Firewall um TOR zu blocken

petersj

Blog Benutzer
Hallo zusammen,
seit einiger Zeit häufen sich die Angriffe auf unsere Plesk-managed Server aus dem TOR Netzwerk. TOR bietet scheinbar eine DNSRBL sowie einen Webservice an um die Exit Router zu identifizieren und blocken zu können. Hat jemand gerade eine Lösung für dieses oder ein ähnliches Problem schonmal implementiert?

Danke!

Vg
 

Joe User

Zentrum der Macht
Kleiner Hinweis noch aus eigener Erfahrung:
Es macht nur Sinn, wenn man die Full-List blockt und diese kann zwischenzeitlich auch gerne mal 12k IPs umfassen, was sich je nach CPU-, RAM- und Kernel-Leistung durchaus bemerkbar machen kann. Zudem sollte man die Liste drei bis vier Mal täglich aktualisieren, um effizient zu bleiben...
 

GoofyLyfe

New Member
Die 12k sind aber alle Adressen, es würde ja durchaus reichen nur die Exits zu filtern, dann wären es knapp unter Tausend ;)
 

Joe User

Zentrum der Macht
Nein, nur die Exit-Nodes zu filtern bringt gar nix, denn die meisten Angriffe stammen direkt aus dem Tor-Netzwerk und gehen somit völlig an den Exits vorbei. Die Exit-Nodes kommen nur zum Tragen, wenn die Angriffe durch das Tor-Netzwerk hindurch geschleust würden.
Die wenigen Exit-Nodes haben gar nicht genug Ressourcen um all die Angriffe aus dem Tor-Netzwerk fahren zu können...
 

GoofyLyfe

New Member
Das musst du mir nochmal erklären.

Du behauptest also, dass die Angriffe direkt von den Relay-Betreibern kommen und sie quasi den Tor-Relay nur als Tarnung betreiben um ihre eigenen Aktivitäten zu vertuschen? Anders lässt sich es ja nicht erklären, dass Angriffe von "nicht exit Nodes" kommen. Von den Tor-Endusern geht ja nicht.
Das scheint mir doch schwer glaubhaft?!
Spiegelt auch nicht meine Erfahrung wieder. Ein Relay ist mir noch nie als Angriffsausgangpunkt untergekommen.

Lasse aber mich aber gerne korrigieren.
 

Joe User

Zentrum der Macht
Dann hast Du bisher Glück gehabt und auch noch keine relevanten Angriffe (z.B. DDoS >20GBit/s) aus dem Tor-Netzwerk erlebt.


Aber es kann ja Jeder sein eigenes Rechenspiel durchführen, dürfte in etwa so ausschauen:

Welche Anbindung haben die Exit-Nodes insgesamt?
Wieviel Traffik verursachen die "legalen" (politisch Unterdrückte) Tor-Nutzer?
Wieviel Traffik verursachen die "illegalen" (Warez, Kinderpornos, etc.) Tor-Nutzer?
Da bleibt nicht mehr viel übrig...
Wieviele DDoS- und Spam-Wellen sind mit der verbleibenden Bandbreite möglich?
Wieviele Anbieter für DDoS und Spam sind im Tor-Netzwerk aktiv?
Wieviel Bandbreite bleibt durchschnittlich pro DDoS oder Spam Anbieter übrig?
Nicht genug, das Tor-Netzwerk würde kollabieren...
 

GoofyLyfe

New Member
Dann hast Du bisher Glück gehabt und auch noch keine relevanten Angriffe (z.B. DDoS >20GBit/s) aus dem Tor-Netzwerk erlebt.
Das Regelt der DDoS Filter :cool: Spaß beseite, deine Rechnung ist für mich aber leider rein fiktiv. Ich hab keine Überblick über die Bandbreite die im Tornetz bereitsteht oder wie sich deren Traffic ("legal/illegal") aufteilt. Aber mich würde technisch interessieren wie es möglich ist dass Bandbreite von nicht Tor-Exits das Tornetz verlassen soll oder kann. Darauf bassieren ja deine Angaben.

