DFRI och Tor 2024

Systemadminstratörsgruppen som driver DFRI’s nät och tjänster höll videomöten nästan varje vecka under året med tre till sex deltagare. Ett fysiskt möte hölls under sommaren för att planera och umgås. Några av sakerna som hände under året nämns nedan.

DDoS mot Tor-nätet

Den 17:e februari utsattes DFRI för en stor överbelastningsattack (DDoS, Distributed Denial of Service). Massor av IP-paket skickades till vårt nätverk så att inte bara DFRI utan även flera av våra leverantörer drabbades negativt. Attacken var inte bara mot DFRI utan samtidigt utsattes även andra Tor-relän för angrepp. Den största delen av trafiken kom från 172.232.0.0/13 samt från fler prefix som tillhör Linode.

Trafikgraf från ett nätverksinterface — Trafikgraf från ett av flera nätverksinterface som överbelastades.

Nya servrar till datorhallar

Under 2024 köptes två begagnade servrar som förseddes med stboot och installerades i datorhallar. Med dessa två servrar finns nu totalt fyra stycken som är försedda med stboot, ett steg på vägen till vår implementering av System Transparency.

Tillsammans med en uppgradering av en fiberlänk möjliggör de ”nya” maskinerna att köra fler tjänster och stötta Tornätverket med mer bandbredd.

Ny attack mot Tor-nätet

I oktober började det komma in klagomål om att IP-adresser hos DFRI skickade oönskad trafik till andra adresser på Internet. Inte bara DFRI drabbades och utredning visade att det var förfalskade IP-paket med Tor-relän som avsändare. Detta orsakade onödiga klagomål till IT-leverantörer och i vissa fall även blockeringar eller att relän slutade köra. En beskrivning av attacken publicerades på https://delroth.net/posts/spoofed-mass-scan-abuse/. En senare uppdatering från Torprojektet om vad som hände finns på https://blog.torproject.org/defending-tor-mitigating-IP-spoofing/.

Attacken är inte specifik för Tor och skulle kunna drabba vilken organisation som helst på Internet. Händelserna visar också på vikten av att hantera klagomål till abuse@-adresser på ett tillförlitligt sätt. En vädjan om det var https://seclists.org/nanog/2024/Nov/24.

Nätverkstrafik

DFRI bidrog med cirka 4500 TiB Tortrafik under året. Våra relän listas på https://metrics.torproject.org/rs.html#search/171.25.193

DFRI's Tortrafik — Andel av Tornätet som DFRI bidrog med enligt https://nusenu.github.io/OrNetStats/dfri.se.html

Minskningen som syns under augusti hade att göra med att vi hade problem med en fiber-plugg (LC connector) vilket lyckligtvis i detta fall kunde lösas genom att helt enkelt ”lufta” pluggen, alltså ta loss den och sätta dit den igen. Efter att vi luftat pluggen fick vi färre droppade paket och mängden Tor-trafik gick upp igen vilket syns i grafen.

Stort tack till våra sponsorer.

Klagomål och andra ärenden

DFRI har angett adressen abuse(a)dfri.net för våra nätblock och bevakar vad som rapporteras till den och svarar vid behov. Oftast förklarar svaret att IP-adressen som någon mejlat om är en Tor-exit och vad det innebär.

Under året har vi slutat tillåta nätverkstrafik till port 22 ut från Tor-exit noder. Det finns goda skäl till att använda ssh över Tor men en avvägning har gjorts mot mängden klagomål som inkom på grund av till synes mindre goda skäl och risken att nät eller IP-adresser blockeras från att kunna nå delar av Internet. Antalet klagomål har sedan förändringen gått ner betydligt.

DFRI har aldrig tillgång till abonnemangsuppgifter och sparar därför inte några abonnemangsuppgifter eller andra uppgifter som knyter användningen av Tor-exit noder till individer eller betalningsinformation. Tor kan fritt användas anonymt av alla, tack vare dess design och frivilliga resurser och donationer från individer och föreningar som DFRI världen över.

2025?

Vi får se vad som händer under året. Har du både lust och tid över och vill göra något får du gärna höra av dig. För att ta eventuella nya tjänster i drift behöver det finnas flera intresserade personer med tid och kunskaper.

:DFRI

Föreningen för Digitala Fri- och Rättigheter