- Регистрация
- 23 Май 2020
- Сообщения
- 368
- Реакции
- 45
Загадочный трафик и ложные блокировки: зачем хакеры атакуют узлы Tor?
В последние дни операторы узлов сети Tor начали массово получать уведомления о подозрительной активности, связанной с предполагаемым злоупотреблением их IP-адресами. Уведомления касаются многочисленных неудачных попыток входа по протоколу SSH, которые, как сообщается, исходят якобы от их узлов и, возможно, указывают на попытки брутфорс-атак.
Следует отметить, что узлы Tor, как правило, служат для передачи анонимного трафика между исходными и конечными точками внутри сети и не предназначены для инициирования прямых подключений к внешним хостам по SSH, особенно с целью проведения брутфорс-атак. Анализ исследователя под псевдонимом «delroth» показал, что в реальности большая часть узлов Tor не генерировала SSH-трафик, что указывало на фальсификацию.
Было установлено, что злоумышленники подделывают IP-адреса узлов Tor, используя их в рамках масштабной брутфорс-атаки против honeypots (ловушек для отслеживания хакерских атак) и систем обнаружения вторжений (IDS), которые настроены на автоматическую отправку жалоб при обнаружении подозрительной активности. В результате подделанные сообщения формируют поток ложных уведомлений о злоупотреблениях, что создаёт ложное впечатление, будто узлы Tor участвуют в нелегальных действиях.
Эта ситуация приводит к тому, что хосты, с которых зафиксированы многочисленные неудачные попытки подключения, попадают в чёрные списки и приобретают «пло*** репутацию». IP-адреса таких узлов начинают ассоциироваться с подозрительной активностью, и они получают значительное количество уведомлений о нарушениях. В ответ многие интернет-провайдеры блокируют или отключают доступ к таким узлам, зачастую без возможности апелляции для их владельцев. Это особенно критично для операторов сети Tor, поскольку каждый отключённый узел ослабляет инфраструктуру, на которой держится анонимность пользователей Tor.
Таким образом, атака направлена на подрыв работы инфраструктуры сети Tor: злоумышленники создают лавину жалоб, перегружая системы безопасности и увеличивая количество ложных уведомлений о нарушениях. На данный момент вредоносная активность остаётся умеренной, однако атакующие остаются неизвестными, что вызывает серьёзные опасения среди пользователей и операторов Tor.
В настоящее время операторов узлов Tor призывают активно подавать апелляции, чтобы их IP-адреса не блокировались, а также наращивать мощность сети, создавая новые узлы взамен потерянных. Интернет-провайдеров просят более тщательно проверять жалобы на подозрительную активность и учитывать, что злоумышленники могут умышленно подделывать данные, чтобы избежать ложных блокировок и не нарушать работу сети Tor.
В последние дни операторы узлов сети Tor начали массово получать уведомления о подозрительной активности, связанной с предполагаемым злоупотреблением их IP-адресами. Уведомления касаются многочисленных неудачных попыток входа по протоколу SSH, которые, как сообщается, исходят якобы от их узлов и, возможно, указывают на попытки брутфорс-атак.
Следует отметить, что узлы Tor, как правило, служат для передачи анонимного трафика между исходными и конечными точками внутри сети и не предназначены для инициирования прямых подключений к внешним хостам по SSH, особенно с целью проведения брутфорс-атак. Анализ исследователя под псевдонимом «delroth» показал, что в реальности большая часть узлов Tor не генерировала SSH-трафик, что указывало на фальсификацию.
Было установлено, что злоумышленники подделывают IP-адреса узлов Tor, используя их в рамках масштабной брутфорс-атаки против honeypots (ловушек для отслеживания хакерских атак) и систем обнаружения вторжений (IDS), которые настроены на автоматическую отправку жалоб при обнаружении подозрительной активности. В результате подделанные сообщения формируют поток ложных уведомлений о злоупотреблениях, что создаёт ложное впечатление, будто узлы Tor участвуют в нелегальных действиях.
Эта ситуация приводит к тому, что хосты, с которых зафиксированы многочисленные неудачные попытки подключения, попадают в чёрные списки и приобретают «пло*** репутацию». IP-адреса таких узлов начинают ассоциироваться с подозрительной активностью, и они получают значительное количество уведомлений о нарушениях. В ответ многие интернет-провайдеры блокируют или отключают доступ к таким узлам, зачастую без возможности апелляции для их владельцев. Это особенно критично для операторов сети Tor, поскольку каждый отключённый узел ослабляет инфраструктуру, на которой держится анонимность пользователей Tor.
Таким образом, атака направлена на подрыв работы инфраструктуры сети Tor: злоумышленники создают лавину жалоб, перегружая системы безопасности и увеличивая количество ложных уведомлений о нарушениях. На данный момент вредоносная активность остаётся умеренной, однако атакующие остаются неизвестными, что вызывает серьёзные опасения среди пользователей и операторов Tor.
В настоящее время операторов узлов Tor призывают активно подавать апелляции, чтобы их IP-адреса не блокировались, а также наращивать мощность сети, создавая новые узлы взамен потерянных. Интернет-провайдеров просят более тщательно проверять жалобы на подозрительную активность и учитывать, что злоумышленники могут умышленно подделывать данные, чтобы избежать ложных блокировок и не нарушать работу сети Tor.
