暗网技术

Tor浏览器被用于在暗网上买卖毒品，但也有一些人的自由甚至生命取决于该软件的运作。这就是为什么有必要对承诺的匿名性进行特别批判性的审视。 关于这项充满矛盾的技术的工作始于1990年代中期的美国军事研究实验室。今天，Tor是全球数字公民社会和美国政府的一个不寻常的联合项目。民间社会提供了基础设施：Tor的混淆节点。对他们来说，Tor是对威权主义干预互联网的最重要反击。 通过Tor浏览器，人们可以匿名浏览互联网并破坏审查制度；在Tor的暗网中，地址既不能被删除也不能被定位。该技术是由传统上由美国政府资助的组织The Tor Project开发的。严格而言，该技术在拥有大量资源的攻击者面前是脆弱的。Tor浏览器的保护究竟有多牢固，匿名技术能被破解吗？ 人类的脆弱性 不小心的行为会导致问题：你使用Tor浏览器，但用你在其他情况下也使用的个人资料登录到社交网络或电子邮件服务。或者你安装了野生的浏览器扩展。Tor是基于火狐浏览器的，火狐浏览器有数百个实用的扩展，例如，可以用来截图或阻止广告。 其中一些插件经火狐浏览器检查后发现是安全的。然而，有可能通过商业扩展程序将恶意软件带入Tor浏览器，插件会记录浏览器的使用情况并出售收集的信息，过去就有过这样的例子。 安全漏洞和后门 Tor软件可能包含安全漏洞。由于Tor浏览器是修改过的Firefox浏览器，Firefox中的漏洞也会影响Tor的安全性。每隔一段时间，Tor浏览器就会提示你安装一个更新。大多数情况下，更新是为了修复已经发现的安全漏洞。这种漏洞可能是故意放置的，也可能是无意中进入软件的。一个常见的回答是，这种情况不可能发生在Tor上，因为该软件是开源的：代码是公开的，可以检查出缺陷甚至是后门。然而，在实践中，这并不能提供绝对的保护。 只有一小部分人能够编程或评估复杂的程序代码。由于Tor社区的特殊性，程序代码是非常安全的：“有了Tor，许多人实际上定期查看代码，并独立于Tor项目进行检查。Tor过去和现在都强烈地以大学为基础。这就是为什么Tor与其他许多自由软件项目不同，在这些项目中，不清楚是否真的有对代码库的独立审查”。 事实上，Tor是学术界的宠儿。在科学研究中，每一种可以想象到的对Tor的攻击可能性都被发挥出来，并被公开讨论。 Tor是一个”蜜罐“ 对于所有的”数字自卫”技术–除了Tor，还包括电子邮件加密等–都有一个争论，即它们是否会不由自主地充当”蜜罐”：作为一种社会过滤器，人们会无意中引起对自己的关注。通过使用Tor浏览器，人们表明他们比其他人更关心保护自己的通信–而且他们可能对监控特别感兴趣。这个难题存在，而且无法解决。只要只有少数人使用加密和匿名技术，它就存在。 浏览器和它的”指纹“ Tor浏览器能很好地防止通过IP地址进行监视。它还能防止另一个典型的浏览器数据源：cookies。大多数网站在你访问时都会在浏览器中留下小的数据片段，其中包含有关各自网站访问的信息。下次访问网站时，这些信息可以再次被读出，并用于例如建立关于用户冲浪行为的协议。网站可以在Tor中放置cookies，但其效果会逐渐消失。当Tor浏览器关闭时，它会删除所有cookies。 然而，Tor浏览器对另外一个技术几乎没有任何防护措施，它是一种复杂的、特别狡猾的技术：浏览器指纹识别。通过这种方法，被访问的网站从PC或智能手机的各种软件和硬件特征中计算出一个技术指纹。通过结合这些特征，设备有可能通过网络被识别和追踪，其准确程度取决于指纹的程度。 在上网时，每个浏览器都会默认向网站发送一些基本信息，例如，浏览器的语言设置。此外，网站还可以读出其他属性，如浏览器中安装了哪些字体，或使用的屏幕有多高多宽。在特别厚颜无耻的浏览器指纹的情况下，设备的特定组件也被测试。在没有人注意到的情况下，浏览器中产生了一个看不见的图形或一个听不见的声音。由于每个设备的图形和音频卡都有最小的偏差，每个图形和每个声音也有设备典型的偏差–就像每个打字机的字体是独一无二的。有了这种方法，就可以精确地识别设备，从而识别用户–即使浏览器伪装IP地址并默认删除cookies。 浏览器指纹的研究仍然很少。这种方法往往不是由实际的网站使用，而是由内置的第三方使用，如广告网络或分析服务。Tor浏览器试图对此进行防御，例如通过掩盖实际的屏幕尺寸。 然而，在标准模式下，它不能对抗大多数指纹识别元素。有针对性地读取设备属性，如测试组件，通过JavaScript运行–但这也为监视提供了一个通道。对咄咄逼人的指纹的唯一有效保护是停用这一技术。然后，一些网站将继续运作而不出现问题，而另一些网站则不会。Tor浏览器提供三个级别的安全。在”标准”模式下，JavaScript在任何地方都能工作。在”更安全”模式下，当网站要生成图像或声音时，浏览器会询问你。在”最安全”模式下，JavaScript被完全停用。 关联的艺术 攻击者试图通过收集大规模数据来破解Tor，可以说是从外部观察Tor网络，并比较数据流的技术模式。Tor重定向数据流量，但不改变它。因此，每条Tor混淆路线的数据流在所有子路线上看起来都是一样的–在从Tor浏览器到第一个节点、从节点到节点以及从最后一个节点到网站或暗网页面的路线上。 这使得一种被称为”端到端确认”的攻击形式成为可能。如果攻击者观察到第一段（用户和入口节点之间）和最后一段（最后一个节点和网站或暗网页面之间），并能发现这两个元素属于同一混淆路线，那么Tor的去匿名化是可能的。这需要两个步骤。首先，攻击者在几毫秒的时间窗口内查看所有进入和离开Tor网络的数据流。然后他试图将这些数据流相互匹配。 就像在一个叫作”记忆”的纸牌游戏中，攻击者寻找属于一起的配对。为了找到它们，人们对技术模式进行比较。当访问一个网站时，所需的信息是以一连串的小数据包发送的。网页及其子页面有不同的尺寸，包含不同的元素。因此，它们在传输过程中产生不同的模式。如果检测到两个相同的模式，很明显：数据流一和数据流二是同一个Tor混淆路线的一部分。去匿名化已经成功了。 原则上，Tor无法保护自己免受这种攻击。Torproject.org上的一份常见问题列表中指出：”一个能看到你和目标网站或你的Tor退出节点的观察者有可能将你的流量进入和离开Tor网络的时间联系起来。Tor不提供对这种威胁模式的保护“。 网站指纹识别 在端到端确认攻击中，人们对传入和传出的Tor数据流进行匹配。这种关联性需要一个拥有非常多资源的情报机构。对于另一种被称为”网站指纹”的攻击，所需要的是一个本地攻击者，他只看到用户和第一个Tor节点之间的连接。例如，这可能是互联网服务提供商或能够访问其数据的安全机构。 通过网站指纹识别，传入的数据流与数据库中的条目相匹配。攻击者使用Tor浏览器提前调用了他想监控的数千个网站。