Tor网络的核心目标是保护用户隐私,让任何人——包括记者、活动人士或举报者——都能在不被追踪的情况下上网。网络设计确保没有单一节点或运营商能知道谁在和谁通信。然而,现实中运行Tor中继节点(relay)面临巨大风险:服务器可能被执法部门扣押、突袭,甚至物理访问。历史上,奥地利、德国、美国、俄罗斯等地都发生过类似事件。一旦服务器被没收,里面存储的密钥、日志或其他数据就可能成为证据,破坏整个网络的信任基础。
为了解决这个问题,有人提出让中继节点变得“无状态”(stateless)。简单说,就是让服务器不保存任何持久化数据,每次启动都从一个已知的、固定的镜像开始运行,就像Tails操作系统那样,一切都在内存(RAM)中完成,重启后所有临时状态自动消失。
本文基于Tor项目官方博客的最新文章,探讨了无状态、无盘操作系统如何从固件到用户空间提升中继服务器的安全性,重点关注软件完整性和抵御物理攻击的能力。这项工作源于意大利Osservatorio Nessuno运行出口中继服务器的经验。中继服务器的管理因具体情况、技术能力、预算和管辖范围而异。我们希望引发讨论,而非提出单一模型。
什么是无状态中继,为什么它更安全? 传统中继节点会把身份密钥(identity key)、带宽历史等信息存放在磁盘上。这些数据让节点能在网络中积累“信誉”(如获得Guard或Exit标志,提高流量分配)。但磁盘数据正是物理攻击的最大弱点:被扣押后,攻击者可以直接复制文件,提取密钥。
无状态系统则彻底反其道而行之:
物理攻击抵抗力:机器被没收或镜像克隆时,内存中的数据会因断电而消失,什么都留不下。密钥如果只存在于特定硬件中,提取难度大幅增加。 声明式配置:整个系统通过版本控制的镜像构建,每次启动都强制应用相同配置,不会“漂移”。 不可变运行时:文件系统设为只读,即使攻击者获得代码执行权限,也无法在重启后持久化恶意代码。 可重现性:系统状态固定,便于验证、审计和复现,减少人为配置错误。 这种思路并非全新。早在2015年,就有Tor-ramdisk项目——一个基于uClibc的微型Linux发行版,专门设计成完全在内存中运行Tor中继。
Tor中继为什么难以实现无状态? 难点主要在于“信誉”和“状态”:
长期身份密钥:Tor中继的ed25519身份密钥决定了节点在网络中的身份。丢失它,就得从零开始积累带宽权重。密钥必须能“活过”多次重启,却又不能轻易被提取。 状态文件:Tor会维护带宽使用历史等临时数据。每次丢弃这些数据会影响性能。 内存限制:完全无磁盘意味着不能使用交换分区(swap)。如果内存不足,Linux内核的OOM Killer会直接杀死进程。实际测试显示,Tor在繁忙的Guard中继上可能占用约5.7GB内存,主要因为目录缓存对象的高频创建与销毁导致内存碎片。通过把glibc内存分配器换成jemalloc或mimalloc,能把占用降到1.2GB以下,大幅改善稳定性。 TPM:硬件级密钥保护的核心工具 解决密钥持久化问题的关键硬件是TPM(Trusted Platform Module,可信平台模块)。这是主板上的一颗独立加密芯片,能存储密钥并执行运算,却从不把私钥暴露给操作系统。
TPM有两个强大功能:
密封(Sealing):把密钥绑定到机器当前的软件测量状态(PCR值)。只有当启动时的固件、引导程序、内核等完全一致时,才能解封使用密钥。即使物理访问硬件,也无法直接导出密钥(不过当前TPM对ed25519支持有限,密钥仍可能以加密字节串形式存于非易失性存储,存在一定导出风险)。 远程证明(Remote Attestation):TPM能向外部验证者证明“当前运行的软件栈正是预期的那个”,签名由硬件根信任背书。这大大降低了运营商自身的可信度要求。 使用TPM时,需要提前决定信任哪些软件状态。更新内核或引导程序后,测量值变化,必须重新密封密钥。这也是目前最大的运维挑战之一。
现有几种实现方案 不同运营商根据安全需求和复杂度,选择不同路径:
最简版ramdisk:直接用Tor-ramdisk之类的工具,所有东西跑在内存。密钥通过SCP手动导入导出,重启前不处理就得重头开始。没有TPM、没有验证启动,但至少保证断电后数据全无,仍比传统磁盘方案强很多。 虚拟机版ramdisk:如Emerald Onion项目,在Proxmox虚拟化平台上为每个中继运行一个仅66MB的Alpine Linux镜像,全部加载到内存,无持久存储。利用Tor的OfflineMasterKey功能:长期主密钥在离线环境下生成,从不接触在线中继。更新就是重建镜像,回滚极其简单,不需要特殊硬件。 裸金属+TPM方案(如Patela工具):使用stboot引导程序——它会从网络拉取并密码验证签名的OS镜像,再移交控制权。运行后,节点通过mTLS从配置服务器拉取配置(服务器即使被攻破也只能拒绝服务,无法推送凭证或偷密钥)。身份密钥密封在TPM非易失性内存中,绑定启动测量状态,能存活重启但无法提取。缺点是必须用裸金属硬件,更新后需重新密封。 尚未解决的技术难题 更新后的重新密封:软件栈变化导致PCR值改变,如何自动化预测并密封新状态?systemd-pcrlock等工具正在改进,但还没做到开箱即用。 无状态与自动升级的矛盾:用unattended-upgrades更新Tor二进制后,重启会回滚到镜像中的旧版本,造成意外降级。如何协调安全补丁和不可变镜像,仍需探索。 内存约束:没有swap,内存使用难以精确预测。分配器优化有帮助,但根本限制依然存在。 网络稳定性:频繁重启可能导致丢失“Stable”标志,影响流量分配。 未来的技术方向 研究者们正在推动更多创新:
