discovery, Blocking, and Traceback of Malicious Traffic Over Tor

期刊名称：IEEE Transactions on Information Forensics and Security

发布链接：TorWard: Discovery, Blocking, and Traceback of Malicious Traffic Over Tor | IEEE Journals & Magazine | IEEE Xplore

中文译名：TorWard：发现,阻止和追踪 Tor 上的恶意流量

阅读原因：计网、网安、方班

论文主要探讨了在Tor网络上发现、阻止和追踪恶意流量的方法和技术。下面是内容分析：

1.前置知识：

网络基础知识：

• TCP/IP协议栈：了解传输控制协议（TCP）和互联网协议（IP）的基本工作原理。
• 路由器和网关：理解网络中路由器和网关的作用及其在数据包转发过程中的角色。
• NAT（网络地址转换）：掌握NAT的基本原理及其在网络中的应用。

网络安全与隐私保护：

• 匿名通信系统：了解匿名通信系统的基本原理，如Tor、I2P等。
• 加密技术：熟悉对称加密和非对称加密技术，以及其在保护数据隐私中的应用。
• 入侵检测系统（IDS）：了解IDS的基本概念及其在网络安全防护中的作用。

Tor网络的工作原理：

• 洋葱路由（Onion Routing）：掌握Tor网络的核心原理，即通过多层加密和多节点跳转实现用户匿名。
• Tor组件：了解Tor客户端、Tor路由器、目录服务器和应用服务器的功能和作用。
• Tor控制协议：理解Tor控制协议如何用于配置和管理Tor网络中的节点。

恶意流量分析与追踪：

• 僵尸网络：了解僵尸网络的结构和工作机制，特别是命令和控制服务器的作用。
• 垃圾邮件和拒绝服务攻击（DoS）：理解这些常见网络攻击的原理和方法。
• 双音多频信令（DTMF）：掌握DTMF信号的基本概念及其在通信中的应用。

2. 研究背景和问题：

背景

Tor 网络的基本体系结构：

它由四个组件组成:Tor 客户端、Tor 路由器、目录服务器和应用服务器。一般来说,Tor 客户端安装 Tor 代理(OP), 它是 Tor 网络和客户端之间的接口。Tor 路由器(OR)构成核心 Tor 网络,并在 Tor 客户端和应用服务器之间中继流量。目录服务器保存所有公共 Tor 路由器的信息。应用服务器承载 TCP 应用服务,例如 web。Tor 还提供了隐藏服务来隐藏服务器的位置。

常见的集中式僵尸网络 C&C 的架构

由三个组件组成:

(i) Bot master,它依赖 C&C 通道向其机器人发出命令,并通过 C&C 服务器从受感染的主机接收信息;

(ii) C&C 服务器,它代表 botmaster 将命令中继给机器人,从机器人收集信息或将结果转发给 botmaster;

(iii) Bot,它们是带有机器人软件的受感染计算机,并从 C&C 服务器接收控制命令以实际实施攻击。

问题

1. Tor网络的滥用问题：

• 恶意活动：Tor网络被广泛用于匿名通信，但也被滥用于非法活动，如僵尸网络、垃圾邮件发送、拒绝服务攻击和恶意软件传播。
• 法律和行政投诉：Tor出口路由器管理员经常面临法律和行政投诉，这使得在敏感环境中监控和分析恶意流量变得复杂。

2. 系统性研究的不足：

• 现有解决方案的局限性：目前对Tor上恶意流量的系统性研究依然不足，特别是在安全分析和流量追踪方面的有效解决方案尚未完善。
• 手动配置的困难：Tor上恶意流量的多样性和复杂性导致了难以手动配置路由器的策略来阻止潜在的恶意流量。

3. 敏感环境中的监控与分析：

• 避免法律问题：如何在不触发法律和行政投诉的情况下，在敏感环境中（如大学校园网络）监控和分析恶意流量。
• 动态管理工具：通过开发自动管理工具来动态添加和删除防火墙规则，实现有效的流量控制和管理。

4. 恶意流量的发现与阻断：

• IDS的应用：通过部署入侵检测系统（IDS）来检查Tor出口路由器上的流量，并利用自动管理工具动态地中断恶意流量。
• 透明代理与重定向：将出口路由器的出站Tor流量重定向到透明代理，形成一个两跳电路，再将流量传递到Tor网络中，以吸引更多的Tor客户端选择该路由器。

5. 恶意流量的追踪：

• 双音多频信令（DTMF）方法：使用基于DTMF的方法来追踪僵尸网络流量，评估检测率和误报率，验证了该方法在嵌入信号情况下的有效性。
• 实验验证：通过广泛的理论分析和实际实验相结合，验证了TorWard系统的有效性和可行性。

6. 本文贡献

设计并实现了TorWard，他在Tor出口路由上集成了一个入侵检测系统IDS，用于Tor恶意流量的发现、分类和相应。本文的TorWard可以发现和分类Tor中的恶意流量，还可以阻止和跟踪恶意流量

3. 技术框架：

• Tor的组成: Tor由四个组件组成：Tor客户端、Tor路由器、目录服务器和应用服务器。
• 系统架构: 本文设计了一个包含防火墙、入侵检测系统（IDS）、透明代理和Tor出口路由器的技术框架。通过一台带有两个网络接口的计算机作为连接到校园专用网络的网关，另一台计算机作为Tor出口路由器连接到网关。
• 端口转发和自动管理工具: 使用防火墙实现出口路由器与公网之间的端口转发，并开发了自动管理工具来动态添加和删除防火墙规则。
• 透明代理和流量重定向: 将出口路由器的出站Tor流量重定向到透明代理，并将出口路由器设置为接受所有流量，提供高带宽以吸引更多的Tor客户端选择该路由器。透明代理在网关上运行，接收并重定向出站Tor流量，形成一个两跳电路，再将流量传递到Tor网络中。

4. 实验设计与结果分析：

• 实验验证: 通过实验和实际数据分析验证了TorWard系统的有效性。
• 流量统计: 使用一个或多个Tor出口路由器可以获得可靠的Tor流量统计数据。
• 恶意流量分析: 通过分析不同类型的恶意流量，揭示了僵尸网络主机和命令控制服务器利用Tor隐藏其通信的可能性。
• 双音多频信令（DTMF）方法: 为追踪僵尸网络流量，研究使用了基于DTMF的方法，评估了检测率和误报率。实验表明，在嵌入信号的情况下，可以成功提取特征频率追踪恶意流量，误报率较低，验证了该追溯方法的有效性。

5. 结论与展望：

• TorWard系统的贡献: TorWard系统用于发现、分类和响应Tor恶意流量，特别是通过IDS检查Tor出口路由器上的流量，并通过将流量重定向到Tor来避免管理和法律问题。
• 动态中断恶意流量: 为了阻止出口路由器上的恶意流量，部署了IDS来将警报转发给TorWard的哨兵代理，该代理可以通过Tor控制协议动态地中断恶意流量。
• DTMF信令方法的应用: 设计了一种有效的双音多频(DTMF)基于信令的方法来跟踪跨Tor的恶意流量。作为一个具有重要实际意义的例子，成功地通过Tor跟踪了僵尸网络流量。
• 理论与实验的结合: 通过广泛的理论分析和实际实验相结合，验证了TorWard的有效性和可行性。