Tor











body.skin-minerva .mw-parser-output table.infobox caption{text-align:center}

























































洋葱路由器

Tor-logo-2011-flat.svg
開發者
Tor项目公司英语The Tor Project, Inc
初始版本
2002年9月20日 (2002-09-20)[1]
穩定版本

穩定版本
0.3.5.7(2019年1月7日,​8天前​(2019-01-07[2][±]
預覽版本
0.3.5.6-rc(2018年12月18日,​28天前​(2018-12-18[3][±]
開發狀態
活躍
编程语言
C[4]、Python、Rust[5]
操作系统


  • Microsoft Windows


  • Unix-like(Android、Linux、OS X)



文件大小
50–55 MB
类型
洋葱路由、匿名
许可协议
BSD许可证[6]
網站
www.torproject.org
源代码库
  • https://gitweb.torproject.org/tor.git
編輯維基數據鏈接

Tor是实现匿名通信的自由软件。其名源於「The Onion Router」(洋蔥路由器)的英語縮寫[7][8]。用戶可透過Tor接達由全球志願者免費提供,包含7000+個中继的覆盖网络[9],從而達至隱藏用戶真實地址、避免網絡監控及流量分析的目的。Tor用戶的互聯網活動(包括瀏覽在線網站、帖子以及即時消息等通訊形式)相對較難追踪[10]。Tor的設計原意在於保障用戶的個人私隱,以及不受監控地進行秘密通信的自由和能力。


Tor不會阻止在線網站判斷用戶是否通過Tor訪問該網站。儘管它保護用戶的私隱,但卻不會掩飾用戶正在使用Tor這一事實。有些網站會對使用Tor的用戶進行限制。MediaWiki的擴充功能Torblock便是其中一個例子,其能自動地限制透過Tor進行的編輯。而使用了Torblock的維基百科則容許用戶在某些情況下透過Tor编辑其內容[11]


Tor透過在5層協定棧中的應用層進行加密,從而實現洋葱路由這一種技術。Tor會對包括下一個中继的IP地址在內的數據,進行多次加密,並透過虛擬電路(包括隨機選擇的Tor中继)將其送出。每個中繼都會對一層加密的數據進行解密,以知道數據的下一個傳送目的地,然後將剩餘的加密數據傳送給它。最後的中繼會解密最內層的加密數據,並在不會洩露或得知源IP地址的情況下,將原始數據發送至目標地址。


攻擊者可能會嘗試透過某些手段來使Tor用戶去匿名化。包括利用Tor用戶電腦上的軟件漏洞[12]。美国国家安全局擁有針對Tor安裝包中所綑綁的舊版本Firefox漏洞的技術(代號「EgotisticalGiraffe」),並曾利用XKeyscore系統來密切監控Tor用戶[13]。不少學者亦就如何破解Tor網絡進行過學術研究[14][15],此一行為受到Tor项目公司所肯定[16]


開發及維護Tor所需的一大部分費用由美國聯邦政府所捐助[17],過去則以海軍研究辦公室及國防高等研究計劃署的名義捐助[18]




目录






  • 1 历史


  • 2 应用


    • 2.1 Tor浏览器


    • 2.2 移动平台




  • 3 匿名外连


  • 4 滥用與防免


  • 5 隱藏服務


  • 6 安全性


    • 6.1 中国


    • 6.2 英美兩國




  • 7 利用代理访问TOR


  • 8 参见


  • 9 注释


  • 10 参考文献


  • 11 延伸阅读


  • 12 外部链接





历史






Tor使用者分布图


Tor的核心技术“洋葱路由”,是在1990年代中期由美国海军研究实验室的员工,数学家保罗·西维森(Paul Syverson)和计算机科学家邁克·里德(G. Mike Reed)和大衛·戈爾德施拉格(David Goldschlag),为保护美国情报通信而开发的软件。之后,洋葱路由于1997年交由国防高等研究计划署做进一步开发[19][20][21]


