Анонимные сети

Материал из Seo Wiki - Поисковая Оптимизация и Программирование

Перейти к: навигация, поиск

Анонимные сети — компьютерные сети, созданные для достижения анонимности в Интернете и работающие поверх глобальной сети. Специфика таких сетей заключается в том, что разработчики вынуждены идти на компромисс между степенью защиты и лёгкостью использования системы, её «прозрачностью» для конечного пользователя. Также важен аспект сохранения анонимности и конфиденциальности при условии воздействия методов социальной инженерии или какого-либо давления на оператора сервера. Многоуровневое шифрование и распределённый характер анонимных сетей, устраняя единую точку отказа и единый вектор атак, позволяют сделать перехват трафика или даже взлом части узлов сети не фатальным событием. За анонимность пользователь расплачивается увеличением времени отклика, снижением скорости, а также большими объёмами сетевого трафика.

Первой относительно успешной анонимной сетью был коммерческий сервис Freedom, функционировавший с 1998 до 2001 года. Компанией ZKS были установлены выделенные серверы, с которыми клиенты соединялись посредством криптографического протокола. Узел, на который приходили пакеты от пользователя Freedom, не мог идентифицировать настоящего отправителя. Сама сеть функционировала на уровне протокола IP. В это же время начали активно развиваться другие проекты.

Содержание

Децентрализованные анонимные сети

В децентрализованной сети любая машина может установить соединение с другой, а также послать ей запрос на предоставление ресурсов. Каждая машина обрабатывает запросы от других в качестве сервера, отсылая и принимая запросы, а также выполняя другие вспомогательные и административные функции. Любой участник такой сети не обязан гарантировать постоянного соединения и может разорвать его в любой момент времени. Но при достижении определённого размера сети в ней одновременно начинают существовать множество серверов с одинаковыми функциями.

ANts P2P

Основная статья: :en:Ants P2P

ANts P2P[1] — файлообменная сеть, анонимизирующая весь поток данных, используя систему маршрутизации, в которой, в отличие от BitTorrent, участники обмениваются трафиком не напрямую, а через несколько узлов. Каждому участнику известен только IP-адрес его непосредственного соседа. Таким образом, отправитель не знает, куда идет его файл, а получатель не знает, откуда он пришел. Для большей безопасности данные между отдельными отправителями и получателями шифруются по симметричному алгоритму AES.

BitBlinder

Основная статья: :en:BitBlinder

BitBlinder[2] — технология, которая помогает загружать данные из файлообменных сетей полностью анонимно и без дополнительных расходов. С ее помощью все запросы и данные передаются в зашифрованном виде через цепочку посредников, которые ничего не знают об источнике и содержании запроса, обеспечивая полную защиту приватности и IP-адреса клиентов. Фактически, модуль BitBlindeer выступает в роли личного торрент-трекера для анонимных данных, в котором каждый из желающих добиться защищенности должен анонимизировать определенный объем данных для других участников сети. Для защиты IP-адреса каждый запрос пользователя BitBlinder передает через несколько промежуточных узлов, прежде чем достигнет нужного адреса. Каждый промежуточный узел при этом получает только адрес следующего узла в цепочке, но не адрес источника запроса, причем отследить потоки данных очень трудно для любого участника сети. Технология BitBlinder подходит не только для торрент-сетей, но и для обычного просмотра веб-страниц. Например, с ее помощью можно скрывать историю просмотренных страниц от внешних наблюдателей, а также выходить на нужные сайты через фильтры корпоративных сетей.

В дальнейшем разработчики планируют сделать технологию BitBlinder кроссплатформенной. Для включения в сеть анонимизации необходима регистрация.[3]

Filetopia

Основная статья: :en:Filetopia

Filetopia[4] — многофункциональная файлообменая программа, главной особенностью которой является высокий уровень приватности и безопасности. Поддерживается зашифрованный чат, полноценный интернет-пейджер, работа с форумом. Благодаря технологии MS Agent при установке соответствующего голосового движка возможно голосовое воспроизведение получаемых сообщений. С целью повышения степени защищенности Filetopia скрывает IP-адрес пользователя, защищая его тем самым от возможных хакерских атак. В качестве алгоритма создания открытого ключа используются эллиптические кривые, а сообщения и файлы шифруются одним из десяти самостоятельно выбираемых пользователем алгоритмов.[5]

