Introduction of Tor

src:Tor官网 https://www.torproject.org/index.html.en

 

概观

Tor网络是一组志愿者操作的服务器,允许人们改善他们在互联网上的隐私和安全性。Tor的用户通过连接一系列虚拟隧道而不是直接连接来使用该网络,从而允许组织和个人通过公共网络共享信息而不损害他们的隐私。同样,Tor是一种有效的审查规避工具,允许其用户访问其他被阻止的目的地或内容。Tor还可以用作软件开发人员的构建块,以创建具有内置隐私功能的新通信工具。

个人使用Tor来阻止网站跟踪他们及其家人,或者当他们的本地互联网提供商阻止他们时连接到新闻网站,即时消息服务等。Tor的洋葱服务 让用户可以发布网站和其他服务,而无需透露网站的位置。个人还使用Tor进行社交敏感交流:强奸和虐待幸存者的聊天室和网络论坛,或患有疾病的人。

记者使用Tor与举报人和持不同政见者进行更安全的沟通。非政府组织(NGO)使用Tor允许其工作人员在外国时连接到他们的主页,而不通知附近的所有人他们正在与该组织合作。

Indymedia等团体推荐使用Tor来保护其会员的在线隐私和安全。像电子前沿基金会(EFF)这样的激进组织建议将Tor作为一种在线维护公民自由的机制。公司使用Tor作为进行竞争分析的安全方式,并保护敏感的采购模式免受窃听者的侵害。他们还用它来取代传统的VPN,它们揭示了通信的确切数量和时间。哪些地方的员工工作到很晚?哪些地方的员工咨询求职网站?哪些研究部门正在与公司的专利律师沟通?

美国海军的一个分支机构使用Tor进行开源情报收集,其中一个团队最近在中东部署时使用了Tor。执法部门使用Tor来访问或监视网站,而不会在其Web日志中留下政府IP地址,并且在sting操作期间保护安全。

使用Tor的各种人实际上是使其如此安全的部分原因。Tor隐藏在网络上的其他用户之间,因此Tor的用户群越多,越多,您的匿名性就越受到保护。

为什么我们需要Tor

使用Tor可以保护您免受常见形式的互联网监控,即“流量分析”。流量分析可用于推断谁在通过公共网络与谁通话。了解互联网流量的来源和目的地可以让其他人跟踪您的行为和兴趣。例如,如果电子商务网站使用基于您所在国家/地区或原始机构的价格歧视,则会影响您的支票簿。它甚至可以通过揭示你的身份和位置来威胁你的工作和身体安全。例如,如果您在国外旅行并且连接到雇主的计算机以检查或发送邮件,即使连接已加密,您也可能无意中向观察网络的任何人透露您的国籍和专业从属关系。

流量分析如何运作?Internet数据包有两部分:数据有效负载和用于路由的头。数据有效负载是发送的任何内容,无论是电子邮件消息,网页还是音频文件。即使您加密通信的数据有效负载,流量分析仍然会显示您正在做什么,可能还有您所说的内容。那是因为它专注于标题,它公开了源,目的地,大小,时间等。

隐私的一个基本问题是,您的通信收件人可以看到您通过查看标头发送它。因此,互联网服务提供商等授权中介机构也可以,有时也是未经授权的中介机构。一种非常简单的流量分析形式可能涉及坐在网络上的发件人和收件人之间,查看标题。

但也有更强大的流量分析。一些攻击者监视互联网的多个部分,并使用复杂的统计技术来跟踪许多不同组织和个人的通信模式。加密对这些攻击者没有帮助,因为它只隐藏了互联网流量的内容,而不是标题。

解决方案:分布式匿名网络

Tor如何工作

Tor通过在Internet上的多个位置分发您的交易,有助于降低简单和复杂流量分析的风险,因此没有任何一个点可以将您链接到目的地。这个想法类似于使用一条曲折,难以遵循的路线,以便甩掉一个拖尾你的人 – 然后定期擦除你的脚印。Tor网络上的数据包不是采用从源到目的地的直接路由,而是通过覆盖轨道的几个中继采用随机路径,因此任何单点的观察者都无法分辨数据的来源或位置。

为了使用Tor创建专用网络路径,用户的软件或客户端通过网络上的中继逐步建立加密连接电路。电路一次扩展一跳,沿途的每个继电器只知道哪个继电器给它提供数据,哪个继电器给它提供数据。没有任何单个中继器知道数据包已经采用的完整路径。客户端为电路中的每一跳协商一组单独的加密密钥,以确保每一跳都不能在这些连接通过时跟踪这些连接。

Tor电路第二步

一旦建立了电路,就可以交换多种数据,并且可以在Tor网络上部署几种不同类型的软件应用程序。由于每个中继在电路中看到的跳数不超过一跳,因此窃听者和受损中继都不能使用流量分析来链接连接的源和目的地。Tor仅适用于TCP流,可供任何具有SOCKS支持的应用程序使用。