Tor的测试版由西维森和计算机科学家罗根·丁格伦(Roger Dingledine)和尼克·马修森(Nick Mathewson)[22]开发并命名为“洋葱路由项目”(The Onion Routing project),简称TOR项目,发布于2002年9月20日。2004年8月13日,西维森、丁格伦和马修森在第13届USENIX安全研讨会上介绍提出了「Tor:第二代洋葱路由器」。2004年,美国海军研究实验室以自由软件许可证发布了Tor代码,电子前哨基金会开始资助丁格伦和马修森继续开发。


2006年12月,丁格伦、马修森及另五人成立了The Tor Project,一个位于马萨诸塞州的非营利组织负责维护Tor。电子前哨基金会担任其早年的财政赞助商,Tor项目的早期资助者还包括美国国际广播局、新闻国际、人权观察、剑桥大学、谷歌和荷兰的NLnet[23][24][25]



应用



Tor浏览器
















































Tor瀏覽器

Tor Browser运行于Linux Mint的启动画面 - about:tor
Tor Browser运行于Linux Mint的启动画面 - about:tor

開發者
Tor Project
開發狀態
活躍
操作系统



  • Windows XP或更新


  • Unix-like(包含OS X)



采用引擎
Gecko
文件大小
32–41 MB
语言
16种语言
类型
洋葱路由、匿名、网页浏览器、聚合器
许可协议
GNU通用公共许可证
網站
www.torproject.org/projects/torbrowser.html
源代码库
  • https://gitweb.torproject.org/tor.git
編輯維基數據鏈接

Tor瀏覽器,前身为Tor Browser Bundle(TBB),是Tor项目的旗舰产品[26]。由Mozilla Firefox ESR浏览器修改而成,並由Tor Project開發人員做了許多安全性和隱私保護的調校,預載TorButton、TorLauncher、NoScript和HTTPS Everywhere等擴充套件與Tor代理。其为開源軟體、自由軟體、绿色软件,可在多種作業系統上運行,包括Windows、Mac OS X、Linux、Unix、BSD、以及Android手機。現在也能於iOS使用,只要在App store 下載 Onion Browser 就可以。


Tor瀏覽器在后台启动Tor进程并透过其连接网络。一旦程序断开連接,Tor瀏覽器便会自动删除隐私敏感数据,如cookie和浏览历史记录。


Tor浏览器目前提供16種語言的介面,包括美国英语、阿拉伯语、法语、西班牙语、波斯语、德语、日语、意大利语、韩语、荷兰语、波兰语、俄语、土耳其语、巴西葡萄牙语、越南语、簡體中文和繁體中文。[27]


Tor瀏覽器本身提供SOCKS代理服務,一些應用程式已可藉此使用Tor網路。若結合代理伺服器軟體 Privoxy,可以讓所有走HTTP/HTTPS協定的連網應用程式、以及所有能夠設定HTTP/HTTPS代理的應用程式都透過Tor網路來上網。[28]



移动平台


Android平台上的Tor伺服器名為Orbot,並搭配Orfox或Tor Browser for Android (Alpha)瀏覽器來開啟網頁。Orbot本身可以當作VPN和Proxy使用,讓用戶指定同一裝置上的任何程式通過Tor網路來匿名上網。[29]



匿名外连


Tor用户在本机运行一个洋葱代理服务器(onion proxy),这个代理周期性地与其他Tor交流,从而在Tor网络中构成虚电路(virtual circuit)。Tor是在5层协议栈中的应用层进行加密(也就是按照'onion'的模式)。而它之所以被称为onion,是因为它的结构就跟洋葱相同,你只能看出它的外表,而想要看到核心,就必须把它层层的剥开。即每个路由器间的传输都经过對等密鑰(symmetric key)来加密,形成有层次的结构。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包在里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以保持通讯安全。同时对于客户端,洋葱代理服务器又作为SOCKS接口。一些应用程序就可以将Tor作为代理服务器,网络通讯就可以通过Tor的虚拟环路来进行。


进入Tor网络后,加密信息在路由器间层层传递,最后到达“出口節點”(exit node),明文数据从这个节点直接发往原来的目的地。对于目的地主机而言,是从“出口節點”发来信息。要注意的是明文資訊即使在Tor網路中是加密的,離開Tor後仍然是明文的。維基解密創始人便聲稱其公開的某些檔案是截獲於Tor的出口節點[30]


