| I2P | |
|---|---|
| Típusú | ingyenes és nyílt forráskódú szoftverek , Névtelen hálózatok , Overlay hálózat és mobilalkalmazás |
| Beírva | Java [2] |
| Operációs rendszer | Microsoft Windows , Linux , macOS , OpenBSD , FreeBSD és Android |
| Interfész nyelvek | Angol , spanyol , német , orosz és francia |
| Első kiadás | 2003 [1] |
| Hardver platform | Java virtuális gép és Android |
| legújabb verzió |
|
| Engedély | BSD , GNU GPL , MIT licenc és 🅮 [d] |
| Weboldal | geti2p.net _ |
| Médiafájlok a Wikimedia Commons oldalon | |
Az I2P ( az angol i nvisible i nternet project rövidítése , IIP , I 2 P – the Invisible Internet project) egy névtelen számítógépes hálózat .
Az I2P hálózat overlay , rugalmas (egy csomópont letiltása nem befolyásolja a hálózat működését), anonim (lehetetlen vagy nehéz meghatározni a csomópont IP-címét ) és decentralizált [4] (nincs központi szervere ). A hálózati csomópontok közötti adatátvitel során titkosítást alkalmaznak .
Bármilyen szolgáltatás (vagy szolgáltatás) ( fórum , blog , fájltárhely , e-mail , azonnali üzenetküldés ( chat ), fájlmegosztás , VoIP stb.) elhelyezhető az I2P hálózaton belül a szerver anonimitásának megőrzése mellett. Az I2P hálózat http szervereket futtat ; a webhelyek címei az " .i2p " pszeudotartományban vannak. Peer-to-peer hálózatok (P2P) építhetők az I2P hálózatra , például BitTorrent , eDonkey , Kad , Gnutella stb.
Az I2P egy névtelen, önszerveződő elosztott hálózat , amely módosított DHT Kademlia -t használ , de abban különbözik, hogy hálózati csomópontok kivonatolt címeit , AES - titkosított IP-címeket , valamint nyilvános titkosítási kulcsokat tárol, és a hálózati adatbázis-kapcsolatok is titkosítva vannak. A hálózat átviteli mechanizmust biztosít az alkalmazások számára, hogy névtelenül és biztonságosan továbbítsák egymásnak az üzeneteket [5] . Bár az I2P hálózat fő feladatként a csomagküldés útvonalának meghatározását jelöli ki, a Streaming lib könyvtárnak köszönhetően ezek szállítása is az eredetileg megadott sorrendben valósul meg hiba, veszteség és duplikáció nélkül, ami lehetővé teszi [6] az IP használatát. telefon , internetes rádió , IP az I2P - televízió , videokonferencia és egyéb streaming protokollok és szolgáltatások .
Az I2P hálózaton belül saját webhelykönyvtárat , elektronikus könyvtárakat és torrentkövetőket üzemeltet . Ezen kívül léteznek átjárók az I2P hálózat közvetlen internetről történő elérésére, amelyeket kifejezetten olyan felhasználók számára hoztak létre, akik különböző okok miatt nem tudják telepíteni számítógépükre az Invisible Internet projektszoftvert [6] .
Az I2P hálózatot titkosítási mechanizmusok , P2P architektúra és változó közvetítők (ugrások) használják. Ez a módszer feltételezi a deanonimizálás, a MITM-támadások bonyolultságának növekedését, és teljesen lehetetlenné teszi a csomagok átlátható cseréjét a felhasználó számára .
Jelenleg a hálózat eleme a hagyományos DNS-kiszolgálók egyfajta megvalósítása . A következő szempontokban tér el a szokásos DNS-től [7] :
Mivel a hálózat peer-to-peer és decentralizált, a hálózat sebessége és megbízhatósága közvetlenül függ attól, hogy az emberek részt vesznek-e mások forgalmának továbbításában.
Az I2P eléréséhez telepítenie kell egy útválasztó programot a számítógépére , amely (de)titkosítja, (nem)tömöríti a forgalmat , és elküldi azt az I2P-ben működő társaknak. Ha intranetes webhelyekkel szeretne dolgozni, be kell állítania a böngészőt úgy, hogy HTTP - csomagokat küldjön az adott porton figyelő útválasztónak . A külső internet I2P-n keresztüli eléréséhez az I2P-n belülről (outproxy) belülről proxyszervereket kell használni , amelyek jelenleg kevés. Az I2P hálózat belső oldalai is elérhetők a külső internetről egy proxyszerveren keresztül [8] .