他在数据传输过程中计算出他们的技术指纹，并将其储存在数据库中。如果随后要解释”真实”用户的数据流，与数据库进行比较就足够了。如果数据流的模式包含在数据库中，那么很明显：这个网站目前正在用Tor浏览器访问。 关于网站指纹的有效性研究得出的结论是，高达90%的网站及其各个子页面可以被清楚地识别。然而，他们只看了几个网站的”小世界”。然而，在真正的互联网中，数十亿用户访问数百万个网站，其中有数十亿个子页面。 尽管如此，网站指纹识别并不是空中楼阁。互联网的使用有很大一部分集中在少数非常受欢迎的网站上。攻击者通过分析几百个特别受欢迎的网站及其子页面已经可以得到很好的结果。在暗网中，网站的指纹识别甚至比”大”万维网的指纹识别效果更好。暗网的确是一个小世界，而政治上有趣的暗网则更小。 网站指纹识别的成功率也会因为网站通常是动态的这一事实而减弱。内容略有不同，这取决于你从哪里访问它。此外，还显示了不同的广告。一个网站越是动态，就越难与之前创建的指纹相匹配。暗网在这方面也更加脆弱。暗网网站通常在技术上要求不高。他们试图尽可能少地包括多余的软件，以减少监视或警察调查的攻击面。由于它们比清网上的网站更经常是静态的，因此更容易通过网站指纹识别来检测。 总结 我们来总结一下，Tor可以做很多事情，但它也很容易受到不同类型的攻击。攻击者的资源越多，他就越有可能破解Tor。然而，这是很昂贵的，所以所有用户的永久去匿名化是不可能的。另一方面，对个人的有针对性的攻击是可以想象的。

如果不想向DNS解析服务器透露自己的IP地址，可以选择使用Cloudflare的Tor onion服务。通过Tor网络解析DNS查询保证了比直接发出请求提供了更高级别的匿名性。这样做不仅可以防止DNS解析服务器看到记录用户的IP地址，还可以防止ISP提供商知道用户尝试解析与访问的具体域名。 Cloudflare在此博客文章中介绍了有关此服务的更多信息，暗网下/Anwangxia也曾经转载过此文章。这里继续跟进下其具体的配置。 设置Tor客户端 使用所有其他DNS模式与此模式之间的重要区别在于，数据包路由不再使用IP地址，因此所有连接都必须通过Tor客户端进行路由。 在开始之前，请前往Tor项目网站下载并安装Tor客户端。如果你使用Tor浏览器，它会自动启动一个SOCKS代理在：127.0.0.1:9150。 如果从命令行使用 Tor，请创建以下配置文件： SOCKSPort 9150 然后你可以运行tor： tor -f tor.conf 此外，如果你使用Tor浏览器，你可以前往解析器的地址，看到通常的1.1.1.1页面： https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/ 请注意，HTTPS证书指示符应显示“Cloudflare, Inc. (US)”。 提示：如果您忘记了dns4torblahblahblah（长地址）.onion地址，请使用cURL： ​curl -sI https://tor.cloudflare-dns.com | grep -i alt-svc 使用socat设置本地DNS代理 当然，并非所有DNS客户端都支持连接到Tor客户端，因此将任何使用DNS的软件连接到隐藏解析器的最简单方法是在本地转发端口，例如使用socat. ​基于TCP、TLS和HTTPS的DNS 隐藏的解析器设置为在TCP端口53和853上监听基于TCP和TLS的DNS请求。设置Tor代理后，socat以特权用户身份运行以下命令，适当替换端口号： PORT=853; socat TCP4-LISTEN:${PORT},reuseaddr,fork SOCKS4A:127.0.0.1:dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion:${PORT},socksport=9150 从这里开始，你可以按照设置1.1.1.1的常规指南，除了你应该总是使用本地地址127.0.0.1而不是1.1.1.1。如果你需要从其他设备访问代理，只需将socat命令中的本地IP地址127.0.0.1替换为你的网络IP地址，如192.168.X.X。 ​UDP上的DNS 请注意，Tor网络不支持UDP连接，这就是需要进行一些黑客技巧的原因。如果你的客户端只支持UDP连接，解决方案是使用下面的socat命令，将发送到本地主机UDP:53端口的数据包封装为TCP数据包： socat UDP4-LISTEN:53,reuseaddr,fork SOCKS4A:127.0.0.1:dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion:253,socksport=9150 基于 HTTPS 的 DNS 如博客文章中所述，我们最喜欢使用隐藏解析器的方式是使用DNS over HTTPS (DoH)。要设置它： 按照“通过HTTPS客户端运行DNS”指南下载cloudflared。 启动Tor SOCKS代理并用于socat将端口TCP:443转发到本地主机： socat TCP4-LISTEN:443,reuseaddr,fork SOCKS4A:127.0.0.1:dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion:443,socksport=9150 指示你的机器将.onion地址视为localhost本地主机： $ cat << EOF >> /etc/hosts 127.0.0.1 dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion EOF 最后，启动一个本地DNS over UDP守护进程： cloudflared proxy-dns --upstream "