远程证明的广泛应用:让目录权威或配置服务器能远程验证节点运行的软件栈,减少对运营商的信任。 透明日志(Transparency Logs):把可重现构建的哈希和TPM测量值公开记录到追加式日志中,社区可以独立监控整个中继舰队。 机密计算:在虚拟机方案中引入AMD SEV-SNP等技术,让虚拟机内存对宿主机管理程序都不可见,进一步缩小虚拟化与裸金属的安全差距。 协议层优化:如Walking Onions提案,能让节点不再需要持有完整的网络视图,从而降低内存需求。未来可能结合Arti(Tor的Rust重写实现)进一步缩小系统体积。 总之,“暗网下/AWX”认为,无状态中继不是一个单一方案,而是一系列权衡:从最简单的内存运行,到结合TPM和远程证明的硬件绑定方案。它在提升物理安全、强制不可变性和可审计性的同时,也带来了运维复杂度和性能挑战。Tor社区希望通过持续讨论和实验,让更多运营商能根据自身环境,选择适合的路径,最终让整个网络对扣押和物理攻击更具韧性。
Tor项目在文章中表示,这项工作始于2025年的Tor社区大会,目前仍在进行中。如果用户正在运行中继服务器、参与Tor工具的开发,或者思考过任何这些未解决的问题,Tor项目都非常希望听到大家的意见。
近日,谷歌云官方博客正式披露了其利用Gemini AI代理大规模监控暗网的最新进展。谷歌在其威胁情报平台(Google Threat Intelligence)中引入了Gemini AI代理,用于自主监控暗网论坛,这标志着网络安全情报和AI驱动的威胁检测领域取得了重大进展。
目前,该系统目前处于公开预览阶段,依托Gemini AI代理的强大算力,每日可自动筛选超过1000万条暗网数据,通过为企业量身定制“数字画像”,在黑客发动攻击前精准识别潜在风险,例如数据泄露、内部威胁和初始访问代理活动。
“在之前的岗位上,我曾使用过几种暗网工具,发现它们的平均误报率超过90%。而新的暗网情报工具则彻底改变了这一现状,它能够过滤掉噪音,并将人类分析师无法及时发现的线索串联起来。这就像是在火苗燃起之前就将其扑灭,而不是亡羊补牢。”LastPass威胁情报总监Michael Kosak说道。
谷歌用Gemini筑起暗网防火墙 长期以来,暗网一直是网络犯罪分子的避风港,从泄露的数据库、定制的勒索软件工具到针对特定公司的攻击计划,海量情报隐藏在无数个隐秘论坛和加密频道中。传统的人工筛查或关键词检索方式在面对爆炸式增长的数据量时,往往显得捉襟见肘。
为了帮助提炼情报并发现隐藏的对手,谷歌在Google威胁情报中融入了智能体功能,并引入“暗网情报”(Dark Web Intelligence)。这项服务标志着网络安全防御从“被动响应”向“主动预判”的战略性转型,通过将情报生产从脆弱的关键词匹配转移到基于意图的分析,暗网情报可以更好地了解对手行为的背景——例如,即使威胁行为者故意避免指明受害者,也能识别出子公司的访问权限是否被攻破。 内部测试表明,该系统能够以98%的准确率分析每天数百万个外部事件,并仅突出显示对用户的任务真正重要的威胁。此外,通过提供解释威胁“原因”和“方式”的合理答案,该系统能够帮助防御者节省时间,并确保他们在日益自动化的威胁环境中保持情报优势。 此次部署标志着暗网监控方法的重大转变,传统方法依赖于静态关键词抓取和基于正则表达式的检测。这些传统方法通常会产生高达80%到90%的误报率,导致安全团队被大量无法处理的警报淹没。相比之下,Gemini利用先进的大型语言模型(LLM) 和上下文分析,显著提高了检测准确率和运行效率。
每日千万级数据的“大海捞针” 谷歌的Gemini AI代理目前每天能够自动化爬取并处理超过1000万条暗网帖子,利用大规模遥测数据和基于向量的比对方法,将威胁信号与特定的组织概况关联起来。通过整合开源情报和用户提供的数据,该系统构建了企业资产的详细概况,包括品牌、高管和技术基础设施。这使得AI能够将模糊或间接的威胁指标直接映射到相关目标。由此可以看出,这并非简单的爬虫技术,而是真正意义上的“代理式AI(Agentic AI)”应用。
该系统的核心工作流分为两个阶段:
组织概况构建(Profiling): Gemini首先会利用其多模态理解能力,深度学习订阅用户组织的架构、资产、关键人员以及特定的技术栈,构建出一个高度精确的“防御画像”。 语义化关联分析: 随后,AI代理会带着这个画像进入暗网的庞大数据库中。不同于传统的关键词匹配,Gemini能够理解黑客俚语、代码片段和非结构化的对话内容。即使黑客在讨论时使用了隐语或简称,AI代理也能通过上下文推断出其是否正在针对该组织进行漏洞买卖或数据泄露。 这种大规模的语义分析能力,使得企业能够从每天数千万条“噪音”中,精准提取出那几条致命的威胁情报。
防御者的“降维打击” 谷歌威胁情报团队指出,目前的网络攻击链条中,从初始入侵到数据榨取的时间窗口正在不断缩短。传统的防御手段往往在数据已经出现在暗网交易平台上后才能感知,而Gemini AI代理的目标是在攻击者还在讨论“可行性”或“分赃协议”阶段就发出预警。
此外,该服务还集成了曼迪昂特(Mandiant)多年积累的实战情报。通过将Gemini的实时处理能力与曼迪昂特的历史威胁库相结合,系统可以识别出特定威胁源(APT组织)的作案手法。对于安全运营中心(SOC)的工程师来说,这意味着他们不再需要熬夜翻看晦涩的暗网日志,Gemini会直接递交一份包含“谁在威胁我们、他们拥有什么筹码、我们该如何封堵”的简报(支持中文等各种语言)。