A hálózatot eredetileg azzal a feltételezéssel tervezték, hogy minden közbenső csomópont kompromittált vagy rosszindulatú, ezért számos aktív intézkedést vezettek be ennek ellensúlyozására [9] .
A hálózaton a feladótól a címzettig terjedő összes forgalom titkosítva van. Összességében egy üzenet továbbításakor négy titkosítási szintet használnak (végponttól végpontig, fokhagyma , alagút és szállítási szintű titkosítás ), a titkosítás előtt kis véletlenszámú véletlenszerű bájt automatikusan hozzáadódik minden hálózati csomaghoz. tovább személyteleníti a továbbított információkat, és megnehezíti a tartalom elemzését és blokkolja a továbbított hálózati csomagokat. A titkosítási azonosítók , amelyek nyilvános kriptográfiai kulcsok, hálózati címként használatosak . Az I2P hálózatban az IP-címek sehol és soha nem használatosak, így a hálózat egyetlen csomópontjának valódi címét sem lehet meghatározni [6] . A számítógépen minden hálózati alkalmazás külön, titkosított, névtelen alagutakat épít ki magának. Az alagutak többnyire egyirányúak (egyes alagutakon a kimenő forgalom, másokon a bejövő forgalom) - az irányt, hosszt és azt is, hogy melyik alkalmazás vagy szolgáltatás hozta létre ezeket az alagutakat, rendkívül nehéz kideríteni [6] . Minden továbbított hálózati csomag hajlamos több különböző alagúton keresztül eltérni, ami értelmetlenné teszi az áthaladó adatfolyam meghallgatását és elemzését szippantó segítségével . Emellett a már létrehozott alagutak időről időre (10 percenként) újakra cserélődnek, új digitális aláírásokkal és titkosítási kulcsokkal (természetesen digitális aláírások és titkosítási kulcsok, minden alagútnak megvan a sajátja). Ezen okok miatt nem kell [6] attól tartani, hogy az alkalmazásprogramok titkosítják a forgalmukat. Ha nincs bizalom a zárt forráskódú programok (például Skype ) titkosításában, akkor megoldható a probléma olyan IP-telefónia programokkal (például Ekiga ), amelyek a forgalmat tisztán továbbítják. Az I2P hálózat mindenesetre négyszintű titkosítást végez az összes csomagon, és biztosítja az összes adat átvitelét/vételét [6] .
Az I2P hálózatban az összes csomag a küldő oldalon titkosítva van, és csak a címzett oldalon dekódolható, miközben a csere közbenső résztvevői közül senki sem tudja lefogni a visszafejtett adatokat, és egyik résztvevő sem tudja, ki a feladó és ki a címzett, mivel a csomagokat továbbító csomópont lehet a feladó, vagy lehet ugyanaz a közbenső csomópont, és a következő csomópont, amelyhez ezt a csomagot el kell küldeni, lehet a címzett, vagy lehet ugyanaz a közbenső csomópont, a közbülső csomópont nem tudja kideríteni a küldő és a címzett végpontját, ahogy azt sem, hogy mi történt a következő csomópontnak átadott csomaggal - hogy feldolgozta-e, vagy továbbadta valahova, azt nem lehet kideríteni [6 ] .
Az I2P hálózat (különböző szintek és protokollok esetén) a következő titkosítási és aláírási rendszereket és módszereket használja [6] :
Az I2P projekt 2003-ban indult, hogy támogassa azokat, akik érdeklődnek egy új, cenzúrázatlan, anonim kommunikációs és információterjesztési eszköz iránt. Az I2P kísérlet egy biztonságos, decentralizált, névtelen hálózat létrehozására, alacsony válaszidővel és autonómiával, hibatűréssel és skálázhatósággal. A végső kihívás az, hogy nehéz körülmények között is működni tudjunk, még a jelentős pénzügyi vagy politikai erőforrásokkal rendelkező szervezetek nyomása alatt is. Az internet minden aspektusa elérhető forráskódként és ingyenes. Ez lehetővé teszi a felhasználók számára, hogy ellenőrizzék, hogy a szoftver pontosan azt csinálja, amit állítólag, és megkönnyíti a külső fejlesztők számára, hogy javítsák a hálózat biztonságát a szabad kommunikáció folyamatos korlátozására irányuló próbálkozások ellen [10] .
