Tor
body.skin-minerva .mw-parser-output table.infobox caption{text-align:center}
開發者 | Tor项目公司 |
---|---|
初始版本 | 2002年9月20日 (2002-09-20)[1] |
穩定版本 | |
穩定版本 | 0.3.5.7(2019年1月7日(2019-01-07)[2])[±] |
預覽版本 | 0.3.5.6-rc(2018年12月18日(2018-12-18)[3])[±] |
開發狀態 | 活躍 |
编程语言 | C[4]、Python、Rust[5] |
操作系统 |
|
文件大小 | 50–55 MB |
类型 | 洋葱路由、匿名 |
许可协议 | BSD许可证[6] |
網站 | www.torproject.org |
源代码库 |
|
Tor是实现匿名通信的自由软件。其名源於「The Onion Router」(洋蔥路由器)的英語縮寫[7][8]。用戶可透過Tor接達由全球志願者免費提供,包含7000+個中继的覆盖网络[9],從而達至隱藏用戶真實地址、避免網絡監控及流量分析的目的。Tor用戶的互聯網活動(包括瀏覽在線網站、帖子以及即時消息等通訊形式)相對較難追踪[10]。Tor的設計原意在於保障用戶的個人私隱,以及不受監控地進行秘密通信的自由和能力。
Tor不會阻止在線網站判斷用戶是否通過Tor訪問該網站。儘管它保護用戶的私隱,但卻不會掩飾用戶正在使用Tor這一事實。有些網站會對使用Tor的用戶進行限制。MediaWiki的擴充功能Torblock便是其中一個例子,其能自動地限制透過Tor進行的編輯。而使用了Torblock的維基百科則容許用戶在某些情況下透過Tor编辑其內容[11]。
Tor透過在5層協定棧中的應用層進行加密,從而實現洋葱路由這一種技術。Tor會對包括下一個中继的IP地址在內的數據,進行多次加密,並透過虛擬電路(包括隨機選擇的Tor中继)將其送出。每個中繼都會對一層加密的數據進行解密,以知道數據的下一個傳送目的地,然後將剩餘的加密數據傳送給它。最後的中繼會解密最內層的加密數據,並在不會洩露或得知源IP地址的情況下,將原始數據發送至目標地址。
攻擊者可能會嘗試透過某些手段來使Tor用戶去匿名化。包括利用Tor用戶電腦上的軟件漏洞[12]。美国国家安全局擁有針對Tor安裝包中所綑綁的舊版本Firefox漏洞的技術(代號「EgotisticalGiraffe」),並曾利用XKeyscore系統來密切監控Tor用戶[13]。不少學者亦就如何破解Tor網絡進行過學術研究[14][15],此一行為受到Tor项目公司所肯定[16]。
開發及維護Tor所需的一大部分費用由美國聯邦政府所捐助[17],過去則以海軍研究辦公室及國防高等研究計劃署的名義捐助[18]。
目录
1 历史
2 应用
2.1 Tor浏览器
2.2 移动平台
3 匿名外连
4 滥用與防免
5 隱藏服務
6 安全性
6.1 中国
6.2 英美兩國
7 利用代理访问TOR
8 参见
9 注释
10 参考文献
11 延伸阅读
12 外部链接
历史
Tor的核心技术“洋葱路由”,是在1990年代中期由美国海军研究实验室的员工,数学家保罗·西维森(Paul Syverson)和计算机科学家邁克·里德(G. Mike Reed)和大衛·戈爾德施拉格(David Goldschlag),为保护美国情报通信而开发的软件。之后,洋葱路由于1997年交由国防高等研究计划署做进一步开发[19][20][21]。
Tor的测试版由西维森和计算机科学家罗根·丁格伦(Roger Dingledine)和尼克·马修森(Nick Mathewson)[22]开发并命名为“洋葱路由项目”(The Onion Routing project),简称TOR项目,发布于2002年9月20日。2004年8月13日,西维森、丁格伦和马修森在第13届USENIX安全研讨会上介绍提出了「Tor:第二代洋葱路由器」。2004年,美国海军研究实验室以自由软件许可证发布了Tor代码,电子前哨基金会开始资助丁格伦和马修森继续开发。