Freenet

Основная статья: Freenet

Freenet[6] — это децентрализованная и полностью анонимная одноранговая сеть, работающая поверх интернета, включающая большое количество равноправных компьютеров и позволяет публиковать любые материалы без возможности выйти на автора. Конфиденциальность данных гарантируется строгой криптографией: чтобы получить файл, в запросе требуется сообщить ассоциированный с ним ключ. Роль такого ключа выполняет хэш-код файла или DSA-ключ, что образует также механизм проверки целостности. В настоящее время Freenet начинает использовать принцип сетей Onion Routing.

GNUnet

Основная статья: GNUnet

GNUnet[7] — это программный пакет для безопасного P2P-соединения, не нуждающийся в серверах. Сервис реализованный поверх сетевого уровня позволяет обмениваться файлами анонимно и без какой-либо сетевой цензуры. Анонимность обеспечивается за счет того, что исходящие от узла сети сообщения неотличимы от чужих сообщений, в передаче которых участвует узел. Все узлы действуют как маршрутизаторы, соединения между которыми шифруются, а уровень использования пропускной способности канала поддерживается постоянным. GNUnet использует простую, основаную на избытках экономическую модель для выделения ресурсов: узлы, которые больше дают сети, награждаются лучшим обслуживанием. Проект GNUnet возник в 2001 году и был вдохновлён целым рядом технических идей, призванных обеспечить безопасный файлообмен в пиринговых сетях. Основные технические вопросы работы GNUnet подробно описаны в ряде научных публикаций.[8] Среди них — улучшенное кодирование содержимого ECRS и новый анонимный протокол маршрутизации gap. Их особенности позволяют поощрять в GNUnet активных участников. В периоды высокой загрузки сети приоритет получают те участники, которые сделали больший вклад в прошлом. Кроме того, GNUnet расширяема и позволяет легко создавать новые приложения peer-to-peer на её основе или использовать альтернативные сетевые транспорты для передачи данных.[9]

Gnutella

Основная статья: Gnutella

Gnutella[10] — первая полностью децентрализованная файлообменная сеть, разработанная в 1999 году. При подключении клиент получает от узла, с которым ему удалось соединиться, список из пяти активных узлов, которым отсылается запрос на поиск ресурса по ключевому слову. Узлы ищут у себя соответствующие запросу ресурсы и, если не находят их, пересылают запрос активным узлам вверх по «дереву», пока не найдется ресурс или не будет превышено максимальное число шагов. Такой поиск называется размножением запросов (query flooding). Однако, подобная реализация ведет к экспоненциальному росту числа запросов и на верхних уровнях «дерева» может привести к отказу в обслуживании, что неоднократно наблюдалось на практике. Поэтому разработчики усовершенствовали алгоритм и ввели правила, в соответствии с которыми запросы могут пересылать вверх по «дереву» только выделенные (ultrapeers), а остальные (leaves) могут лишь делать запросы. Также была введена система кэширующих узлов. Запросы в сети Gnutella пересылаются по TCP или UDP, а копирование файлов осуществляется через протокол HTTP. В последнее время появились расширения для клиентских программ, позволяющие копировать файлы по UDP и делать XML-запросы метаинформации о файлах. Недостатки протокола Gnutella инициировали разработку принципиально новых алгоритмов поиска маршрутов и ресурсов, что привело к созданию группы протоколов DHT и, в частности, Kademlia, который широко используется в наиболее крупных сетях.[11]

