洋葱路由催生了暗网的产生
1995年,美国海军研究实验室的科学家开始开发一套匿名系统,可以避免人们在互联网上的行迹被追 踪到。由于在该系统中,数据被层层密码保护,这个技术被称为叫作“洋葱路由”。
该技术最初由美国海军研究办公室和国防部高级研究项目署(DARPA)资助。早期的开发由Paul Syverson、 Michael Reed 和 David Goldschla领导。这三个人都是供职美国军方的数学家和计算机系统的研究人员。
“洋葱路由”的最初目的并不是保护隐私,或者至少不是保护大部分人认为的那种“隐私”,它的目的是让情报人员的网上活动不被敌对国监控。在美国海军研究实验室1997 年的一篇论文中指出,“随着军事级别的通信设备日益依靠公共通讯网络,在使用公共通信基础设施时如何避免流量分析变得非常重要。此外,通信的匿名性也非常必要。”
该项目初期进展缓慢,到 2002 年,来自海军研究机构的Paul Syverson 还留在项目里,两个MIT的毕业生 Roger Dingledine 和 Nick Mathewson 加入了项目。 这两个人不是海军研究实验室的正式雇员。而是作为 DARPA和海军研究实验室的高可靠性计算系统的合同工方式加入的。在后来的几年里,这三个人开发了一个新版的洋葱路由,也就是后来的 Tor(The Onion Router)。
对于 Tor 是如何从军方走向民间的,有两种说法。一是研究人员也意识到,不能仅仅让美国政府自己使 用这个系统,那等于向别人表明身份,必须让其他人也能够使用这个系统,才能够实现真正意义的隐藏。 因此,Tor面向大众推出了普通用户版本,并且允许 每个人使用Tor的节点,把政府情报人员的流量与志愿者的流量混在一起,以达到隐藏的目的。二是由于美国海军研究实验室陷入财政紧缺的状态,主动终止了对 Tor 的资金支持并将其开源,后由一个名为电子前哨基金会(EFF)的组织接管了 Tor 的后续研发和支持。
无论出于何种原因,基于Tor的暗网从此便建立了起来,并日趋庞大。由于Tor匿名的特点,很快得到了大量的青睐,其中不乏异见人士、记者、学生、公司职员等,人们可以在暗网上发表自己的观点而无需担心被报复。也正是因为Tor匿名的特点,暗网很快成为毒品、枪支和非法色情交易的温床。暗网中逐渐出现了很多交易网站,贩卖枪支、毒品、违禁药品、被盗的身份、色情物品,雇佣黑客,甚至雇佣杀手、贩卖人口、在线观看直播杀人等形形色色的非法交易,如 Agora、Silk Road、Evolution 等。有些交易网站采用比特币交易, 因此不受传统金融渠道的控制,并且像我们常用的交易平台一样,买卖双方还能进行评价,甚至提供售后 服务。现在,Tor中继节点已经遍布全球,每年有近5000万人次下载Tor,以至于连Tor的发明者都承认“自己也无力摧毁 Tor”了。
Tor 是如何实现匿名的呢?
Tor 官网上简单介绍了Tor的原理。Tor是一个三重代理,Tor 客户端先与目录服务器通信获得全球活动中继节点信息,然后再随机选择三个节点组成电路 (circuit),用户流量跳跃这三个节点(hop)之后最终到达目标网站服务器, 这样Tor网络中就有两种实体,分别是用户和中继节点。当用户需要匿名访问网络时,首先访问目录服务器,得到全球的 Tor中继节点的信息,包括IP地址、公钥、出口策略、带宽和在线时间等。然后再随机选 择三个节点组成电路(circuit),分别为入口节点、中间节点和出口节点。在构建电路时,用户和每一个中继节点协商共享的会话密钥,之后将层层加密的信息发送到电路中,每个中继节点经过一次解密后,将信息发给下一个节点。这样,中继节点中只有入口节 点知道通信发起者的身份。中间节点知道通道中入口节点和出口节点的身份,但是不知道匿名通信发起者和接收者的身份。出口节点作为网关负责Tor网络和外部Internet网络的应用层连接,并充当加密的Tor网络传输流量和非加密的Internet传输流量之间的中继,知道匿名通信接收者的身份。在这种设计下,电路中没有任何一个节点知道完整的信息,因此实现了匿名通信。
Tor 的工作原理
具体来说,当用户启动 Tor 之后,Tor 客户端会在本机上运行一个 Onion Proxy(OP),之后开始和存有全球中继节点信息的目录服务器取得联系,获取全球的中继节点信息。OP 获取到中继节点信息后,OP会随机选取三个节点,组成电路,并分别协商会话密钥。 在这个过程中,每层会话都是被加密一次的信息,一直到被三重加密,只有出口节点能看到明文。当电路被确认建立后,才开始发送真正的用户访问信息。
此外,为了加强安全性,Tor 每隔十分钟就会再重新选择三个节点以规避流量分析和蜜罐节点。
仔细分析这一过程,会发现一个问题,由于出口节点能够获得明文信息,因此这个过程中只保障了用户的访问不能被攻击者完全地获知。也就是说,只保障了用户访问表层网络时的匿名性。而对于想要隐藏自己 IP 的 暗网网站来说,这个方法是不行的,因为出口节点会获知用户的访问请求和服务器的 IP 地址。那么,如果用户匿名访问暗网网站时,情况又是怎样的呢?