随着这一服务的公开预览,谷歌显然意在通过AI原生安全能力重新定义企业级防火墙。在AI与AI对抗的时代,拥有最强“代理人”的企业,或许才能在这场永无止境的猫鼠游戏中赢得先机。
暗网是听着就让人有点发怵的互联网角落,但它确实是很多人躲避审查、争取隐私的最后一块阵地。有一说一,暗网的风险是实打实的大,非法内容、黑客诈骗、恶意软件到处都是。进去之前把防护做到位,比什么都重要。就像第一次去一个完全陌生的城市,得先把交通地图、防护措施都搞清楚。
本文是“暗网下/AWX”认为访问暗网最该优先掌握的10条基本隐私保护技巧,基本覆盖了大部分实际操作场景。但请记住:法网恢恢,疏而不漏。使用暗网从事违法犯罪行为,最终的结局一定是蹲监狱。
一、把Tor浏览器安全级别调到“Safest”(最安全) Tor浏览器有三级安全设置,默认是“Standard”,但真正想把风险降到最低,直接拉到“Safest”。这个模式会完全禁用JavaScript(很多攻击都靠它)、限制字体加载、图标、数学符号显示,音频视频必须手动点才能播放,把网站能偷偷干的坏事基本全堵死了。网站界面会变得很简陋,有些功能直接用不了,但这是目前Tor自带的最强防护。日常觉得太卡就降到“Safer”,但高风险操作必须用“Safest”。
操作:点击菜单按钮(三条横线),然后依次选择“设置”(Settings )>“隐私和安全”(Privacy & Security),在“安全”(Security)选项下选择“更改”(Change) 。选择“最安全”(Safest)将 Tor 设置为最高安全模式,然后点击“保存并重启”(Save and restart)。
二、别最大化Tor浏览器窗口,随时随机调整窗口大小 访问暗网时,容易受到指纹识别攻击。从技术上而言,可以利用您计算机的信息(例如操作系统、系统时间,甚至是您安装的字体)来识别您的个人身份。指纹识别中另一个关键信息是显示器尺寸:如果浏览器窗口占据整个屏幕,恶意攻击者就能推断出你使用的显示器或设备。
虽然Tor已经尽力防止指纹识别了,但浏览器窗口大小是个超级容易被忽略的泄露点。全屏打开的话,攻击者通过分辨率就能快速缩小你的设备范围。最好的办法是打开Tor后别点最大化按钮,最好每次用的时候都稍微拖动一下窗口,尺寸随机变化一点。简单一个习惯,就能大幅增加指纹混淆难度。
三、多用“New Identity”功能刷新身份 Tor浏览器有个特别实用的按钮:新建身份。点右上角菜单 → “新建身份”(New Identity),浏览器会瞬间关掉所有标签、断开当前路由线路、重连新的Tor路径,把Cookie、历史、会话全部清空,相当于彻底换了个人。遇到任何可疑页面、准备下载东西、或者连续逛了很久之后,都点一下这个,基本等于重启匿名状态。
四、增加网桥,甚至用可插拔传输来隐藏Tor流量 普通Tor连接走的是公开的中继节点,虽然你的真实IP不会泄露,但运营商或防火墙还是能看出你在用Tor。如果你在Tor被封锁的国家/地区,或者不想让ISP知道你在跑Tor,就必须加网桥。
操作:在Tor浏览器中,点击右上角的菜单按钮,然后选择“设置”(Settings )>“连接”(Connection)来配置网桥。您可以使用“请求网桥”(Request bridges)功能从官方Tor机器人获取网桥链接,或者使用网页或Telegram链接查找网桥。更高一级的选择内置的可插拔传输桥(obfs4、meek-azure等),这些能把Tor流量伪装成普通HTTPS甚至其他协议,ISP基本看不出来你在用Tor。被墙地区几乎是必选项。
五、连上Tor后第一时间检查IP泄露 IP泄露是指你的实际网络位置被你连接的网站知晓——这是你在暗网访问时需要避免的情况。Tor再强,WebRTC没关干净、DNS配置出错、恶意网站脚本或浏览器扩展程序跑一跑,还是可能泄露真实IP。
建议每次连上暗网前,先打开IPLeak测一测,看它报的出口IP是不是Tor节点的、WebRTC有没有你家宽带信息、DNS服务器是不是Tor的。如果有任何异常,马上停下来排查(Tor默认禁用WebRTC,但多测一次心里踏实)。
六、浏览前把电脑上其他所有程序和后台应用全关掉
如果您通过 Tor 访问暗网,请关闭系统上的所有其他程序:清除内存中的所有应用程序,把不相关的进程全杀掉,即使它们只是在后台运行(Windows 上的任务管理器和 macOS 上的活动监视器可以帮助完成此操作)。
运行的应用程序不仅会帮助识别您的系统以进行指纹识别(比如字体列表、系统调用、插件痕迹),还会使您更容易受到暗网上的恶意网站和恶意软件的攻击。除了 Tor 之外,您运行的程序越多,不法分子可攻击的目标范围就越大。
七、用Tails OS运行Tor,获得系统级的隔离保护 在Windows或macOS系统上通过Tor访问暗网,您可以获得良好的安全保护。如果通过便携式Linux操作系统Tails访问,安全防护将更上一层楼。Tails可以从U盘运行,也可以通过虚拟机运行,这意味着即使恶意软件突破了你的防御,也无法访问你的主操作系统及其上的所有程序。
从U盘启动(或虚拟机里跑),整个操作系统强制走Tor,所有流量都匿名化。即使有恶意软件突破浏览器,也接触不到你主机上的文件和程序。用完自动擦除内存,不留痕迹。配置花点时间,但这是目前最彻底的办法。官网有一步一步指导的教程,新手跟着做基本不会出错。
