Снифать можно любой трафик проходящий через твой сервер. Только вот в отснифанном трафике ничего кроме кучи зашифрованных данных не увидишь. Единственное если у тебя ДНС сервер настроен криво, то можно ловить запросы к внешним ДНС серверам. Т.е. видеть на какой .onion сайт пытается зайти пользователь внутри сети ТОR.
DonKozaNostra сказал(а):
↑
Ага, только вот браузеры теперь при попытке подсунуть самоподписанный сертификат 10 раз спросят у пользователя хочет ли он этого и понимает ли последствия. Не говоря уже о том что незаметный для пользователя редирект с https на обычный http без легитимного сертификата невозможен(если у тебя не IE7 конечно)).
Будь у ТОРа всего 10 нод, то снифф для поиска данных пользователей определенного форума/сервиса имел бы смысл. Сейчас от этого толку почти нет. Если не ловить данные совсем рандомных людей ну или учетки инвалидов с форумов без SSL. Wait a second.... на hydraonion.pk тоже нет SSL o\
Благо двухфакторная авторизация спасает.
Учитывая сколько НОД онлайн и скорость их смены при работе поймать снифером именно момент авторизации нужного тебе форума да еще и без SSL. ИМХО бессмысленное занятие, особенно за 15к еще и самому лопатить кучу отснифанного трафа с ЦП и прочей фигней в поиске заветных логпассов очень уважаемых пользователей весьма кривого форума)
Так же не согласен с мнением, что 90% серверов скомпрометированны. Поскольку сейчас взять впс с гигабитным каналом не стоит почти ничего, а развернуть свою ноду это 15 минут гуглежа. Да и будь целенаправленная закупка серверов спецслужбами эРэФии или США то карта нод выглядела бы сильно иначе(сама карта) и ноды были бы более централизованы и с почти полным отсутствием нод в Residential зоне т.к. у хостеров было бы тупо дешевле брать железо + траф. Так же бесконечное логгирование непонтяно чего. Мы же говорим о пакет логах верно? Т.е. этих сранных логов с кучи серверов будет столько, что хранить их тоже будет стоить не дешевле аренды самих серверов. И владея хотя бы 50-60% нодами нынешнего ТОРа проще будет с этой инфраструктурой создать новую сеть скомпрометированную с самого начала, при этом попутно еще положив все оставшиеся ноды тора
DonKozaNostra сказал(а):
↑
Конечно есть. Только вот эти способы никак не связанны с техническими штучками типа ВПНов и т.д. Кушать преступник же хочет? Вот по финансовым потокам и вычисляют. Если бы кардер и им подобные были бы чисто сетевыми сущностями без потребности в еде, деньгах ну и конечно без потребности попиздеть в компании какой он невьебенный хацкер, то хрен бы его кто нашел. Достаточно просто представить десяток другой твоих серверов в дружественных ДЦ где нибудь на ближнем востоке + еще сотню прикрутить мелких белых серверов + пускать рандомный трафик между ними + прикрутить еще бесплатных сервисов обмена трафиком типа I2P, бесплатный впн + тот же самый ТОР или вообще торренты) Что бы было трафика столько, что бы у ДЦ просто места и мощностей не хватало это все логгировать продолжительное время.
Это конечно сильно утрированная схема но достаточно даже 2 или 3 серверов без логов, что-бы было ясно, что найти там будет что либо почти нереально. Намного проще на форумах типа ДМ, или того же ВВХ втираться в доверие к особо "авторитетным" пользователям. Наблюдать за движением денег в кошельках которыми они светят или даже начать с ним работать, а там уже они сами начнут выдавать данные которые позволят вычленить их из толпы. Вот тебе и не нужны никакие бекдоры, снифферы и т.п. Все дешево и сердито)
Изначально вообще не хотел ничего писать в этой теме) Но чет расперло) Ну и переименовал топик что бы не вводить людей в заблуждение.
.png.82c9599186830e1520f28c828ccd8c29.png)