你想开始调查Tor网络中的隐藏服务,却不知道从何下手?下面是二十个开源项目的列表,它将帮助你完成监控神秘的Darkweb的部分任务。
https://github.com/andreyglauzer/VigilantOnion
https://github.com/teal33t/poopak
https://github.com/CIRCL/AIL-framework
https://github.com/s-rah/onionscan
https://github.com/automatingosint/osint_public
https://github.com/trandoshan-io
https://github.com/itsmehacker/DarkScrape/blob/master/README.md
https://github.com/GoSecure/freshonions-torscraper
https://github.com/DedSecInside/TorBot
https://github.com/AshwinAmbal/DarkWeb-Crawling-Indexing/blob/master/README.md
https://github.com/k4m4/onioff
https://github.com/MikeMeliz/TorCrawl.py
https://github.com/bunseokbot/darklight
https://github.com/saidortiz/onion_osint
https://github.com/vlall/Darksearch
https://github.com/ntddk/onionstack
https://github.com/mrrva/illCrawler
https://github.com/scresh/Digamma
https://github.com/reidjs/onionup/blob/master/README.md
https://github.com/desyncr/onionuptime/blob/master/README.md
mkp224o mkp224o是Tor Onion v3隐藏服务的虚荣地址生成器,由cathugger创建 ,可 在Github上使用。
cathugger的GitHub帐户上的mkp224o存储库。
Tor提案224 是新的Onion v3规范的提案,因此就是mkp224o的名字。
mkp224o非常易于安装和运行。从GitHub下载并提取最新版本,然后在基于Debian的系统上,可以使用:
#Install dependencies if required sudo apt-get install autoconf libsodium-dev #Build ./autogen ./configure make 您可以运行“ ./mkp224o -h”以查看可用选项:
js@node0:~/onionv3/mkp224o$ ./mkp224o Usage: ./mkp224o filter [filter...] [options] ./mkp224o -f filterfile [options] Options: -h - print help -f - instead of specifying filter(s) via commandline, specify filter file which contains filters separated by newlines -q - do not print diagnostic output to stderr -x - do not print onion names -o filename - output onion names to specified file -F - include directory names in onion names output -d dirname - output directory -t numthreads - specify number of threads (default - auto) -j numthreads - same as -t -n numkeys - specify number of keys (default - 0 - unlimited) -N numwords - specify number of words per key (default - 1) -z - use faster key generation method.
我假设您以前听过术语Darknet,Dark web或Deep web。如果您还没有,这将使您大吃一惊。如果有,那么您可能想知道一个人如何访问这些隐藏的Internet角落。
如何访问暗网摘要 这是访问暗网所需要做的:
下载TOR使用VPN来增加匿名性(可选)通过搜索引擎(如DuckDuckGO或目录)浏览 暗网 简而言之,这就是访问暗网的方式。如果您想要故事的详细(且非常有趣)版本,请继续阅读。这是我要介绍的内容:
在您进一步阅读之前 在不了解暗网的基础知识的情况下,您无法做很多事情,因此您可能希望在整个文章中坚持下去。我保证你不会失望的…
1. 暗网 VS 深网 大多数人对暗网感到困惑。深度网络是指搜索引擎无法找到的Internet的所有部分。从安全的学术档案库,图书馆数据库,仅限会员的网站,一直到暗网(我将在稍后讨论),这可以是任何东西。
但是得到这个:
深层网络大概比所谓的“表面网络”大100倍,这是您和我通过Google,Yahoo!等搜索引擎进行的浏览。和冰 大多数深层网络在任何方面都不是邪恶的,它只是出于安全原因而被搜索引擎阻止的内容。
有一些深层的Web搜索引擎可让您对其进行探索,您可以在此处找到它们的完整列表。但是,这是深度网络中有趣的部分:
暗网是互联网的一部分,根本无法通过搜索引擎访问,甚至还有更多。这是一个匿名的互联网。在暗网上,没有人知道您的身份,也没人知道谁在任何网站背后。
人们在不希望被发现的地方去寻找东西。听起来令人毛骨悚然?它是…
但是,即使是暗网也不全是邪恶的。它的很大一部分只是普通的论坛,博客,文章等。由于暗网及其隐藏服务的保护,处于压迫性政权的激进主义者可以自由地交流思想和组织自己。
然后是坏东西-合同杀手,儿童色情,毒品和其他令人讨厌的东西,它们与好网站一样具有匿名的好处。