Az I2P fejlesztőcsapat közül sokan korábban is részt vettek IIP projektekbenés a Freenet . De az utóbbival ellentétben a "Invisible Internet Project" egy anonim peer -to-peer elosztott kommunikációs környezet , amely képes együttműködni bármilyen hagyományos hálózati szolgáltatással és protokollal , mint például e- mail , IRC , HTTP , Telnet , valamint olyan elosztott alkalmazásokkal , mint pl . adatbázisok. , Squid és DNS [11] .
2013 közepe óta aktívan fejlesztik az I2Pd -t , amely egy alternatív nyílt forráskódú kliens az i2p hálózathoz, C ++ programozási nyelven írva, a titkosítás megközelítésében eltérések vannak. Független fejlesztők csapata dolgozik rajta, amelyek közül néhány Oroszországból származnak, ami független forráskód-ellenőrzés hiányában néhány felhasználó számára befolyásolhatja a démon hitelességét. Az i2pd-ben időnként kritikus biztonsági rések találhatók. A hivatalos klienstől való eltérések rövid listája: kisebb alkalmazásméret, harmadik féltől származó programok teljes hiánya a hivatalos összeállításban, integráció a C ++ nyelven írt alkalmazásokkal, a számítógépes erőforrások gazdaságos felhasználása és nagyobb hálózati sebesség.
A hálózat támadásának ez a módszere meglehetősen kis erőforrás-felhasználással megvalósítható (a sikeres támadáshoz az összes hálózati csomópontnak csak körülbelül 2% -át kell rögzíteni). Ez a módszer azonban korlátozza a támadást azáltal, hogy rögzíti az összes hálózati árvízkitöltés 20%-át [12] .
A támadás végrehajtásához a támadónak le kell cserélnie az egészséges hálózati csomópontokat (amelyek már aktívak benne) feltört csomópontokra. Ehhez le kell tiltani a szervizelhető csomópontokat, miközben le kell cserélni őket a sajátjára. A támadónak le kell cserélnie a gazdagépeket fő hosztokra ( manuálisan konfigurálva ). A hálózat működő csomópontjainak letiltása nem előfeltétele a támadás végrehajtásának - a hálózat csomópontjainak útválasztói közönséges felhasználói számítógépek, ezért nem mindig vesznek részt a hálózatban, és a csomópontok az útválasztó újraindításakor is lekapcsolódnak. (például szoftverfrissítéskor). Maga a hálózat nem köt új csomópontokat mindaddig, amíg nincs szükség új tagokra, vagy amíg nincs erőforrás. Ezért a csomópontok könnyebb cseréjéhez elegendő megvárni, amíg az egyik csomópont lekapcsol a hálózatról, és átveszi a helyét a saját csomópontjával [12] .
A folyamat felgyorsítása érdekében, miközben meg kell várni, amíg az egyik csomópont önállóan leválik a csomópontcsere-hálózatról, a támadó feladatverem túlcsordulást okozhat a dolgozói csomópontoknál (az úgynevezett job lag). Ez abból áll, hogy DoS támadást hajtanak végre egy csomóponton. A támadónak sok új alagutat kell létrehoznia a megtámadott csomóponton keresztül, hogy a feladatsorát az egyes alagutakon keresztüli folyamatos kérésekkel töltse fel. Ebben az esetben nagy késés lép fel a feladatok végrehajtásában, és a csomópont kizárja magát a floodfill listájából [12] .
Alagutakat használnak az I2P hálózatban [13] :
Az alagutak olyan útválasztók láncai, amelyeken keresztül üzeneteket továbbítanak. Alagutak kimenő és bejövő. A kimenő postafiókok a feladó helyét rejtik, míg a beérkező levelek a címzett helyét.
Nem szabványos rövid alagutak – 0, 1, 2 ugrás – használatakor megnövekszik az alagút összes résztvevőjének deanonimizálásának kockázata. Mivel a címzettről és a feladóról szóló információ magával az üzenettel együtt kerül továbbításra az IP-csomagban (mivel az adatok normál, nem biztonságos csatornán kerülnek továbbításra), a köztes csomópont ismeri a csomag címzettjét és feladóját, így a támadó, irányító köztes csomópont. feltételezéseket tud tenni a kezdeti és végső csomópontokról.
Ezt a problémát az alagút hosszának növelése oldja meg, de ez nagymértékben lelassítja a hálózat üzenetátvitelét. Jelenleg a hálózat alapértelmezés szerint háromugrásos alagutakat használ, ami gyakorlatilag csak akkor teszi ezt a fajta támadást gyakorlatilag alkalmatlanná, ha a támadó egy alagút 3 közbenső csomópontjából 2-t nem irányít. [13] .
