SSL 证书暴露Tor 站点的公共 IP 地址

翻译：360代码卫士团队

安全研究员找到一种轻易是被配置错误的暗网服务器的公共 IP 地址。虽然有些人可能认为他是通过攻击 Tor 或其它类似网络实现目的的，但实际上他暴露的是不懂如何正确配置某隐藏服务的后果。

在 Tor 网络设置暗网网站的一个主要目的是使站点所有人难以被识别。为了正确地将暗网站点匿名化，管理员必须正确配置 web 服务器，使其仅监听本地主机 (127.0.0.1) 而非被公开暴露在互联网上的 IP 地址。

RiskIQ 公司的威胁研究员 Yonathan Klijnsma 发现有很多使用 SSL 证书的 Tor 站点，加上配置不当，导致站点易遭访问。RiskIQ 爬虫后将所发现的任何 SSL 证书和托管的 IP 地址关联起来，因此 Klijnsma 很容易地通过相对应的公共 IP 地址映射了配置不当的 Tor 服务。

Klijnsma 表示，“这些人让本地 Apache 或 Nginx 服务器在任何 (* 或0.0.0.0) IP 地址上监听，这意味着不仅是 Tor 连接而且外部连接也会起作用。如果没有使用防火墙，那么这种情况更是如此。这些服务器应该仅被配置为监听127.0.0.1。”

当问到因服务器配置不当而导致公共 IP 地址遭暴露的情况是否常见时，Klijnsma 表示非常常见，“这种情况还在继续。我不是在开玩笑。虽然一些站点并不会监听 http/https，因此我不知道这些站点是什么，但他们具有洋葱地址而且可从明网和暗网上访问。”

当 Tor 服务的运营人员将 SSL 证书添加至站点时，就将 .onion 域名和证书关联在一起。

如果 Tor 站点配置不当，那么它就会监听一个公共的 IP 地址，而这个包含 .onion 域名的证书也将用于该 IP 地址。RiskIQ 公司爬取互联网并归类所有被站点所用的 SSL 证书后发现，它将这个 .onion 证书和公共的 IP 地址关联在一起。这就使得 Klijnsma 通过 RiskIQ 数据库轻易查找到 .onion 证书并看到了所映射的公共 IP 地址。

某些用户认为 Klijnsma 的研究实际上是在攻击 Tor，但Klijnsma 表示他做的正好相反。他并没有攻击 Tor，而是试图暴露 Tor 隐藏服务配置不当后引发的内在问题。

Klijnsma 表示要防范此类攻击特别简单，“应该仅监听 127.0.0.1”。

原文链接

https://www.bleepingcomputer.com/news/security/public-ip-addresses-of-tor-sites-exposed-via-ssl-certificates/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。