户端想访问的原始Web服务器进行Http页面请求,并在接收到返回的Html页面文件数据包后进行脚本注入,且将修改后的Html页面文件回传给出口节点;所述脚本包括一个隐形的、指向Web溯源服务器的iframe结构及一个标识cookie。
[0015]也就是说,透明代理利用原始web服务器作为中间节点,在返回的文件数据中进行脚本注入来进行攻击。
[0016]下面对上述系统的的溯源方法进行说明。
[0017]步骤一:溯源者在其所控制的Tor网络节点上设置透明代理模块,并设置好Web溯源服务器。
[00?8]出口节点受溯源者控制,可以修改http数据包中的内容:插入一个隐形的iframe结构指向溯源者架设的溯源web服务器以及一个标识cookie。
[0019]步骤二:Tor网络用户端连接到Tor服务器。
[0020]于国内网络环境因素,国内匿名网络用户Alice需使用海外代理服务器进行翻墙才能正常访问Tor网络。翻墙后,使用Tor匿名网络协议连接Tor服务器。当然,并不限制一定用匿名网络协议。
[0021]步骤三:Tor网络用户端选择溯源者所控制的Tor网络节点作为Tor通道的出口节点。
[0022]匿名访问链最后在出口节点结束。该出口节点的IP地址即是国内用户的匿名IP地址。采用中间人攻击的思路,在实际网络中需要确保Tor网络用户端选择溯源者构建的出口节点,以便于进行脚本注入,这是本发明的前提。优选的,可以通过干扰Tor网络的路由(Tor路由算法会选取较长在线时间和较高带宽的Tor节点),使其出口节点以大概率选取溯源者构建的节点。
[0023]步骤四:出口节点接收到来自Tor用户的Http请求。
[0024]步骤五:出口节点将Http请求转发到透明代理模块。
[0025]步骤六:透明代理模块向Tor网络用户想访问的原始Web服务器进行Http页面请求。
[0026]步骤七:透明代理模块接收到返回的Html页面文件数据包,进行脚本注入,所述脚本包括一个隐形的、指向Web溯源服务器的iframe结构及一个标识cookie。
[0027]步骤八:透明代理模块将修改后的Html页面文件数据包回传给出口节点。
[0028]步骤四至八的过程在图1中得到了展示。出口节点0R3在OR port处接收到来自Tor用户的Http请求,采用防火墙策略将OR port流量转发到Http透明代理。透明代理进行正常Http页面请求,并将修改后的Html页面文件回传给0R3,并最终传送到Tor用户。
[0029]步骤九:Html页面文件数据包原路传送到Tor网络用户端。
[0030]步骤十:Tor网络用户端的浏览器解析执行Html页面脚本,Tor网络用户端链接到在Web溯源服务器,在Tor网络用户端与Web溯源服务器之间建立起一个直接通道。
[0031]Tor网络用户端接受到受过篡改的网页,浏览器解析执行Html页面脚本。假设Tor网络用户端使用的未禁止Flash运行的浏览器运行了溯源者篡改过的网页,那么Tor网络用户端就会在毫不知情的情况下,链接并下载在恶意web服务器上的Shockwave FlashMovie,同时该恶意Flash应用将发送标识cookie,用来记录该用户端是Tor匿名网络使用者。
[0032]由于Flash不支持Tor匿名网络协议和其他代理,目标客户端请求的Flash就是一个绕过Tor匿名网络的直接连接。该连接直接指向溯源者架设的Web溯源服务器。
[0033]步骤十一:溯源者根据Tor网络用户端对Web溯源服务器链接请求获取其实际IP地址。
[0034]本发明的有益效果为:
a)使用中间人攻击的思路,通过脚本注入,在匿名用户与溯源服务器之间构建独立于Tor网络的溯源通道,直接获取匿名用户地址、系统等信息,溯源准确率高。
[0035]b)基于web注入的Tor溯源技术无需对Tor网络本身进行改造,也无需对Tor网络协议及算法进行逆向等操作,实用性强,具有强的可操作性。
【主权项】
1.基于web注入的Tor网络溯源系统,其特征在于,包括Tor通道、原始Web服务器、Web溯源服务器,所述Tor通道由入口节点、中间节点、出口节点组成,其特征在于,出口节点设置有透明代理模块,所述透明代理模块用于访问向Tor网络用户端想访问的原始Web服务器进行Http页面请求,并在接收到返回的Html页面文件数据包后进行脚本注入,且将修改后的Html页面文件回传给出口节点;所述脚本包括一个隐形的、直接指向Web溯源服务器的iframe结构及一个标识cookie。2.基于web注入的Tor网络溯源方法,其特征在于,包括如下步骤: 步骤一:溯源者在其所控制的Tor网络节点上设置透明代理模块,并设置好Web溯源服务器; 步骤二: Tor网络用户端连接到Tor服务器; 步骤三:Tor网络用户端选择溯源者所控制的Tor网络节点作为Tor通道的出口节点; 步骤四:出口节点在接收到来自Tor用户的Http请求; 步骤五:出口节点将Http请求转发到透明代理模块; 步骤六:透明代理模块向Tor网络用户想访问的原始Web服务器进行Http页面请求; 步骤七:透明代理模块接收到返回的Html页面文件数据包,进行脚本注入,所述脚本包括一个隐形的、直接指向Web溯源服务器的iframe结构及一个标识cookie; 步骤八:透明代理模块将修改后的Html页面文件数据包回传给出口节点; 步骤九:Html页面文件数据包原路传送到Tor网络用户端; 步骤十:Tor网络用户端的浏览器解析执行Html页面脚本,Tor网络用户端链接到Web溯源服务器,在Tor网络用户端与Web溯源服务器之间建立起一个直接通道; 步骤十一:溯源者根据Tor网络用户端对Web溯源服务器链接请求获取其实际IP地址。3.如权利要求2所述的基于web注入的Tor网络溯源方法,其特征在于,在步骤十中,Tor网络用户端链接并下载在Web溯源服务器的Shockwave Flash Movie,同时该ShockwaveFlash Movie将发送标识cookie,用来记录Tor网络用户端。4.如权利要求2所述的基于web注入的Tor网络溯源方法,其特征在于,在步骤五中,出口节点采用防火墙策略将OR port流量转发到Http透明代理。
【专利摘要】本发明提供了一种基于web注入的Tor网络溯源系统、溯源方法。所述系统包括Tor通道、原始Web服务器、Web溯源服务器,所述Tor通道由入口节点、中间节点、出口节点组成,出口节点设置有透明代理模块,所述透明代理模块用于访问向Tor网络用户端想访问的原始Web服务器进行Http页面请求,并在接收到返回的Html页面文件数据包后进行脚本注入,且将修改后的Html页面文件回传给出口节点。本发明使用中间人攻击的思路,通过脚本注入,在匿名用户与溯源服务器之间构建独立于Tor网络的溯源通道,直接获取匿名用户地址、系统等信息,溯源准确率高。
【IPC分类】H04L29/08, H04L29/06
【公开号】CN105471883
【申请号】CN201510905370
【发明人】陈周国, 赵越, 卓中流, 陈瑞东
【申请人】中国电子科技集团公司第三十研究所
【公开日】2016年4月6日
【申请日】2015年12月10日