Предотвращение атаки DefecTor

В последние несколько дней СМИ опубликовали новость о новом векторе атак против пользователей сети Tor. Атака получила название DefecTor.

Атака представляет из себя анализ DNS-трафика из выходных узлов, что позволяет с высокой точностью идентифицировать пользователей Tor.

К счастью эту атаку можно смягчить. Хотя это не решает всех проблем, но может значительно усложнить ее применение.

Решение заключается в запуске DNS-резолвера на том же компьютере, на котором запущен выходной узел Tor. Это означает , что все запросы DNS теперь будут отправлены на 127.0.0.1. Это гарантирует, что все DNS-запросы будут идти на корневые серверы имен. Для этого идеально подойдет PowerDNS Recursor.

apt-get update && apt-get install pdns-recursor

Этой командой мы устанавливаем сервер DNS. Открываем файл конфигурации /etc/powerdns/recursor.conf, находим строчку allow-from= и изменяем ее на это:

allow-from=127.0.0.0/8

Перезапускаем сервер командой:

service pdns-recursor restart

Собственный сервер DNS запущен. Теперь нужно, чтобы система начала к нему обращаться.

Открываем файл /etc/resolv.conf и добавляем туда следующую строчку:

nameserver 127.0.0.1

Перезапускаем Tor:

service tor reload

Осталось только проверить, все ли работает. Для этого надо использовать команду PowerDNS:

rec_control get all-outqueries

Она покажет запросы к нашему серверу имен.