Ez a támadás I2P sebezhetőséget használ, amelyek a hálózatban található P2P hálózatok tulajdonságaiból fakadnak , nevezetesen: a hálózati útválasztók (amelyek a hálózati résztvevők közönséges számítógépei) nem állandó működési ideje, valamint néhány alagútszabályozás [13] :
A támadás végrehajtásához a támadó összeállít egy listát azokról a hálózati útválasztókról, amelyek potenciálisan csomópontjai a megtámadott végcsomóponttal rendelkező alagútnak (maga a támadott csomópont nem szerepel a listán). Ezután a támadó folyamatos kéréseket kezd küldeni a megtámadott gazdagépnek, hogy megtudja, milyen időintervallumokban van az útválasztó online. Aktív csomópont esetén (jelenlegi állapot: "online") a támadó ellenőrzi a csomópontok elkészített listáját, hogy mindegyikhez egyszeri kérést küldve találjon inaktív csomópontokat. Ha nem érkezett válasz egy adott csomópont lekérdezésekor (jelenlegi állapot: "offline"), akkor az útválasztó kikerül a csomópontok listájából. Hasonló műveleteket hajtanak végre az ellenkező esetben: ha a támadott csomópont inaktív, akkor az éppen aktív csomópontok kikerülnek a listából. Így végül a lista folyamatosan aktív routerekből áll majd. A csomópontok listáról való szűrésének következő lépése a fent leírt alagútszabályok kiaknázása lesz: a támadott csomópont LeaseSet-jében [14] szereplő alagútútválasztók ki vannak zárva; figyelembe veszi az alagút időtartamára vonatkozó kvótát is [13] .
A módszer sebességének értékelése: az algoritmusnak kb. 7 napig kell keresnie az előzetes lista 5 ezer csomópontján [13] .
Egyetlen támadó elegendő egy "Sybil támadás" végrehajtásához, és kis mennyiségű erőforrást igényel. Ez a módszer lehetővé teszi több floodfill csomópont vezérlését a kulcstér egy adott területén [ . Mivel a támadó nem tudja elég gyorsan elindítani a feltört csomópontokat a hálózatba (például kizárási támadásokkal), ez a módszer abban különbözik a többitől, hogy nem veszi át az irányítást egy adott csomópont felett (anélkül, hogy annak tulajdonosa lenne). Ebben az esetben a támadó nagyszámú csomópontazonosítót generálhat helyileg, majd kiválaszthatja a legmegfelelőbbet (azokat, amelyek közelebb vannak az adatbázis bármely egészséges csomópontjához) [12] .
Ahhoz, hogy ez a támadás eredményt hozzon, időbe telik, mivel amikor egy új csomópont csatlakozik a hálózathoz, körülbelül egy óra kell ahhoz, hogy ez a csomópont feldolgozza a többi hálózati csomópontra vonatkozó információkat [12] .
Ez a támadás például arra használható, hogy blokkolja a hálózati csomópontokhoz való hozzáférést bizonyos információkhoz (például egy kulcshoz, amely egy adott szolgáltatással rendelkező csomópontra mutat). Egy bizonyos csomópont legközelebbi szomszédainak kompromittálásával biztosítható, hogy amikor ehhez a csomóponthoz hozzáférünk egy hálózati szolgáltatás címéért, a szolgáltatás bizonytalanságára vonatkozó lekérdezés időben visszaküldésre kerül ( eredet, az erőforrás nem ismerete) [12] .
Alább egy lista [15] .
| Láthatatlan internetes projekt – Fokhagyma-útválasztás | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Megvalósítások |
| ||||||||||
| Az .i2p pszeudodomain zóna oldalai |
| ||||||||||
| Névtelen hálózatok | |
|---|---|
| Fájlmegosztás |
|
| Webes szörfözés | |
| Továbbküldők |
|
| Hírnökök | |
| Darknet | |
| Kereső motorok | |
| Vezeték nélküli hálózatok | |
| Kriptovaluta |
|
| VPN |
|
| Operációs rendszer | |
| Általános legfelső szintű domainek | |
|---|---|
| Nem szponzorált | |
| Nem szponzorált NewGTLD-k | |
| Szponzorált | |
| Infrastruktúra | |
| Távoli | |
| fenntartott | |
| Pszeudodomének | |
| |