Gnutella2

Основная статья: Gnutella2

Gnutella2[12] — созданный в 2003 г. принципиально новый протокол и первые его клиенты, обладающие обратной совместимостью с клиентами Gnutella. В соответствии с ним часть узлов становятся концентраторами, остальные — обычными узлами (leaves). Каждый обычный узел имеет соединение с одним-двумя концентраторами, которые связаны с сотнями обычных узлов и десятками других концентраторов. Каждый узел периодически пересылает концентратору список идентификаторов ключевых слов, по которым можно найти публикуемые данным узлом ресурсы. Идентификаторы сохраняются в общей таблице на концентраторе. Когда узлу нужно найти ресурс, он посылает запрос по ключевому слову своему концентратору, который либо находит ресурс в своей таблице и возвращает id узла, обладающего ресурсом, либо возвращает список других концентраторов, которые узел вновь запрашивает по очереди случайным образом. Такой поиск называется поиском с помощью метода блужданий (random walk). Примечательной особенностью сети Gnutella2 является возможность размножения информации о файле в сети без копирования самого файла, что очень полезно с точки зрения отслеживания вирусов. Для передаваемых пакетов в сети разработан собственный формат, гибко реализующий возможность наращивания функциональности сети путем добавления дополнительной служебной информации. Запросы и списки id ключевых слов пересылаются на концентраторы по UDP.[13]

I2P (Invisible Internet Project)

Основная статья: I2P

I2P[14] — это анонимная, самоорганизующаяся распределенная сеть Network database, которая использует модифицированный DHT Kademlia, но отличается тем, что хранит в себе хешированные адреса узлов сети, зашифрованные AES IP-адреса, а так же публичные ключи шифрования, причем соединения по Network database тоже зашифрованны, сеть предоставляет приложениям простой транспортный механизм для анонимной и защищенной пересылки сообщений друг другу. Хотя сеть I2P строго ориентирована на определение пути передачи пакетов, благодаря библиотеке Streaming lib реализована также и их доставка в первоначально заданной последовательности без ошибок, потерь и дублирования, что даёт возможность использовать в сети I2P IP-телефонию, Интернет радио, IP-телевидение, Видеоконференции и другие потоковые протоколы и сервисы. Внутри сети I2P работает собственный каталог сайтов,[15] электронные библиотеки,[16][17] а также торрент-трекеры.[18][19] Кроме того, существуют гейты для доступа в сеть I2P непосредственно из Интернета[20][21][22] созданные специально для пользователей, которые по разным причинам не могут установить на компьютер программное обеспечение «Проекта Невидимый Интернет». Названия сайтов в сети I2P имеют вид "http://название_сайта.i2p".

Manolito

Основная статья: MP2P

Manolito[23] — это система распределения файлов, которая использует пиринговую сеть с новым приватным протоколом MP2P, который работает без центрального сервера. Особенностью протокола является использование UDP вместо TCP, что по заявлению производителя, гарантирует анонимность. Manolito не собирает данные о пользователях, поисках или файлах. Поддерживается децентрализированный список друзей, интегрированный чат, работа с файлами и брандмауэром.

MUTE

Основная статья: MUTE (сеть)

MUTE[24] — это файлообменная система с децентрализованным поиском и загрузкой. Для маршрутизации всех сообщений, включая передачу файлов через сеть смежных соединений, MUTE использует алгоритмы, заимствованные из поведения муравьев.

Networked Electronic Technician Skilled in Ultimate Killing, Utility and Kamikaze Uplinking

Основная статья: Netsukuku

Netsukuku[25] — японский проект по созданию глобальной распределенной сети, которая будет существовать параллельно интернету без централизации, корневых серверов и контроля со стороны провайдеров. Вместо DNS в сети Netsukuku используется доменная система ANDNA (Abnormal Netsukuku Domain Name Anarchy), в которой каждый узел представляет собой самостоятельный маршрутизатор трафика, работающий под GNU/Linux. Этот протокол очень экономно потребляет ресурсы, поэтому каждом узле для поддержки коммуникации требуется максимум 355 КБ оперативной памяти и минимальная вычислительная мощность, которой хватит даже у современных мобильных телефонов. Новый метаалгоритм QSPN (Quantum Shortest Path Netsukuku) с использованием фракталов позволяет уместить карту всей сети в файл размером менее 2 КБ. Разработан также специальный протокол Npv7_HT для динамической маршрутизации внутри сети с неограниченным количеством узлов. Netsukuku представляет собой реальную физическую сеть, которая будет существовать с Интернетом параллельно, а не в виде надстройки. Узлы в в ней будут осуществлять соединение друг с другом в обход прямых каналов.[26][27]

Nodezilla

Основная статья: :en:Nodezilla

Nodezilla[28] — распределенная и отказоустойчивая система маршрутизации (см. GRID), поддерживающая анонимный файлообмен, чат, передачу потокового видео и хранение данных. Благодаря функции кэширования с равноправными серверами, каждый из участников может создать локальную копию имеющихся данных. Подобная модель обеспечивают быстрый доступ и надежность, а также уменьшает заторы на участках сети. Для защиты данных используются криптоалгоритмы с избыточным кодированием.