八、别下载任何文件,必须打开就用Dangerzone 暗网下载东西是高危行为,恶意软件、勒索病毒、木马到处都是。实在避不开(比如可信联系人发来的文件),一定要用Dangerzone处理。它把PDF、图片、Office文档扔进沙箱,转成纯像素重建,彻底清除嵌入的恶意代码、追踪标签,最后给你一个干净安全的文件。Dangerzone软件开源免费,自由新闻基金会做的,用着很靠谱。
九、建立一套完全独立的“暗网身份” 绝对不要把日常用的邮箱、用户名、社交账号带进暗网,哪怕只是登录一下都会让Tor的匿名性大打折扣。这会增加你的凭证被盗的风险,也更容易让你被识别为个人用户。
建议制定一套全新的网络身份规则,以增加暴露真实身份的难度,用Proton、Tutanota、DuckDuckGo这种临时/匿名邮箱,用户名随机生成。最好错开上网时间、用不同设备、甚至换个WiFi热点,避免任何行为模式跟日常重叠。日常身份和暗网身份彻底切割,交叉就是给自己挖坑。
十、额外注意事项 保持Tor浏览器最新版本,及时修复漏洞打好补丁。 Tor浏览器别装任何第三方扩展,加装插件容易被指纹追踪。 可以先使用VPN再开Tor(Tor over VPN),但别把VPN当万能救命稻草,主要还是靠Tor本身和使用习惯。 心态上保持警惕,别乱点链接、别登录任何跟自己相关的账号。 这些是“暗网下/AWX”结合社区经验总结出来的,基本把最关键的防护点都盖住了。安全永远是相对的,没有绝对保险,但把这10条做到位,风险已经降到很低了。自己用的时候多留个心眼,暗网水很深,谨慎永远是第一位的。
依赖Tor的用户希望他们的流量在网络中传输时不会泄露他们的身份。这种信任取决于保护每一跳的加密强度。
本周,Tor项目宣布了一项重大的加密技术改革,用一种名为“反伽罗瓦洋葱”(Counter Galois Onion,简称CGO)的全新、有研究支持的设计取代了使用了几十年的中继加密算法。
此次升级标志着在保护匿名网络用户免受更广泛的复杂网络攻击者(特别是那些进行标记攻击的攻击者,这些攻击以前可能会损害用户隐私)的侵害方面迈出了重要一步。
为什么Tor需要改变中继处理加密的方式 Tor最初的中继加密算法,现在追溯命名为“tor1”,使用AES-128-CTR流密码结合弱4字节SHA-1摘要,在用户数据通过网络中的多个中继传输时对其进行加密。
虽然这种设计能够实现功能,但它存在一些关键漏洞,而现代密码学已经解决了这些漏洞。
最严重的问题是攻击者可以修改传输中的加密数据,并预测更改将如何在网络中传播,从而使他们能够追踪流量并有可能取消用户匿名性。
旧系统还存在前向保密性不足的问题,在网络传输的整个生命周期内都保留着重复的对称加密密钥。如果攻击者在网络保持激活状态时窃取了密钥,他们就可以解密之前的所有通信。
此外,4字节验证器只有四十亿分之一的概率能检测出单元伪造,这使得网络容易受到操纵。因此中继加密算法虽然已使用多年,如今已显露老旧之处。
CGO为网络带来了什么 CGO由密码学家Jean Paul Degabriele、Alessandro Melloni、Jean-Pierre Münch和Martijn Stam开发,代表了解决这些问题的现代方案。
CGO基于坚固的伪随机置换(RPRP)结构,确保篡改加密数据的任何部分都会导致整个消息和所有后续消息无法恢复。
这种宽块密码方法能够抵抗标记攻击,而不会像传统的宽块设计那样产生过多的带宽开销。
新算法通过“更新”构造实现即时前向保密,在处理每个单元格后转换加密密钥,即使当前密钥泄露,也能防止解密先前的消息。
CGO还升级了身份验证,采用了强大的16字节身份验证器,用现代加密标准取代了过时的SHA-1摘要。
CGO部署进展情况 CGO目前仍在Arti(Tor基于Rust的实现)和C语言Tor代码库中积极开发。Arti中已包含CGO,但标记为实验性功能。开发者计划在测试完成后默认启用CGO。
Tor项目已经在其Rust实现Arti中实现了CGO,并且正在开发用于中继支持的C实现。
当前路线图的优先事项包括:在Arti中默认启用CGO,为洋葱服务实现CGO协商,以及针对现代处理器优化性能。
此次过渡需要重构Tor代码库中关于中继单元布局和加密机制的核心假设。
尽管CGO代表着一项重大进步,但Tor项目也承认,作为一个相对较新的设计,它将受益于持续的密码学审查。Tor开发者写道:“我们有理由质疑它是否存在缺陷”,同时他们也描述了为评估该建筑结构而采取的步骤。
CGO代表了Tor核心加密技术近年来最重大的变革之一。随着开发的持续进行,用户和Tor网络上的节点运营者应密切关注即将发布的版本,并在CGO正式上线后做好过渡准备。
“暗网下/AWX”获悉,9月初,Tor项目悄然在谷歌商店发布了一款适用于Android的新VPN应用,该VPN使用户能够通过Tor网络路由所有互联网流量,说白了就是Tor代理,这标志着非盈利性公益组织Tor项目首次正式涉足移动VPN解决方案。
目前,Tor VPN Beta现已在Google Play商店上架,明确标明为实验性版本,最新更新时间为9月4日,下载次数已经超过1000次。但Tor项目警告用户不要依赖它处理任何敏感信息,因为它仍然可能泄露身份信息。Tor项目称,此Beta版软件主要用于测试、反馈和进一步开发,不适用于高风险用户或敏感用例。