作为”暗网”的一部分，洋葱服务在犯罪之外的许多不同领域都很受欢迎。美国海军研究实验室在20世纪90年代中期开发了洋葱路由协议，以保护美国的在线情报通信。多年来，它得到了进一步的发展，并从DARPA、美国国务院的互联网自由倡议、EFF和其他一些组织获得了大量的资金。Tor项目于2006年作为一个非营利组织成立。在一个审查制度、跟踪、隐私入侵和监视日益增加的世界里，Tor提供了一种保持匿名、访问可能受限制或敏感的内容并提供优质教育材料的方法。 Tor网络 Tor网络由客户端和服务器构建。Tor浏览器使客户端能够访问网络并匿名浏览明网和暗网。隐藏服务是您在Tor网络上访问的具有端到端加密和隐私的站点，其中该服务的所有者也是匿名的。许多当前可用的服务都非常不稳定，而且大多数服务都不会停留很长时间（请参阅林迪效应）。很少有洋葱服务广为人知，而且往往是出于错误的原因。本文是作为学习资料和关于如何在OpenBSD服务器上设置Tor v3隐藏服务的技术笔记，请勿用于非法用途。 请注意，洋葱服务提供了足够的安全性，以抵御大多数现实生活中的对手，这些对手将试图使你匿名。如果有像政府这样财力雄厚的对手在追求该服务，你将需要增加更多的匿名层，用加密货币购买服务器和带宽进行托管，甚至在你ssh进入你的机器时也要小心，以隐蔽你的入口IP。 生成 Vanity v3隐藏服务洋葱地址 洋葱地址是洋葱服务公钥哈希值的编码。请注意，完全随机的地址以及生成的名称很容易被欺骗，因为访问者点击某个地方的链接可能会被看似正确的 .onion 前缀所欺骗，而无需检查整个地址。我们生成一个自定义的 .onion地址只是为了在地址列表中有一个更容易识别的地址。Tor Onion v3隐藏服务地址遵循torspec/224。 我们正在使用工具mkp224o，它允许使用暴力方法产生一个（部分）定制的vanity .onion地址。我们可以从github克隆源代码并构建它： git clone https://github.com/cathugger/mkp224o.git ./autogen.sh ./configure make 然后，我们用前缀noxim来暴力计算地址，鉴于它只有短短5个字符，这应该需要几秒钟。 mkdir -p keys ./mkp224o -d ./keys noxim noximfcmcizkdxdaryrf56sypldotfz3b2pqdenjkc4zk4t6nmoghwid.onion noximfusrfrcr75ry57pkv2uzqrkvxseluzl54zi2andktjlcoxhxaqd.onion noximugpgjva2sjfsulos3bidudnku2tmiofzsobfzvlt4ffizspqjad.onion noximwc5zsk6jh5jzkiljjtik3tkuue7w7byobvjz6is7tdu4dousfyd.onion noximuifbmzya75bljh2nvu57pbf76bjbwtnrp3ilto753bnbjvgbgyd.onion noximhkcqevri46e2kuthman5o6emplfcevppx3hvsvu55qcygj5elyd.onion ... 其中我使用了最后一个并将其复制到服务器： scp -r keys/noximhkcqevri46e2kuthman5o6emplfcevppx3hvsvu55qcygj5elyd.onion [email protected]:~ 有作用的文件： hs_ed25519_public_key hs_ed25519_secret_key hostname 在服务器上，我们将私钥和主机名复制到它的位置以供后续步骤使用： doas mkdir -p /var/tor/hidden_service doas chown -R _tor:_tor /var/tor/ doas cp hostname /var/tor/hidden_service doas cp hs_ed25519_secret_key /var/tor/hidden_service/ doas cp hs_ed25519_public_key /var/tor/hidden_service/ 请注意，如果我们计划保留此服务，我们将要备份此密钥。

Tor项目和Debian项目一直在合作，早在2016年致力于开发基于Linux的Debian操作系统的Debian项目就已经宣布，其服务和资料库将在Tor网络上提供。这一转变背后的原因是为了加强对Debian Linux用户的匿名性和安全性，其在官方发布了声明： Debian项目和Tor项目正在为我们的几个站点启用Tor洋葱服务。现在无需离开 Tor 网络即可访问这些站点，为安全连接到 Debian 和 Tor 提供的资源提供了一个新选项。 当对开源软件的访问受到监控、记录、限制、阻止或禁止时，使用开源软件的自由可能会受到损害。作为一个社区，我们承认用户不应该觉得他们的每一个动作都可以被其他人跟踪或观察到。因此，我们很高兴地宣布，我们已经开始通过洋葱服务提供Debian和Tor提供的多种网络服务。 虽然洋葱服务可用于隐藏提供服务的机器的网络位置，但这不是这里的目标。相反，我们使用洋葱服务，因为它们提供端到端的完整性和机密性，并且它们对洋葱服务端点进行身份验证。 例如，当用户连接到运行在http://sejnfjrq6szgca7v.onion/的洋葱服务时 ，使用TorBrowser等支持Tor的浏览器，他们可以确定他们与Debian网站的连接无法被第三方读取或修改方，并且他们正在访问的网站确实是Debian网站。从某种意义上说，这类似于使用HTTPS提供的内容。然而，至关重要的是，洋葱服务不依赖第三方证书颁发机构 (CA)。相反，洋葱服务名称以加密方式验证其加密密钥。 除了Tor和Debian网站之外，Debian FTP和Debian安全档案可从 .onion 地址获得，使Debian用户能够仅使用 Tor 连接来更新他们的系统。 喜欢Debian和Tor的用户，应该查看并使用“Debian项目运行的洋葱服务列表”：在https://onion.debian.org/，近期将所有的Tor洋葱服务均升级为v3版本。这是一份由Tor项目运行的洋葱服务列表。它们中的大多数都是使用OnionBalance从多个个后端提供服务： 