由于在TCP数据流的级别通讯,Tor显得卓然独立于其他匿名网络。通过使用Tor,一般的应用程序都可以实现匿名,比如IRC、即时通讯,以及浏览网页。浏览网页时,Tor常常与Privoxy或Polipo等联合使用,Privoxy、Polipo是开源代理服务器,可以在应用层增加保护隐私。



滥用與防免


由于Tor可以匿名进行TCP传输,这就导致了被滥用的可能。路由器存放有一个“出口规则”(exit policy),内有各种地址、端口的组合规定,通过这个来区别哪些传输可以通过这个节点而离开Tor网络,这样就可能防范许多滥用的可能。潜在的滥用包括:



  • P2P:防止滥用有限的带宽。

  • E-mail:匿名的SMTP很容易导致垃圾邮件的产生,絕大多數Tor节点都拒绝对外连接到端口25(SMTP的端口)。

  • 蓄意破坏:由于不会被识破,用户有时会利用Tor来对各種网站进行破坏或DDoS阻斷式干擾,尤其用戶流量大的社交平台、交易平台、電子郵件服務。


各種破壞與濫用行為导致许多的网站部分或完全限制对Tor的通讯。例如:




  • 台灣知名的網路書店博客來禁止Tor用戶瀏覽。


  • 維基百科容許用戶在某些情況下透過Tor編輯其內容,允許瀏覽。


  • Facebook和Google不允許使用Tor網址註冊帳號,但已註冊的帳號(因為使用非Tor網路註冊,這些網站有某些方法可以追查到用戶的真實身分)可以透過Tor網址存取。


  • Google搜尋會暫時性地禁止某些Tor網址,因為短時間內來自同一網址的搜尋太多,會被自動判定為DDoS攻擊。通常換個Tor出口點就可以使用(使用洋蔥形狀的Tor Button)。

  • 許多網頁寄存服務為了避免其客戶網站受來自Tor匿名的攻擊,針對Tor使用者總是詢問Captcha圖形驗證碼,迫使用戶手動輸入,確認那是人類用戶而不是電腦的自動化攻擊,才予以通行。例如:亞馬遜網路服務系統。



隱藏服務


Tor不仅可以提供客户端的匿名访问,Tor还可以提供服务器的匿名。通过使用Tor网络,用户可以维护位置不可知的服务器。這些服務器所構成的網路被稱為 "Tor Hidden Services",資訊界又稱為暗網,一般的網際網路則被相應地稱為明網。因為在明網裡,用戶端和伺服端彼此知道對方的真實IP地址,而在暗網裡雙方互不知IP地址。若伺服端能做到不記錄用戶使用資訊,以及客戶端能做到任何時刻都不輸入真實個人資料,則透過Tor隱藏服務可以達成上網的完全匿名性。


如果要访问Tor隱藏服務,客户端必須安装Tor瀏覽器,在搭載Android作業系統的手機或平板電腦上,則必須安裝Orfox。


在Tor瀏覽器裡面,於網址列輸入Tor隱藏網路特有的顶级域名.onion,可以访问Tor隐藏服务(暗網)。Tor瀏覽器可以识别.onion域名,并自动路由到隐藏的服务。然后,隐藏的服务将请求交由标准的服务器软件进行处理,这个服务器软件应该预先进行配置,从而只侦听非公开的接口。


Tor隱藏服務(暗網)有个另外的好处,由于不需要公开的IP地址,服务就可以躲在防火墙和NAT背后。但如果这个服务还可以通过一般的網際網路(明網)来访问,那也会受到相关连的攻击,这样就没有真正的隐藏起来。


Tor隱藏服務的例子(在非Tor的瀏覽器輸入.onion網址是無意義的):




  • Tor隱藏維基 (http://zqktlwi4fecvo6ri.onion/):列出常用的隱藏網站,以及關於使用隱藏服務的技巧和注意事項。也有明網的地址(https://thehiddenwiki.org/),可使用一般瀏覽器訪問 。


