Marta Rybczyńska Nowy atak na systemy anonimowości

Podobne dokumenty
Zapory sieciowe i techniki filtrowania danych

Protokoły sieciowe - TCP/IP

SPECYFIKACJA TECHNICZNA PRZEDMIOTU UMOWY DOTYCZĄCA CZĘŚCI AKTYWNEJ ŁĄCZA

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

9. System wykrywania i blokowania włamań ASQ (IPS)

Sterowanie ruchem w sieciach szkieletowych

Uproszczenie mechanizmów przekazywania pakietów w ruterach

Podstawy bezpieczeństwa

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Projektowanie bezpieczeństwa sieci i serwerów

Projekt i implementacja filtra dzeń Pocket PC

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Podstawowe protokoły transportowe stosowane w sieciach IP cz.1

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Router programowy z firewallem oparty o iptables

1. W protokole http w ogólnym przypadku elementy odpowiedzi mają: a) Postać tekstu b) Postać HTML c) Zarówno a i b 2. W usłudze DNS odpowiedź

Metody zabezpieczania transmisji w sieci Ethernet

System anonimowej i poufnej poczty elektronicznej. Jakub Piotrowski

Zapory sieciowe i techniki filtrowania.

Przewodnik technologii ActivCard

Sieci komputerowe. Wykład 0: O czym jest ten przedmiot. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Opis wdrożenia Platformy Technologicznej epodreczniki.pl na zasobach Poznańskiego Centrum Superkomputerowo-Sieciowego

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Podstawowe protokoły transportowe stosowane w sieciach IP cz.2

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

SEGMENT TCP CZ. II. Suma kontrolna (ang. Checksum) liczona dla danych jak i nagłówka, weryfikowana po stronie odbiorczej

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Metody ataków sieciowych

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Gniazda UDP. Bartłomiej Świercz. Łódź, 3 kwietnia Katedra Mikroelektroniki i Technik Informatycznych. Bartłomiej Świercz Gniazda UDP

Przesyłania danych przez protokół TCP/IP

Model OSI. mgr inż. Krzysztof Szałajko

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Cennik usług Usługa Mobilnego Internetu

Bezpieczeństwo w M875

ZiMSK. VLAN, trunk, intervlan-routing 1

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

IP Spoofing is still alive... Adam Zabrocki ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com)

ARP Address Resolution Protocol (RFC 826)

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

TCP/IP formaty ramek, datagramów, pakietów...

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Zapewnianie bezbłędności transmisji steganograficznej (Blok tematyczny S2B: Jakość sieci i usług)

Routing. mgr inż. Krzysztof Szałajko

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Zarządzanie bezpieczeństwem w sieciach

Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie stycznia 2012r.

Sieci komputerowe Warstwa transportowa

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Dokumentacja wstępna TIN. Rozproszone repozytorium oparte o WebDAV

Zapewnienie dostępu do Chmury

ARCHITEKTURA USŁUG ZRÓŻNICOWANYCH

Systemy operacyjne System sieciowy UNIX-a

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

Połączenie VPN Host-LAN SSL z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

PODSTAWOWE PODZIAŁY SIECI KOMPUTEROWYCH

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

WOJEWÓDZTWO PODKARPACKIE

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Opis protokołu RPC. Grzegorz Maj nr indeksu:

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Wybrane działy Informatyki Stosowanej

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

VPLS - Virtual Private LAN Service

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Laboratorium 3 Sieci Komputerowe II Nazwisko Imię Data zajęd

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Ping. ipconfig. getmac

Adresy w sieciach komputerowych

Firewall bez adresu IP

Sieci komputerowe i bazy danych

Audytowane obszary IT

Regulamin Oferty Promocyjnej Play Online dla Firm PRO obowiązuje od r. do odwołania

Opis specjalności. Zajęcia obejmować będą również aspekty prawne dotyczące funkcjonowania sieci komputerowych i licencjonowania oprogramowania.