10years.debconf.orghttp://b5tearqs4v4nvbup.onion/http://spdobp2dcjfg3c56j37y7hmsi6tjauslqvbcgfgvhyuv37yiodphirad.onion/appstream.debian.orghttp://5j7saze5byfqccf3.onion/http://6swc2kxdtxwqku6ieo2bppmehqo3dncdaznvytb37fbsnanlkci3rbid.onion/backports.debian.orghttp://6f6ejaiiixypfqaf.onion/http://ii72bjpditizloapohdkpbepu6pkf7rz2jxgsuwebfcn5q5x6qa3xwqd.onion/bits.debian.orghttp://4ypuji3wwrg5zoxm.onion/http://xpsuwzyljwcmk3vmurhw5ryvi66azdexzdabng5bqu56r6xc35puyeyd.onion/blends.debian.orghttp://bcwpy5wca456u7tz.onion/http://zhpfotmfpypyvahcz52iicir4vpqnhnboixg563yojm2itaiukegamyd.onion/bootstrap.debian.nethttp://ihdhoeoovbtgutfm.onion/http://ha7gnvks566tk7g4fh7lxm3qtb6eadtcycobibw6uwa6g4icaeazcfad.onion/cdbuilder-logs.debian.orghttp://uqxc5rgqum7ihsey.onion/http://etv6ce3pbbxvfoevihlqir2xik27rb4j2l5sqpx7d2unhtpiz3ffiqad.onion/cdimage-search.debian.orghttp://4zhlmuhqvjkvspwb.onion/http://r6ogx3w3s6rg3gxm3kprurn77z2oim665yr5pcxhr76yit4g65y76zad.onion/d-i.debian.orghttp://f6syxyjdgzbeacry.onion/http://7fezvzv4qm7tly43qikg4juagwx4nyy3iwruq2xds5n64jt4j2yyvwad.onion/ddtp.debian.orghttp://gkcjzacpobmneucx.onion/http://iebkxzjscv4jgaucepdbdf4b7bqmcwd5peulm5cbpoavlsnkfhda5gyd.onion/debaday.debian.nethttp://ammd7ytxcpeavif2.onion/http://h34nug3iwqjf2376fmmzdhgqivckzemcujmarlptfqeqtq7vya47yyad.onion/debconf0.debconf.orghttp://ynr7muu3263jikep.onion/http://s36sir2fpydvcpon3bb5oz3jghjqci3mn7z26cza5x5b4il2izrybsqd.onion/debconf1.debconf.orghttp://4do6yq4iwstidagh.onion/http://dywfwwrpxmyaz3cpydemb3k7qw5d5nevat6rpwzqndyj2h2xxf5vibid.onion/debconf16.debconf.orghttp://6nhxqcogfcwqzgnm.onion/http://tjulrdmbhkwzdvborn6r723mdyuqgolctejxm3hze2ygvmagmwei3iad.onion/debconf17.debconf.orghttp://hdfcrogj3fayr7wl.onion/http://knyybdmc4kakd7gs4y6fvshg27t7jud5oiyrmaihijpepxbehcn7svid.onion/debconf18.debconf.orghttp://6zwq6bghdyviqf7r.onion/http://2b5calm3k7sozky46ac65hx3edlmbssogpbg57h2iycolpmjtjwukyyd.onion/debconf19.debconf.orghttp://lwk5a5cu3aq6offe.onion/http://t6unvxtmmjiy6fap4ynahv6ntjdoqice6glvzzdlsohnuhuwa3fojlad.onion/debconf2.debconf.orghttp://ugw3zjsayleoamaz.onion/http://st44cej736t2jpbzaww6vbws6mhs74n5tycyr6b2vuvvreko4yigruqd.onion/debconf20.debconf.orghttp://ej2h5u36a2xhinka.onion/http://tfrconhwbjuq4kkjds55rrzmdxhg5ousbdmwkqjjhsov3dbfhcsjakqd.onion/debconf3.debconf.orghttp://zdfsyv3rubuhpql3.onion/http://ctndhon5ms5qw4zvip4lirgofkgs5f6pmxnloszzssftudzo34rbeyad.onion/debconf4.debconf.orghttp://eeblrw5eh2is36az.onion/http://zqz43hjr4azeovtgr4osgdsok66d7ezawoysxxuyyw4qzia6hdhaosqd.onion/debconf5.debconf.orghttp://3m2tlhjsoxws2akz.onion/http://ibcf6qlyirfnc6vcfuv4y7k6oowwqz4jmcjbrkxov43feyqj6cnyvcqd.onion/debconf6.debconf.orghttp://gmi5gld3uk5ozvrv.onion/http://cunu7dhfzpelt7cxlidw2zcjfe5b65dvsdquf562w5xiraxaqxn4mtid.onion/debconf7.debconf.orghttp://465rf3c2oskkqc24.onion/http://h2zkj5xeycxb2esnyqeabuuo6ui6jlkdb72qjfi2hu3y3h5ilpmjphid.onion/debdeltas.debian.nethttp://vral2uljb3ndhhxr.onion/http://h3zfg7pvbedsteur5ruyvku7p7bvmx3tws7m5uxnes53cu6xaiscubyd.onion/debug.mirrors.debian.orghttp://ktqxbqrhg5ai2c7f.onion/http://3lz3irtzg5i4z2sz3qca3oz3sdk3p5a3xlmz3zqwornapeofvoudajid.onion/dpl.debian.orghttp://j73wbfpplklpixbh.onion/http://6lgapegkgqepaeh7s6mpxv4lvf7awabky7ginkaycfmq7eko66kivcyd.onion