  • SIGAINT:暗網最老牌,標榜隱私與安全,廣受資安人士信賴的電子郵件服務。 (暂时已被停用)


  • DuckDuckGo:主要運作在明網的搜尋引擎,標榜隱私、不記錄用戶資訊和搜尋歷史(相反地,Google, Yahoo, Bing, 蕃薯藤等等都會記錄),也提供暗網服務(http://3g2upl4pq6kufc4m.onion/),讓用戶更徹底地匿名化。


  • Facebook雖然禁止Tor用戶註冊帳號,卻提供了.onion的隱藏服務,供已註冊的用戶連接。(https://www.facebookcorewwwi.onion/)



安全性



中国


Tor在中国被许多人用于突破防火长城,这主要是因为中国大陆屏蔽了大量的海外网站和服务器。Tor会自动检测节点是否可达目标地址。如果返回错误无法到达,它会自动更换节点。相应地,这种技术也可以用在中国大陸境外模拟中国大陸境内的节点,以访问一些境外无法访问的内容。


而防火长城对于Tor一直没有很好的解决方法。现行比较有效的方法是对未使用SSL(HTTPS)加密的连接进行特征检测并重置连接,或对已知节点和网桥进行IP地址屏蔽,也有在中国境内建立Tor的虚假节点以对通过其传输的数据进行最大限度的审查[a]


作为反制,有部分大陆网民自发在中国境内建起网桥,帮助中国大陸境内未能连接上Tor网络的使用者连接。


  • 2009年9月以后的一段时间内,使用的Tor的0.2.1.19版本,并不使用网桥的情况之下无法建立Tor的连接。然而使用的Tor的稳定版0.2.1.20,仍能够建立Tor的连接,突破网络封锁且不需要勾选“我的ISP阻挡了对Tor网络的连接”的选项,即使用网桥。从理论上来说,在使用网桥的情况下,Tor的总能建立连接,而不被封锁,因为网桥是可以动态更新的。

  • 2010年6月3日前后的一段时间内,使用Tor的0.2.1.26版本,在使用Bridges的情况之下,建立Tor的连接也相当的困难,显示的信息是“建立Tor回路failed”,这说明防火长城成功侦测并截断了Tor的连接。但Tor的连接一旦建立后切断并不容易,所以Tor一旦成功建立连接后就无法被防火长城干扰。同年8月前后至今,Tor又可以连接上。据全球互联网自由联盟上的用户说,只要加一次网桥,接下来就可以轻松连上Tor网络。

  • 但在2011年1月之后,中国大陆有网民反映,Tor即使更换了网桥也无法正常连接上,但事实上这是网桥已经被屏蔽的结果[31][32]。对于长期频繁使用和连接Tor的用户来说,由于Tor会缓存节点路由信息,所以只要这些节点或网桥没被封锁,他们照样能正常使用Tor。

  • 自2011年10月后,当中国的一个Tor客户端与美国的网桥中继建立连接,一个中国的数据探针会在15分钟周期内尝试与Tor进行SSL协商和重协商,但目的不是建立TCP连接。12月后这种行为停止[33]

  • 自Tor Browser4.5发布后,借助meek网桥,中国大陸用户可以接通Tor网络。


英美兩國


美國國安局(NSA)及英國政府通訊總部(Government Communications Headquarter,GCHQ)於2012年6月發佈名為Tor Stinks的簡報檔,檔案中兩國政府單位提及監聽Tor網路困難重重,文中表示「無法辨識出所有Tor用戶的身份。而以人工分析後,我們得以辨識非常小部份的Tor用戶。」然而對特定呼叫有回應的用戶,國安單位未成功辨識出任何身份。之後利用代號為「EgotisticalGiraffe」的技術(靠入侵Tor Browser Bundle基体軟體Firefox的漏洞),NSA在用戶可能造訪的網站或論壇植入惡意程式,然後趁用戶造訪時植入其電腦,並藉此蒐集資料,監聽Tor網路(The Onion Router)。雖然NSA表示這是為了瞄準恐怖份子或有組織的罪犯,但《衛報》表示,這類攻擊也可能傷害到新聞記者、研究人員,或是不小心造訪這些網站的人[34]。而Mozilla已在2012年11月釋出Firefox 17版修補了該漏洞。