2. TOR网络 有不同的“隐私网络”,全部由单独的计算机组成,从而使它们可以创建“分散的网络”。有许多不同的隐私网络,但是在本文中,我们将仅关注最受欢迎的隐私网络-TOR网络。
TOR网络周围的网站称为TOR服务或隐藏服务。由于TOR和Deep web未被搜索引擎索引,因此只能通过目录找到它们。
为了访问Tor网络,您必须保持匿名。这不是请求,而是先决条件,这是通过称为TOR的特殊Web浏览器完成的。
TOR代表“洋葱路由器”,它的名字来源于这样一个事实,即为了显示浏览器的核心用户,您必须像洋葱一样剥掉很多层。
您可以使用TOR匿名浏览步行网(您和我所知道和喜爱的日常Internet),也可以使用它访问暗网。
这是交易:
当您访问步行互联网时,您正在直接与网站进行通信。但是,当您通过TOR访问网站时,就像问另一个用户问另一个用户问另一个用户为您获取网页信息一样。
当然,这是一个过分简单的解释,但是总的想法是,通信在许多不同的计算机周围反弹,这使得很难跟踪谁实际上正在查看网站,发送电子邮件或执行任何其他操作。
这也使Internet连接非常慢,但是就目前而言,这是您需要了解的TOR:
它是一个免费下载的浏览器,您可以在这里获得。该浏览器基于Firefox浏览器开放源代码构建,因此非常直观。一旦下载并启动它,它将把您连接到TOR网络,您一切顺利。
TOR网络最初是由美国军方创建的,用于匿名通信。他们仍然在暗网上转储政府文件,但不向公众开放。由于联邦政府和其他政府本身正在使用暗网,因此他们认为不可能命令TOR关闭它。
3.浏览暗网 从表面上看,浏览暗网与浏览“正常”网络之间只有一个很大的区别:URL看起来并不像您实际可以阅读的任何东西。它们是随机字符串,后跟扩展名“ .onion”。
例如,如果您启动TOR并转到以下URL:http://3g2upl4pq6kufc4m.onion/,您将在TOR网络上访问DuckDuckGo的搜索引擎。
DuckDuckgo 是一个搜索引擎,强调保护搜索者的隐私并避免个性化搜索结果的过滤泡。例如,如果您尝试通过Chrome访问相同的URL,则将不允许您查看它。
在Darknet上浏览网站的主要资源之一是通过目录。
TheHiddenWiki是TOR网站目录的示例,您也可以通过普通浏览器访问该目录。请记住,某些站点已经脱机,因此并非所有站点都可以使用。
这是HiddenWiki的Tor网络上网址:http://zqktlwi4fecvo6ri.onion/wiki/index.php/Main_Page。
由于保持匿名连接需要在连接周围跳动,因此您会发现与正常浏览相比,在TOR上冲浪非常慢。我想这也是大多数网站看起来像是1990年代设计的原因。
它变得更好。
由于有时网站托管在个人计算机上,因此很可能由于计算机刚刚关闭而无法访问该网站。
其他站点需要其他安全措施,并且仅允许特定用户进入。请记住,这是一个完全不同的宇宙,您一无所知,整个体验就像是时光倒流。
4.比特币在暗网中的作用 比特币在整个暗网中发挥着重要作用。由于保持匿名是关键,因此比特币是您可以在那里支付的唯一货币。
与“普通”网站不同,暗网上几乎所有其他网站上都显示“ Bitcoin accepted”标志。由于比特币的伪匿名性质,它是支持这种生态系统的理想货币。
也可以说其他加密货币。最近,据说许多暗网用户正在使用Monero,因为它是100%私人硬币(不同于比特币)。
加密货币和像TOR这样的“隐私网络”实际上有很多共同点。它们都需要一个由单个计算机组成的网络来运行,而不是一个主服务器。这称为“分布式计算”,而计算机称为节点。
当人们没有动力去操作节点时,就会出现问题,这可能会导致网络缓慢且不可靠。例如,比特币网络确实激励了矿工维护网络,但是各个节点仍然没有得到任何回报,这可能会引起问题。
5.额外的安全性–使用VPN 尽管在使用TOR时没有人知道您的身份,但有些人还是喜欢增加一层保护并通过虚拟专用网(VPN)连接到TOR。这样做的原因是,即使您是匿名用户,也仍然可以将您标识为使用TOR进行“某些操作”。
这是丑陋的事实:
Wired早在2014年就发表了一篇文章“ 使用隐私服务?NSA可能正在跟踪您 ”,这说明了NSA如何标记被标识为TOR用户的人员。
使用VPN可使您通过位于国外的远程服务器连接到Internet,因此无法跟踪。
6.暗网的味道 我几乎是暗网的n00b。我打开了HiddenWiki,并试图选择我能找到的最有趣的网站。由于该帖子已经与年龄相关,因此我不会链接到实际的网站,仅尝试分享我自己的经验。
我可以将自己的经历归类为善与恶之间的混合。它的好处之一是在围绕言论自由,思想交流和将人们归为共同事业的人们聚集的网站上冲浪。这是一个名为Alpha-7-Bravo(http://opnju4nyz7wbypme.onion)的网站的报价示例:
“ 这是列克星敦格林。利用这个空间来讨论和协调集会,抗议游行等活动。任何主张暴力或恐怖手段的帖子都将被删除。”
正如之前宣布的那样,以太坊名称服务(ENS)现在支持Tor.onion地址的解析。这只是ENS 支持以太坊生态系统以外的事物的另一种方式。你可以阅读有关如何使用这一新功能在这里,其安全性如何是这里。
任何人都可以设置ENS名称来解析为Tor .onion地址(此处说明了操作方法)。但是,为了演示此功能并吸引人们使用它,我们设置了一些ENS名称以解析为有用的.onion网站。
名单 注意:要使用这些名称,您必须将Tor浏览器与浏览器插件MetaMask一起使用。另外请确保在地址末尾包含“ /”,否则MetaMask将无法识别它。
为了易于记忆,它们只是服务名称+ tor.eth。
DuckDuckGo:duckduckgotor.eth / 脸书:facebooktor.eth / 质子邮递:protonmailtor.eth / Tor项目:torprojecttor.eth / CIA.gov:ciagovtor.eth / ProPublica:propublicator.eth / 纽约时报:nytimestor.eth / 密钥库:keybasetor.eth / 隐藏的答案:hiddenanswerstor.eth / Whonix:whonixtor.eth / 如何使用这些 打开您的Tor浏览器。确保已安装浏览器附加程序MetaMask。然后只需在网址栏中输入或粘贴其中一个名称,包括最后的“ /”即可。按下Enter键,然后等待ENS,MetaMask和Tor浏览器发挥其魔力,然后…voilà,您应该在各自的Tor .onion网站上!
