论文阅读笔记 | On the Challenges of Geographical Avoidance for Tor（NDSS 2019）

论文信息

• 论文：On the Challenges of Geographical Avoidance for Tor
• 会议：NDSS
• 发表时间：2019年
• 作者：Katharina Kohls

核心思想

client 到server 实际建立的circuit的RTT：$R_{e2e}$，与client 经过监管区域后到达server 的最小RTT：$R_{est}$ 进行比较：

$$\{\begin{array}{rl}{R}_{e2e}& <R_{est},建立的circuit没经过监管区域\\ R_{e2e}& \ge R_{est},建立的circuit可能经过监管区域\end{array}$$

如果建立的circuit可能经过监管区域的话，那么就不使用该circuit进行通信

---

1. 背景

背景：

• 针对Tor的流量分析是近几年的研究热点，已经有很多关于Tor流量分析的相关工作
• 并且，当某个地区对流量进行分析和管控时，经过该地区的Tor circuit将不再安全

因此，本文要解决的问题是：如何避开某个监管地区的流量分析给Tor网络匿名通信带来的威胁。该问题具有三个方面的挑战：

1. 网络的多样性
2. 缺乏真实有效的信息，比如IP地址真实的地理位置
3. 实际部署中的问题

本文提出了一种基于经验的从地理上进行规避流量分析的方法，并且实现了一个原型TrilateraTor，在现实中部署。

2. 方法

Tor在建立circuit时，会从directory server获取中继节点的信息，包括IP，身份摘要等等。因此，为了判断中继节点有没有在监管区域内，可以通过中继节点的IP进行定位。

补充：Tor网络有9个 Directory Authorities，它们通过达成共识的consensus document维护活跃的中继节点和网桥（未公开的入口中继）。

2.1 Symmetric Approach

Li等人在2017年提出DeTor，该方法结合客户端到服务端的距离，根据数据传输速度不超过$\frac{2c}{3}$的假设（c是光速），比较circuit的RTT 和经过监管区域circuit的RTT 下界，对circuit是否经过监管区域进行判断。经过监管区域的circuit包括以下四种情况：

图1：经过监管区域的circuit的几种情况

因此，DeTor提出下面的公式，计算client经过监管区域到达server的最短时间：

$$R_{min}=\frac{3}{2c}\cdot \min \{\begin{array}{rl}2& \cdot D_{min}(c,F,e,m,x,s)\\ 2& \cdot D_{min}(c,e,F,m,x,s)\\ 2& \cdot D_{min}(c,e,m,F,x,s)\\ 2& \cdot D_{min}(c,e,m,x,F,s)\end{array}$$

其中，$c,e,m,x,s$分别表示client, entry relay, midlle relay, exit relay, server。$F$表示Forbidden Area中距离当前circuit最近的点。$D_{min}$代表最小距离

公式的含义就是: $\frac{最短距离}{链路传播的最大速度\frac{2c}{3}}$。大括号是选出从$client\to server$最短距离，根据图1，有四种情况。可以看到，DeTor假设往返是对称的，所以对每个距离乘了2。

当实际测量的RTT 小于阈值$R_{min}$时，可以认为环路不经过监管区域；大于阈值时，可能经过监管区域，需要舍弃此环路。

显然，为了测量client经过监管区域到达server的RTT，我们需要中继(relay)的位置，判断中继是否在监管区域内。DeTor直接使用了GeoIP得到IP地址所在的区域。

DeTor的缺点：

• DeTor认为往返路径是对称的，实际上不是
• 直接使用GeoIP数据库得到IP所在地理位置
• 没有实际部署和测试

2.2 Asymmetric Approach

本文在DeTor基础上，提出Asymmetric Approach
经过监管区域的RTT的下界$R_{min}$：
$$R_{min}=\frac{3}{2c}\cdot \min \{\begin{array}{rl}& D_{min}(c,F,e,m,x,s)\\ & D_{min}(c,e,F,m,x,s)\\ & D_{min}(c,e,m,F,x,s)\\ & D_{min}(c,e,m,x,F,s)\end{array}+D(c,e,m,x,s)$$

其中，$c,e,m,x,s$分别表示client, entry relay, midlle relay, exit relay, server。$F$表示Forbidden Area中距离当前circuit最近的点。$D_{min}$代表最小距离

并且，针对GeoIP数据库得到IP所在地理位置可能是错误的情况，本文根据ICMP和三角定位法进行修正

2.3 Empirical Approach

前两种都是静态的方法，为什么说是静态的呢？因为这两种方法都直接使用$\frac{2c}{3}$进行RTT的测量。

因此，进一步，本文提出基于经验的方法，其实就是先测量好每一跳之间的时间，需要的时候再拿出来计算RTT，然后定期更新传输时间的一种方法。这也是本文最终使用的方法。

基于经验的方法最关键的是事先测量不同的circuit中，中继(relay)之间每一跳的时间（而不是使用静态的速度$\frac{2c}{3}$进行测量）。当需要计算整条circuit的RTT时，把circuit上中继间每一跳的时间加起来即可。

