22.06.2014 | 22:20

Adam Haertle

Najpopularniejsze serwery w sieci Tor według wycieków zapytań DNS

Dzięki architekturze sieci Tor, zapewniającej prywatność jej użytkownikom, nie jest prosto wskazać najpopularniejsze jej adresy. Ciekawe podejście do tego tematu zaprezentowali badacze z firmy Verisign, którzy przeanalizowali dane serwerów DNS.

Sieć Tor to nie tylko narzędzie do anonimowego przeglądania internetu – to także możliwość uruchomienia własnego serwera, którego lokalizacja będzie bardzo trudna do namierzenia. Z adresów w domenie .onion korzysta wiele usług, które w zwykłej sieci długo by nie podziałały – fora dla przestępców, sklepy z narkotykami czy witryny dla pedofili. Ze względu na sposób działania sieci Tor brak jest możliwości określenia, które z serwisów są odwiedzane najczęściej – istnieją jednak metody pozwalające przybliżyć to zagadnienie na podstawie innych źródeł.

Wycieki zapytań DNS

Za każdym razem, kiedy próbujemy odwiedzić jakąś domenę, której jeszcze nie zna nasz komputer, wysyłamy do sieci tzw. zapytanie o nazwę domenową. Serwery DNS odbierają takie zapytania i odsyłają naszemu komputerowi adresy IP, przypisane do tych domen. Kiedy jednak przeglądamy sieć Tor, zapytania o domeny .onion nie powinny trafiać do serwerów DNS, ponieważ nie posiadają one informacji o lokalizacji tych serwerów. Tak się jednak składa, że niektóre z nich z różnych powodów jednak lądują tam, gdzie nie trzeba. Stanowi to potencjalne zagrożenie dla prywatności użytkowników (nie każdy chce, by zewnętrzny serwer widział, że właśnie próbował otworzyć stronę sklepu narkotykowego), jednak pozwala także na szacunki popularności usług w sieci Tor.

Dane takich zapytań zebrali pracownicy firmy Verisign, która zarządza dwoma z trzynastu globalnych serwerów DNS najwyższego poziomu. Od 10 września 2013 do 31 marca 2014 zbierali oni wszystkie nieprawidłowe zapytania, w tym dotyczące domen .onion i wyniki swojego badania przedstawili w ciekawym raporcie.

Kilka łyków statystyki

W ciągu niecałych 6 miesięcy badania serwery Verisign otrzymały ponad 27 milionów zapytań o domeny .onion. Użytkownicy pytali o ponad 80 tysięcy unikalnych domen a pytania przesłane były z ponad 170 tysięcy unikalnych adresów IP. Co ciekawe, ponad połowa wszystkich domen pojawiła się tylko raz w zapytaniu (literówki?), a ponad 90% domen pojawiło się mniej niż 10 razy.

Przedstawiając 10 najczęściej występujących zapytań, autorzy badania poddali je anonimizacji, zostawiając jedynie pierwsze 2 i ostatnie 2 znaki każdego adresu. Postaraliśmy się jednak uzupełnić brakujące fragmenty. Oto lista 10 najpopularniejszych adresów:

  1. 26,5% Hidden Tracker – torrentowy tracker w sieci Tor
  2. 2,1% forum oryginalnego Silk Road – obecnie nieczynne
  3. 1,7% TorDir – katalog linków w sieci Tor
  4. 1,4% Silk Road 2.0
  5. 1,3% DuckDuckGo – wyszukiwarka
  6. 1,2% Tor Mail – serwer poczty, obecnie wyłączony
  7. 1,1% TORCH – wyszukiwarka
  8. 1,1% Agora Marketplace – stary link sklepu z narkotykami
  9. 0,9% Bitcoin Fog – pralnia BTC
  10. 0,9% TorLinks – katalog stron Tor

Wyniki analizy popularności poszczególnych adresów są dość ciekawe. Patrząc na nie warto pamiętać, kiedy dane były zbierane – było to tuż przed zamknięciem słynnego bazaru narkotykowego Silk Road, którego forum działało jeszcze przez kilka miesięcy po zamknięciu głównego serwisu. Również serwis Tor Mail działał przez krótki czas trwania badania. Znamienne jest wysokie miejsce Agory, jednego z następców Silk Road – wskazuje na solidną pozycję tego serwisu na rynku.

Ciekawa jest także analiza źródeł zapytań. Przegląd adresów źródłowych wskazuje, że ponad 1/3 wszystkich błędnych trafień pochodzi z terenu USA. Kolejne pozycje zajmują Rosja, Niemcy i Brazylia. Polska zajmuje w tej statystyce bardzo wysokie, 8 miejsce z niecałym milionem zapytań w badanym okresie, dającym udział ponad 3% w całej populacji.

Skąd te zapytania?

Cześć z Was pewnie zadaje sobie pytanie – skąd biorą się wycieki DNS? Autorzy badania nie potrafią jednoznacznie odpowiedzieć na to pytanie, jednak pewną pomocą jest wykres, przedstawiający ilość zapytań, skorelowany z ważnymi wydarzeniami w sieci.

Ilość zapytań

Ilość zapytań

Kolejne nagłe wzrosty na wykresie to:

  • A – zamknięcie Silk Road
  • B – artykuły o giełdzie kryptowalut TorATM
  • C – artykuł o sieci Tor na stronie głównej Reddita
  • D – artykuły o nowej wersji Silk Road
  • E – publikacja linka do The Pirate Bay
  • F – linki do sieci Tor opublikowane w serwisie Reddit

Jak więc możecie zaobserwować, ilość zapytań kierowanych do domen .onion, a przesyłanych do zwykłych serwerów DNS, rosła dramatycznie po każdorazowym nagłośnieniu istnienia sieci Tor. Sugeruje to, ze największym sprawcą wycieków zapytań DNS są sami użytkownicy, którzy, w swojej ignorancji, próbują odwiedzić domeny .onion z poziomu zwykłej przeglądarki. Innymi powodami wzrostu liczby wyciekających zapytań o domeny .onion mogą być zapytania przeglądarek, chcących przyspieszyć przeglądanie sieci przez użytkownika (mechanizm prefetching) lub nowe wersje złośliwego oprogramowania, korzystające z sieci Tor dla potrzeb łączności z serwerami sterującymi. Błędy w ich konfiguracji mogą generować duże ilości nieprawidłowych zapytań do serwerów DNS. Wygląda zatem na to, że regularni użytkownicy sieci Tor nie powinni czuć się zagrożeni.

Aktualizacja: O wyciekach DNS ciekawie pisał kilka dni temu Patryk Krawaczyński.

Powrót

Komentarze

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Najpopularniejsze serwery w sieci Tor według wycieków zapytań DNS

Komentarze