美国政府分享通过Tor防御网络攻击的技巧

网络安全与基础设施安全局（CISA）今天发布了有关如何保护网络免受来自Tor匿名网络发起或通过其发起的活动发起的网络攻击的指南。

Tor是一种软件，可通过Tor节点（中继层）网络自动加密和重新路由用户的Web请求，从而实现Internet匿名性。

威胁参与者还使用Tor的基础结构来隐藏其身份和位置，从而在从事恶意网络活动时在Tor出口节点的保护下隐藏其真实IP地址。

该咨询报告是与联邦调查局（FBI）合作编写的，它共享了有关威胁行为者如何在恶意活动期间如何使用Tor的软件和网络基础结构进行匿名的技术细节。

AA20-183A警报说： “ CISA和FBI建议组织评估自己通过Tor遭受损害的风险，并采取适当的缓解措施，以阻止或密切监视来自已知Tor节点的入站和出站流量。”

检测源自Tor网络的恶意活动

CISA建议组织“通过评估威胁因素将其系统或数据作为目标的可能性以及在当前缓解和控制措施下威胁因素成功的可能性，来确定其个人风险”。

“该评估应考虑非恶意用户可能更喜欢或需要使用Tor来访问网络的正当理由。”

为了检测针对其资产的恶意活动，组织可以使用基于指标的方法，寻找网流中的Tor出口节点，数据包捕获（PCAP）和Web服务器日志中异常流量水平的证据，这些日志可能表示恶意侦察，利用， C2或数据渗漏行为。

网络防御者还可以采用基于行为的方法，该方法需要搜索Tor客户端软件和协议的操作模式，例如增加与Tor（9001、9030、9040、9050、9051和9150）关联的TCP和UDP端口的使用率，对于后缀为.onion或torproject.org的域，DNS查询的发生率较高。

Web应用程序和路由器防火墙以及主机/网络入侵检测系统是可以为发现通过Tor网络路由的恶意活动的关键指标提供某种程度的检测能力的解决方案。

CISA建议：“组织应在其现有端点和网络安全解决方案中研究并启用预先存在的Tor检测和缓解功能，因为它们经常采用有效的检测逻辑。”

缓解措施

CISA建议组织在利用Tor网络进行隐瞒的活动中有遭受恶意行为者攻击的组织的隐患，以采取一系列缓解措施作为防御措施。

不幸的是，缓解措施可能还会对合法用户的访问产生影响，这些用户可能希望访问组织的面向Internet的资产，同时其隐私受到Tor的保护。

CISA建议在减轻与Tor相关的恶意活动时采取三种不同的方法，具体取决于它们可能对合法的Tor用户造成的影响：

• 限制性最强的方法：阻止所有往返公共Tor入口和出口节点的Web流量（由于并没有公开列出其他Tor网络访问点或网桥，因此无法完全消除使用Tor匿名的恶意行为者的威胁。）
• 限制较少的方法：量身定制的监视，分析和阻止往返于公共Tor入口和出口节点的Web流量：不希望阻止往返于Tor入口/出口节点的合法流量的组织应考虑采用允许进行网络监视和流量分析的做法来自这些节点的流量，然后考虑进行适当的阻止。这种方法可能会占用大量资源，但可以提供更大的灵活性和防御能力。合法用法示例：已部署的军事或其他海外选民。
• 混合方法：阻止所有对某些资源的Tor流量，允许和监视其他资源（即，仅允许可能期望合法使用的特定网站和服务往返于Tor的流量，并阻止往返于非例外进程/服务的所有Tor流量） 。这可能需要进行连续重新评估，因为实体会考虑其自身与不同应用程序相关的风险承受能力。实施此方法的工作水平很高。

虽然阻止进出已知Tor入口节点的入站和出站流量应防止不太复杂的行为者，但经验丰富的威胁行为者可以通过使用其他匿名化策略和技术（例如虚拟专用网（VPN）或Tor功能，例如Tor桥和可插拔）来规避此类缓解措施。运输。

CISA总结说：“最终，每个实体在确定与Tor相关的风险缓解方法时必须考虑自己的内部阈值和风险承受能力。”