2015年11月,Tor项目指责卡内基梅隆大学研究员在FBI的资助下攻击Tor的隐藏服务。该大学的研究人员Michael McCord和Alexander Volynkin通过设置大量节点,组合使用流量确认攻击和女巫攻击使Tor用户的身份去匿名化。最近公开的法庭文件确认了卡内基梅隆大学在其中扮演的角色——对Tor的攻击研究得到了美国国防部的资助。法庭文件针对的是暗网毒品市场丝路2.0的雇员Brian Farrell,执法部门通过向卡内基梅隆大学发去传票获得了Farrell的IP地址。[35]



利用代理访问TOR



  • 使用ShadowsocksR的话,可在“使用代理访问互联网”中选择代理类型socks5,IP默认127.0.0.1,端口默认1080即可快速访问tor,当然,务必要要选择内置网桥。

  • 使用无界浏览,同上将端口改为默认的9666即可访问。



参见






  • XeroBank Browser(即原Torpark)


  • Vidalia——Tor的图形配置软件,曾有Tor+Privoxy+Vidalia整装套件,现在改为Tor+Polipo+Vidalia。


  • Privoxy——本是一个http代理服务器,但经常作为Tor客户端的伴侣,作用相当于socks4、socks5到socks4a的桥梁,因为Tor客户端使用socks4a可以得到更高的安全性。


  • I2P:I2P网络是由I2P路由器以大蒜路由方式组成的表层网络,建立于其上的应用程序可以安全匿名的相互通信。


  • JAP——一个Java写的匿名代理服务器


  • Softether-日本程式設計師登大遊就讀筑波大學時写的虚拟以太网软件,於2003年公開1.0版,因免费简洁而在Internet上曾广泛传播。


  • Shadowsocks——一个安全的socks5代理

  • VNN


  • VPN-X——由BirdsSoft开发的一套Java P2P VPN解决方案,利用了TUN与TAP技术

  • HTTPS

  • 代理服务器

  • 突破網路審查

  • 中國網絡審查

  • 网络安全


  • 名偵探柯南:零的執行人——劇情將Tor改編為Nor,嫌犯用來IOT恐怖攻擊。




注释





  1. ^ Tor已经通过配置文件把中国大陸境内可用的中继及网桥全部屏蔽。




参考文献





  1. ^ Dingledine, Roger. Pre-alpha: run an onion proxy now!. or-dev (邮件列表). 2002-09-20 [2008-07-17]. 


  2. ^ nickm. New Releases: Tor 0.3.5.7, 0.3.4.10, and 0.3.3.11. 2019-01-07 [2019-01-09]. 


  3. ^ nickm. New Release: Tor 0.3.5.6-rc. 2018-12-18 [2019-01-09]. 


  4. ^ Tor. Open HUB. [2014-09-20]. 


  5. ^ Hahn, Sebastian. [tor-dev] Tor in a safer language: Network team update from Amsterdam. 2017-03-31 [2017-04-01]. 


  6. ^ LICENSE - Tor's source code. tor. [2018-05-15]. 


  7. ^ Li, Bingdong; Erdin, Esra; Güneş, Mehmet Hadi; Bebis, George; Shipley, Todd. An Analysis of Anonymity Usage. (编) Domingo-Pascual, Jordi; Shavitt, Yuval; Uhlig, Steve. Traffic Monitoring and Analysis: Third International Workshop, TMA 2011, Vienna, Austria, April 27, 2011, Proceedings. Berlin: Springer-Verlag. 2011-06-14: 113–116 [2012-08-06]. ISBN 978-3-642-20304-6. 


  8. ^ Tor Project: FAQ. www.torproject.org. [2016-01-18]. 


  9. ^ Tor Network Status. [2016-01-14]. 


  10. ^ Glater, Jonathan D. Privacy for People Who Don't Show Their Navels. The New York Times. 2006-01-25 [2011-05-13]. 