思想：该circuit扩展到监管区域以后的RTT $R_{est}$，与新建circuit的RTT $R_{e2e}$进行比较

具体步骤：

• 对新建的circuit，测量RTT：$R_{e2e}$，获取该circuit上的中继信息

• 测量扩展到监管区域后的最短增加延时 $ex{t}_F$
  $$ex{t}_F=\min \{\frac{D(A,F,B)}{avg[S(A,F),S(B,F)]}\}$$

  $A,B$是circuit上的中继，$F$是监管区域距离circuit上的中继最近的节点
  

图2：最短增加延时的情况

也就是说，$ex{t}_F$表示在新建circuit的基础上，扩展到监管区域时，监管区域Forbidden Area中距离circuit最近的点F，与circuit中最近的两个点A，B之间增加的时间。

• 估计阈值$R_{est}$：
  $$R_{est}=ex{t}_F+est(c,s\backslash ex{t}_F)+est(e,s)$$
  其中，最短增加延时$ex{t}_F$，除与延时相关的跳外所有跳的估计$est(c,s\backslash ex{t}_F)$以及从服务端返回到客户端的跳的估计$est(e,s)$

• 判断依据：
  $$\Delta =\frac{R_{est}}{R_{e2e}}$$

$$\{\begin{array}{rl}\Delta & \ge 1,建立的circuit没经过监管区域\\ \Delta & <1,建立的circuit可能经过监管区域\end{array}$$
如果经过的话，说明不安全，拒绝该circuit

3. 实验

3.1 实验设置

• 8个国家(DE,US,FR,UA,RU,NL,GB,SE,CA)的服务器
  • 相当于client，通过这些服务器来建立不同的circuit，事先测量每条circuit上、中继的跳之间的时间
• Hop Estimates $R_{e2e}$：16500个中继连接
  • 1945 个Entries，3724个Middles，893 个 Exits
• Circuit RTT $R_{est}$：70,081 circuits, 275,509 measurements
  • 1670 Entries, 2712 Middles, 735 Exits (artificial circuits)
  • 35,924 reference circuits

3.2 实验方法

每次选取八个国家(DE,US,FR,UA,RU,NL,GB,SE,CA)中的一个作为监管区域，也就是作者其实只考虑了只经过一个监管区域的情况。

而且，由于需要选取监管区域中离当前circuit最近的节点，因此整个circuit其实是人工（artificial）构造的。

1. 对于所有的circuit，本文先确定从当前电路到监管区域的最短扩展。计算扩展的时间$ex{t}_F$，确定监管区域中距离电路最近点的位置（判断是在c和e之间？e和m之间？…）
2. 对于Empirical Approach，查询1.中得到的当前circuit中每一跳的RTT，并且计算扩展到监管区域的时间$ex{t}_F$，进一步，可以计算阈值$R_{est}$，以及阈值与的实际测试值的比值$\Delta$
3. 对于Symmetric Approach 和 Asymmetric Approach，则是使用the great circle distance和$\frac{2c}{3}$计算每一跳的时间，从而可以得到实际测量的时间；使用第二章中2.1（对应Symmetric Approach）和2.2（对应Asymmetric Approach）中的公式来估计一个circuit的阈值。进一步的，可以得到阈值与的实际测试值比值$\Delta$
4. 当$\Delta \ge 1$时，接受该circuit；否则拒绝该circuit

3.3 实验结果

• 检测能力：使用reject rate：由于实际的RTT超过阈值RTT而拒绝的circuit的数量，进行评估。
  • 欧洲的监管区域之间的差异小；在使用Asymmetric Approach的情况下，美国和加拿大作为监管区域时reject rate显著增加，这是由于从当前circuit扩展到美国、加拿大需要的距离更远（作者是德国人，大部分的测试服务器是在欧洲）。
  • 跟Symmetric Approach和Asymmetric Approach相比，在不采用circuit的数量方面Empirical Approach减少了22.64%，有更好的性能表现；
• 性能损害：Empirical Approach拒绝较少的circuit，维持27MB/s的平均带宽
• 附带损害：$\Delta$的决策阈值1会影响到单个用户的使用性能，也会影响到整个网络的性能。可以通过降低决策阈值来降低reject rate，从而提高网络的性能。比如，原来是$\Delta =\frac{R_{est}}{R_{e2e}}\ge 1$时接受该circuit，现在只要$\Delta =\frac{R_{est}}{R_{e2e}}\ge \frac{1}{2}$即可接受。

图3：实验结果

4. 总结

提出了基于经验的路径地理规避方法，在Tor circuit建立的过程进行RTT测量，不泄露多余信息，也不会留下其他指纹。

图3：RTT

---

文章中除了理论，也就是第二章中介绍的那几种，还介绍了原型TrilateraTor的部署情况，这里为了简单就没有进行介绍。

最后，文章中有理解错误的请指出！