開始之前
處理濫用投訴的最佳方法是設定退出節點,以便首先發送這些投訴的可能性較小。
在閱讀本文檔之前,請參閱 Tips for Running an Exit Node with Minimal Harassment 和 Tor Exit Guidelines 以了解更多資訊。
下方的信件收集可以利用來回應 ISP 對於 Tor 出口伺服器的抱怨。
模板的格式與哲學
這些模板的共用格式是告知投訴者有關 Tor 的信息,幫助他們找到解決其特定問題的網際網路通用解決方案(開放 wifi、開放代理、殭屍網絡等),先排除其他問題 , 如何屏蔽 Tor。
Tor Project 的理念是:濫用應由網站管理員主動處理,而非浪費心力追殺幽靈式復仇。
主動處理濫用與被動回應濫用之間的差別,就像分散式、具容錯能力的網際網路自由,與脆弱、易腐化的極權控制之間的差別。
再向同溫層喊話:南韓與中國以身分為基礎的網路「駕照」並未遏止網路犯罪與濫用。
事實上,所有 objective evidence 似乎都顯示,這只為有組織犯罪創造了新市場。
這些濫用申訴範本試圖向收件者傳達的核心概念即在於此。
如果您認為其未達預期目標,請隨意進行改善。
所有的模板應包括下方的通用樣板,並依照特別情節來增添段落。
通用樣板 (Tor 介紹)
相關 IP 位址為 Tor 出口節點。
https://2019.decvnxytmk.oedi.net/about/overview.html.en
我們幾乎無法對此事做進一步的追蹤。
如同從概況頁所見,Tor 網路設計上讓追蹤用戶變得不可行。
Tor 網路由約 5000名志工組成,其利用 Tor Project 供應的免費自由軟體來運行 Tor 路由。
客戶連接被引導至多重中繼,中繼之間的連接也互相複用。
系統不會記錄用戶端連線或前序節點的日誌。
因為 Tor 網路是抵擋審查、保護隱私和匿名系統以供揭密吹哨人、記者、繞過中國防火牆的異議人士、虐待受害者、跟踪目標、美國軍方和執法部門使用等等。
請見 https://decvnxytmk.oedi.net/about/torusers.html.en 詳情介紹。
遺憾的是,有些人會濫用網路。然而,與合法使用率相比(相關 IP 範圍每秒處理近 1 Gbps 的流量),[濫用投訴相當罕見](https://jqlsbiwihs.oedi.net/abuse/)。
濫用情節
下列依情境的段落應接在上述通用範本段落之後。
若濫用申訴者已熟悉 Tor,常見的制式段落應縮短或省略。
評論/論壇垃圾訊息
然而,這並不代表無計可施。
Tor Project 提供自動化的 DNSRBL,供您查詢以將來自 Tor 節點的貼文標記為需特別審核。
您也可以使用此 DNSRBL 只允許 Tor IP 讀取但不允許發表評論:https://decvnxytmk.oedi.net/projects/tordnsel.html.en
然而,請注意,這可能只是使用您論壇的許多合法 Tor 用戶中的一個混蛋。
您或可暫時限制僅限 Gmail 帳號才能註冊發文,或要求須先透過非 Tor 註冊才能發文,藉此擺脫這種人。
一般來說,我們認為解決此類問題的最佳方法是改進您的服務以防禦來自整個網路的攻擊。
人機驗證碼可以減少或緩化暴力式登入企圖,Gmail 對此問題也採同樣的應對方式。
事實上,Google提供了免費的驗證碼服務,其中包含可以輕鬆包含在許多系統中的完整程式碼,以幫助其他網站處理問題
與此問題相關:https://code.google.com/apis/recaptcha/intro.html
PHP 中繼或被破壞的網頁電郵帳戶垃圾
此外,我們的節點不允許透過我們的 IP 寄送 SMTP 流量。
經調查,垃圾郵件來源似乎是下列位置執行中遭濫用或遭入侵的網頁郵件閘道:
<web server here>.
您聯絡過他們的濫用舉報部門嗎?