RShare

Основная статья: RShare

RShare[29] — анонимная P2P-файлообменная сеть третьего поколения с открытым исходным кодом.

Основная статья: StealthNet

StealthNet[30] — альтернативный клиент RShare с расширенными возможностями. Отличается от аналогов удобством и простотой в использовании, а также рядом таких дополнительных функций, как докачка, Фильтр поиска (SearchFilter) по расширению имени файла и многоязычность.[31]

SKad (OpenKAD)

Основная статья: Perfect Dark

Perfect Dark[32] — клиент для анонимной файлообменной сети SKad (OpenKAD) — модификации протокола Kademlia — разработанный в Японии для замены предшествующих Winny(англ.) и Share(англ.). По своей структуре схож с Freenet, но использует DHT с большим распределением. Данные хранятся в виде зашифрованных блоков и передаются отдельно от ключей. Для шифрования используются алгоритмы RSA и AES, причем ключи кэшируются для ускорения файлообмена. Для цифровой подписи файлов используется ECDSA.

Turtle

Основная статья: Turtle F2F

Turtle[33] — проект свободной анонимной пиринговой сети, разрабатываемый в Амстердаме. Turtle не позволяет неизвестным узлам подключаться к сети и обмениваться информацией. Вместо этого узел устанавливает ограниченное количество безопасных соединений с другими узлами, которые находятся под управлением доверенных пользователей. Запросы и результаты поиска последовательно передаются от узла к узлу и только в зашифрованном виде. Благодаря такой архитектуре, атакующие не могут определить, какой именно информацией обмениваются участники сети и кто является ее источником.[34] Анонимность этой сети подтверждается исследованиями Applied Public Key Infrastructure: 4th International Workshop: Iwap 2005(англ.) и 11th International Conference on Parallel and Distributed Systems (ICPADS’05)(англ.).

WASTE

Основная статья: WASTE

WASTE[35] — файлообменная программа для использования внутри доверенных групп пользователей. Включает в себя IM, чат и базу данных участников в онлайне. Поддерживает раздачу файлов как на отдельных компьютерах с поддержкой аутентификации, так и во всей сети. Все соединения внутри сети зашифрованы алгоритмом RSA, обеспечивающим свободный и безопасный файлообмен без риска прослушивания.

Гибридные анонимные сети

В гибридных сетях существуют серверы, используемые для координации работы, поиска или предоставления информации о существующих машинах сети и их статусе. Гибридные сети сочетают скорость централизованных сетей и надёжность децентрализованных благодаря схемам с независимыми серверами индексации, синхронизирующими данные между собой. При выходе из строя одного или нескольких серверов, сеть продолжает функционировать.

Psiphon

Основная статья: :en:Psiphon

Psiphon[36] — «Проект программного обеспечения для защиты прав человека», разработанный в лаборатории Citizen Lab(англ.) университета Торонто при Центре международных исследований Мунка, входящей в OpenNet Initiative(англ.). Система представляет собой часть проекта CiviSec Project(англ.) той же лаборатории и финансируется фондом «Открытое общество». Его цель — обеспечить граждан разных стран доступом к интернет-ресурсам, заблокированным сетевой цензурой. В сети Psiphon жители стран со свободным Интернетом предоставляют свои компьютеры для хостинга прокси-серверов с зашифрованным соединением, используемых гражданами стран с интернет-цензурой. Доступ осуществляется через доверенных участников проекта. Для соединения с прокси-сервером используются уникальные веб-адрес, логин и пароль, причем без внесения каких-либо изменений в настройки браузера. Однако, такая процедура может осуществляться только доверенными лицами, так как администратор прокси-сервера владеет документированной информацией об активности своего пользователя. Программа предупреждает администратора об изменениях в его собственной сети, чтобы он мог предоставить пользователям новые веб-адреса. Psiphon поддерживает анонимный веб-серфинг и блоггинг, но не подходит для чатов и VoIP. В дальнейшем планируется развить проект в отдельную социальную сеть.[37]