Oder zielst du auf mögliche Amplification Attacks?
 

Joe User

Zentrum der Macht
Jeder einzelne Tor-Server lässt sich jederzeit für eine beliebige Zeitspanne zum Exit-Node umkonfigurieren und vice versa.
Somit kann also jede IP auf der Full-List jederzeit zum Exit-Node temporär zum Exit-Node machen und seinen Traffik direkt rausblasen (aka Angriff fahren) und direkt danach wieder zum Non-Exit-Node zurücksetzen. Bevor dieser temporäre Exit-Node auf der Exit-Node-Liste auftaucht, ist der Angriff längst gelaufen oder es dauert noch Ewigkeiten, bis auf die entsprechenden Abuse-Meldungen reagiert wird (wenn überhaupt).
Darüberhinaus arbeiten die bösen Buben mit ständig wechselnden IPs, wodurch sie letztendlich extrem lange bis ewig unterm Radar agieren können.

Das ganze Konzept und erstrecht die technische Umsetzung von Tor ist grundlegend kaputt und genau deshalb bei bösen Buben so beliebt. Andererseits sind genau diese kaputten Konzept und Umsetzung der Grund dafür, dass Tor eben nicht so anonym ist, wie es die Verantwortlichen gerne darstellen.

Aber das führt hier jetzt langsam richtig Off-Topic, daher nur als gut gemeinter Rat aus eigener Erfahrung:
Nutze die Full-List, oder lass es gleich sein. Und wenn Du nur einen vServer/Cloud-Blabla verwendest, dann lass es auch gleich sein, denn derartige Spielchen machen nur direkt auf dem Host Sinn.
 

GoofyLyfe

New Member
Erstmal danke für die Erklärung! :)

Ehrlich gesagt teile ich den möglichen Lösungsansatz stattdessen alles zu blocken trotzdem nicht. Natürlich besteht die Möglichkeit, dass die Systeme umkonfiguriert werden, aber neue Systeme sind ebenso wenig in der Liste drin (zumindest bis zum Update - also ein sehr ähnliches Angriffszeitfenster wie du erwähnt hast).
Das ist jetzt natürlich Spekulation, klingt aber doch eher nach einem exotischen Sonderfall und wenn die Performance vom Filtern von 12k vs. 1k Adressen in der Praxis wirklich einen großen Unterschied macht (davon gehe ich jetzt mal aus), würde ich die Performance > den möglichen Sicherheitsgewinn von eben diesem Sonderfall stellen.
Das meiste dürfte sich doch eher über die Exits abdecken lassen?.. Von "bringt gar nix" zu sprechen halte ich auf jeden Fall für etwas übertrieben :D
 

Joe User

Zentrum der Macht
wenn die Performance vom Filtern von 12k vs. 1k Adressen in der Praxis wirklich einen großen Unterschied macht (davon gehe ich jetzt mal aus)
Wenn Du eine CPU >=Core i5 4xxx und >=2GB RAM frei sowie einen entschlackten Kernel nutzt, dann ist das kein grosses Problem und sollte nicht mehr als 5ns kosten. Einfach mal selbst testen.


Ich filtere zum Beispiel ~32k-35k IPs mittels PF (FreeBSD 11.2) auf einer Intel Xeon E3-1245 V2 mit 16GB ECC-RAM in unter 3ns, das ist völlig OK.
 