/dsa.debian.orghttp://f7bphdxlqca3sevt.onion/http://k2htee64gyxc4zm7ssrd57zz4t5rbm2rhu4cdpfhdh7y4bkmmft7idad.onion/es.debconf.orghttp://nwvk3svshonwqfjs.onion/http://3cgri2x3iidmaearj3aryls7w3e74jo3xxxfh2ym5y4hseit3oqvzxqd.onion/fr.debconf.orghttp://ythg247lqkx2gpgx.onion/http://uvf45xdz72xv7plztdtbc6j32pukihpegtnvdcewczrnv32acmqtamad.onion/ftp.debian.orghttp://vwakviie2ienjx6t.onion/http://2s4yqjx5ul6okpp3f2gaunr2syex5jgbfpfvhxxbbjwnrsvbk5v3qbid.onion/ftp.ports.debian.orghttp://nbybwh4atabu6xq3.onion/http://xa2v5hi4gwrvrhj3awz2v4crufymvjhkx3q25wd3n2bpf5574du4afqd.onion/incoming.debian.orghttp://oscbw3h7wrfxqi4m.onion/http://yhugxzj2ys6livectgptp2ohuqnchtfltetjbkn2jkyersatww2am4yd.onion/incoming.ports.debian.orghttp://vyrxto4jsgoxvilf.onion/http://y63o645rjql7rm3pnw4sarqaoxrhjk3o62vhgqbkgzjouue2i7qybyad.onion/lintian.debian.orghttp://ohusanrieoxsxlmh.onion/http://grqwuipwwfuu5mkyyqfea32kbkvwvxm36hau6bvkzoozchf57moj6yqd.onion/manpages.debian.orghttp://pugljpwjhbiagkrn.onion/http://cuhebenhpxdqskoodifdh5w7dkufya5xwaa3luci7252fc6hwo2dmjid.onion/media.debconf.orghttp://ls5v3tzpothur4mv.onion/http://4ja5brrs4x4qvgquthmjkjykgxbvnfwau7ucgfb3ebclnkl5cpjyw4yd.onion/metadata.ftp-master.debian.orghttp://cmgvqnxjoiqthvrc.onion/http://4inahjbeyrmqzhvqbsgtcmoibz47joueo3f44rgidig6xdzmljue7uyd.onion/micronews.debian.orghttp://n7jzk5wpel4tdog2.onion/http://boowxjehkfc3ip6pnsrtt32s6j252rdzng5rcjhjt7yzh2ieiz5ka4yd.onion/miniconf10.debconf.orghttp://tpez4zz5a4civ6ew.onion/http://2ptpv4mi2xtkcn5vrbga4wpgcm2neksgkawn7bwdfmysek6mqytjcwqd.onion/mirror-master.debian.orghttp://kyk55bof3hzdiwrm.onion/http://3dglwm65senudd7vqyn6wkwpj2wnwp2rfiw4lmbfa7j6as4b5ekix2id.onion/mozilla.debian.nethttp://fkbjngvraoici6k7.onion/http://xbbubmuxby3tdbbhnweg2gchuawism3u2prw5sy2wb5e5ynvv5xcwpqd.onion/news.debian.nethttp://tz4732fxpkehod36.onion/http://hg36q46xemkwvqcod2pfcuwh24aqcpgcbwqibyblu3nt7l562zahatid.onion/onion.debian.orghttp://5nca3wxl33tzlzj5.onion/http://jvgypgbnfyvfopg5msp6nwr2sl2fd6xmnguq35n7rfkw3yungjn2i4yd.onion/openpgpkey.debian.orghttp://habaivdfcyamjhkk.onion/http://nxw6ies7yaoxybxtorhdknuwiynck4xe5hwfg6evmqoxwyk7nn7nriid.onion/people.debian.orghttp://hd37oiauf5uoz7gg.onion/http://x6tkjqr46ghqmlqiwyllf5ufg6ciyexsxxfw2copx7cptw4aszq6fdqd.onion/planet.debian.orghttp://gnvweaoe2xzjqldu.onion/http://3cbzkrvakrpetjjppdwzbzqrlkmzatjs7jbyazap5gwutj32gcltjpqd.onion/release.debian.orghttp://6nvqpgx7bih375fx.onion/http://44w2g3oly2wy6f5q3x5wgdlxj3xqjmd6juhqfp73btzdpue2ujazboyd.onion/security-team.debian.orghttp://ynvs3km32u33agwq.onion/http://juf6ppcps4bxgkoe7wdx5zgv5mwf3bbujzjjoo7dkwpz3vpkkbix3gid.onion/security.debian.orghttp://sgvtcaew4bxjd7ln.onion/http://5ajw6aqf3ep7sijnscdzw77t7xq4xjpsy335yb2wiwgouo7yfxtjlmid.onion/timeline.debian.nethttp://qqvyib4j3fz66nuc.onion/http://ck2b4sppxizlsdj5cuwan6