The Onion Router

Основная статья: Tor

TOR[38] — наиболее известная и развитая среди существующих анонимных сетей, несмотря на раннюю стадию разработки. Корни проекта ведут к MIT, а список спонсоров включает DARPA, ONR(англ.) и Electronic Frontier Foundation. Сеть не является полностью децентрализованной — существуют 3 центральных сервера каталогов, хранящие подписанный актуальный список узлов сети Tor с их реальными адресами и отпечатками открытых ключей (генерируемыми заново каждые 7 дней), то есть регистрация серверов производится централизованно. Два из трёх серверов каталогов размещены в США, где число серверов, поднятых энтузиастами, выше, чем в любой другой стране.

Сама идея Onion Router появилась еще в середине 1990-х годов, но первая практическая реализация сети этого типа в рамках проекта Free Haven[39] началась только в 2002 году. Так появилась первая сеть Onion Routing[40], состоявшая всего лишь из одного маршрутизатора, работающего на одном из компьютеров исследовательской лаборатории ВМС США в Вашингтоне(англ.). Как результат развития, появилось второе поколение этой сети — проект Tor. Суть его в том, что клиентская сторона формирует цепочку из трех произвольно выбранных узлов сети Tor. Среди них есть входной (entry node) по отношению к клиенту узел и выходной (exit node). Сеть Tor при этом функционирует как шлюз между клиентом и внешней сетью. Каждый Tor-сервер «знает» о предшествующем ему и последующем, но не более того, а замыкающие узлы не знают, кто находится на другой стороне канала и кто инициировал соединение. Отсутствие логической связи между отправителем и сообщением и гарантирует надёжную анонимность. Кроме того, такая схема делает бесполезным перехват трафика на стороне ISP, поскольку провайдер «видит» лишь поток шифротекста, состоящий из пакетов постоянной длины. С каждым пересылаемым пакетом, включая саму команду открытия туннеля, ассоциируется симметричный ключ шифрования и идентификатор следующего узла туннеля. Эти данные зашифровываются последовательно открытыми ключами всех выбранных серверов, начиная с последнего, образовывая структуры, называемые «луковицами» (onions). Для межсерверных коммуникаций используется TLS. Образованные цепочки каждые 10 минут перестраиваются таким образом, что через каждый узел сети проходит ограниченный объём данных от каждого клиента. Для каждой вновь образованной цепочки серверов генерируется новый сеансовый ключ, а для противодействия атакам анализа трафика блок данных имеет постоянный размер в 512 байт. «Луковица» может содержать сведения, необходимые для установки обратного канала — двусторонних соединений. Функционируя на уровне TCP и пересылая лишь легитимные потоки, Tor предоставляет надежный транспорт для прикладных программ посредством протокола SOCKS. Если же пользователь поддерживает собственный сервер сети Tor, то отличить порождаемый им трафик от трафика, проходящего через его сервер от других клиентов невозможно. Компрометация же одного или нескольких серверов цепи к потере анонимности или конфиденциальности не ведёт.

Virtual Private Network

Основная статья: VPN

VPN — виртуальные частные сети, организованные в виде зашифрованного туннеля, идущего поверх Интернета. VPN-соединение состоит из канала типа точка-точка, которое подразумевает связь между двумя компьютерами под названием пиры. Каждый пир отвечает за шифрование данных до входа в туннель и их расшифровку при выходе. Хотя VPN всегда устанавливается между двумя точками, каждый пир может устанавливать дополнительные туннели с другими узлами, причем для них всех пир на стороне сервера может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети. В этом случае узел VPN называется VPN-шлюзом, с которым пользователь устанавливает соединение и получает доступ в сеть за ним, называемую доменом шифрования. Каждый раз, когда соединение сетей обслуживают два VPN-шлюза, используется туннелирование. Это означает, что шифруется весь IP-пакет, после чего к нему добавляется новый заголовок, который содержит IP-адреса двух VPN-шлюзов, которые и увидит сниффер при перехвате трафика. Таким образом, невозможно определить компьютер-источник в первом домене шифрования и компьютер-получатель во втором.[41]

