オープンイベントをしたいです。トルルーター。
私のオプトアウトポリシーは次のとおりです。退出政策の縮小。
しかし、私はまた、Torネットワークが私のリソースを誤用するのを難しくしたいと思います。
クライアントがTorを通過しないようにしたい。
- パケット数の多いサイトを攻撃します。
- フルIPブロックの積極的なネットワークスキャン
私がしたくないのは、クライアントがTorを通過するのをブロックすることです。
- 何百もの画像ファイルをクラウドにアップロード
- 種をまく
私の質問はこれが可能であり、どのようにできるかということです。
私の最初の考えは、いくつかのファイアウォール(Linux / iptablesまたは* BSD / ipfw / pf)でした。しかし、タマネギのルーターのユニークなプロパティのため、これはおそらく役に立たないでしょう。
このトピックについて進行中のtorprojectチーム開発はありますか?
また、Tor出口ノードのセキュリティに関する一般的なヒントも要求されます。
アップデート(2012年9月)
役に立つ回答やその他の研究によると、これはできないと思います。
人々がDDOSに貢献するために出口ノードを乱用するのを防ぐための最善の方法は、IPに転送される非常に頻繁なパケットを検出することです。
「非常に頻繁に」しきい値は、ノード全体の帯域幅によって異なります。誤った場合、偽の肯定が発生し、リアルタイムTCPアプリケーションへの正当なトラフィックと、複数のクライアントから単一の宛先へのトラフィックをブロックします。
アップデート(2014年12月)
私の予測は間違いなく正しい。インターネットプロバイダから何度もネットワーク乱用の苦情を受けました。
サービスの中断を防ぐには、次のiptablesルールセット(ONEW発信TCP SYN(新しいエントリとも呼ばれる)パケットチェーン)を採用する必要があります。
これが十分かどうかはわかりませんが、次のようになります。
-A ONEW -o lo -j ACCEPT
-A ONEW -p udp --dport 53 -m limit --limit 2/sec --limit-burst 5 -j ACCEPT
-A ONEW -m hashlimit --hashlimit-upto 1/second --hashlimit-mode dstip --hashlimit-dstmask 24 --hashlimit-name ONEW -j ACCEPT
-A ONEW -m limit --limit 1/sec -j LOG --log-prefix "REJECTED: "
-A ONEW -j REJECT --reject-with icmp-admin-prohibited
ベストアンサー1
覚えておいてください:
現在の理解によれば、Torクライアントは約10分ごとに仮想回線を切り替えます。これは、ソースIPがその期間内に変更されたことを意味します。この期間よりも長い間悪意と見なされる行動を防ぐことはできません。
TorはTCPトラフィックのみをプロキシし、他のプロトコルはプロキシしないという事実が乱用の可能性を大幅に制限することに注意してください。
iptables新しい発信TCP接続を既存の接続とは異なる方法で処理できます。すべてが「既存のTCP接続」チェーンを通過するESTABLISHED,RELATED必要があり、そのチェーンによってキャプチャされていない発信TCPは速度が制限される可能性があります。ACCEPTED発信するすべてのTorトラフィックはこの規則に従う必要があります。
私は上記と「退出方針の削減」を使用することがあなたができる最善の方法だと思います。
理想的には、以下を除き、Torボックスで他のものを実行しないでください。
- 少なくともSSHを起動し、22以外のポートに配置します。
- 表示するには、単純なWebサーバーを実行する必要があります。このページ。 chroot された
mini-httpdインスタンスは大丈夫でしょう。使用しないでくださいinetd。
他の目的で使用されているマシンでTorを実行しないでください。 Exit Relayセクションを必ずお読みください。Torの法的FAQそしてその意味を完全に理解しています。返品以下をすべて読んで完了してください。。