为什么这很重要 该Tor网络是隐藏用户IP地址的互联网的一部分。您可以使用由Tor项目管理的Tor浏览器访问它。您还可以设置只能通过Tor网络访问的网站(称为“ 洋葱服务”)。
这些仅Tor的网址以“ .onion ” 结尾,否则其余地址是随机生成的。例如,要访问以隐私为中心的搜索引擎Duck Duck Go的洋葱版本,请在您的Tor浏览器中(在常规浏览器中将无法使用)访问https://3g2upl4pq6kufc4m.onion/。
鉴于对安全性的高度要求,试图获取易于理解的洋葱地址已成为一个长期存在的问题。由于ENS是作为以太坊区块链上的一组智能合约运行的去中心化命名服务,因此我们认为ENS是解决此问题的有用工具。
常问问题 我可以相信这些名字吗? Tor用户如何知道这些名称将真正解析为他们所说的位置?您可以在此处阅读有关此设置的一般安全性。但是,您需要了解以下三件事:
首先,记录是公开的。您可以转到我们的经理,搜索名称以显示其记录,然后亲自确认该名称实际上已设置为可解析为正确的.onion地址。
其次,我们已经建立了记录,然后放弃了对名称的控制(将控制权转移到一个地址,没有任何一个控制权,如“ 0x000000000000000000000000000000000000000000dEaD”),这使得几乎任何人都无法更改记录。您还可以通过检查名称的记录并查看注册人和控制人都设置为“ 0x000…0dEaD”来验证这一事实。
第三,所有这些名称已经注册了五年。在ENS中,即使已放弃对名称的控制,名称注册仍必须保持最新(否则名称将被释放)。要注册.ETH名称,某人每年必须支付$ 5。
设置了ENS,因此任何人都可以付费更新任何名称,即使他们不控制名称(在这些名称的情况下,也没有人控制)。注册费也可以根据您的意愿预先支付(例如,您可以付25美元来续签一个5年的名字,就像我们所做的那样)。
如果您支持该项目,并且希望将这些名称保持有效期超过五年,请随时缴纳其注册费!您可以通过以下方式来实现:在带有MetaMask的浏览器中的Manager中查找它们,并向ETH付费以延长其续订时间。
该命名系统如何工作? 您可以在这篇文章中了解我们如何实现这一目标(以及它为何有用)。
如何设置自己的ENS名称以解析为.onion地址? 您可以在此处阅读如何操作。
为什么不使用[人类可读的名称] .onion来命名.onion网站而不是.eth? 我们当然可以!由于Tor项目管理着TLD .onion,我们只需要与他们一起将.onion集成为ENS上的TLD。如果您来自Tor项目(或从中认识的人)并且有兴趣与我们聊天,请给我们发电子邮件[email protected]。
如何联系ENS小组? 您可以通过[email protected]给我们发送电子邮件,或者在Gitter频道或论坛 ping我们。
如果您还没有听说过,Cloudflare 将于4月1日推出一项隐私优先的DNS解析器服务。这不是开玩笑!该服务是我们的第一个以消费者为中心的服务,除了支持基于UDP:53和TCP:53的传统协议外,还支持新兴的DNS标准,例如基于HTTPS:443和TLS:853的DNS,所有这些都位于一个易于记忆的地址中:1.1 .1.1。
正如原始博客文章中提到的那样,我们的政策是永远不要在24小时内将客户端IP地址写入磁盘并擦除所有日志。不过,非常注重隐私的人们可能根本不希望向解析器透露其IP地址,我们对此表示尊重。这就是为什么我们要在dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion上为解析器启动Tor洋葱服务的原因,并且可以通过tor.cloudflare-dns.com进行访问。
注意:隐藏的解析器仍是一项实验性服务,除非经过更多测试,否则不得用于生产或其他关键用途。
Tor速成班 什么是Tor? 想象一下一个替代的Internet,为了连接到www.cloudflare.com,而不是将查找我们服务器的路径的任务委派给您的Internet提供商,您必须执行以下步骤才能到达Cloudflare:
您可以计算出到达目的地的路径,如下所示: You -> Your ISP -> X -> Y -> Z -> www.cloudflare.com.您使用Z的公钥,然后使用Y的公钥,最后使用X的公钥对数据包进行加密。您将结果提交给X,后者用其私钥解密;X将结果提交给Y,Y用其私钥解密;Y将结果提交给Z,Z用其私钥解密以获取原始数据包;Z将数据包提交到www.cloudflare.com。 如果每个人都能正确发挥作用,则可以确保只有入口中继X知道您的IP地址,只有出口中继Z知道您与您建立联系的网站,从而为您提供隐私和匿名性。这是Tor的简化版本:世界范围内由志愿者运行的计算机和服务器的集合,充当建立在Internet顶部的巨大网络的中继,在该网络中,从一个中继到下一中继的每一跳都剥离了一层加密,因此名称:洋葱路由器。