Połączenie VPN Host-LAN SSL z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

IP Anycast. Ochrona i skalowanie usług sieciowych. Łukasz Bromirski lbromirski@cisco.com

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami

Sterowanie ruchem w sieciach szkieletowych Transmisja wielościeżkowa

World Wide Web? rkijanka

Diagnostyka awarii to nie tylko PING Pokaz zintegrowanego systemu monitorowania sieci IBM Corporation

Wideokonferencje MGR INŻ. PAWEŁ SPALENIAK

Firewalle, maskarady, proxy

Robaki sieciowe. + systemy IDS/IPS

Połączenie VPN Host-LAN PPTP z przypisaniem IP. 1. Konfiguracja serwera VPN 1.1. Metoda 1 (nowsze urządzenia) 1.2. Metoda 2 (starsze urządzenia)

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

EXSO-CORE - specyfikacja

BeamYourScreen Bezpieczeństwo

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Analiza Trojana NotCompatible.C

Transkrypt:

Marta Rybczyńska <marta@rybczynska.net> Nowy atak na systemy anonimowości

Plan Teoria Systemy anonimowości Analiza ruchu Motywacja Atak Zasada działania Zasięg, zastosowanie, wnioski 2

Plan Teoria Systemy anonimowości Analiza ruchu Motywacja Atak Zasada działania Zasięg, zastosowanie, wnioski 3

Wprowadzenie (1) Realizacje anonimowości Dla konkretnego protokołu/usługi lub w takim protokole Jako dodatkowa warstwa Umożliwienie realizacji wielu usług Przezroczystość Wykorzystanie istniejących komponentów 4

Wprowadzenie (2) Fizyczna realizacja warstwy anonimowości aplikacja TCP/UDP warstwa anonimowości IP aplikacja warstwa anonimowości TCP/UDP IP...... 5

Wprowadzenie (3) Analiza ruchu (traffic analysis) Odkrycie tożsamości (węzła) wysyłającego i odbierającego wiadomość Bez ataku na mechanizmy kryptograficzne Przykłady ataków: brutalne (śledzenie całości systemu) czasowe oznaczanie wiadomości przez powtórzenie kontekstowe 6

Tor Niskie opóźnienia Wykorzystuje TCP Onion-routing Dynamiczne zestawianie ścieżek Popularny 900-1000 routerów (maj/czerwiec 2007) 'hundreds of thousands of users' (2007) http://tor.eff.org 7

Motywacja (1) Murdoch, Denezis Low Cost Traffic Analysis of Tor, 2005 8

Motywacja (2) 9

Plan Teoria Systemy anonimowości Analiza ruchu Motywacja Atak Zasada działania Zasięg, zastosowanie, wnioski 10

Atak: założenia System anonimowości wykorzystuje serwery pośredniczące (proxy) używa protokołu niższej warstwy zapewniającego dostarczenie danych (np. TCP) Możliwości atakującego blokowanie transmisji od wybranego węzła monitorowanie ruchu w wybranym punkcie 11

Stan normalny A proxy B bufor odbiorczy bufor nadawczy 12

B przestaje odbierać A proxy B bufor odbiorczy bufor nadawczy 13

Reakcja na przepełnienie bufora Nie odbierać nowych danych Odbierać i odrzucać Odrzucić zawartość bufora nadawczego; napełniać od nowa giną dane Zgłosić błąd, rozłączyć itp. Próbować zestawić nowe połączenie (np. inną drogą) 14

B ciągle nie odbiera A proxy B bufor odbiorczy bufor nadawczy 15

Mechanizm okna Powiadomienie: ile możemy jeszcze przyjąć? Wartość okna zależy od stanu bufora A proxy B Win = 3000 Win = 1500 Win = 0 16

Więcej serwerów A proxy 2 proxy B? bufor bufor bufor bufor odbiorczy nadawczy odbiorczy nadawczy 17

Zasada działania Zablokowanie ruchu z węzła B Przepełnienie buforów w kolejnych serwerach pośredniczących Na kolejnych połączeniach: wielkość okna spada do 0 brak potwierdzeń pakietów z danymi Zaburzenia dotrą do węzła A 18

Zastosowanie ataku Potwierdzenie faktu komunikacji (czy B komunikuje się z A) Śledzenie połączeń wybranego węzła Nie jest potrzebne przejęcie części infrastruktury 19

Zasięg ataku Systemy anonimowości o niskich opóźnieniach Tor wszystkie używające TCP (?) Konieczność transferu dość dużej ilości danych Wpływ innych zjawisk sieciowych ograniczenia przepływności duże obciążenie straty 20

W praktyce... 21

Ciąg dalszy... Jak tanio (i skutecznie) zaatakować? Czas trwania ataku False positives Agregacja ruchu co się dzieje, kiedy połączenie między serwerami proxy agreguje dane z kilku połączeń między użytkownikami? 22

Marta Rybczyńska <marta@rybczynska.net> Nowy atak na systemy anonimowości