gdiee3fzrw6jlxep7htgy7euxa4m6uukid.onion/tracker.debian.orghttp://2qlvvvnhqyda2ahd.onion/http://7fgb4sq435vg7slw3u7m2ayze3imybpe7qm3htdklreoag3l6n2mtkyd.onion/wnpp-by-tags.debian.nethttp://gl3n4wtekbfaubye.onion/http://prtmu3zoeqh4iefuwda7cbs5mbaelqfrcss5exnyayfcyhybeq3s7ryd.onion/www.debian.orghttp://sejnfjrq6szgca7v.onion/http://5ekxbftvqg26oir5wle3p27ax3wksbxcecnm6oemju7bjra2pn26s3qd.onion/www.ports.debian.orghttp://lljrzrimek6if67j.onion/http://wzmhgtr235jahyxhrpj7wh675vrgouqhpyaecyn6x4r2menefypwyqad.onion/ 使用Debian系统时，通过apt-transport-tor命令可以配置操作系统包安装和更新通过Tor洋葱服务进行，也可以通过以下方式访问Tor上的Debian仓库： deb tor+http://2s4yqjx5ul6okpp3f2gaunr2syex5jgbfpfvhxxbbjwnrsvbk5v3qbid.onion/debian buster main deb tor+http://2s4yqjx5ul6okpp3f2gaunr2syex5jgbfpfvhxxbbjwnrsvbk5v3qbid.onion/debian buster-updates main deb tor+http://5ajw6aqf3ep7sijnscdzw77t7xq4xjpsy335yb2wiwgouo7yfxtjlmid.onion/debian-security buster/updates main #deb tor+http://2s4yqjx5ul6okpp3f2gaunr2syex5jgbfpfvhxxbbjwnrsvbk5v3qbid.onion/debian buster-backports main

V2 Onion Services Deprecation 我如何知道我是在使用v2还是v3洋葱服务？ 你可以通过56个字符的长度来识别v3洋葱地址，例如，Tor项目的v2地址：http://expyuzz4wqqyqhjn.onion/，Tor项目的v3地址：http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/ 如果你是一个洋葱服务管理员，你必须尽快升级到v3洋葱服务。如果你是一个用户，请确保将你的书签更新到网站的v3洋葱地址。 v2废止的时间表是什么？ 2020年9月，Tor开始警告洋葱服务运营商和客户，v2将在0.4.6版本中被弃用和淘汰。2021年6月，Tor浏览器开始警告用户。 2021年7月，0.4.6版的Tor将不再支持v2，支持将从代码库中删除。 2021年10月，我们将为所有支持的系列发布新的Tor客户端稳定版本，该版本将禁用v2。 你可以在Tor项目的Blog《洋葱服务第2版废弃时间表》中阅读更多内容。 我可以继续使用我的v2洋葱地址吗？我可以在9月之后访问我的v2洋葱吗？这是一个向后不兼容的变化吗？ V2洋葱地址从根本上来说是不安全的。如果你有一个V2洋葱服务，我们建议你现在就进行迁移。这是一个向后不兼容的变化：V2洋葱服务在2021年9月后将无法到达。 对开发者来说，迁移的建议是什么？有没有关于如何向人们传播新的v3地址的提示？ 在torrc中，要创建一个v3的地址，你只需要像创建v2服务一样创建一个新的服务，用这两行。 HiddenServiceDir /full/path/to/your/new/v3/directory/ HiddenServicePort <virtual port> <target-address>:<target-port> 默认版本现在被设置为3，所以你不需要明确地设置它。重新启动 tor，并在你的目录上寻找新的地址。如果你希望继续运行你的v2服务，直到它被废弃，以便为你的用户提供一个过渡路径，请在你的版本2服务的配置块中添加这一行。 HiddenServiceVersion 2 这将允许你在你的配置文件中识别哪个是哪个版本。 如果你在网站上配置了Onion-Location，你需要用你的新v3地址来设置头。关于运行洋葱服务的技术文档，请阅读我们社区门户中的洋葱服务页面。 我没有看到公告，我可以得到更多的时间来迁移吗？ 不能，V2洋葱连接现在就开始失效了，先是慢慢地，然后突然地。现在是时候迁移了。 服务会在9月开始失效，还是之前就已经开始失效了？ 在Tor 0.4.6中已经没有引入点了，所以如果中继运营商更新，它们将无法到达。 作为一个网站管理员，我可以把用户从我的v2洋葱重定向到v3吗？ 是的，它将工作，直到v2洋葱地址无法到达。你可能想鼓励用户更新他们的书签。 v3洋葱服务是否会有助于缓解DDoS问题？ 是的，我们正在不断努力提高洋葱服务的安全性。我们在路线工作计划图中的一些工作是ESTABLISH_INTRO Cell DoS防御扩展：Res tokens: Anonymous Credentials for Onion Service DoS Resilience, A First Take at PoW Over Introduction Circuits.。关于这些建议的概述，请阅读详细的博文《如何阻止针对洋葱服务的拒绝服务攻击》。 本文来自：https://support.torproject.org/onionservices/#v2-deprecation