根据该项目GitLab存储库中的信息,该应用程序从2022年1月开始开发,目前为止已提交了600多次代码更新。代码库采用BSD 3-Clause许可证,并且完全开源,这与Tor长期以来对透明度和免费软件的承诺相一致。
因为Tor VPN完全开源,“暗网下/AWX”建议,除了在Google Play商店下载安装以外,用户也可以自行在手机安装此apk,可以从Gitlab软件包存档中下载最新成功构建的软件包,安装方法如下:解压文件,执行adb install app/build/outputs/apk/debug/app-debug.apk。
Tor VPN的技术特性 Tor VPN基于Arti构建,Arti是Tor项目最新开发的基于Rust的Tor协议现代实现,Arti取代了旧版基于C语言的“C-Tor”代码库,提供了更安全的内存处理、更现代的代码架构和更强大的安全基础。Tor VPN允许安卓手机用户通过Tor网络来路由手机里每个App应用的互联网流量,每个App应用都会获得自己的Tor线路和出口IP地址。这种基于应用的路由可以减少关联攻击,并进一步隐藏用户的网络活动。
Tor VPN应用程序提供:
网络级隐私(IP和位置混淆):应用程序和服务看到的是Tor出口节点,而不是用户的真实IP地址和位置; 每个应用程序路由:用户可以选择通过Tor路由哪些应用程序,每个应用都有自己的Tor线路和出口IP,防止用户网上活动被恶意监控,从而创建隔离线路; 应用级抗审查:通过使用Tor的分散路由,Tor VPN可以帮助部分国家用户访问受限制网络中的内容; 洋葱服务支持:与Tor浏览器一样,VPN支持访问.onion域名,以实现匿名通信和无元数据服务。 Tor项目成立于21世纪初,由公众捐款和机构资助,是一个致力于促进人权和网络自由的非营利组织。其最著名的产品Tor浏览器通过志愿者运营的覆盖网络路由流量,实现匿名网页浏览。随着Tor VPN Beta版的推出,该公益性组织正在将其功能扩展到移动平台上,实现更广泛的设备级隐私保护。
Tor VPN目前是测试版本 Tor VPN Beta尚未正式投入生产,并附带明确的警告。根据该应用的文档和商店列表,用户不应使用该应用进行高风险或敏感活动。Android的系统级数据(例如设备标识符)仍可能暴露用户信息,包括Tor在内的任何VPN都无法完全阻止这种情况。
Tor项目表示,Tor VPN Beta面向希望在安全的情况下助力打造移动隐私的早期用户,用户应了解可能出现的错误、崩溃和功能不完善的情况,并可报告问题。该应用最适合愿意向开发团队提供反馈的测试人员、开发人员和隐私爱好者,共同迈向更自由的互联网。
除了Tor VPN外,“暗网下/AWX”发现,目前,Proton VPN也支持Tor over VPN服务,并且速度比预期的要快得多,也可以测试使用。
除了Tor网络,I2P也是暗网的替代方案。根据Sam Bent的文章,I2P的大蒜路由架构通过双向隧道、分布式目录服务以及对流量分析攻击的强大抵抗能力,为暗网市场运营提供了比Tor洋葱路由更优越的匿名性保障。本文将学习Sam Bent的文章,详细对比两者的架构差异,分析I2P的分布式网络服务和eepsite架构,以及其在阻止流量分析和保护暗网市场安全方面的独特优势。
大蒜路由与洋葱路由的架构差异 I2P采用大蒜路由机制,通过将多条消息捆绑并分层加密,形似“蒜瓣”包裹于“大蒜”之中。这种设计显著增加了流量分析的难度,相较于Tor的洋葱路由——后者通过三个中继节点为每个连接建立单一链路,流量模式相对容易预测。
I2P的核心特点是建立两条独立的单向隧道:一条用于出站流量,另一条用于入站响应。每条隧道通常包含两到三个跳,且跳点路由各不相同。即使攻击者同时控制通信的入口和出口,也难以关联流量,因为出站和入站路径在网络中完全独立。此外,大蒜路由允许将发往不同收件人的多条消息打包为一条“大蒜消息”,进一步混淆流量,阻碍观察者判断通信数量及目的地址。
I2P路由器维护一个预构建的隧道池,应用程序可直接使用这些隧道进行通信,从而减少了Tor链路建立过程中的时间相关性问题——Tor的链路构建时间可能泄露用户行为或目标模式。I2P的隧道还会定期自动重建,路径随机变化,从而有效抵御跨点攻击(即攻击者通过监控多个网络节点关联用户长期活动的行为)。
分布式网络服务与Eepsite架构 与Tor依赖少量中心化目录服务器不同,I2P采用完全分布式的网络架构,避免了单点故障和集中控制的风险。每个I2P路由器都参与分布式哈希表(DHT)的维护,存储网络状态信息,使得攻击者难以通过攻陷单一节点监控或破坏整个网络。
I2P的隐藏服务(称为eepsite,相当于Tor的洋葱服务)同样受益于这一去中心化架构。Eepsite地址采用base32编码,通过DHT分发,分布在数千个节点上,显著提高了对目录攻击的抵抗能力。相比之下,Tor的中心化目录系统不仅存在可扩展性瓶颈,还为资源充足的对手提供了监控机会,例如通过分析目录请求推测用户对特定隐藏服务的兴趣。I2P的点对点架构随着用户增加而增强网络韧性,攻击者需控制网络的显著部分才能获得全局可见性,这在实际操作中几乎不可行。
阻止流量分析与保障暗网市场安全 I2P的设计通过数据包填充、消息混合和隧道多样性等功能,提供了对多种流量分析技术的天然防护,远超Tor在暗网市场中常见的漏洞。