2006年12月,丁格伦、马修森及另五人成立了The Tor Project,一个位于马萨诸塞州的非营利组织负责维护Tor。电子前哨基金会担任其早年的财政赞助商,Tor项目的早期资助者还包括美国国际广播局、新闻国际、人权观察、剑桥大学、谷歌和荷兰的NLnet[23][24][25]。
应用
Tor浏览器
Tor Browser运行于Linux Mint的启动画面 - about:tor | |
開發者 | Tor Project |
---|---|
開發狀態 | 活躍 |
操作系统 |
|
采用引擎 | Gecko |
文件大小 | 32–41 MB |
语言 | 16种语言 |
类型 | 洋葱路由、匿名、网页浏览器、聚合器 |
许可协议 | GNU通用公共许可证 |
網站 | www.torproject.org/projects/torbrowser.html |
源代码库 |
|
Tor瀏覽器,前身为Tor Browser Bundle(TBB),是Tor项目的旗舰产品[26]。由Mozilla Firefox ESR浏览器修改而成,並由Tor Project開發人員做了許多安全性和隱私保護的調校,預載TorButton、TorLauncher、NoScript和HTTPS Everywhere等擴充套件與Tor代理。其为開源軟體、自由軟體、绿色软件,可在多種作業系統上運行,包括Windows、Mac OS X、Linux、Unix、BSD、以及Android手機。現在也能於iOS使用,只要在App store 下載 Onion Browser 就可以。
Tor瀏覽器在后台启动Tor进程并透过其连接网络。一旦程序断开連接,Tor瀏覽器便会自动删除隐私敏感数据,如cookie和浏览历史记录。
Tor浏览器目前提供16種語言的介面,包括美国英语、阿拉伯语、法语、西班牙语、波斯语、德语、日语、意大利语、韩语、荷兰语、波兰语、俄语、土耳其语、巴西葡萄牙语、越南语、簡體中文和繁體中文。[27]
Tor瀏覽器本身提供SOCKS代理服務,一些應用程式已可藉此使用Tor網路。若結合代理伺服器軟體 Privoxy,可以讓所有走HTTP/HTTPS協定的連網應用程式、以及所有能夠設定HTTP/HTTPS代理的應用程式都透過Tor網路來上網。[28]
移动平台
Android平台上的Tor伺服器名為Orbot,並搭配Orfox或Tor Browser for Android (Alpha)瀏覽器來開啟網頁。Orbot本身可以當作VPN和Proxy使用,讓用戶指定同一裝置上的任何程式通過Tor網路來匿名上網。[29]
匿名外连
Tor用户在本机运行一个洋葱代理服务器(onion proxy),这个代理周期性地与其他Tor交流,从而在Tor网络中构成虚电路(virtual circuit)。Tor是在5层协议栈中的应用层进行加密(也就是按照'onion'的模式)。而它之所以被称为onion,是因为它的结构就跟洋葱相同,你只能看出它的外表,而想要看到核心,就必须把它层层的剥开。即每个路由器间的传输都经过對等密鑰(symmetric key)来加密,形成有层次的结构。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包在里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以保持通讯安全。同时对于客户端,洋葱代理服务器又作为SOCKS接口。一些应用程序就可以将Tor作为代理服务器,网络通讯就可以通过Tor的虚拟环路来进行。
