Detection of anonymized traffic: Tor as case study

Abstract

This master thesis studies Tor, an anonymous overlay network used to browse the Internet. It is an open-source project that has gain popularity mainly because it does not hide its implementation. In this way, researchers and security experts can examine and confirm its security requirements. Its ease of use has attracted all kinds of people, including ordinary citizens who want to avoid being profiled for targeted advertisements or circumvent censorship, corporations who do not want to reveal information to their competitors, and government intelligence agencies who need to do operations on the Internet without being noticed. In opposite, an anonymous system like this represents a good testbed for attackers, because their actions are naturally untraceable. Traffic characteristics are studied in detail, which can be used to detect Tor. Further, a detection mechanism was developed to prevent users from reaching the Tor network. Finally, some changes are proposed so that Tor can better disguise its traffic with traditional web browsing traffic to overcome any intention of blocking it.

Esta tese de mestrado estuda o Tor, uma rede overlay anonima que é usada para aceder a informações na Internet. Trata-se de um projeto open-source que ganhou popularidade principalmente porque não esconde a sua implementação. Desta forma, investigadores e especialistas em segurança podem examinar e confirmar os requisitos de segurança especificados. A sua facilidade de uso atraiu diferentes tipos de pessoas, incluindo cidadãos comuns que pretendem evitar a publicidade e os anúncios direcionados ou a censura, empresas que não pretendem revelar informações aos concorrentes e agências de inteligência governamentais que precisam de realizar operações na Internet sem serem vigiadas. Por outro lado, um sistema anónimo como este representa um bom ambiente de teste para atacantes, porque as suas ações são difíceis de controlar. As características de tráfego são estudadas em detalhe, e podem ser usadas para detectar o Tor. Além disso, foi desenvolvido um mecanismo de deteção para impedir que os utilizadores alcancem a rede Tor. Finalmente, são propostas algumas alterações para que o Tor possa ofuscar melhor o seu tráfego com o tráfego tradicional Web, de modo a ultrapassar qualquer intenção de bloqueá-lo.