大蒜路由协议引入可变延迟和虚拟流量生成机制,使得时序关联攻击的实施难度远高于Tor。I2P通过将消息填充至统一大小,并将真实流量与伪装流量混合,生成更一致的流量签名,有效抵御执法机构常用的统计分析手段(例如通过关联进出流量时序识别Tor用户身份)。
I2P的隧道多样性允许每个应用程序同时使用不同隧道路径,避免了Tor链路因单一节点被攻破而导致整个会话流量暴露的单点故障问题。此外,双向隧道架构确保即使高级攻击者监控了大量网络基础设施,也难以进行端到端关联攻击,因为入站和出站路径具有不同的时序和路由特性。I2P还通过跨多条隧道的自动负载均衡,进一步分散用户活动,增加构建一致流量配置文件的难度。
I2P的优缺点 优点
高度安全和匿名的网络,可以保护用户免受第三方监视,远离黑客和其他拦截者的侵害; 适合P2P文件共享; 使用数据包交换来提供更好的性能(与 Tor 相比)。 缺点
安装和使用困难——安装过程和浏览器配置相当复杂。 潜在漏洞的可能性; 与Tor相比,I2P的用户群较小,这意味着I2P的网络节点较少,这可能会对性能产生不利影响。 结论 I2P的大蒜路由和分布式架构在匿名性、扩展性和抗攻击能力上显著优于Tor的洋葱路由。双向隧道、分布式哈希表以及对流量分析的强大防护,使I2P成为暗网市场运营的理想选择,尤其是在需要抵御高级流量分析和执法监控的场景中。
在推出隐私至关重要的应用和服务时,开发者希望确保每个数据包都只通过Tor网络。但是一次错误的代理设置,或SOCKS包装器之外的一次系统调用,都可能让数据突然暴露在Tor网络之外。
本月中旬,Tor项目宣布推出Oniux,这是一种新的小型命令行工具,可通过Tor网络安全地路由任何Linux应用程序,实现匿名网络连接。
与依赖用户空间的torsocks等传统工具不同,Oniux使用Linux命名空间为每个应用程序创建完全隔离的网络环境,即使应用程序是恶意的或配置错误的,也可以防止数据泄露。
Linux命名空间是Linux内核中一项隔离功能,它提供了一种安全的方式,将应用程序的某个部分与系统的其余部分隔离开来。命名空间有多种形式和形态。例如,网络命名空间、挂载命名空间、进程命名空间等等;每种命名空间都将一定量的系统资源与应用程序隔离开来。
Oniux使用Linux命名空间在内核级别隔离应用程序,因此所有流量都被迫通过Tor。与SOCKS不同,应用程序不会因为无法通过配置的SOCKS建立连接而意外泄露数据,而这种情况可能由于开发人员的错误而发生。
Tor的博客文章中写道:“我们很高兴推出oniux:一个小型命令行实用程序,为使用Linux命名空间的第三方应用程序提供Tor网络隔离。”
Oniux基于Arti和onionmasq构建,可将任何Linux程序直接迁移到其自己的网络命名空间,并通过Tor进行路由,从而消除数据泄露的可能性。如果特定工作、行动或研究需要坚如磐石的流量隔离,Oniux可以满足需求。
它通过将每个应用程序放置在自己的网络命名空间中(无法访问主机的接口)来实现这一点,而是附加一个使用onionmasq通过Tor进行路由的虚拟接口(onion0)。 它还使用挂载命名空间为Tor-safe DNS注入自定义/etc/resolv.conf,并使用用户/PID命名空间以最小权限安全地设置环境。
此设置可确保任何Linux应用程序的防泄漏、内核强制Tor隔离。
而传统工具torsocks的工作原理是覆盖所有与网络相关的 libc 函数,以便通过Tor提供的 SOCKS 代理路由流量。虽然这种方法更具有跨平台性,但它有一个明显的缺点:不通过动态链接的libc进行系统调用的应用程序(无论是否出于恶意)都会泄露数据。
Torsocks通过使用“LD_PRELOAD”黑客来拦截动态链接的Linux应用程序中与网络相关的函数调用,并通过Tor SOCKS代理重定向它们。这种方法的问题在于,原始系统调用不会被Torsocks捕获,恶意应用程序可以避免使用libc函数来造成泄漏。
此外,Torsocks根本不能与静态二进制文件一起使用,并且不能提供真正的隔离,因为应用程序仍然可以访问主机的真实网络接口。
Tor项目发布了一个比较表,重点突出了两种解决方案之间的质量差异:
oniuxtorsocks独立应用程序需要运行 Tor 守护进程使用 Linux 命名空间使用 ld.so 预加载 hack适用于所有应用程序仅适用于通过 libc 进行系统调用的应用程序恶意应用程序无法泄漏恶意应用程序可以通过原始汇编进行系统调用来泄漏仅限 Linux跨平台新的和实验性的经过 15 年多的实战检验使用 Arti 作为引擎使用 CTor 作为引擎用 Rust 编写用 C 语言编写 尽管Oniux具有明显的优势,但Tor强调该工具仍处于实验阶段,尚未在多种条件和场景下进行广泛测试,用户可以自行测试使用。
如何使用Oniux?🧅 首先,需要一个安装了Rust工具链的Linux系统。接着,可以使用以下命令安装Oniux:
$ cargo install --git https://gitlab.torproject.org/tpo/core/oniux [email protected] 安装完成,就可以开始使用Oniux了!🙂
使用Oniux非常简单:
# 使用 oniux 执行简单的 HTTPS 查询! $ oniux curl https://icanhazip.com <A TOR EXIT NODE IP ADDRESS> # oniux 当然也支持 IPv6! $ oniux curl -6 https://ipv6.