进入Tor网络后,加密信息在路由器间层层传递,最后到达“出口節點”(exit node),明文数据从这个节点直接发往原来的目的地。对于目的地主机而言,是从“出口節點”发来信息。要注意的是明文資訊即使在Tor網路中是加密的,離開Tor後仍然是明文的。維基解密創始人便聲稱其公開的某些檔案是截獲於Tor的出口節點[30]。
由于在TCP数据流的级别通讯,Tor显得卓然独立于其他匿名网络。通过使用Tor,一般的应用程序都可以实现匿名,比如IRC、即时通讯,以及浏览网页。浏览网页时,Tor常常与Privoxy或Polipo等联合使用,Privoxy、Polipo是开源代理服务器,可以在应用层增加保护隐私。
滥用與防免
由于Tor可以匿名进行TCP传输,这就导致了被滥用的可能。路由器存放有一个“出口规则”(exit policy),内有各种地址、端口的组合规定,通过这个来区别哪些传输可以通过这个节点而离开Tor网络,这样就可能防范许多滥用的可能。潜在的滥用包括:
- P2P:防止滥用有限的带宽。
- E-mail:匿名的SMTP很容易导致垃圾邮件的产生,絕大多數Tor节点都拒绝对外连接到端口25(SMTP的端口)。
- 蓄意破坏:由于不会被识破,用户有时会利用Tor来对各種网站进行破坏或DDoS阻斷式干擾,尤其用戶流量大的社交平台、交易平台、電子郵件服務。
各種破壞與濫用行為导致许多的网站部分或完全限制对Tor的通讯。例如:
台灣知名的網路書店博客來禁止Tor用戶瀏覽。
維基百科容許用戶在某些情況下透過Tor編輯其內容,允許瀏覽。
Facebook和Google不允許使用Tor網址註冊帳號,但已註冊的帳號(因為使用非Tor網路註冊,這些網站有某些方法可以追查到用戶的真實身分)可以透過Tor網址存取。
Google搜尋會暫時性地禁止某些Tor網址,因為短時間內來自同一網址的搜尋太多,會被自動判定為DDoS攻擊。通常換個Tor出口點就可以使用(使用洋蔥形狀的Tor Button)。- 許多網頁寄存服務為了避免其客戶網站受來自Tor匿名的攻擊,針對Tor使用者總是詢問Captcha圖形驗證碼,迫使用戶手動輸入,確認那是人類用戶而不是電腦的自動化攻擊,才予以通行。例如:亞馬遜網路服務系統。
隱藏服務
Tor不仅可以提供客户端的匿名访问,Tor还可以提供服务器的匿名。通过使用Tor网络,用户可以维护位置不可知的服务器。這些服務器所構成的網路被稱為 "Tor Hidden Services",資訊界又稱為暗網,一般的網際網路則被相應地稱為明網。因為在明網裡,用戶端和伺服端彼此知道對方的真實IP地址,而在暗網裡雙方互不知IP地址。若伺服端能做到不記錄用戶使用資訊,以及客戶端能做到任何時刻都不輸入真實個人資料,則透過Tor隱藏服務可以達成上網的完全匿名性。
如果要访问Tor隱藏服務,客户端必須安装Tor瀏覽器,在搭載Android作業系統的手機或平板電腦上,則必須安裝Orfox。
在Tor瀏覽器裡面,於網址列輸入Tor隱藏網路特有的顶级域名.onion
,可以访问Tor隐藏服务(暗網)。Tor瀏覽器可以识别.onion
域名,并自动路由到隐藏的服务。然后,隐藏的服务将请求交由标准的服务器软件进行处理,这个服务器软件应该预先进行配置,从而只侦听非公开的接口。
Tor隱藏服務(暗網)有个另外的好处,由于不需要公开的IP地址,服务就可以躲在防火墙和NAT背后。但如果这个服务还可以通过一般的網際網路(明網)来访问,那也会受到相关连的攻击,这样就没有真正的隐藏起来。
Tor隱藏服務的例子(在非Tor的瀏覽器輸入.onion
網址是無意義的):
Tor隱藏維基 (http://zqktlwi4fecvo6ri.onion/
):列出常用的隱藏網站,以及關於使用隱藏服務的技巧和注意事項。也有明網的地址(https://thehiddenwiki.org/
),可使用一般瀏覽器訪問 。
SIGAINT:暗網最老牌,標榜隱私與安全,廣受資安人士信賴的電子郵件服務。(暂时已被停用)