什么是Tor洋葱服务? 使互联网用户保持匿名不是Tor网络的唯一功能。特别是,以上过程的一个警告是出口中继站以及位于中继站和目的地之间的任何人(包括网络提供者)仍然可以访问该连接。为了解决此问题,并为内容发布者提供匿名,Tor允许使用洋葱服务。洋葱服务是Tor节点,它们发布其公共密钥,并使用.onion TLD编码为地址,并完全在Tor网络内建立连接:
使用Tor时如何解析域? 返回给定域名的IP地址的过程称为DNS解析。由于Tor仍然使用IP地址,因此您仍然需要进行DNS解析以通过Tor浏览Web。使用Tor时,有两种常见的解析域名的方法:
直接解析名称,然后通过Tor与IP地址对话;要求Tor出口继电器公开解析名称并连接到IP。 显然,第一种选择会将您的IP泄漏到DNS解析器,除非您的客户端使用HTTP-over-HTTPS或DNS-over-TLS,否则它将目标名称泄漏到ISP。不太明显的是,第二种选择可以使您容易受到诸如DNS中毒或错误中继引起的sslstrip之类的操纵攻击。这是我们的新服务的来源:
询问基于.onion的解析器服务! Cloudflare隐藏解析器如何工作? 简而言之,我们的基于.onion的解析器服务是Toronion服务,它将DNS端口上的所有通信转发到1.1.1.1上的相应端口,因此,明显的客户端IP是内部IP,而不是您的IP。但是,除了眼神之外,还有更多。
隐藏的解析器安全吗? 使用1.1.1.1和此服务之间的明显区别是.onion地址为“ dns4tor”加上49个看似随机的字母数字字符。实际上,此56个字符的字符串包含完整的Ed25519公共密钥,该公共密钥用于保护与洋葱服务的通信。这对可用安全性提出了许多挑战:
用户如何确保地址正确? 我们只是购买了一个证书,其主题名称为tor.cloudflare-dns.com,而备用名称为.onion地址。这样,如果您在正确的位置,则应该看到以下内容:
用户如何记住该地址? 我们认为您不需要记住该地址。理想情况下,您所需要做的就是访问https://tor.cloudflare-dns.com,并使浏览器将您的请求路由到.onion地址。使用“ Alt-Svc ” HTTP标头可以做到这一点,该标头是一个可选标头,通知浏览器可以从其他网络位置访问资源,可能使用其他协议。感谢Mozilla,现在可以在Firefox Nightly中使用.onion地址作为替代服务。
将此功能像机会加密一样考虑:一旦您的浏览器收到一个Alt-Svc标头,表明.onion地址可用于tor.cloudflare-dns.com,如果它知道可以访问.onion地址(例如,通过SOCKS)代理),它会尝试检查替代服务是否具有相同或更高的安全级别。这包括确保可以使用相同的证书和服务器名称连接到洋葱服务。在这种情况下,浏览器将改为使用替代服务,因此确保您将来的请求不会离开Tor网络。
隐藏的解析器快吗? 这是一个思想实验:假设地球上的每两个点之间都有一条光纤电缆,该电缆能够以光速无损传输数据包。
用背的最信封的计算很容易看到,平均而言,每个数据包经过的距离相当于一个季度的地球绕圆周为33ms,而每一个Tor的包大约需要200毫秒去一年在到达洋葱服务点之前,有一半转过地球。往返三回合可确保双方的匿名性。
但是,Cloudflare不需要为其服务器匿名,这就是为什么我们可以通过为洋葱服务启用可选 设置(将优先级较低的延迟优先于服务的位置匿名性)而将中继数量减少到三个的原因。要强调的是,这不会影响客户的隐私或匿名性。的确,您可能已经注意到,在第一个洋葱服务映像中,起点距集合点三跳,而我们的洋葱服务仅一跳。
我们正在积极研究开发方法,以使该服务更快,并确保其停机时间尽可能短。
为什么要使用Cloudflare隐藏式解析器? 首先,最重要的是,例如通过连接到Google的8.8.8.8解析器,通过Tor网络解决DNS查询,保证了比直接发出请求高得多的匿名性。这样做不仅会阻止解析器看到您的IP地址,甚至您的ISP也不会知道您已尝试解析域名。
尽管如此,除非目的地是洋葱服务,否则被动攻击者可以捕获离开Tor网络的数据包,而恶意出口节点则可以通过sslstripping毒害DNS查询或降级加密。即使将浏览限制为仅HTTPS站点,被动攻击者也可以找出您连接到的地址。更糟糕的是,能够比较流量进入Tor网络之前和离开Tor之后流量的参与者可能会使用元数据(大小,时间等)来使客户端匿名。因此,唯一的解决方案是通过使用洋葱服务来消除对出口节点的需求。这就是我们基于.onion的解析器所提供的。
此外,如果您的客户端不支持加密的DNS查询,则使用基于.onion的解析器可以保护连接免受路径上的攻击,包括BGP劫持攻击。这意味着与基于HTTPS的DNS和基于TLS的DNS相比,基于UDP的DNS和基于TCP的DNS具有相同的安全级别。
但是,您的个人匿名不是您应使用此服务的唯一原因。Tor在确保每个人的匿名性方面的力量取决于使用它的人数。例如,如果仅举报者使用Tor网络,那么连接到Tor网络的任何人都会自动被怀疑是举报者。因此,越来越多的人使用Tor来浏览模因或在Internet上观看猫视频,对于那些真正需要匿名的人来说,将更容易融入流量。