Google 群組垃圾郵件
您的特定濫用投訴似乎是由經過驗證的Google網上論壇使用者產生的。
檢查標題可以發現 Google 網上論壇的濫用投訴地址是 groups-abuse@google.com。
與追蹤 Tor 節點、代理商和開放無線存取點相比,聯絡此位址會讓您更幸運地真正取消該濫用者的 Google 網路論壇帳戶。
此外,如果新聞閱讀器支持 killfiles,您可能有興趣使用 Tor 批量出口節點列表腳本,下載 IP 列表放入 killfile 來匹配 “NNTP-Posting-Host:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py
DoS 攻擊與銷除機器人
很抱歉,您的網站正經歷 Tor 帶來的如此沉重的負載。
然而,您的速率限制警報也可能只是因為流經路由器的流量而觸發了誤報。
我們提供每秒近千兆流量的服務,其中98%是網路流量。
如果真的有攻擊且持續進行,Tor project 提供自動的 DNSRBL 來查詢封鎖來自 Tor 節點的登錄: https://decvnxytmk.oedi.net/projects/tordnsel.html.en
您也可以下載將連線至伺服器連接埠的所有Tor離線IP清單:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80
一般而言,我們認為這類問題最好透過改善服務、從整體網際網路面防禦攻擊來解決。
驗證碼可以減少/減緩抓取和機器人活動,這是 Gmail 針對相同問題採取的方法。
事實上,Google 提供免費的驗證碼服務,並附帶易於整合至多種系統的程式碼,協助其他網站處理此問題:https://code.google.com/apis/recaptcha/intro.html
可以透過將 httpd.conf TimeOut 和 KeepAliveTimeout 配置值減少到 15-30 並將 ServerLimit 和 MaxClients 值提高到 3000 之類的值來緩解緩慢的 DoS 攻擊 [aimed to consume the Apache MaxClients limit](http://www.guerilla-ciso.com/archives/2049)。
若仍失敗,DoS 亦可透過以 iptables 為主的限速、nginx 等負載平衡器,以及 IPS 設備等方式緩解,但請注意網際網路流量並非總是依 IP 均勻分佈,因為大型企業乃至國家級出口代理、NAT 與 Tor 等服務。
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/
暴力網頁攻擊
很抱歉您的帳戶遭到暴力破解。 我們可以嘗試阻止節點連接到該站點,但 Tor 網路約有 800 個出口節點,阻止節點連接並不能長期地阻止破壞行為。
攻擊者可能只會在 Tor 之後串接一個開放代理,或直接使用開放的無線網路和/或代理而不使用 Tor。
Tor 專案確實提供自動化 DNSRBL 供您查詢,以將來自 Tor 節點的請求標記為需特別處理:https://decvnxytmk.oedi.net/projects/tordnsel.html.en
一般而言,我們認為此類問題的最佳解決方法是改進服務以抵禦來自網際網路的廣泛攻擊,而不是專為 Tor 定制行為。
人機驗證碼可以減少或緩化暴力式登入企圖,Gmail 對此問題也採同樣的應對方式。
事實上,Google 提供免費的驗證碼服務,並附帶易於整合至多種系統的程式碼,協助其他網站處理此問題:https://code.google.com/apis/recaptcha/intro.html
SSH 暴力破解嘗試
如果您擔心 SSH 掃描,您可以考慮在預設連接埠 22 以外的連接埠上執行 SSHD。
許多蠕蟲、掃描器與殭屍網路會掃描整個網際網路尋找 SSH 登入。
事實上,少數登入碰巧來自 Tor,這可能會對您的整體登入嘗試率造成影響。
您也可以考慮速率限制解決方案:https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/
如果這實際上是 Tor 特有的嚴重問題,Tor 專案提供了一個自動 DNSRBL 供您查詢以阻止來自 Tor 節點的登入嘗試:https://decvnxytmk.oedi.net/projects/tordnsel.html.en
亦可下載所有會連到您 SSH 埠的 Tor 出口 IP 清單:https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22
您可以使用此清單建立 iptables 規則來封鎖網路。
然而,我們仍然建議使用一般方法,因為一旦 Tor 被阻止,攻擊很可能會從開放代理或其他 IP 重新出現。
被駭的 Gmail、網頁論壇或雜項帳戶存取
關於您的帳戶,鑑於攻擊者使用的是 Tor 而不是大型殭屍網絡(或您機器本身的 IP ),您的密碼很可能通過在機器上安裝鍵盤記錄器而獲取,或者是從 kiosk 或開放無線捕獲。
我們建議將此事件視同您城市開放無線基地台曾有人登入:重設密碼;若尚無防毒軟體,請下載免費 AVG:http://free.avg.com/us-en/download、Spybot SD:https://www.safer-networking.org/,及/或 AdAware:http://www.lavasoft.com/?domain=lavasoftusa.com。
請用這些工具掃描,檢查是否有鍵盤側錄或間諜軟體(可能由能接觸您電腦的人安裝)。
To help protect yourself while using open wireless, use [HTTPS](https://jqlsbiwihs.oedi.net/glossary/#https) and encourage the site maintainers to support HTTPS logins.