DuckDuckGo:主要運作在明網的搜尋引擎,標榜隱私、不記錄用戶資訊和搜尋歷史(相反地,Google, Yahoo, Bing, 蕃薯藤等等都會記錄),也提供暗網服務(http://3g2upl4pq6kufc4m.onion/
),讓用戶更徹底地匿名化。
Facebook雖然禁止Tor用戶註冊帳號,卻提供了.onion
的隱藏服務,供已註冊的用戶連接。(https://www.facebookcorewwwi.onion/
)
安全性
中国
Tor在中国被许多人用于突破防火长城,这主要是因为中国大陆屏蔽了大量的海外网站和服务器。Tor会自动检测节点是否可达目标地址。如果返回错误无法到达,它会自动更换节点。相应地,这种技术也可以用在中国大陸境外模拟中国大陸境内的节点,以访问一些境外无法访问的内容。
而防火长城对于Tor一直没有很好的解决方法。现行比较有效的方法是对未使用SSL(HTTPS)加密的连接进行特征检测并重置连接,或对已知节点和网桥进行IP地址屏蔽,也有在中国境内建立Tor的虚假节点以对通过其传输的数据进行最大限度的审查[a]。
作为反制,有部分大陆网民自发在中国境内建起网桥,帮助中国大陸境内未能连接上Tor网络的使用者连接。
- 2009年9月以后的一段时间内,使用的Tor的0.2.1.19版本,并不使用网桥的情况之下无法建立Tor的连接。然而使用的Tor的稳定版0.2.1.20,仍能够建立Tor的连接,突破网络封锁且不需要勾选“我的ISP阻挡了对Tor网络的连接”的选项,即使用网桥。从理论上来说,在使用网桥的情况下,Tor的总能建立连接,而不被封锁,因为网桥是可以动态更新的。
- 2010年6月3日前后的一段时间内,使用Tor的0.2.1.26版本,在使用Bridges的情况之下,建立Tor的连接也相当的困难,显示的信息是“建立Tor回路failed”,这说明防火长城成功侦测并截断了Tor的连接。但Tor的连接一旦建立后切断并不容易,所以Tor一旦成功建立连接后就无法被防火长城干扰。同年8月前后至今,Tor又可以连接上。据全球互联网自由联盟上的用户说,只要加一次网桥,接下来就可以轻松连上Tor网络。
- 但在2011年1月之后,中国大陆有网民反映,Tor即使更换了网桥也无法正常连接上,但事实上这是网桥已经被屏蔽的结果[31][32]。对于长期频繁使用和连接Tor的用户来说,由于Tor会缓存节点路由信息,所以只要这些节点或网桥没被封锁,他们照样能正常使用Tor。
- 自2011年10月后,当中国的一个Tor客户端与美国的网桥中继建立连接,一个中国的数据探针会在15分钟周期内尝试与Tor进行SSL协商和重协商,但目的不是建立TCP连接。12月后这种行为停止[33]。
- 自Tor Browser4.5发布后,借助meek网桥,中国大陸用户可以接通Tor网络。
英美兩國
美國國安局(NSA)及英國政府通訊總部(Government Communications Headquarter,GCHQ)於2012年6月發佈名為Tor Stinks的簡報檔,檔案中兩國政府單位提及監聽Tor網路困難重重,文中表示「無法辨識出所有Tor用戶的身份。而以人工分析後,我們得以辨識非常小部份的Tor用戶。」然而對特定呼叫有回應的用戶,國安單位未成功辨識出任何身份。之後利用代號為「EgotisticalGiraffe」的技術(靠入侵Tor Browser Bundle基体軟體Firefox的漏洞),NSA在用戶可能造訪的網站或論壇植入惡意程式,然後趁用戶造訪時植入其電腦,並藉此蒐集資料,監聽Tor網路(The Onion Router)。雖然NSA表示這是為了瞄準恐怖份子或有組織的罪犯,但《衛報》表示,這類攻擊也可能傷害到新聞記者、研究人員,或是不小心造訪這些網站的人[34]。而Mozilla已在2012年11月釋出Firefox 17版修補了該漏洞。