对于许多用户而言,使用Tor的一个障碍是速度太慢,因此我可以同情那些不会牺牲快速网站加载时间来帮助维权人士和持不同政见者保持匿名的人。也就是说,DNS请求的大小很小,并且由于大多数浏览器和操作系统都会缓存DNS结果,因此总流量并不大。结果,使用基于.onion的解析器只会稍微降低您的初始DNS请求的速度,而不会降低其他任何功能,同时仍然有助于Tor网络及其用户的整体匿名性。
为什么我应该相信Cloudflare隐藏式解析器? 使用基于.onion的解析器可确保您的ISP永远不会发现您正在解析域,出口节点不会有机会操纵DNS回复,并且解析器也永远不会找到您的IP地址。但是,使用基于Cloudflare .onion的解析器的独特好处是将Tor的功能与1.1.1.1解析器的所有隐私保护功能(例如查询名称最小化)以及一支致力于改进它的工程师团队相结合在每个级别,包括DNS-over-HTTPS和DNS-over-TLS之类的标准。
正如首席执行官马修·普林斯(Matthew Prince)大约两年前所说,在线匿名是Cloudflare重视的原因。此外,当我们发布1.1.1.1解析器时,我们承诺会采取所有技术步骤,以确保我们不知道您在Internet上做什么。提供一种通过Tor网络使用解析器并使其尽可能快的方法是朝着这个方向迈出的一大步。
如何设置? 基于.onion的解析器仅在Tor网络上支持1.1.1.1支持的每个DNS协议。但是,由于并非每个DNS客户端都能够连接到Tor网络,因此需要进行一些破解才能使其正常工作。在这里,我们将说明如何设置基于.onion的解析器提供的基于HTTP的DNS,但是对于所有其他方案,请访问我们的开发人员页面,以获取有关如何使用基于.onion的解析器的详细信息。
还记得云雾cloud绕吗? 这是设置cloudflared启动通过Tor网络路由的通过HTTPS使用DNS的DNS客户端的方法:
首先,请cloudflared按照有关通过HTTPS客户端运行DNS的常规指南从下载开始。启动一个Tor SOCKS代理,并用于socat将端口TCP:443转发到本地主机: socat TCP4-LISTEN:443,reuseaddr,fork SOCKS4A:127.
当希望在深入了解暗网所提供的内容时保持匿名时,The Onion Router(Tor)是您最安全的选择。Tor浏览器是一款功能强大的免费工具,可用于匿名浏览Internet,您可以在其中使用洋葱域发现各种网站。 如今,匿名似乎正在逐渐消失,互联网服务提供商(ISP)监视着您的一举一动,大型科技网站将您的信息数据出售给出价最高的人。如果您要创建一个新网站,或者即使您碰巧已经拥有一个网站,则值得一看的是,洋葱网站可以为您和您的访客提供什么网站保护。
什么是.onion域名? .onion域名是一种域名后缀,专用于Tor匿名浏览器。这意味着像Microsoft Edge,Google Chrome和Mozilla Firefox这样的标准浏览器将无法访问使用洋葱域的网站,因为它们无法导航从中创建Tor 的代理服务器的中继。
您可能更熟悉的标准Web域名(例如.com,.org,.biz等)是由互联网名称与数字地址分配机构(ICANN)发行的。用户必须向ICANN提交提案才能注册域或子域,然后才能将其用于新网站。
有成千上万个不同的域,但并非每个想要使用它们的人都可以访问它们。的。苹果域是一个这样的结构域,其需要一个特殊的请求以获得。通常,与注册和维护您选择的域相关的费用。因此,任何想要获得特定域名的人都需要一点先期资金才能在其提交被批准后进行采购。
使用洋葱站点域既有优点也有缺点。更好的功能之一是只能通过Tor浏览器访问它。实际上,这既可以看作是优点,也可以是缺点。 看到Tor不被认为是一种非常流行的浏览器,使用洋葱域的网站很可能不会看到太多的自然流量。但是,精通安全和关心的个人会喜欢Tor提供的众多匿名层,而这些层在更流行的浏览器中不可用。
为什么要创建洋葱站点? 当您选择创建一个洋葱站点时,匿名性比其他任何事情都要多。因此,为您自动生成域名时,不要感到意外。您会收到一个随机字符串,由16个小写字母和2到7之间的数字组成。此字符串将使Tor浏览器能够导航到您的服务器。 了解域名可以更改,但需要付费。您想要创建的任何虚构域(带有一个或多个可识别的词)将在计算上昂贵且需要大量资源。Facebook仅需要8个字符即可创建自己选择的洋葱域– facebookcorewwwi.onion –但要花大量的计算机资源。要获得域名所需的确切16个字符,可以使用一台计算机,将数据随机化超过十亿年。
是的,这些随机字符串可以产生16个字符。不多不少。这通常会导致难以记住字符串,从而使用户更难以记住您的网站。它还可以使恶意用户更容易创建相似但不同的域,从而使您的潜在访问者更加困惑。
但是,不必仅仅为了创建自己的域名而向ICANN注册,就可以视为一种特权。无需在“ whois”搜索中隐藏您的详细信息,并且您的ICANN帐户将不会受到恶意收购的攻击。作为洋葱用户,您可以完全控制自己的隐私和域。
在继续创建自己的洋葱网站之前,请确保您知道如何安全地访问暗网。在创建自己的洋葱站点之前,还必须运行隐私工具。了解前提条件后,您可以继续下一节。