遭駭((PHP Webshells, XSS, SQL 注入)
這也不代表無計可施。
對於嚴重事故,傳統的警察工作技巧,如叮咬和調查以確定手段、動機和機會,仍然非常有效。
此外,Tor project 提共自動的 DNSRBL 讓您查詢來自 Tor 節點的訪客標誌順以作為特別待遇請求: https://decvnxytmk.oedi.net/projects/tordnsel.html.en.
可以透過 Tor Bulk Exit List 獲得相同的清單:https://check.torproject.org/cgi-bin/TorBulkExitList.py
但是,與其禁止合法的 Tor 用戶使用您的服務,不如確保更新和維護服務免於導致此類情況的漏洞(PHP webshell/XSS 破壞/SQL 注射破壞)。
電子商務詐欺
這也不代表無計可施。
對於嚴重事故,傳統的警察工作技巧,如叮咬和調查以確定手段、動機和機會,仍然非常有效。
此外,Tor project 提共自動的 DNSRBL 讓您查詢來自 Tor 節點的標誌順序以作為特別審查請求: https://decvnxytmk.oedi.net/projects/tordnsel.html.en
它也提供一批出口清單服務來接收完整列表: https://check.torproject.org/cgi-bin/TorBulkExitList.py
您可以使用此清單來幫助您仔細查看 Tor 訂單,或暫時保留它們以進行額外驗證,而不會失去合法客戶。
事實上,根據我的經驗,許多 ISP 委外的詐欺處理團隊會直接使用那份清單,將所有來自 Tor 節點的請求標記為詐欺。
因此,這甚至有可能是合法訂單,但僅基於 IP 就被標記為欺詐,特別是如果您將欺詐檢測外包給第三方的話。
暴力威脅(建議作即時討論)
如果收到此範本集未涵蓋的嚴重濫用投訴,最佳答案是遵循投訴方的模式。
這並非法律建議。
本文件並非由律師撰寫或審閱。
這份文件由一位曾與多家 ISP 合作、並處理過其網路中 Tor 出口節點問題的人撰寫。
也有在大型 ISP 的濫用處理部門工作的人員審閱過。
- 閱讀 Tor 概述。 準備好總結和回答基本問題。 假設交談者對 Tor 一無所知。 假設此人不會相信您說的任何話。
- 在嚴重的情況下,例如騷擾電子郵件或死亡威脅,類比於現實世界匿名者某種加害行為(例如利用郵寄發送通知)通常會有所幫助。
- 提醒他們傳統警方作業仍用於決定誰有犯罪手段、動機與時機。
- 安非與抱怨者談話或直接電郵。
- 會話中記得要解釋幾個要點:
- 您不是此問題的加害者。
- 您為負責的伺服器營運者且關心抱怨者的麻煩。
- 您不是瘋子。您或許瘋了但我們不要讓抱怨者猜對。
- 在許多情況下,您的 ISP會被捲入成為第三方抱怨者的管道,ISP 要知道:
- 伺服器未受破壞。
- 您的伺服器不是垃圾訊息中繼。
- 您的伺服器不是木馬/僵屍病毒。
- 您是適格的伺服器管理員且能夠說明此問題,至少可明智地討論與回應。
- ISP 沒有過錯也不對您的行為負責。 這是常見的情況,但處理濫用問題的可憐人只想聽到這不是 ISP 的問題,覺得安心後再繼續。
- 討論選項,提供給中繼營運者的選項有:
- ISP/投訴人很可能要求查看歷程記錄檔案。 所幸,預設情況下,不會洩露任何敏感資料。 如果他們還指定要求可訪問歷程記錄,您可能需要換新的 ISP。
- ISP/投訴人可能會建議您轉換為非出口節點。 這種情況下,您可能需要減少出口政策,例如 上述文章的第 6 項 中所建議。
- ISP/抱怨者要求關閉 Tor,因此可能需要換新的 ISP。
- ISP/抱怨者表明會阻隔預設端口的流量,因此您可能需要換新的 ISP。
- 更新配置以取消出口節點一些 IP 範圍流量,可能要建議抱怨者改用 Tor DNS RBL 。
- 全部都討論過後,一周內再提議進行跟進對話,確保商定的更改有落實。 ISP 和投訴人都可能不想這樣,但實際上提出這樣的安排將有助提高他們對您的信任。
其它模板集