一项关于暗网基础设施的新研究显示，一个未知的威胁参与者在2021年2月上旬设法控制了整个Tor网络出口流量的27％以上。 独立安全研究人员nusenu在周日发表的一篇文章中说： “攻击Tor用户的黑客组织自一年以来一直在积极针对tor用户，并将其攻击范围扩大到新的记录水平。” 在过去的12个月中，该黑客组织控制的平均出口节点比例超过14％。” 这是自2019年12月以来揭露恶意的Tor活动而开展的一系列工作中的最新一项。据称，这些攻击始于2020年1月，由同一研究人员在2020年8月首次记录和揭露。 Tor是一款开源软件，用于实现互联网上的匿名通信。它通过将网络流量引导通过一系列中继来混淆Web请求的源和目的地，以便从监视或流量分析中掩盖用户的IP地址以及位置和使用情况。中继节点通常负责在Tor网络上接收流量并传递，而出口节点是Tor流量到达目的地之前经过的最后一个节点。 过去曾经发生过破坏了Tor网络上的出口节点以注入OnionDuke之类的恶意软件，但这是第一次有一个身份不明的参与者首次设法控制如此大比例的Tor出口节点。 在2020年7月和2021年4月之间，这个特定的恶意攻击者控制的Tor出口容量（以整个可用的Tor网络出口容量的百分比衡量）。峰值可以看出：攻击者在2021年2月2日确实控制了大约27.5%的Tor网络出口容量。Graph by nusenu (raw data source: Tor Project/onionoo) 黑客组织在2020年8月高峰期之前维护了380个恶意Tor出口节点，然后Tor项目官方进行了干预，将这些节点从Tor网络中剔除，之后该活动在今年年初再次达到顶峰，攻击者试图在5月的第一周增加超过1000个出口节点。在第二波攻击中检测到的所有恶意Tor出口节点后来都被删除。 据nusenu称，攻击的主要目的是通过控制流过出口中继网络的流量来对Tor用户进行“中间人”攻击。具体来说，攻击者似乎执行了所谓的SSL剥离，以将前往比特币混币服务的流量从HTTPS降级为HTTP，以试图替换比特币地址并将交易重定向到其钱包，而不是用户提供的比特币地址。 “如果用户访问了这些站点之一的HTTP版本（即未加密，未经身份验证的版本），他们将阻止该站点将用户重定向到该站点的HTTPS版本（即经过加密，身份验证的版本），”维护者Tor Project的负责人于去年8月解释道。“如果用户没有注意到他们没有进入该站点的HTTPS版本（浏览器中没有锁定图标）并继续发送或接收敏感信息，则攻击者可能会拦截此信息。” 为了减轻此类攻击，Tor项目概述了许多建议，包括敦促网站管理员部署.onion网站时默认启用HTTPS以避免出口节点攻击，并补充说它正在“全面修复”上工作以禁用Tor浏览器中的纯HTTP。 美国网络安全和基础设施安全局（CISA）在2020年7月的一份咨询报告中说： “通过Tor传播的恶意活动的目标风险对每个组织来说都是独特的。每个组织应通过评估黑客将其系统或数据作为目标的可能性，以及考虑到当前的缓解措施和控制措施，并苹果黑客成功的概率来确定其风险。” 该机构补充说：“各组织应评估其缓解决策，以应对来自高级持续性威胁（APT）、中度复杂的攻击者以及技术水平低下的单个黑客的威胁，这些人过去都曾利用Tor进行了侦察和攻击。”

早在2020年，Tor官方就宣布：由于使用的密码学中存在漏洞，V2版本的洋葱地址将被终止。最近，Tor官方开发团队正式确认：将从2021年7月开始停止使用旧版本，要求所有用户迁移到Onion V3。 该事件的提醒来自官方的Tor官方Twitter，Tor官方给出的具体时间点是：Tor将在2021年7月15日发布一个新版本，该版本将禁用对Onion V2地址的支持。最终决定于今年10月15日结束，届时，Tor Explorer的稳定版本将完全禁用此版本。 这两个阶段之间的区别在于，在对应于2021年7月15日的一个阶段中，尽管用户仍可以通过在浏览器中进行一些内部配置来使用它，但建议中止与Onion V2的默认兼容性。取而代之的是，从10月15日起，Tor将完全不再与该旧版本兼容。 这项变更是在2018年1月9日推出的Onion V3地址发布了三年之后进行的，根据开发团队本身的说法，与之前的版本相比，它具有更好的密码学和更高的安全性。同样，由于V3当前是标准版本，因此在Tor网络的所有节点上成功实施版本V3之后，才进行修改。 版本更改将会大大改善使用Tor服务的用户的安全性和隐私性，但是应该注意的是，V2版本的停用不会直接影响用户，而是使用V2版本地址域名的网站。 从洋葱V2更改为V3的原因 Tor浏览器中的网址具有.onion域后缀，它对应着例如.com，.io，.org或传统网站中的任何其他网址后缀。这些提供了从Web到用户的一种加密类型，从而创建了无法追踪的加密连接。 .onion的第2版​​与Tor的地址第1版一起在2004年Tor发布后不久开发。 目的是使用为此目的的算法对连接进行加密，在Onion V2的情况下，使用SHA-1。这种加密算法是比特币（SHA256）使用的加密算法的前身之一，当时该加密算法为用户提供了中等级别的安全加密。 随着近年来计算的指数增长，该算法变得脆弱，甚至在实践中也被打破了。这导致它被各种程序终止。Chrome浏览器本身显示有关那些使用带有SHA-1加密的SSL证书的网站的警告。 SHA-1算法容易受到冲突攻击，其中2个不同的输入可以生成相同的哈希。资料来源：shattered.io。 考虑到可能存在的漏洞，Tor开发团队计划在2015年之前将安全级别提高到一个新水平。到2018年，该产品已经准备就绪，展示了洋葱地址的第3版，该版本使用ed25519改进了其密码签名算法，该算法提供了比其前身更好的加密功能。 Tor和比特币 Tor是一个安全的网络架构，它基于分布式网络范式，与比特币使用的一样，节点之间的通信是分散的。它对用户的连接进行加密并保护其免受第三方追踪。 正因为如此，Tor和比特币经常被紧密联系在一起。有一个具体例子就是当时的CriptoNoticias报道的MIT比特币2021年世博会黑客马拉松的获奖项目，该项目被称为Onion’78。其目标是使用PayJoin系统和Tor网络架构来改善比特币交易中的隐私，从而允许使用更多的私人连接。这只是利用Tor来增加隐私的比特币项目的众多示例之一。

估计很多网友都认为作为史上最安全、隐私保护最好的浏览器，Tor浏览器应该是默认禁用javascript的，然而事实并非如此。新安装的Tor浏览器的Security Level是Standard，浏览器的常用功能默认都是启用的，包括javascript。 通过Tor浏览器Security Level的说明，我们可以看到：选择Standard，所有暗网网站启用javascript；选择Safer，HTTPS站点启用javascript；选择Safest，所有暗网站点禁用javascript。 我们查阅torproject官方的解释，发现官方是这么说的： 为什么 Tor 浏览器默认启用 JavaScript ? 因为禁用 JavaScript 会让很多网站无法工作， Tor 浏览器内置的 NoScript 默认允许 JavaScript。 默认禁用 JavaScript 造成的不便过于严重，也许会让大多数用户直接放弃使用 Tor 。 原则上来说，我们不仅想让 Tor 浏览器尽可能安全，还想让大多数人都可以使用。所以按照目前状态， Tor 浏览器会继续默认启用 JavaScript。 对于想要在所有的 HTTP 网站上默认关闭 Javascript 的用户，我们坚已您更改 Tor 浏览器中“安全等级“的选项。 这可以通过找到安全图标（屏幕右上角那个小小的灰色盾牌）并点击“高级安全设置…”来实现。 ”标准“等级允许JavaScript，但是”安全“与”最安全“等级都将阻止HTTP网站上的JavaScript。 不过，网站功能是一方面，从安全角度考虑，还是建议将Tor浏览器请禁用Javascript，不允许任何客户端动态JS脚本。禁用的方法是将Security Level设置为Safest。