用Tor创建Web服务器 您需要先配置现有的Web服务器,然后才能允许Tor的洋葱服务为现有的Web服务器提供一个洋葱域。如果您的服务器泄漏个人数据或信息,那么Tor提供的强大匿名功能并没有多大用处。 Tor建议将您的服务器绑定到本地主机。这对于保护您的真实IP地址非常有用,因为当您稍后设置洋葱服务时,您将能够创建供访客连接的虚拟端口。
您还希望将可能导致您回头的所有识别信息清除到服务器中。这意味着从可能发送给访问者的任何错误消息中删除对服务器信息的任何引用。
配置服务器的洋葱服务 只要您遵循Tor项目网站上的说明,此过程就非常简单。该站点将提供有关如何修改“ torrc”文件以创建洋葱服务器的更多详细信息。确保Tor在计算机上启动并正在运行,并确保在本地安装Web服务器,如上一节所述。
设置完成后,打开Tor浏览器以为您的网站生成一个公共密钥或域。不过,您可以将这个密钥分发给您想要访问网站以开始发展流量的任何人。
确保您共享的密钥是公共密钥,而不是私有密钥。确保私钥仅供您使用,以确保您的网站和访问者的安全。
如果您对Tor浏览器感到好奇,那么您已经知道在线隐私和匿名性有多重要。是的,Tor浏览器是一个很棒的工具,可以帮助您保持安全。但是,关于它的优缺点,尤其是关于它与VPN的关系,存在很多困惑。
本指南将回答这些问题以及更多内容。我们将解释这个功能强大的工具的工作原理,以及在确定是否适合您时应考虑的因素。
什么是Tor浏览器? Tor浏览器在许多方面类似于普通的Web浏览器。使用起来并不比Google Chrome或Microsoft Edge难。区别在于Tor浏览器通过Tor网络将您连接到Internet。
Tor是免费的开放源代码软件,可帮助您保持匿名在线状态。当您使用Tor浏览器浏览Internet时,为了保护您的位置和身份,在到达最终目的地之前,您的流量会随机通过服务器网络定向。
名称“ Tor”是洋葱路由器的简称。这是指Tor通过将数据包装在洋葱等多层加密中来保护数据的方式。
Tor浏览器是VPN吗? Tor浏览器和VPN都是在线保护您的隐私的工具。但是,它们不是同一回事。它们是两种非常不同的技术,以不同的方式保护您。
使用VPN时,所有数据都通过端到端加密进行保护。然后,通过安全通道将其定向到远程服务器,该服务器将您连接到您尝试访问的网站。
Tor浏览器以另一种方式保护您的隐私,下面将对此进行说明。
重要的是Tor浏览器不是VPN,但是您可以将这两个工具结合使用以最大程度地提高安全性和隐私性。
Tor浏览器如何工作? 尽管浏览器背后有复杂的系统,但实际上它非常易于使用。您只需下载并安装Tor浏览器,然后像使用任何其他浏览器一样连接到Internet。
Tor使用由美国海军开发的独特系统来保护政府情报通信。
您的数据在进入Tor网络之前被捆绑成加密的数据包层。然后将其路由到一系列称为节点或中继的志愿者操作的服务器上。
每次数据通过这些中继器之一时,都会删除一层加密以显示下一个中继器的位置。当您到达路径上的最终中继站(称为出口节点)时,将删除最后一层加密,并将您的数据发送到其最终目的地。
每个中继仅解密足够的数据以知道上一个和下一个中继的位置。由于每个路径都是随机生成的,并且没有一个中继保留记录,因此几乎不可能通过Tor的复杂网络将您的活动回溯到您。
Tor浏览器的安全性如何? Tor浏览器在隐藏您的位置并防止跟踪您的流量方面非常有效。您的在线活动几乎不可能通过Tor的网络追溯到您。
但是,Tor浏览器并不完全安全。该系统有一些缺点。由于Tor网络中的每个服务器都是志愿者操作的,因此您永远都不知道谁在中继您的数据。
通常,这不是问题,因为每个中继只能访问上一个和下一个中继的位置(出口节点除外)。
出口节点将删除数据的最后一层加密。它无法访问您的原始位置或IP地址,但是如果您访问不安全的HTTP网站,则退出节点可能会监视您的活动。
Tor浏览器也容易受到与其他浏览器相同的攻击。如果您想保持匿名,最好关闭浏览器的插件和脚本,因为可以利用这些插件和脚本来泄露IP地址等信息。
Tor浏览器的缺点是什么? 使用Tor浏览器的最大缺点是速度。由于您的数据在到达最终目的地之前必须经过多个中继,因此浏览速度可能非常慢。
Tor浏览器不是流和下载的最佳选择,它的创建者也 强烈反对使用torrent。洪流不仅令人痛苦地缓慢,而且洪流流量将不受保护,并可能暴露您的IP地址。
如果您正在寻找一种流媒体或洪流的方法,VPN是更好的保护。
使用Tor浏览器的另一个缺点是它会引起您的注意。您的ISP看不到您在做什么,但可以看到您已连接到Tor。这本身足以引起人们对您正在做的事情的怀疑。
即使您仅使用Tor浏览器合法地浏览Internet,但实际上您连接到Tor都可能使您成为政府监视的目标。美国国家安全局(NSA)和联邦调查局(FBI)等美国政府机构投入大量资金,试图找到跟踪Tor用户活动的方式。
在VPN中使用Tor浏览器 Tor浏览器是一种有效的工具,但没有提供与VPN相同级别的安全性。幸运的是,您不必在两者之间进行选择。您可以将Tor浏览器和VPN结合使用,以组合其功能并最大程度地保护您的隐私。
有两种主要的方式来Tor的浏览器和VPN结合起来。我们将向您介绍这两种方法,并说明每种方法的利弊。
