网站指纹（WF）攻击是被动的本地攻击者通过比较用户发送和接收的数据包序列与先前记录的数据集来确定加密互联网流量的目的地。可以通过网络流量中的模式来识别Tor用户访问过的页面。因此，WF攻击是Tor等隐私增强技术特别关注的题。

攻击过程

该攻击的假设为本地网络的窃听者，本地系统管理员，ISP， AS：只能被动的访问用户与网络入口节点之间的链接；可以记录数据包，但不能修改，延迟，删除或解密

1、攻击者会从一系列自己的访问中捕获数据包序列
2、在每个trace中提取每个网站独有的功能。（比如说数据包大小，频率，两个方向上的传输时间，流量突发数量）
3、之后这些特征向量用于训练一个监督分类器，通过进行网站指纹的流量分析，得出网络中的目的站点。

防御：

1、将伪数据包添加在流量中（添加虚拟数据包或延迟数据包）。
2、增加实际数据包的延迟（增加了访问网页的延迟和带宽开销）
3、自适应填充（WTF-PAD）（实际应用）。自适应填充仅在信道使用率较低时才添加填充，从而节省带宽，掩盖流量突发及其相应功能
4、数据包填充，比如Tor中通过填充得到固定长度的cell使得长度分析失效
5、WT防御，核心思想是将半双工通信产生的trace转换为与全双工相比填充更少的冲突。

tor

应用广泛的匿名网络 ：使用多跳代理机制
​
Tor的目的是通过隐藏路由信息和通信内容来提高用户的隐私。然而，Tor不能掩盖传输数据包的大小、方向和时间，这些信息的泄露是WF攻击的基础，通过分析这些特征可以分析出用户访问的网站

​目前广泛使用的匿名通信系统 Tor 匿名网络通过字节填充的方法固定传输单元的大小隐匿了数据包的长度特征

​ Tor对通信的内容和路由信息进行加密，并通过随机分配的节点路由中继加密的通信，这样只有一个节点知道它的直接对等节点

更深入的了解，看这篇顶会文章：https://www.usenix.org/system/files/sec22-cherubin.pdf

https://www.usenix.org/system/files/sec22-cherubin.pdf
https://blog.csdn.net/AcSuccess/article/details/102991830
https://blog.csdn.net/qq_43226213/article/details/121290593
https://cloud.tencent.com/developer/article/1762465