– Ataques que não sejam DDoS
Qualquer vetor que não exija um grande fluxo de tráfego poderia ser
roteado de forma eficaz pelo Tor. Isso abrange a maioria dos ataques, com a
exceção notável dos ataques DDoS. Se eu estivesse tentando realizar um ataque de verdade, e não
apenas um DoS, para desviar a atenção — eu usaria o Tor.
– Funções de C&C
Provavelmente não observaríamos isso, mas nem é preciso dizer que o Tor
pode ser usado para se comunicar com o C&C de uma botnet. É isso que eu
faria.
– Monitoramento da disponibilidade do site e outras funções relacionadas a DDoS
Antes e durante um ataque, deve ser interessante monitorar a
disponibilidade do site alvo. O Tor poderia ser útil aqui… talvez eu
o usasse para monitorar o site atacado.
– Navegação regular por usuários do Tor
Em qualquer tentativa de monitorar o tráfego do Tor para nos alertar sobre um
ataque iminente, é preciso ter cuidado para filtrar o tráfego normal tanto quanto
possível. Algoritmos de aprendizado de máquina (ML) ou de significância provavelmente seriam os mais adequados
para essa tarefa. O Sniffles também pode fornecer informações: um aumento no tráfego do Tor
para portas diferentes de 80/443 pode ser suficiente sem a necessidade de
cálculos adicionais.
– Ações para uma pesquisa mais detalhada:
o Instalar a licença do Elastic Graph, que chegou hoje, para facilitar
a análise de significância o Colocar o Sniffles em operação e ver o que podemos observar
(após um ataque subsequente, ou seja, monitorado) o Aplicar análise de significância
ou outra análise aos padrões de tráfego do Tor nas proximidades e fora delas
de um ataque
ESTUDO DE CASO: BLM
A primeira imagem mostra, na parte superior, os bloqueios do Banjax para blacklivesmatter.com e,
na parte inferior, o tráfego via Tor para blacklivesmatter.com, ambos nas
últimas 8 semanas.
Mais uma vez, a segunda imagem mostra os bloqueios do Banjax para blacklivesmatter.com na
parte superior e o tráfego via Tor para blacklivesmatter.com na parte inferior, mas
com zoom em um período de aproximadamente 1 semana antes e 1 semana depois do
grande pico nos bloqueios.
Algumas observações:
– Parece haver um aumento acentuado no tráfego do Tor próximo ao
incidente
– O tráfego via Tor continua por muito tempo depois que o ataque parece ter
terminado: talvez estejamos diante de uma coincidência, ou talvez outro
ataque esteja sendo planejado/preparado, ou talvez ambos.
– O número de IPs banidos é duas ordens de magnitude maior do que o
número de acessos via Tor (note que IPs únicos são uma métrica mais ou menos inútil
para o tráfego via Tor, e também que o total de acessos *provenientes* dos
IPs banidos acima será bem maior do que o número de IPs banidos
)
– O número de IPs bloqueados é, de fato, muito maior do que o número de
nós de saída do Tor.
Advertências:
– O BLM não está conosco há muito tempo
– Apenas um site foi analisado aqui, de forma superficial
– Estamos analisando o tráfego para as portas 80/443, que não é filtrado por
nossos provedores
CASO RÁPIDO 2: www.btselem.org
Um pequeno aumento nos bloqueios, correspondendo a um grande pico no tráfego
via Tor. Em seguida, um grande aumento nos bloqueios, sem aumento correspondente
no tráfego via Tor. O ataque parece ter diminuído ou ter sido
bloqueado com sucesso; então, ocorre outro ataque menor — desta vez
com um aumento simultâneo no tráfego via Tor. É difícil tirar
conclusões, mas não é inconsistente com a teoria de que uma correlação
possa existir. Uma lição clara deste exemplo, SE uma correlação for
comprovada ou presumida, é que o tempo entre um pico de sondagens via Tor e
um DDoS efetivo irá variar.
GRÁFICOS AGREGADOS INÚTEIS:
Sem a separação por host HTTP (ou qualquer outro critério), os dados se transformam
em ruído inútil.