根据Privacyguides.org向Tor浏览器用户发出的警告,在不重启Tor浏览器的情况下切换安全级别,可能会使用户面临更高的指纹识别和漏洞利用风险。
A warning to Tor Browser users: switching security levels without restarting your browser could potentially put you at heightened risk of fingerprinting and exploits: https://t.co/E9IFypUBZi
— Privacy Guides (@privacy_guides) May 2, 2025 Privacyguides表示,这是访问暗网的用户应该关注的一个安全问题,在Tor浏览器和Mullvad浏览器的“安全级别滑块“功能中存在的一个漏洞:在浏览器完全重启之前,浏览器宣传的所有保护措施并非都能正确启用。
Privacyguides社区的一位成员匿名报告了这个漏洞,Privacyguides已通过macOS上最新的Tor浏览器14.5.1版本以及Mullvad浏览器14.5.1版本确认了此漏洞。对于在Tor浏览器中完全应用安全设置之前是否需要采取额外操作,目前找不到任何文档或者相关GitLab提示,并且Tor浏览器的文档也没有指出需要重启,也没有提示用户在进行安全更改后需重启浏览器。
因此,对于那些为了保护自己免受浏览器漏洞攻击而在浏览过程中从”标准安全“设置切换到”更安全“设置的用户来说,这会带来很高的风险。
JavaScript测试 用户可以在自己的Tor浏览器中运行JavaScript基准测试(例如JetStream 2.2)来轻松演示其效果。这些基准测试依赖于一种名为即时(JIT)编译的技术来提升性能,但JIT与现代Web浏览器中的众多安全漏洞相关。“更安全”安全级别通常会完全禁用JIT以防止这些问题,但是,当用户将Tor浏览器切换到”更安全“级别(未重启Tor浏览器)并再次运行基准测试时,几乎不会看到任何性能影响,数值相差并不大(196与191)。”暗网下/AWX“在本地进行了测试,数值显示126。
虽然这两次运行的性能几乎相同,但在重新启动Tor浏览器并重新运行测试后,我们看到性能结果大幅下降(数值变为33),这与在正确禁用JIT的情况下所预期的结果一致。所以,这清楚地表明,在Tor浏览器重新启动之前,在安全模式下应该禁用的JavaScript技术仍然可以被网站访问,如果用户不了解保护自身安全所需的额外步骤,则可能会面临浏览器漏洞的威胁。
”最安全“模式(Safest Mode) 目前尚未测试或验证所有需要重启浏览器的安全功能。虽然测试了切换到“更安全”模式后JIT是否仍然启用,因为这是最容易测试的功能。而“最安全”模式会完全禁用JavaScript,因此上述演示无法证明切换到“最安全”模式后仍存在此问题。
但是,其他一些通常被“最安全”模式禁用的功能可能会一直处于启用状态,直到用户重新启动浏览器为止。出于谨慎考虑,Privacyguides建议用户在更改此设置后务必重新启动浏览器,无论用户是切换到“更安全”模式还是“最安全”模式。
Privacyguides认为,虽然Tor项目宣传安全滑块可以方便地调整Tor浏览器提供的保护,但并未注明确保这些设置真正生效所需的额外步骤。从测试看来,如需确保用户的安全,在调整Tor浏览器的安全设置后务必彻底重启Tor浏览器。Privacyguides希望Tor浏览器在未来的更新中调整这些设置后能够提示或强制用户重新启动浏览器。
Tor项目给Privacyguides的声明 Tor项目在给Privacyguides的声明中表示,其已意识到此问题,并正在跟踪和积极解决。感兴趣的用户可以关注此处的讨论和进展:https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/42572。
除了重启提示之外,Tor项目还在探索对安全级别系统进行更广泛的改进,包括使其与Tor浏览器更新的威胁模型更加紧密地协调一致,并可能将更多后端委托给NoScript以增加灵活性。这些改进可能会成为即将到来的Tor浏览器15.0版本发布周期的一部分。
随着Microsoft Azure彻底禁止域前置,Tor项目在3周前从源代码库删除内置的meek azure网桥,它被另一个CDN77上的meek网桥替代。在2025年2月7日Tor浏览器14.0.6版本的更新公告中,Tor项目表示已经从内置网桥中删除了meek azure。域前置是什么技术?Tor官方为什么要删除meek azure网桥?“暗网下/AWX”搜索了一些技术资料,详解了域前置技术以及微软云政策变化带来的Tor项目的被动改变。
TLS存在主机名泄露的问题 TLS是SSL的后继者,是一种加密协议,旨在为应用程序之间提供完整性和隐私性。TLS最常见的用途是在HTTPS中,即TLS上的HTTP(或SSL)。借助TLS,两个端点可以通过互联网建立通信,从而防止窃听者观察、修改或伪造它们之间的消息。
TLS协议的最新版本是TLS 1.3,于2018年获得批准。TLS1.3包含非常重要的变化;最重要的是,它删除了2018年不应使用的旧的、弃用的和不安全的加密套件,并且还附带了加速功能,例如TLS False start和0-RTT。它还强制使用称为服务器名称指示(SNI)的扩展,这是RFC4366中最初提出的扩展之一,早在2006年就已编写。
确实有充分的理由说明为什么需要SNI,但SNI也有一个重大缺点。SNI会在建立每个TLS 1.3连接时泄露主机名。
域前置技术 域前置是一种混淆TLS连接的SNI字段的技术,可有效隐藏连接的目标域。它需要找到一个托管提供商或CDN,该提供商或CDN拥有支持多个目标域(称为SAN,主题备用名称)的证书。其中一个域将是客户端想要在SNI字段中建立连接时假装定位的常用域,另一个域是连接和后续HTTP请求的实际目标。