  11. ^ PATRICK KINGSLEY. Turks Click Away, but Wikipedia Is Gone. The New York Times. 2017-06-10 [2017-06-11]. 


  12. ^ Ball, James; Schneier, Bruce; Greenwald, Glenn. NSA and GCHQ target Tor network that protects anonymity of web users. The Guardian. 2013-10-04 [2013-10-05]. 


  13. ^ J. Appelbaum, A. Gibson, J. Goetz, V. Kabisch, L. Kampf, L. Ryge. NSA targets the privacy-conscious. Panorama (Norddeutscher Rundfunk). 2014-07-03 [2014-07-04]. 


  14. ^ Goodin, Dan. Tor developers vow to fix bug that can uncloak users. Ars Technica. 2014-07-22. 


  15. ^ Selected Papers in Anonymity. Free Haven. 


  16. ^ Tor Research Home. torproject.org. 


  17. ^ Levine, Yasha. Almost everyone involved in developing Tor was (or is) funded by the US government. Pando Daily. 2014-07-16 [2016-04-21]. 


  18. ^ Onion Routing: Our Sponsors. www.onion-router.net. [2017-08-17]. 


  19. ^ Fagoyinbo, Joseph Babatunde. The Armed Forces: Instrument of Peace, Strength, Development and Prosperity. AuthorHouse. 2013-05-24 [2014-08-29]. ISBN 9781477226476. 


  20. ^ Leigh, David; Harding, Luke. WikiLeaks: Inside Julian Assange's War on Secrecy. PublicAffairs. 2011-02-08 [2014-08-29]. ISBN 1610390628. 


  21. ^ Ligh, Michael; Adair, Steven; Hartstein, Blake; Richard, Matthew. Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code. John Wiley & Sons. 2010-09-29 [2014-08-29]. ISBN 9781118003367. 


  22. ^ Levine, Yasha. Almost everyone involved in developing Tor was (or is) funded by the US government. Pando Daily. 2014-07-16 [2014-08-30]. 


  23. ^ Tor Project Form 990 2008 (PDF). Tor Project. Tor Project. 2009 [2014-08-30]. 


  24. ^ Tor Project Form 990 2007 (PDF). Tor Project. Tor Project. 2008 [2014-08-30]. 


  25. ^ Tor Project Form 990 2009 (PDF). Tor Project. Tor Project. 2010 [2014-08-30]. 


  26. ^ 島民 No.86991066. [How To] Tor Browser Bundle:匿名網路瀏覽器. 2013-01-30 [2016-11-03]. (原始内容存档于2016-04-10). 


  27. ^ Download Tor. 


  28. ^ FAQ: I want to run another application through Tor. Tor Project. 2013-01-30 [2016-11-03]. (原始内容存档于2016-10-22). 


  29. ^ Orbot - Tor for Android.  已忽略未知参数|auhor=(建议使用|author=) (帮助)


  30. ^ Raffi Khatchadourian. No Secrets. New Yorker. 2010-06-07. 


  31. ^ 无法连接tor,寻求帮助!. 2011-04-17 [2011-07-08]. (原始内容存档于2012-12-20). 


  32. ^ TOR被彻底封了?一堆网桥也连不上. 2011-02-21 [2011-07-08]. 


  33. ^ Knock Knock Knockin' on Bridges' Doors. Tor. [2012-01-10]. 


  34. ^ 林妍溱. 美、英政府利用Firefox漏洞監聽反追蹤軟體Tor. iThome online. 2013-10-07. (原始内容存档于2013-10-09). 


  35. ^ JOSEPH COX. Confirmed: Carnegie Mellon University Attacked Tor, Was Subpoenaed By Feds. 2016-03-24. 




延伸阅读




  • Applied Cryptography,Bruce Schneier (ISBN 978-0-471-11709-4)


  • Email Security,Bruce Schneier (ISBN 978-0-471-05318-7)


  • Computer Privacy Handbook,Andre Bacard (ISBN 978-1-56609-171-8)



外部链接











  • Tor官方主页

  • Tor浏览器








Popular posts from this blog

數位音樂下載

When can things happen in Etherscan, such as the picture below?

格利澤436b