很长一段时间，我（kushaldas.in）想为我的博客的onion域名创建一个HTTPS认证证书。Digicert是长期以来唯一提供暗网onion域名认证的CA，但是成本很高，只适合大的公司或者组织使用，但是我个人不适合，尤其是由于成本原因。 几天前，在IRC上，我发现 Harica为暗网洋葱站点提供Domain验证证书，费用约为每年30欧元。我就抢着去办了一个，同时， ahf也在弄他的证书，他帮助我进行了Nginx的配置。 如何获得自己的证书？ 确保您的网站以Tor v3洋葱服务运行在https://cm.harica.gr/上创建一个帐户进入左侧栏的服务器证书，对你的域名进行新的申请，按照表格中的要求提供洋葱地址。它将为你提供上传CSR证书签名请求的选项。你可以通过openssl req -newkey rsa:4096 -keyout kushaldas.in.onion.key -out csr.csr生成一个。对于通用名，请提供相同的onion地址。单击网站后，它将要求您下载文件并将其放在目录内的Web根目录.well-known/pki-validation/中，请确保可以通过Tor浏览器访问文件。当您单击最终提交按钮时，系统将花费一些时间来验证域。付款后，您应该可以完整下载证书（以.p7b结尾的文件）。网页上有3个选项，因此请记住下载正确的文件:)您将不得不将其转换为PEM格式，我使用了ahf提供给我的命令： openssl pkcs7 -inform pem -in kushaldas.in.p7b -print_certs -out kushaldas.in.onion.chain.pem -outform pem 设置nginx 这一部分和其他标准的nginx配置一样。以下是我使用的配置。请在确定一切正常后，取消对Strict-Transport-Security头行的注释。 server { listen unix:/var/run/tor-hs-kushal.sock; server_name kushal76uaid62oup5774umh654scnu5dwzh4u2534qxhcbi4wbab3ad.onion; access_log /var/log/nginx/kushal_onion-access.log; location / { return 301 https://$host$request_uri; } } server { listen unix:/var/run/tor-hs-kushal-https.sock ssl http2; server_name kushal76uaid62oup5774umh654scnu5dwzh4u2534qxhcbi4wbab3ad.onion; access_log /var/log/nginx/kushal_onion-access.log; ssl_certificate /etc/pki/kushaldas.in.onion.chain.pem; ssl_certificate_key /etc/pki/kushaldas.in.onion.open.key; #add_header Strict-Transport-Security "max-age=63072000; includeSubdomains"; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; # Turn on OCSP stapling as recommended at # https://community.

Tor项目官方，Tor网络和Tor浏览器的非营利性开发商，近期宣布了两个令人兴奋的onion服务的进展：HARICA签发用户承担的起的onion域名的DV证书，和新的、简单的onion网站配置指南。 关于Tor 每天都有数以百万计的人使用Tor来绕过审查制度，保护自己免受监视，并夺回他们的在线隐私权。除此之外，越来越多的网站和服务–包括《纽约时报》、BBC、德国之声和Facebook，都在使用Tor的.onion域名的网站，为他们的受众提供更私密的浏览方式。 Onion网站是只能通过Tor网络访问的网站：你可以发现它们，因为它们以TLD.onion结尾。例如，DuckDuckGo的洋葱是https://3g2upl4pq6kufc4m.onion。你可以通过使用Tor浏览器访问这些网站。使用onion服务可以混淆你的元数据，并提供端到端的认证和端到端的加密–简单地说，onion服务提供了一些你在互联网上可以得到的最私密的浏览体验。 新onion网站配置指南 现在，在Tor项目新的onion Zine和Tor项目社区门户中更新的onion服务文档的帮助下，组织、网站和服务机构更容易建立自己的.onion网站，并为他们的用户提供这种下一级的隐私保护，这是在数字卫士伙伴关系的支持下开发的。 Onion Zine以人权维护者及其组织为中心设计，旨在帮助网站管理员了解.onion网站的好处，以及如何为自己的网站建立自己的.onion网站。任何人都可以阅读英文、西班牙文和葡萄牙文的onion zine，并使用这些杂志和更新的onion服务文件来建立.onion网站。 onion网站的DV证书 除此之外，网站管理员现在还可以使用HARICA为您的v3 onion网站轻松获取DV证书，HARICA是由希腊的民间社会非营利组织Academic Network (GUnet)创立的根CA运营商。有了HARICA，对于.onion网站运营商来说，获取证书变得更加容易。 Tor项目官方一直在提醒，用HARICA申请DV证书的人，一定要用v3的onion域名地址来做，因为v2将在2021年7月被废弃。