2015年11月,Tor项目指责卡内基梅隆大学研究员在FBI的资助下攻击Tor的隐藏服务。该大学的研究人员Michael McCord和Alexander Volynkin通过设置大量节点,组合使用流量确认攻击和女巫攻击使Tor用户的身份去匿名化。最近公开的法庭文件确认了卡内基梅隆大学在其中扮演的角色——对Tor的攻击研究得到了美国国防部的资助。法庭文件针对的是暗网毒品市场丝路2.0的雇员Brian Farrell,执法部门通过向卡内基梅隆大学发去传票获得了Farrell的IP地址。[35]。
利用代理访问TOR
- 使用ShadowsocksR的话,可在“使用代理访问互联网”中选择代理类型socks5,IP默认127.0.0.1,端口默认1080即可快速访问tor,当然,务必要要选择内置网桥。
- 使用无界浏览,同上将端口改为默认的9666即可访问。
参见
XeroBank Browser(即原Torpark)
Vidalia——Tor的图形配置软件,曾有Tor+Privoxy+Vidalia整装套件,现在改为Tor+Polipo+Vidalia。
Privoxy——本是一个http代理服务器,但经常作为Tor客户端的伴侣,作用相当于socks4、socks5到socks4a的桥梁,因为Tor客户端使用socks4a可以得到更高的安全性。
I2P:I2P网络是由I2P路由器以大蒜路由方式组成的表层网络,建立于其上的应用程序可以安全匿名的相互通信。
JAP——一个Java写的匿名代理服务器
Softether-日本程式設計師登大遊就讀筑波大學時写的虚拟以太网软件,於2003年公開1.0版,因免费简洁而在Internet上曾广泛传播。
Shadowsocks——一个安全的socks5代理- VNN
VPN-X——由BirdsSoft开发的一套Java P2P VPN解决方案,利用了TUN与TAP技术- HTTPS
- 代理服务器
- 突破網路審查
- 中國網絡審查
- 网络安全
名偵探柯南:零的執行人——劇情將Tor改編為Nor,嫌犯用來IOT恐怖攻擊。
注释
^ Tor已经通过配置文件把中国大陸境内可用的中继及网桥全部屏蔽。
参考文献
^ Dingledine, Roger. Pre-alpha: run an onion proxy now!. or-dev (邮件列表). 2002-09-20 [2008-07-17].
^ nickm. New Releases: Tor 0.3.5.7, 0.3.4.10, and 0.3.3.11. 2019-01-07 [2019-01-09].
^ nickm. New Release: Tor 0.3.5.6-rc. 2018-12-18 [2019-01-09].
^ Tor. Open HUB. [2014-09-20].
^ Hahn, Sebastian. [tor-dev] Tor in a safer language: Network team update from Amsterdam. 2017-03-31 [2017-04-01].
^ LICENSE - Tor's source code. tor. [2018-05-15].
^ Li, Bingdong; Erdin, Esra; Güneş, Mehmet Hadi; Bebis, George; Shipley, Todd. An Analysis of Anonymity Usage. (编) Domingo-Pascual, Jordi; Shavitt, Yuval; Uhlig, Steve. Traffic Monitoring and Analysis: Third International Workshop, TMA 2011, Vienna, Austria, April 27, 2011, Proceedings. Berlin: Springer-Verlag. 2011-06-14: 113–116 [2012-08-06]. ISBN 978-3-642-20304-6.