通过VPN Tor 使用这种方法,您可以先连接到VPN,然后再访问Tor网络。该方法有很多优点,首先是非常简单的事实。您 只需连接到VPN,然后打开Tor浏览器。
在大多数情况下,此配置可提供足够的安全性和隐私权来保护您。
某些VPN通过提供内置的Tor服务使其变得更加容易。
相反,NordVPN可以通过其安全的VPN服务器之一路由您的流量,然后直接将其路由到Tor网络。NordVPN服务可以保护您设备上的所有流量,而不仅仅是浏览器活动。
Tor over VPN的另一个好处是,您的所有数据在进入Tor网络之前都已由VPN安全地加密。这意味着Tor的志愿者服务器无法访问您的真实IP地址。
由于VPN会对您的ISP隐藏您的活动,因此在访问Tor之前连接到VPN也可以防止您的ISP检测到您对Tor的使用。
Tor over VPN还为您提供了VPN提供商的隐私保护措施,因为他们无法看到您在Tor网络中正在做什么。另一方面,如果您的VPN提供商保留了您的活动日志,那么Tor over VPN不会隐藏您的真实IP地址或您正在使用Tor的事实。
这种方法的另一个缺点是,它无法保护您免受恶意出口节点的侵害,因为在到达最终目的地之前,您的流量是未加密的。
通过Tor的VPN 使用这种方法,您可以先连接到Tor网络,然后再通过VPN。这种方法比Tor over VPN 更复杂,因为在大多数情况下,您必须手动配置VPN才能以这种方式与Tor一起使用。
与Tor相比,VPN的最大好处是可以保护您 免受Tor出口节点的攻击。您的流量不是直接从出口节点流到最终目的地,而是从出口节点路由到安全VPN服务器。
这就是为什么此配置非常适合传达敏感信息的原因。 缺点是,尽管您的活动将被隐藏,但您的ISP(以及政府机构)也将能够看到您正在使用Tor。
这种方法还可以使您的真实IP地址对VPN提供商隐藏。但是,对于透明的无日志记录VPN,您不必这样做。
洋葱TLS / SSL证书更新 EV证书可验证网站:它们在网络用户需要知道与谁进行通信的任何情况下都很有用,但是对于onion网站使用名称作为公钥的base32表示形式(例如swursuzpievjanml.onion-结果,EV证书是唯一用于洋葱的证书。甚至虚荣的前缀仍然可以由任何人谁希望该前缀,使用一组不同的尾部字符的产生。因此,将网站与公司,慈善机构,个人独资经营者或其他法律实体联系起来的做法很有用。
我们最近对包含.onion名称的证书的处理方式进行了一些更改,值得在此处进行讨论:
整个CertSimple中允许通配符用于洋葱证书 与常规EV证书不同,常规的EV证书必须由人来审核每个域,因此不允许使用通配符,而洋葱EV证书则允许使用通配符。以前,客户必须通过电子邮件向我们发送有关洋葱通配符的信息,然后我们将其手动添加到证书中,我们的订购和证书管理平台现已更新,可以在任何.onion站点上接受通配符。
无需为当前洋葱指定完整的公钥 老一代的洋葱站点使用SHA1作为哈希方案。SHA1现在被普遍认为已损坏,因此缓解措施的一部分是在证书本身内部包含完整的pubkey副本,以防止它通过SHA1冲突而被用于另一个站点。使用较早版本站点的客户必须分别向我们发送完整的公钥电子邮件给我们,而不是申请证书。
像Ablative这样的新一代洋葱站点不使用SHA1,因此不需要额外的字段。虽然我们建议使用当前的洋葱名称,但如果需要,我们仍然支持以前的洋葱。
证书(包括洋葱站点)没有2年选项 当为新的EV证书检测到任何洋葱域时,UI会将证书的生存期限制为一年,因为.onion证书的最大生存期为一年。
目前为止就这样了 我们还将很快推出更多洋葱更换方法。我们始终对社区的反馈或改进我们验证过程的新方法感兴趣,因此请告知我们您的想法。
我们最近提出了大量有关如何为.onion地址获取SSL证书的问题。该博客文章应提供有关.onion证书查询的基本答案。
背景 截至9月,.onion被IESG 确认为特殊用途域,这意味着它们可以使用SSL证书进行保护。(以前.onion被视为内部名称。)公众信任的证书向Tor用户验证组织,并且是对抗网络钓鱼和MITM攻击的重要组成部分。CA / B论坛概述了审核.onion名称的准则,您可以在此处阅读。
.Onion网站可用的证书 Tor项目致力于帮助用户匿名浏览Web。但是,获得SSL证书向用户 标识自己(或组织)与匿名无关。这使得为.onion站点订购SSL证书变得很复杂,这就是DigiCert遵守CA.B 论坛.onion证书指南的原因。订购.onion证书时,请确保记住以下几点:
EV证书: DigiCert仅提供.onion地址的扩展验证证书。通配符名称:这些.onion EV证书有一个独特的用例,允许使用通配符名称(例如* .yourdomain.onion)。有效期:根据CA / B论坛指南,.onion证书的有效期不超过15个月。(DigiCert系统将根据应用程序将有效期自动调整为15个月,以确保.onion通用名称。) 如何为。洋葱地址订购证书 要为您的.onion网站购买证书,只需订购EV SSL或EV多域SSL证书并填写 订购表。