d4f

Müder Benutzer
@Joe User Ich versuche deiner Argumentation zu folgen, aber ich stolpere dabei etwas. Soweit ich verstehe gehst du davon aus dass der Betreiber eines Tor Middle-Relays (Relay node) oder Bridge-Relays (Bridge node) ihre Nodes kurzzeitig gewollt als Exit-Relay (Exit node) umkonfigurieren um diesen dann zu missbrauchen oder durch Dritte missbrauchen zu lassen. Dieser Node wird dann vom Betreiber danach wieder als Middle-Relay umkonfiguriert. Ist diese Darstellung richtig soweit?
Was ich hier nämlich nicht verstehen würde - was bringt es dann alle Relay-Nodes zu blockieren, davon abgesehen dass Bridge Relays unlisted sind? Ein Angriff *könnte* von einem der Relay-Nodes kommen oder von einem beliebigen anderen Server der nie mit Tor in Kontakt war. Wenn wir schon dabei sind sollte man alle IP-Adressen der Haupt-Angriffsländer blockieren. Ich würde dabei mal mit Deutschland anfangen...
Ich verstehe die vermutete Argumentation dass man weiss dass Tor-User hierzulande nicht Normalbürger sind, aber dann müsste man zumindest alle Server-IPs schon mal blacklisten, das sind auch keine Normaluser.

Wichtige Anmerkung am Rand: eine RBL ist bei HTTP-Verkehr oft problematisch da die Latenzzeiten sehr hoch sein können. Ich hatte damit bei einem Projekt experimentiert falls gewisse suspekte Konditionen erfüllt waren, es hat aber regelmässig zu 2Sek+ Verzögerungen für den ersten Seitenaufbau von betroffenen Benutzer geführt.
 

Joe User

Zentrum der Macht
Zum ersten Absatz: Ja, das ist richtig dargestellt.
Zum zweiten Absatz: Meinen persönlichen Beobachtungen nach (aka versuchte Angriffe aus dem Tor heraus auf meine Systeme), wird überwiegend genau so vorgegangen und deshalb blocke ich die Full-List und habe seitdem Ruhe aus Tor.
Zum letzten Absatz: Ich frage ja keine RBL (DNS) ab, sondern lade alle x Stunden die Full-List und verfüttere diese an pf, fertig.
 

d4f

Müder Benutzer
und habe seitdem Ruhe aus Tor.
Hmm habe ich etwas falsch beschrieben. Was ich meinte ist, unter Aussperrung der Exit-Nodes: bringt es wirklich eine signifikante Reduzierung der Angriffe insgesamt auf den Server oder ist es eher Richtung "Tropfen auf den heissen Stein"?

Zum letzten Absatz: Ich frage ja keine RBL (DNS) ab
Das war auf den Originalpost des TE bezogen wo er eine DNSBL erwägt hatte =)
 

Joe User

Zentrum der Macht
Was ich meinte ist, unter Aussperrung der Exit-Nodes: bringt es wirklich eine signifikante Reduzierung der Angriffe insgesamt auf den Server oder ist es eher Richtung "Tropfen auf den heissen Stein"?
Auf meinen Servern reduzierten sich die Angriffe nach dem Filtern der Tor-Exits um etwa 40% und nach dem zusätzlichen Filtern der Tor-Relays (Full-List) um weitere 60%, was insgesamt eine Reduzierung von ~70% ergibt. Das würde ich durchaus als "signifikant" bezeichnen.

Andererseits muss sich meine persönliche Erfahrung längst nicht mit der Erfahrung anderer Admins decken, auch wenn ich von mehreren anderen Admins (Hobby, Konzerne, ISP, Startups) ähnliche Zahlen berichtet bekommen habe.
Es hängt halt auch davon ab, wie "interessant" der jeweilige Server ist oder zu sein scheint, oder ob der Server in Netzsegmenten mit potentiell vielen Kinderzimmer-Admins (aka bei Server-Hosting-Anbietern) steht.
 

d4f

Müder Benutzer
Hmm durchaus interessant. Ich filtere aktuell ausschliesslich detection-basiert was zu einer erhöhten Grundlast führt. Allerdings ist mir in allen Auswertungen noch nicht aufgefallen dass Tor-Exits als übermässig signifikanter Angreifer dabei waren, meist waren es in meinen Fällen gesteuerte Bots sowie deren Reflections.... sowie Schulen und andere öffentliche Einrichtungen mit guter Internetanbindung.
 

Top