<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div></div><div><br></div><div>On 8 Apr 2018, at 20:23, Felix <<a href="mailto:zwiebel@quantentunnel.de">zwiebel@quantentunnel.de</a>> wrote:<br><br></div><blockquote type="cite"><div><span>Happy today</span><br><span></span><br><span>Since November my ISP and I received a hand full of abuses for a</span><br><span>non-exit. It is about scanning ports and addresses of a certain let's</span><br><span>say victim ISP. I received one other abuse with another server.</span><br><span></span><br><span>For now I kindly want to ask if some operator received similar abuses</span><br><span>for non-exits ? [1]</span><br><span></span><br><span>Under my perspective it could be:</span><br><span>- ip-spoofing. A third entity uses my ip and sends sync requests to the</span><br><span>victim. There will never be a statefull connection, but the victim feels</span><br><span>offended. As result the only one who gets trouble is me.</span><br><span>- I got hacked (Uhh, don't like these words) which I suspect is not the</span><br><span>case. Then statefull connections are possible and by scanning etc the</span><br><span>attacker interfers the victim. We should not discuss this here.</span><br><span>- There is some way out of the code which enables an attacker to perform</span><br><span>solicited or unsolicited interference. Like [2] or not known or</span><br><span>whatever. It is difficult to discuss with my ISP because the world</span><br><span>expects the non-exits connect only inside the Tor network and onion</span><br><span>services.</span><br></div></blockquote><div><br></div><div>Yes, people can use non-exit relays to port scan.</div><div><br></div><div>I'll quote my original email, which you have as [2]:</div><div><pre><blockquote type="cite"><font face="UICTFontTextStyleTallBody"><span style="white-space: normal; background-color: rgba(255, 255, 255, 0);">Receiving unsolicited TCP connections is a
normal part of running</span></font></blockquote><blockquote type="cite"><font face="UICTFontTextStyleTallBody"><span style="white-space: normal; background-color: rgba(255, 255, 255, 0);">a server on the Internet. And anyone who sends
unsolicited spammy</span></font></blockquote><blockquote type="cite"><font face="UICTFontTextStyleTallBody"><span style="white-space: normal; background-color: rgba(255, 255, 255, 0);">emails in response lacks a sense of irony.</span></font></blockquote></pre></div>But maybe we could change the Tor relay code to make failed circuits<div>less useful for scanning?</div><div><br></div><div>We should check that we are returning the same reason for every</div><div>non-relay port and IP, regardless of whether the IP exists, the port is</div><div>open, or the port does TLS.</div><div><br></div><div>We could delay failure responses for a random interval.</div><div><br><blockquote type="cite"><div><span>Some facts:</span><br><span>- The victim ISP hosts no relay</span><br><span>- The relays are guards and potentially fallbacks (fallback and</span><br><span>non-fallback share an ip)</span><br><span>- I firewall blocked (outbound) all victim ISPs subnets. I logged some</span><br><span>outbound trials but this could not stop the abuses. Why? May-be the</span><br><span>victim ISP has changing ip ranges which usually happens from time to</span><br><span>time or I do not know their subnets completely. Interesting was that one</span><br><span>destination ip was x.x.x.0 which is subnet zero.</span><br></div></blockquote><div><br></div><div>Now the subnet routing is classless, zero is a valid address.</div><div>It's typically used for the gateway or network address, but that's not</div><div>required:</div><div><br></div><div><a href="https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#IPv4_CIDR_blocks">https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#IPv4_CIDR_blocks</a></div><br><blockquote type="cite"><div><span>- Currently I firewall block (inbound) all victim ISPs subnets and found</span><br><span>log entries scanning (syn) my server on a non Tor port. Before blocking</span><br><span>inbound, was there a way that someone from the vicitm ISP ip range can</span><br><span>drive my relay (not server) to act like an offender back to the victims ISP?</span><br></div></blockquote><div><br></div><div>They can run a tor client, connect to your relay, and tell it to connect to</div><div>another IP address as if it is a relay. That's a standard part of the tor</div><div>protocol via your relay's ORPort.</div><div><br></div><div>So there's no need to block inbound, and it won't solve this issue.</div><br><blockquote type="cite"><div><span>Pretty weired stuff but please swarm help! I apologize for my may-be</span><br><span>foolish thoughts and please don't hit me too hard, though.</span><br><span></span><br><span>[1]</span><br><span>[tor-relays] abuse email for non-exit relay (masergy)</span><br><span><a href="https://lists.torproject.org/pipermail/tor-relays/2017-September/013030.html">https://lists.torproject.org/pipermail/tor-relays/2017-September/013030.html</a></span><br><span></span><br><span>[2] Re to [1]</span><br><span><a href="https://lists.torproject.org/pipermail/tor-relays/2017-September/013041.html">https://lists.torproject.org/pipermail/tor-relays/2017-September/013041.html</a></span><br></div></blockquote><br></div><div>T</div></body></html>