历时72天，在TOR网络中钓出110多台“流氓服务器”

两名研究人员经过72天的研究调查、数据收集和分析，终于在上周五在隐私保障技术研讨会（PETS）上发布了他们研究结果。两名研究者（教授Guevara Noubir，博士生Amirali Sanatinia）透露他们发现至少有110台行为异常的服务器。

这两位来自美国东北大学的两位科学家在Tor洋葱网络进行了一项实验，此项实验用到1500蜜罐服务器已发现出至少110台“流氓服务器”。本此实验（2016年2月12日–2016年4月24日）旨在测试Tor同胞服务器的可信因素和HSDirs（隐藏服务目录），尤其是HSDirs，它是指一个Tor服务器用于承载一个.onion（深网）网站的复杂项目。

初步窥探

研究人员把这些蜜罐服务器称为HOnions，他们把这些服务器伪装成日常生活中的Tor服务器逐渐引入到网络中，并覆盖尽可能多的Tor网络流量，用于检测那些可疑的TOR服务器。

进过72天的研究，两位研究员分析捕获的所有数据，制成报告并在在隐私保障技术研讨会上发布了他们研究结果。

对一些服务器尝试SQL注入和XSS攻击

大多数数据查询表现出恶意行为，如访问服务器的根目录的路径，description.json服务器文件，以及Apache状态页面数据。Guevara Noubir教授补充道：

“我们检测到其它攻击手段，如SQL注入（针对INFORMATION_SCHEMA.TABLES），Drupal用户名枚举，跨站点脚本（XSS），路径遍历（寻找boot.ini文件和/ etc / passwd文件），瞄准Ruby on Rails框架（导轨/信息/属性），和PHP复活节彩蛋（= PHP？ – - – - *）。 ”

这110台行为不端的HSDirs中，有70%是运作在专业云计算基础架构上。这就说明，这些“流氓服务器”不是建立自己的家用台式机作为节点服务器。

有些恶意服务器是Tor的出口节点

Tor网络的攻击都为Tor项目，探讨这些项目的大多是民族国家行为者，犯罪侦查机构，学术研究人员和网络犯罪分子。研究中，25％的HSDirs充当Tor流量的出口节点，也就是说这类人群可能会利用这些服务器来开展中间人攻击（MitM）攻击的征兆，并窥探Tor流量，隐患重重。

如果你想了解更多关于Tor HSDirs的研究，点击这里可以下载完整报告。

*参考来源：softpedia。FB小编bimeover编译