警告：超过100个Tor节点被发现用于监视Deep Web用户

西北大学的阿米拉利·萨纳蒂尼亚（Amiri Sanatinia）和格瓦拉·努比尔（Guevara Noubir）两名研究人员在Tor网络上进行了72天的实验，在网络上发现了至少110个恶意Tor隐藏服务目录（HSDir）。

这些节点也称为Tor hidden services目录(HSDirs)是充当介绍点的服务器，配置为接收流量并将用户引导到隐藏服务（“洋葱“地址）。

换句话说，隐藏服务目录或HSDir是屏蔽Tor网络上用户的真实IP地址所需的关键元素。但问题是：

任何人都可以设置HSDir。

努比尔说：“Tor的安全性和匿名性基于这样一个假设，即它的绝大多数中继都是诚实的，不会有不当行为。”。“尤其是隐藏服务的隐私依赖于隐藏服务目录（HSDIR）的诚实操作。”

另请阅读：Mozilla要求FBI披露用于攻击Tor用户的Firefox漏洞

两人推出了大约1500台蜜罐服务器，他们称之为珩磨(蜂蜜洋葱)，运行框架以公开“当具有HSDir功能的Tor中继被修改为窥探其当前承载的隐藏服务时."

超过100个恶意Tor节点窥探黑暗的Web用户

在2016年2月12日至2016年4月24日之间进行的实验之后，研究人员收集并分析了所有数据，发现至少有110个恶意HSDiR，大多数位于美国、德国、法国、英国和荷兰。

在这110个恶意HSDir中，有70%以上托管在专业的云基础设施上，因此很难了解谁是恶意节点的幕后黑手。

此外，所有110个恶意HSDir中有25%同时充当Tor流量的HSDir和出口节点，允许恶意中继查看所有未加密的流量，进行中间人（MitM）攻击，并窥探Tor流量。

报纸，”Honions：检测和识别行为不端的Tor Hsdir“[PDF]详细介绍了研究人员的工作，并将于下周在DEF CON安全会议上介绍。

而大多数恶意节点都会查询服务器根路径之类的数据，请参见说明。json服务器文件和Apache服务器状态更新，其他人进行了恶意攻击，如XSS、SQL注入攻击和路径遍历攻击。

研究论文写道：“我们检测到了其他攻击向量，比如SQL注入、Drupal中的用户名枚举、跨站点脚本（XSS）、路径遍历（寻找boot.ini和/etc/passwd）、针对Ruby on Rails框架（Rails/info/properties）和PHP复活节彩蛋（？=PHP*-*-*-*-*-*-*）”。

研究人员于周五在德国举行的隐私增强技术研讨会上公布了他们的研究结果。

必须阅读：前Tor开发者为FBI创建了恶意软件

新Tor设计加强Tor隐藏服务

研究人员表示，Tor项目已经意识到了HSDir问题，并正在努力从网络中识别和删除恶意的HSDir。

Tor项目在其博客中说：“据我们所知，在这种情况下，行为不端的继电器的目标只是发现他们无法通过其他方式学习的洋葱地址—；他们无法识别Tor隐藏服务的主机或访问者的IP地址。”。

尽管Tor项目正在努力删除恶意的HSDir，但长期的解决方案是一种新的隐藏服务设计：任务：Montreal！

正如该项目所说，新设计的代码已经编写完成，但发布日期仍有待最终确定。”Tor开发人员几个月前完成了协议的实现，从那时起，我们一直在审查、审核和测试代码。"

根据Tor开发者的说法，新设计将部署一个分布式随机生成系统，该系统具有以前从未在互联网上部署过。"

Tor用户：政府黑客攻击的目标

对Tor项目来说，攻击Tor并不是什么新鲜事。这项研究是隐藏服务和Tor用户的最新迹象，表明网络最终无法保证他们的匿名性。

去年，美国联邦调查局（FBI）在调查世界上最大的黑网儿童色情网站“Playpen”时，揭露了TOR用户的身份，该网站使用其网络侦查技术“（NIT）至今仍未披露。

据报道，Tor项目指控FBI向卡内基梅隆大学（Carnegie Mellon University，CMU）的安全研究人员支付至少100万美元，以披露他们发现的可以帮助他们揭穿Tor用户伪装的技术。

研究人员在2014年的黑帽黑客大会上取消了他们的演讲，演示了一种降低Tor用户匿名性的低成本方法，但没有给出任何解释。该项目后来修补了使FBI的利用成为可能的问题。

最近，麻省理工学院的研究人员创造了Riffle–；一种新的匿名网络，承诺在黑客在网络上引入恶意服务器时提供更好的安全性，TOR很容易受到这种技术的攻击，尽管这离实现还有很长的路要走。