Узкоспециализированные анонимные сети

Java Anonymous Proxy

Основная статья: :en:Java Anon Proxy

JAP[42] — он же AN.ON и JonDonym — предназначен для анонимизации только HTTP, то есть веб-трафика. Хотя само ПО поддерживает и SOCKS, разработчики аргументируют поддержку своими серверами лишь HTTP с высоким риском злоупотреблений. Пересылка трафика производится в зашифрованном виде через фиксированный каскад микс-серверов: пользователь не имеет возможности составить произвольную цепочку серверов. Преимущество данного подхода в том, что так проще достичь той «критической массы» пользователей, которая гарантирует высокую степень анонимности, а также более высокой скорости серфинга, которая у JAP намного выше, чем у полностью распределенных сетей. Кроме того, поскольку пользователь не служит в данном случае конечным звеном цепи, то он защищен от посягательств со стороны лиц, желающих завладеть данными. Компрометация анонимности клиента JAP невозможна без перехвата всего входящего и исходящего трафика всех узлов каскада и их содействия с целью расшифровывания пакетов. С мая 2005 года JAP умеет использовать узлы сети Tor в качестве каскада для анонимизации HTTP-трафика. Это происходит автоматически в том случае, если в настройках браузера выбран SOCKS, а не HTTP-прокси. JAP гарантирует шифрование трафика от клиента до каскада JAP-серверов, но не выполняет дополнение пакетов до постоянного размера, чего заведомо недостаточно для противостояния атакам, основанным на анализе трафика. Полная конфиденциальность передаваемых данных достигается лишь в случае дополнительного шифрования на верхних уровнях с помощью таких протоколов, как SSL. Со второй половины 2006 года в рамках JAP решено предоставлять платный премиум-сервис, так как проект лишился прежнего источника финансирования. Программа разработана в Германии, каскад JAP-серверов расположен там же. Известен случай компрометации сети немецкой спецслужбой Буднескриминаламт (BKA). По ее требованию в реализацию JAP разработчиками был встроен бэкдор, а пользователям настоятельно рекомендовали провести обновление ПО. Вскоре суд признал действия BKA нелегитимными и потайной ход из кода JAP был устранен.

Mixminion

Основная статья: Mixminion

Mixminion[43] — разработанная в университете Беркли система анонимной электронной переписки. Эта сеть со времени своего образования уже пережила смену нескольких поколений. Так, реализация первого поколения (type 0) состояла из одного почтового прокси-сервера, который удалял из заголовков информацию, позволявшую идентифицировать отправителя. Сегодня используются сети второго поколения (type 2) — Mixmaster[44] — и идет активное развитие третьего (type 3) — Mixminion. В сети type 3 каждое сообщение разбивается на несколько фрагментов постоянной длины и для каждого из них выбирается своя цепочка серверов. Срок жизни ключа ограничен, с отправителем ассоциирован зашифрованный псевдоним, по которому он может получить ответ.

Veiled

Основная статья: Veiled

Veiled[45] — технология для защищенного обмена данными с использованием одного только браузера с поддержкой стандарта HTML 5. Ее основная цель — анонимный просмотр веб-страниц и безопасное общение в онлайне без какой-либо цензуры или мониторинга. Система не требует установки — клиент просто открывает специальный PHP-файл на веб-сервере, загружает определенный набор сценариев на JavaScript, а затем технология скрывает всю работу пользователя от средств контроля. Технология Veiled использует стандартные веб-серверы, на которых размещаются фрагменты файлов, поддерживающих работу системы. Другими словами, вместо прямого взаимодействия между участниками сети используется цепочка повторителей запроса — браузер одного пользователя передает свой запрос на сайт с поддержкой Veiled, этот сайт передает запрос далее по цепочке, пока не достигнет нужной страницы, а эта страница поступит пользователю обратно через цепочку загрузивших ее веб-страниц Veiled.[46]

Прекращенные проекты анонимных сетей

Emerging Network To Reduce Orwellian Potency Yield

Основная статья: Энтропия (сеть)

ENTROPY[47] — анонимная файлообменная сеть, устойчивая к интернет-цензуре. Представляет собой распределенное хранилище данных, схожее по своей структуре с Freenet. Разработка была прекращена 9 июля 2004 года из-за сомнений в эффективности используемых алгоритмов.