^ Tor Project: FAQ. www.torproject.org. [2016-01-18].
^ Tor Network Status. [2016-01-14].
^ PATRICK KINGSLEY. Turks Click Away, but Wikipedia Is Gone. The New York Times. 2017-06-10 [2017-06-11].
^ Ball, James; Schneier, Bruce; Greenwald, Glenn. NSA and GCHQ target Tor network that protects anonymity of web users. The Guardian. 2013-10-04 [2013-10-05].
^ J. Appelbaum, A. Gibson, J. Goetz, V. Kabisch, L. Kampf, L. Ryge. NSA targets the privacy-conscious. Panorama (Norddeutscher Rundfunk). 2014-07-03 [2014-07-04].
^ Goodin, Dan. Tor developers vow to fix bug that can uncloak users. Ars Technica. 2014-07-22.
^ Selected Papers in Anonymity. Free Haven.
^ Tor Research Home. torproject.org.
^ Levine, Yasha. Almost everyone involved in developing Tor was (or is) funded by the US government. Pando Daily. 2014-07-16 [2016-04-21].
^ Onion Routing: Our Sponsors. www.onion-router.net. [2017-08-17].
^ Fagoyinbo, Joseph Babatunde. The Armed Forces: Instrument of Peace, Strength, Development and Prosperity. AuthorHouse. 2013-05-24 [2014-08-29]. ISBN 9781477226476.
^ Leigh, David; Harding, Luke. WikiLeaks: Inside Julian Assange's War on Secrecy. PublicAffairs. 2011-02-08 [2014-08-29]. ISBN 1610390628.
^ Ligh, Michael; Adair, Steven; Hartstein, Blake; Richard, Matthew. Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code. John Wiley & Sons. 2010-09-29 [2014-08-29]. ISBN 9781118003367.
^ Levine, Yasha. Almost everyone involved in developing Tor was (or is) funded by the US government. Pando Daily. 2014-07-16 [2014-08-30].
^ Tor Project Form 990 2008 (PDF). Tor Project. Tor Project. 2009 [2014-08-30].
^ Tor Project Form 990 2007 (PDF). Tor Project. Tor Project. 2008 [2014-08-30].
^ Tor Project Form 990 2009 (PDF). Tor Project. Tor Project. 2010 [2014-08-30].
^ 島民 No.86991066. [How To] Tor Browser Bundle:匿名網路瀏覽器. 2013-01-30 [2016-11-03]. (原始内容存档于2016-04-10).
^ Download Tor.
^ FAQ: I want to run another application through Tor. Tor Project. 2013-01-30 [2016-11-03]. (原始内容存档于2016-10-22).
^ Orbot - Tor for Android. 已忽略未知参数|auhor=
(建议使用|author=
) (帮助)
^ Raffi Khatchadourian. No Secrets. New Yorker. 2010-06-07.
^ 无法连接tor,寻求帮助!. 2011-04-17 [2011-07-08]. (原始内容存档于2012-12-20).
^ TOR被彻底封了?一堆网桥也连不上. 2011-02-21 [2011-07-08].
^ Knock Knock Knockin' on Bridges' Doors. Tor. [2012-01-10].
^ 林妍溱. 美、英政府利用Firefox漏洞監聽反追蹤軟體Tor. iThome online. 2013-10-07. (原始内容存档于2013-10-09).
^ JOSEPH COX. Confirmed: Carnegie Mellon University Attacked Tor, Was Subpoenaed By Feds. 2016-03-24.
延伸阅读
Applied Cryptography,Bruce Schneier (ISBN 978-0-471-11709-4)
Email Security,Bruce Schneier (ISBN 978-0-471-05318-7)
Computer Privacy Handbook,Andre Bacard (ISBN 978-1-56609-171-8)
外部链接
維基教科書中的相關電子教程:Tor |
維基教科書中的相關電子教程:突破网络审查 |
- Tor官方主页
- Tor浏览器
|
|
|