为了提高效率,Tor软件使用相同的电路进行在相同的十分钟左右内发生的连接。后来的请求被赋予一个新的电路,以防止人们将您之前的行动与新的行动联系起来。

Tor电路第三步

保持匿名

Tor无法解决所有匿名问题。它仅侧重于保护数据传输。如果您不希望您访问的站点看到您的识别信息,则需要使用特定于协议的支持软件。例如,您可以 在浏览Web时使用Tor浏览器隐藏有关计算机配置的一些信息。

此外,为了保护您的匿名性,请保持聪明。请勿在网络表单中提供您的姓名或其他透露信息。请注意,与所有匿名网络一样,网络浏览速度足够快,Tor不提供针对端到端时间攻击的保护:如果您的攻击者可以监视计算机流出的流量,以及到达您的计算机的流量选择目的地,他可以使用统计分析发现它们是同一电路的一部分。

Tor的未来

在互联网上提供可用的匿名网络是一项持续的挑战。我们需要满足用户需求的软件。我们还希望以尽可能多的用户处理方式保持网络正常运行。安全性和可用性不一定是不一致的:随着Tor的可用性增加,它将吸引更多用户,这将增加每个通信的可能来源和目的地,从而增加每个人的安全性。我们正在取得进展,但我们需要你的帮助。请考虑 作为 开发人员运行中继 或志愿服务

法律,政策和技术的持续发展趋势威胁到前所未有的匿名性,破坏了我们在线自由发言和阅读的能力。这些趋势还会使个人,组织,公司和政府之间的沟通更容易受到分析,从而破坏国家安全和关键基础设施。每个新用户和中继都提供额外的多样性,增强了Tor将您的安全性和隐私控制权交还给您的能力。

———————————————————————————————————————————–

其次,Tor并不是真正的安全,并不是所有的行为都是安全的,需要注意官网列出的使用警告:Tor真正正确安全工作的方法:

You need to change some of your habits, as some things won’t work exactly as you are used to.

  1. 只有通过Tor的流量才是安全的

    Tor does not protect all of your computer’s Internet traffic when you run it. Tor only protects your applications that are properly configured to send their Internet traffic through Tor. To avoid problems with Tor configuration, we strongly recommend you use the Tor Browser. It is pre-configured to protect your privacy and anonymity on the web as long as you’re browsing with Tor Browser itself. Almost any other web browser configuration is likely to be unsafe to use with Tor.

  2. 不要通过Tor使用torrent:上传or下载,即使打开访问也不行

    Torrent file-sharing applications have been observed to ignore proxy settings and make direct connections even when they are told to use Tor. Even if your torrent application connects only through Tor, you will often send out your real IP address in the tracker GET request, because that’s how torrents work. Not only do you deanonymize your torrent traffic and your other simultaneous Tor web traffic this way, you also slow down the entire Tor network for everyone else.

  3. 不要在Tor上使用任何浏览器插件

    Tor Browser will block browser plugins such as Flash, RealPlayer, Quicktime, and others: they can be manipulated into revealing your IP address. Similarly, we do not recommend installing additional addons or plugins into Tor Browser, as these may bypass Tor or otherwise harm your anonymity and privacy.

  4. 使用HTTPS版本的网站

    Tor will encrypt your traffic to and within the Tor network, but the encryption of your traffic to the final destination website depends upon on that website. To help ensure private encryption to websites, Tor Browser includes HTTPS Everywhere to force the use of HTTPS encryption with major websites that support it. However, you should still watch the browser URL bar to ensure that websites you provide sensitive information to display a blue or green URL bar button, include https:// in the URL, and display the proper expected name for the website. Also see EFF’s interactive page explaining how Tor and HTTPS relate.

  5. 不要直接在tor上打开下载的文档!!!

    Tor Browser will warn you before automatically opening documents that are handled by external applications. DO NOT IGNORE THIS WARNING. You should be very careful when downloading documents via Tor (especially DOC and PDF files, unless you use the PDF viewer that’s built into Tor Browser) as these documents can contain Internet resources that will be downloaded outside of Tor by the application that opens them. This will reveal your non-Tor IP address. If you must work with DOC and/or PDF files, we strongly recommend either using a disconnected computer, downloading the free VirtualBox and using it with a virtual machine image with networking disabled, or using Tails. Under no circumstances is it safe to use BitTorrent and Tor together, however.

  6. Use bridges and/or find company

    Tor tries to prevent attackers from learning what destination websites you connect to. However, by default, it does not prevent somebody watching your Internet traffic from learning that you’re using Tor. If this matters to you, you can reduce this risk by configuring Tor to use a Tor bridge relay rather than connecting directly to the public Tor network. Ultimately the best protection is a social approach: the more Tor users there are near you and the more diverse their interests, the less dangerous it will be that you are one of them. Convince other people to use Tor, too!

 

Be smart and learn more. Understand what Tor does and does not offer. This list of pitfalls isn’t complete, and we need your help identifying and documenting all the issues.