Invisible IRC Project

Основная статья: Invisible IRC Project

IIP[48] — проект анонимизации IRC, широко использовавшийся в качестве дополнения для онлайнового общения во Freenet. Закрыт в 2004 году после выхода из строя аппаратного обеспечения сети.

Peek-A-Booty

Основная статья: Peekabooty

Peekabooty[49] — разработанная двумя энтузиастами из Cult of the Dead Cow(англ.) и представленная в 2002 г. на конференции CodeCon(англ.) анонимная пиринговая сеть. Проект рассчитан на поддержку «глобально мыслящих и локально действующих» добровольцев, которые скачивают и устанавливают клиентскую программу, которая работает в фоновом режиме как скринсейвер. Для использования сети пользователям в странах с интернет-цензурой надо лишь указать вход в Peekabooty как прокси для своего браузера. Запросы на запрещенные сайты проходят через машины добровольцев, причем машины каждый раз выбираются случайным образом. Анонимность обеспечивается благодаря запросу данных без указания сетевого адреса источника запроса, который компьютеры передают по цепочке, сохраняя лишь адрес предыдущей машины. Для защиты от прослушивания Peekabooty шифрует данные, маскируя их под операцию электронной коммерции с применением протокола HTTPS. Проект так и не вышел из стадии бета-тестирования.[50]

Атаки на анонимные сети

См. также статью: Удалённые сетевые атаки

В общем случае безопасность анонимной сети прямо пропорциональна количеству узлов-участников сети. Улучшение равномерности статистического распределения узлов также является действенной мерой против многих типов атак. Учитывая любительский характер анонимных сетей, главным катализатором их развития являются степень доверия и сотрудничество пользователей. Доверие же к системам такого класса возможно лишь при условии открытости исходного кода, основополагающих протоколов и проектной документации. Однако, исследования показывают, что даже в ПО движения Open Source могут в течение долгого времени оставаться незамеченными оставленные профессионалами потайные ходы,[51] в связи с чем чрезвычайно высока роль исследований экспертов-аналитиков и криптологов.

Тайминг-атака

Основная статья: Атака по времени

Подробное описание этой атаки было опубликовано исследователями из Кембриджского университета. Ее суть в том, что в сетях с низким временем ожидания возможна корреляция времени прохождения пакетов с целью установления реального источника данных. Для осуществления данной атаки необходимо контролировать определенные участки сети — интересующие выходы анонимных сетей и узлы, подозреваемые в анонимной передаче данных, либо только входы и выходы анонимных сетей. Шансы атакующего на успех при использовании данной атаки могут быть увеличены, если у него есть доступ к серверу, к которому подключается анонимный пользователь. Атакующий может, например, заставить веб-сервер отправлять браузеру данные с определенными задержками (к примеру, выставив разные интервалы задержек для ответа веб-сервера на запросы индексной страницы, картинок и таблиц стилей). Это позволит обнаружить в зашифрованном трафике анонимной сети «шаблоны» задержек и, таким образом, с определенной вероятностью ответить на вопрос о принадлежности выходного трафика анонимной сети «подозреваемому» пользователю. Методы защиты от тайминг-атаки включают внесение переменных задержек в характер информационного обмена, перемешивание и объединение сообщений, пересылку их блоками фиксированного размера.

Атака на отпечатки

Атакующий может создать большую базу данных популярных веб-сайтов, которая будет содержать в себе определенные параметры индексных страниц (например, размер главной страницы в байтах). Это позволит «угадать» сайт, который посещает пользователь, путем анализа количества переданного на входной узел анонимной сети зашифрованного трафика.

Ассоциация анонимного и псевдонимного трафика

Атакующий может ассоциировать анонимный трафик с «подозреваемым» узлом в определенных случаях. Например, Tor направляет все соединения, установленные в определенном временном промежутке, в одну цепочку узлов. Таким образом, можно ассоциировать псевдонимные соединения с анонимными, если они были установлены практически одновременно. Например, при одновременной отправке файла по протоколу FTP c анонимным соединением и ICQ с псевдонимным соединением будет использована одна цепочка серверов сети Tor и единственный выходной узел. В этом случае атакующий может догадаться, что оба соединения были установлены с одного компьютера и попытаться получить дополнительную информацию о пользователе, который передает файл, например, по номеру ICQ.

