Banner Diaspora LiGNUx
Banner foro LiGNUx

Análisis de una red Tor durante 24 horas

Hoy os quiero acercar un análisis que se realizo sobre un nodo de salida de la red Tor durante 24 horas, en este análisis solo se capturaron las cabeceras de los paquetes para mantener el anonimato y seguridad de todos los usuarios, pues ese es el fin de Tor, ofrecer un servicio de anonimato prácticamente completo.

tor

Los encargados de este análisis fueron los encargados del Blog Follow The White Rabbit, los cuales montaron un nodo de salida para la red Tor, concretamente con un VPS de OVH de 3 euros (nada del otro mundo, ya que es el más barato que ofrecen), posteriormente configuraron todos los servicios de la máquina y de Tor en su vps para convertirse en un nodo Relay de Tor y con el tiempo subieron de rango y pasaron a ser un nodo de salida de la red Tor, momento en el que empezó la investigación.

Destaco encarecidamente que solo se captaron las cabeceras de los paquetes para poder analizar sus visitas, lo cual arrojo datos como por ejemplo unos logs de 30GB, más de 776.000 direcciones Ip diferentes que usaron su nodo en más de 220 países y todo esto en tan solo 24 horas y un servidor de 3 euros.

Entre las webs más visitadas a través de este nodo se encontraron dominios .es como Amazon, el traductor de Google o trivago, por otro lado también se encuentran dominios onionoo.torproject.org, subscribe.wordpress.com, clients1.google.com y por supuesto Google y Facebook.

Por otro lado cabe destacar que si nos referimos a trafico por países Estados Unidos, Rusia, Francia, Holanda y Japón se encuentran en el podio de los que más usan Tor, además de que el protocolo TCP fue el más habitual con un 99,6% de uso, HTTP con un 66,4% y por último HTTPS con tan solo un 32,3%.

wat_is_tor_the_onion12

Esto fue posible gracias al único punto flaco del sistema de Tor, pues todo el trafico va cifrado salvo en el nodo de salida, el cual puede ser vulnerable y por ello se utilizo en este análisis, pues dentro de la red Tor todo el trafico esta cifrado, son los llamados nodos Relay Node.

Por ello los nodos nuevos no pueden ser nodos de salida, de forma que tengan que ofrecer una mayor confianza y estabilidad antes de poder llegar a optar por esa función.

Banner Diaspora LiGNUx
Banner foro LiGNUx

Acerca de Noel

Buenas, me llamo Noel, soy un estudiante del Grado de Educación Primaria en Uvigo, divulgador y amante del software libre y Gnu Linux. Usuario inquieto por ver las novedades y dar a conocer a todos las grandes ventajas del software libre y Gnu Linux.

Visita también

Opera “Neon” no tendrá vida en Linux

Para los que no se dieron cuenta, el día de ayer Opera anunciaba un concepto …

12 Comentarios

  1. En mi opinión analizar el trafico de salida en la red Tor carece de sentido y es una perdida de recursos, esto es debido a que todo el trafico que sale de los nodos es hacia la red común (ClearNet) y no es posible saber su remitente ni su destinatario debido a que la red responde al nodo de salida y este responde a un nodo repetidor aleatorio, entre el cliente que realizo la petición y el nodo de salida por lo menos hay de 4 a 5 nodos repetidores que cambian constantemente.
    Las paginas .onion no se ven afectadas por este tipo de ataques debido a que no pasan nunca por los nodos de salida.

    “Los nodos nuevos no pueden ser nodos de salida”
    Actualmente hay un ataque que consiste en usar nodos repetidores “corruptos” que le indican a la red que un nodo especifico tiene cierto tiempo funcionando, aunque este se haya incorporado de manera reciente a la red, el objetivo de este ataque es marcar un nodo “corrupto” reciente como de confianza para hacerlo un nodo de salida.

  2. ppnman

    “Esto fue posible gracias al único punto flaco del sistema de Tor, pues todo el trafico va cifrado salvo en el nodo de salida, el cual puede ser vulnerable”…y por lo tanto un y sólo UN , nodo de salida “fraudulento” vulnera TODO tor. Y debe saberse que,por ejemplo,el narco en México mantiene nodos de salida,NSA tambíén,FBI,etc.

    • Un nodo “corrupto” no vulnera toda red, de ser así el proyecto TOR habría sido abandonado hace mucho tiempo, cabe destacar que tu ISP te intercepta mas información si no usas una VPN.
      Tener el control de 1 nodo de salida incluso hasta 100, no compromete a toda la red TOR, es como disparar con una pistola a un enjambre de abejas.
      De todas formas lo que se conoce como “red TOR” no son las peticiones que manda al exterior, eso solo en una muy pequeña parte, la verdadera esencia de la red TOR son las paginas y servidores ocultos que lo conforman, yo tengo un pequeño server montado que ademas de contener mi blog personal y mi foro, también sirve de nodo repetidor y nunca se ha filtrado la IP del servidor en 4 años que lleva funcionando.

      • Armata De Strigoi

        Pequeño?? 0_o

      • Buenas, ¿cual es la dirección de tu blog? El enlace que se abre al hacer click en tu nombre me da un fallo de conexión.

        Postdt: Por supuesto lo estoy intentando conectado a la red tor.

        • Hasta hasta respondo XD mi blog solo esta disponible entrando por ciertos nodos y esta dirigido solo para HT que sean medianamente conocidos.

        • NOTA: Mis colaboraciones en este blog no tienen, ni tendrán referencia o asociación alguna con mi blog ni mi foro.

          PD: Si Armata ya puedes desactivar tu boot, no voy a decir nada XD.

          • Armata De Strigoi

            Cual boot? ZZAZZ por favor pienso que deverias abrir el foro o por lo menos tu blog, ganarias mas y habria gente nueva, ya me canse de hablar con los mismos niggas de siempre XD

            • Si quisiera tener mas “visitas” en mi blog o en el foro lo habría puesto como la mayoría de los sitios en la clearnet, y cargado de anuncios porno, si de esos que te persiguen por toda la web, pero las visitas es lo que menos me importa y ni se digan los comentarios, yo solo busco aprender mas.

              Si estas “cansada” de platicar con la misma gente, porque sigues visitando el foro?

  1. Pingback: Bitacoras.com

Deja un comentario

Tu dirección de correo electrónico no será publicada.