原文标题： An Anonymity Vulnerability in Tor
原文作者： Qingfeng Tan, Xuebin Wang, Wei Shi, Jian Tang, Zhihong Tian
原文链接： https://ieeexplore.ieee.org/document/9814212
发表会议： IEEE/ACM Transactions on Networking
笔记作者： 王彦@安全学术圈
主编： 黄诚@安全学术圈
编辑： 张贝宁@安全学术圈

1 总体介绍

随着物联网与网络物理系统的普及，用户对隐私的关注日益增强。Tor 作为最广泛使用的低延迟匿名通信系统，每日承载 TB 级流量，为全球数百万用户提供服务。然而，Tor 在面对端到端流量关联攻击时仍显脆弱——传统攻击假设对抗者必须同时监控通信两端，且常依赖难以满足的强假设条件，难以适用于真实网络。

现有去匿名化研究主要聚焦于控制守卫节点或利用流量相关性，但在 Tor 规模已超 7000 个路由、节点分布跨越多个国家的背景下，这些方案难以同时掌控入口与出口。为了突破这一瓶颈，本文提出一套全新的 Trapper 攻击框架，允许对抗者在仅监控单一端点的情况下，通过“选择性破坏”与“路径劫持”双管齐下，实现对用户路径的确定性控制。

文章贡献可以概括为四点：1) 提出 Trapper 攻击，首次将 Tor 的概率选路算法降维为确定性路由选择；2) 设计三层反检测机制，使蜜罐中继可长期躲避 SybilHunter 与 DannerDetector的检测；3) 在真实 Tor 网络中验证了攻击的可行性和高效性；4) 给出形式化评估框架，量化攻击对 Tor 安全性的实际影响。

2 背景知识

Tor 采用三层洋葱路由，客户端首先随机选取一个“守卫节点”作为入口，随后每 10 分钟重建一次三跳电路。为保证稳定性，Tor 规定若守卫列表中所有节点均可达，则 120 天内不会更换；这一机制被称为“守卫机制（Entry Guard）”。

对抗者模型分为节点级与 AS 级。节点级对抗者通过运行或攻陷志愿者中继加入网络；AS 级对抗者则可直接操控路由、丢包或阻断特定 IP，借助国家级防火墙的偶发失效，可精准地阻断可信守卫，迫使用户转向蜜罐。

已有研究提出多类攻击，例如路径选择攻击通过操控带宽声明诱导用户选择恶意节点，流量分析攻击则利用包长、时序或吞吐特征进行流量匹配。针对蜜罐节点的检测方法（如 Sybilhunter）依赖节点配置与上线行为模式分析，而 DannerDetector 则通过建立测试电路判断节点是否选择性阻断。然而，这些方法在面对精心伪装的节点时往往失效。

3 方案设计

Trapper Attacks 的设计目标是 强迫 Tor 用户电路经过攻击者控制的蜜罐节点，最终在入口和出口两端同时获得流量视角。并通过精细的反检测策略让蜜罐中继长期存活。

首先，对抗者向 Tor 网络注入高带宽、高在线率的蜜罐守卫和出口节点。随后启动 Guard Relay Capture（GRC）攻击：对抗者利用 AS 级阻断能力，对目标客户端当前选中的可信守卫进行“精准丢包”。客户端检测到守卫不可达后，会立即触发守卫列表更新；对抗者继续阻断直至客户端选中蜜罐守卫为止。

在入口被控制后，对抗者启动 Tor Circuit Selective Destruction（TCSD）攻击。客户端每 10 分钟自动重建电路，若发现出口并非蜜罐，则蜜罐守卫收到电路控制器发来的 CMD_INTERRUPT 指令后立即中断该电路，迫使客户端重新建路；重复此过程直至出口也为蜜罐节点。此时，对抗者同时掌握入口和出口，即可执行端到端流量关联。

为防止 SybilHunter 与 DannerDetector 识别蜜罐中继，作者设计三层反检测策略。其一为“混淆部署”，对蜜罐的 IP、端口、昵称、软件版本、上线时间等属性按真实中继分布随机化，使 SybilHunter 难以聚类。其二为“延迟决策”，蜜罐在收到探测器电路后先随机等待一段时间再决定是否中断，打破 DannerDetector 对固定中断时间的识别。其三为“协同过滤”，所有蜜罐共享历史探测模式，当发现与过往探测指纹相似的电路时，动态降低中断概率，进一步隐藏自身。

系统架构如图 2 所示，由电路控制器、流量分析模块和流量关联模块组成。电路控制器负责下发中断命令；流量分析模块提取特征向量，包含方向、类型、五元组、电路 ID 与时间戳等；流量关联模块则在入口与出口特征向量之间计算皮尔逊相关系数，若超过设定阈值即判定为同一用户-目的地对。

4 实验评估

作者在 10 个地理分布的 vantage point 上运行 20 个并发 Tor 客户端，并注入 3 个蜜罐守卫与 5 个蜜罐出口进行真实网络测试。

图 3 展示随着对抗者控制守卫数量增加，首次成功捕获入口的概率迅速上升；当控制 100 个守卫时，在阻断 47 条建路尝试后即可高概率劫持目标守卫。图 4 进一步说明，若对抗者所占守卫带宽比达到 5 %，平均仅需 3 分钟就能迫使客户端更新守卫列表，远低于正常的 3–6 个月。

图 5 显示在蜜罐出口数量增加时，成功控制出口所需的电路重建次数显著下降；当部署 20 个蜜罐出口时，约 400 次重建即可实现 90 % 以上的出口劫持概率。图 6 综合入口与出口，给出整体成功破坏整条路径的概率曲线，证实 Trapper 攻击在 4 小时内可对目标地区 100 % 用户实现去匿名化。

反检测实验部分，作者先比较三种策略下的网络波动率（图 7、图 8），发现采用混淆部署后，蜜罐的加入/退出对整体网络波动影响与真实中继几乎无异；表 II 显示，209 个蜜罐中继中 94.28 % 成功逃过 SybilHunter 检测。图 9 在对 DannerDetector 的模拟中，采用协同过滤与延迟决策的蜜罐平均寿命可达随机策略的 235 倍，在 100 个蜜罐规模下寿命提升 85 倍，充分验证了反检测机制的有效性。

最后，图 10 与图 11 分别给出去匿名化准确率与误报率随时间变化曲线：在 30 秒内即可达到 100 % 准确率，误报率低于 1 %，涵盖网页浏览、IRC 与 BitTorrent 三种典型应用场景。

5 结论

本文首次提出并实现了可在真实 Tor 网络中部署的 Trapper 攻击，通过“选择性破坏 + 路径劫持 + 反检测”的组合策略，在仅监控单端流量的弱假设下，40 秒内 100 % 去匿名化用户。与之前需同时监控两端或依赖强网络假设的方案相比，Trapper 攻击更贴近现实威胁模型。作者还给出形式化评估框架，为后续防御研究提供量化基准。

从实践角度看，Trapper 攻击揭示了 Tor 守卫机制与路径选择算法在动态环境下的脆弱性，提醒社区需限制守卫更新频率、引入信誉评价，并借助 VPN 等前置加密隧道缓解单端可见性风险。对于其他基于志愿者中继的低延迟匿名系统（如 I2P、Freenet），亦需审视其路径选择对类似攻击的抵抗力。