Атака на TCP timestamp

Атака заключается в том, что значение TCP timestamp изменяется на фиксированное значение в единицу времени и в большинстве случаев различается у двух разных компьютеров. Атакующий может прослушивать трафик VPN-сервиса и записывать переданные значения TCP timestamp. Поскольку VPN осуществляет передачу IP-пакетов, то система, установившая VPN-соединение, будет передавать TCP timestamp в инкапсулированных пакетах. Аналогичная атака возможна и на скрытые сервисы сети Tor. В этом случае в анонимной сети передаются только TCP данные, однако «исследуемый» узел может передавать TCP timestamp, например, в соединениях по локальной сети. Атака заключается в том, что можно вызвать определенные отклонения в значениях счетчиков TCP timestamp (например, путем DoS-атаки). Применимость данной атаки на скрытые сервисы Tor до сих пор стоит под вопросом.

Другие атаки

Существует множество других атак, которые направлены на конкретные приложения, использующие анонимную сеть. Например:

См. также

В Википедии есть портал
«Компьютерные сети»
В Википедии есть портал
«Интернет»
В Википедии есть портал
«Анархизм»

Примечания

  1. ANts P2P
  2. bitblinder
  3. Технология BitBlinder
  4. Filetopia: Your secure file sharing and communications tool
  5. Filetopia
  6. The Freenet Project
  7. GNUnet — GNU’s framework for secure P2P networking
  8. GNUnet papers and related work
  9. Gnunet
  10. Gnutella Protocol Specification
  11. Файлообменные сети P2P: основные принципы, протоколы, безопасность
  12. Gnutella2
  13. Популярные файлообменные сети P2P — Gnutella, Gnutella2
  14. I2P Anonymous Network
  15. Список сайтов I2P
  16. Книги на английском языке
  17. Книги на немецком языке
  18. http://tracker.postman.i2p/
  19. http://torrents.i2p/
  20. http://blacklib.i2p.to/
  21. http://de-ebook-archiv.i2p.to/
  22. http://inproxy.tino.i2p.tin0.de
  23. Manolito P2P — Secure File Sharing
  24. MUTE: Simple, Anonymous File Sharing
  25. Netsukuku
  26. Netsukuku_FAQ_(ru)
  27. NETSUKUKU : ПАРАЛЛЕЛЬНЫЙ ИНТЕРНЕТ В СТИЛЕ КИБЕРПАНК
  28. Nodezilla Grid Network
  29. regensburger.name — RShare
  30. StealthNet — Anonymes Filesharing
  31. RShare — Planet Peer Wiki
  32. Perfect Dark @ ウィキ — トップページ
  33. Turtle F2F Homepage
  34. Petr Matejka’s master thesis on Turtle F2F
  35. waste :: home
  36. Psiphon | delivering the net
  37. Psiphon User Guide
  38. Tor: anonymity online
  39. The Free Haven Project
  40. Onion Routing
  41. VPNs and IPSec Demystified
  42. JAP — ANONYMITY & PRIVACY
  43. Mixminion: A Type III Anonymous Remailer
  44. Mixmaster
  45. Researchers Build Anonymous, Browser-Based 'Darknet'
  46. Researchers to Debut "Veiled, " the Darknet Powered by a Web Browser
  47. Entropy Homepage (WWW) (Архив Интернета на 4 июля 2008)
  48. Invisible IRC Project
  49. Peekabooty (Архив Интернета на 25 апреля 2006)
  50. P2P-система поможет китайцам обойти интернет-цензуру
  51. Обнаружена опасная уязвимость в ядре Linux

Ссылки


en:Category:Anonymity networks

es:Categoría:Redes anónimas eo:Kategorio:Anonimecaj retoj fr:Catégorie:Système informatique d'anonymat ja:Category:匿名ネットワーク

Личные инструменты

Served in 0.696 secs.