Tor项目的解释:域前置是一种可插入式传输,使用该技术后,Tor流量看似在与难以阻止的第三方(如Amazon或Google)通信,但实际上却是在与Tor中继通信。
可插拔传输:meek 2014年8月14日,Tor项目宣布发布Meek可插拔传输。Meek使用域前置将目标桥接中继隐藏在非常受欢迎的域后面。例如,它可以使用google.com作为xyz-meek-relay.appspot.com的掩护。
这样就可以在大型云(例如Google App Engine、Amazon CloudFront/EC2和Microsoft Azure)上创建温和桥接中继,将实际目标主机名隐藏在google.com、amazon.com或各种静态资产CDN等域后面。
对于某些高风险国家的Tor用户来说,域前置无异于一场革命。它使Tor流量看起来与正常的HTTPS完全相同。封锁meek的副作用对于大多数审查者来说都是代价高昂的,在一个国家部分或全部封锁Akamai/Amazon/Google并不是一个不会被忽视的行为。
域前置技术被滥用后云厂商选择封锁该功能 2017年3月27日,Mandiant/FireEye发布报告称,他们发现俄罗斯国家支持的APT29黑客组织至少两年来一直使用域名前置技术。在此期间,域名前置技术在网络安全社区中引起了广泛关注。
因此,谷歌悄悄地在其基础设施上关闭了域名前置功能。紧接着,亚马逊也效仿了这一做法,封锁了域名前置功能。Google和Amazon均关闭域名前置功能后,Tor的Meek网桥再也无法在这些CDN上使用,因此转向了微软的Azure云。
在亚马逊加入谷歌封锁域名前端的一周后,Tor项目发布了新的博文“域前置对开放网络至关重要”,这是一篇论述域前置技术对互联网隐私的重要性的论文,并详细介绍了向Microsoft Azure的转变。
Microsoft Azure彻底禁止域前置 微软在4年前也宣布他们对域前置的反对立场,声称“作为一家致力于为善提供技术的公司…支持支持自由和开放沟通的某些用例是一个重要的考虑因素。然而域前置也受到从事非法活动的不良行为者和威胁行为者的滥用…在某些情况下,不良行为者会配置他们的Azure服务来实现这一点…我们正在改变我们的政策,以确保在Azure中停止和阻止域前置。”
在多次通知和警告之后,达摩克利斯之剑终于落下。微软去年底通知用户,旧的Azure CDN将于2025年1月15日终止,建议用户迁移到类似Azure Front Door服务。在新的Azure Front Door服务下,用户只能得到唯一的专有域名,如snowflake-broker-hadmaqbnc4dmcffs.z03.azurefd.net,有效地阻止了利用域前置的可能性。
2024年2月1日,Azure CDN彻底停止域前置的工作。
Brave是一款免费的开源网络浏览器,它可以让你在不使用Tor浏览器的情况下浏览暗网。虽然这听起来像是进入暗网的一个方便的选择,但它并不是官方的、久经考验的方法的良好替代品。
一、Brave浏览器不是为了匿名而建的 Brave的桌面版本提供了一种通过“使用Tor的私人窗口”设置浏览暗网的方法。此功能会在浏览器中打开一个新窗口,让你能够通过Tor网络运行的代理访问暗网。
Brave是一款注重隐私的网络浏览器。而Tor浏览器则是为匿名浏览暗网而设计的。
隐私和匿名是两个经常混淆的术语,但它们是不同的。本质上,Tor通过删除数字指纹信息、加密数据并通过全球多个中继发送匿名互联网流量来掩盖用户的身份。但是,Brave默认不会删除用户的身份信息。因此,通过Brave中的Tor代理浏览暗网比仅仅使用Tor浏览器更引人注目。
虽然Brave非常适合大多数隐私爱好者使用,但与Tor浏览器相比,它在保持完全匿名方面做得并不好。
二、Brave浏览的Tor功能非常有限 Brave主要用于浏览明网(搜索引擎索引的公共、常规互联网部分)。其Tor模式是后来作为辅助功能推出的,但并非核心重点。过去,该浏览器曾出现过一个问题,即用户的暗网浏览历史会暴露给互联网服务提供商(ISP)。虽然这个问题早已解决,但还是建议用户使用Tor项目官方的Tor浏览器,以获得最大的安全性和隐私性。
Brave的指纹保护不如Tor浏览器有效。使用一款开源工具CreepJS(用于检查设备在网上的可识别程度)进行测试可以发现,在使用Tor浏览器的时候,该工具仅仅可以识别浏览器信息,并大致确定用户使用的操作系统,但几乎没有透露其他信息。但是,使用Brave的Tor私人窗口时,CreepJS发现了更多详细信息,包括用户所在的时区、确切的操作系统、GPU和屏幕分辨率。
虽然这些信息看起来可能不是很敏感,但恶意行为者可以结合这些信息在各个网站上进行跟踪,就像cookie的工作方式一样。Tor通过为所有用户标准化用户代理字符串、屏幕尺寸和字体来降低这种风险。如果每个人看起来都一模一样,就很难发现个人。
一般不建议使用Brave这样的单一浏览器同时进行明网和暗网活动。Brave的正常浏览窗口和Tor窗口看起来非常相似。可能会发生错误,并且有可能将敏感数据暴露给恶意行为者。
三、Brave浏览器官方也推荐使用Tor浏览器实现完全匿名 “暗网下/AWX”注意到,使用Tor浏览器而不是Brave浏览器的另一个主要原因可能是,Brave公司本身也向“个人安全取决于保持匿名”的用户推荐使用Tor浏览器。由于Brave不包含Tor浏览器的所有隐私保护,因此很难保证浏览器具有相同级别的匿名性。
因此,如果用户需要安全匿名地浏览暗网,强烈推荐使用Tor浏览器。它专注于保护用户的身份,用户的互联网活动(以及在暗网内的活动)完全被掩盖。它也是跨平台的、易于安装的,并且非常易于使用。
当然,如果用户不介意在浏览暗网时暴露一些身份信息,Brave仍是一个不错的选择。例如,如果只是在查看或研究某个暗网页面。但是,如果需要更多隐私和匿名,Tor浏览器是更好的选择。
如果一定要使用Brave浏览器,为了获得更多保护,请考虑在“设置”>“屏蔽”下打开“阻止指纹识别”,安装NoScript附加组件,并在Tor模式开启时使用其他浏览器进行明网访问。