Tor网络的核心目标是保护用户隐私,让任何人——包括记者、活动人士或举报者——都能在不被追踪的情况下上网。网络设计确保没有单一节点或运营商能知道谁在和谁通信。然而,现实中运行Tor中继节点(relay)面临巨大风险:服务器可能被执法部门扣押、突袭,甚至物理访问。历史上,奥地利、德国、美国、俄罗斯等地都发生过类似事件。一旦服务器被没收,里面存储的密钥、日志或其他数据就可能成为证据,破坏整个网络的信任基础。
为了解决这个问题,有人提出让中继节点变得“无状态”(stateless)。简单说,就是让服务器不保存任何持久化数据,每次启动都从一个已知的、固定的镜像开始运行,就像Tails操作系统那样,一切都在内存(RAM)中完成,重启后所有临时状态自动消失。
本文基于Tor项目官方博客的最新文章,探讨了无状态、无盘操作系统如何从固件到用户空间提升中继服务器的安全性,重点关注软件完整性和抵御物理攻击的能力。这项工作源于意大利Osservatorio Nessuno运行出口中继服务器的经验。中继服务器的管理因具体情况、技术能力、预算和管辖范围而异。我们希望引发讨论,而非提出单一模型。
什么是无状态中继,为什么它更安全? 传统中继节点会把身份密钥(identity key)、带宽历史等信息存放在磁盘上。这些数据让节点能在网络中积累“信誉”(如获得Guard或Exit标志,提高流量分配)。但磁盘数据正是物理攻击的最大弱点:被扣押后,攻击者可以直接复制文件,提取密钥。
无状态系统则彻底反其道而行之:
物理攻击抵抗力:机器被没收或镜像克隆时,内存中的数据会因断电而消失,什么都留不下。密钥如果只存在于特定硬件中,提取难度大幅增加。 声明式配置:整个系统通过版本控制的镜像构建,每次启动都强制应用相同配置,不会“漂移”。 不可变运行时:文件系统设为只读,即使攻击者获得代码执行权限,也无法在重启后持久化恶意代码。 可重现性:系统状态固定,便于验证、审计和复现,减少人为配置错误。 这种思路并非全新。早在2015年,就有Tor-ramdisk项目——一个基于uClibc的微型Linux发行版,专门设计成完全在内存中运行Tor中继。
Tor中继为什么难以实现无状态? 难点主要在于“信誉”和“状态”:
长期身份密钥:Tor中继的ed25519身份密钥决定了节点在网络中的身份。丢失它,就得从零开始积累带宽权重。密钥必须能“活过”多次重启,却又不能轻易被提取。 状态文件:Tor会维护带宽使用历史等临时数据。每次丢弃这些数据会影响性能。 内存限制:完全无磁盘意味着不能使用交换分区(swap)。如果内存不足,Linux内核的OOM Killer会直接杀死进程。实际测试显示,Tor在繁忙的Guard中继上可能占用约5.7GB内存,主要因为目录缓存对象的高频创建与销毁导致内存碎片。通过把glibc内存分配器换成jemalloc或mimalloc,能把占用降到1.2GB以下,大幅改善稳定性。 TPM:硬件级密钥保护的核心工具 解决密钥持久化问题的关键硬件是TPM(Trusted Platform Module,可信平台模块)。这是主板上的一颗独立加密芯片,能存储密钥并执行运算,却从不把私钥暴露给操作系统。
TPM有两个强大功能:
密封(Sealing):把密钥绑定到机器当前的软件测量状态(PCR值)。只有当启动时的固件、引导程序、内核等完全一致时,才能解封使用密钥。即使物理访问硬件,也无法直接导出密钥(不过当前TPM对ed25519支持有限,密钥仍可能以加密字节串形式存于非易失性存储,存在一定导出风险)。 远程证明(Remote Attestation):TPM能向外部验证者证明“当前运行的软件栈正是预期的那个”,签名由硬件根信任背书。这大大降低了运营商自身的可信度要求。 使用TPM时,需要提前决定信任哪些软件状态。更新内核或引导程序后,测量值变化,必须重新密封密钥。这也是目前最大的运维挑战之一。
现有几种实现方案 不同运营商根据安全需求和复杂度,选择不同路径:
最简版ramdisk:直接用Tor-ramdisk之类的工具,所有东西跑在内存。密钥通过SCP手动导入导出,重启前不处理就得重头开始。没有TPM、没有验证启动,但至少保证断电后数据全无,仍比传统磁盘方案强很多。 虚拟机版ramdisk:如Emerald Onion项目,在Proxmox虚拟化平台上为每个中继运行一个仅66MB的Alpine Linux镜像,全部加载到内存,无持久存储。利用Tor的OfflineMasterKey功能:长期主密钥在离线环境下生成,从不接触在线中继。更新就是重建镜像,回滚极其简单,不需要特殊硬件。 裸金属+TPM方案(如Patela工具):使用stboot引导程序——它会从网络拉取并密码验证签名的OS镜像,再移交控制权。运行后,节点通过mTLS从配置服务器拉取配置(服务器即使被攻破也只能拒绝服务,无法推送凭证或偷密钥)。身份密钥密封在TPM非易失性内存中,绑定启动测量状态,能存活重启但无法提取。缺点是必须用裸金属硬件,更新后需重新密封。 尚未解决的技术难题 更新后的重新密封:软件栈变化导致PCR值改变,如何自动化预测并密封新状态?systemd-pcrlock等工具正在改进,但还没做到开箱即用。 无状态与自动升级的矛盾:用unattended-upgrades更新Tor二进制后,重启会回滚到镜像中的旧版本,造成意外降级。如何协调安全补丁和不可变镜像,仍需探索。 内存约束:没有swap,内存使用难以精确预测。分配器优化有帮助,但根本限制依然存在。 网络稳定性:频繁重启可能导致丢失“Stable”标志,影响流量分配。 未来的技术方向 研究者们正在推动更多创新:
远程证明的广泛应用:让目录权威或配置服务器能远程验证节点运行的软件栈,减少对运营商的信任。 透明日志(Transparency Logs):把可重现构建的哈希和TPM测量值公开记录到追加式日志中,社区可以独立监控整个中继舰队。 机密计算:在虚拟机方案中引入AMD SEV-SNP等技术,让虚拟机内存对宿主机管理程序都不可见,进一步缩小虚拟化与裸金属的安全差距。 协议层优化:如Walking Onions提案,能让节点不再需要持有完整的网络视图,从而降低内存需求。未来可能结合Arti(Tor的Rust重写实现)进一步缩小系统体积。 总之,“暗网下/AWX”认为,无状态中继不是一个单一方案,而是一系列权衡:从最简单的内存运行,到结合TPM和远程证明的硬件绑定方案。它在提升物理安全、强制不可变性和可审计性的同时,也带来了运维复杂度和性能挑战。Tor社区希望通过持续讨论和实验,让更多运营商能根据自身环境,选择适合的路径,最终让整个网络对扣押和物理攻击更具韧性。
Tor项目在文章中表示,这项工作始于2025年的Tor社区大会,目前仍在进行中。如果用户正在运行中继服务器、参与Tor工具的开发,或者思考过任何这些未解决的问题,Tor项目都非常希望听到大家的意见。
近日,根据Tor项目官方博客的消息,台湾师范大学计算机科学与资讯工程系学生苏恩立(Su En-Li,网名NZ)通过正规行政途径,成功说服校方在管理严密的台湾学术网络(TANet)内设立了首个校园Tor中继节点。这一举动不仅在技术上为全球匿名网络贡献了带宽,更在学术界发起了一场关于“匿名权不等于犯罪工具”的思想启蒙,证明了学生力量在推动互联网自由与隐私保护方面的巨大潜力。
苏恩立本人对信息安全和网络治理有着浓厚的兴趣,除了技术实践之外,他还致力于知识分享,在台湾师范大学GDGoC学生社团担任匿名网络课程讲师。他长期活跃于台湾的开源和信息安全社区,并多次在SITCON、HITCON和COSCUP等大型技术会议上担任志愿者,展现了丰富的社区服务经验和对技术的热情。
What does it take to run a Tor relay at a university?
This real-world story from National Taiwan Normal University shows how a student made it happen. Read the full experience + lessons learned: https://t.co/Ln7uMSaK1K
— The Tor Project (@torproject) March 23, 2026 一场关于规则与信任的博弈 在许多地方,互联网受到严密监控和集中管理。在这种环境下,匿名通信不仅仅是一种技术选择,它更能保障安全的探索、研究和表达。在台湾,这一点尤为重要,因为地处东亚敏感地带。互联网自由和沟通韧性是应对现实压力的实用技能。
在网络管理极其严苛的台湾学术网络(TANet)环境中,任何涉及“匿名”或“绕过监管”的技术通常都会被视为禁忌。然而,台湾师范大学(NTNU)计算机科学与资讯工程系三年级的一名本科生苏恩立打破了这一僵局,苏恩立成功地在台师大校内建立并运行了首个正式的Tor中继节点(Relay Node)。
这件事的复杂性并不在于技术实现,而是在于如何通过层层行政审批。在许多网管人员眼中,Tor(洋葱路由)往往与“暗网”或“非法交易”挂钩。苏恩立意识到,要让学校接受这个项目,必须先从教育和沟通入手。他并没有选择“黑进”网络私自搭建,而是通过撰写正式邮件,与校内的网络管理员、相关教授以及系主任进行了多次深入沟通。
低风险的中继节点而非出口节点 苏恩立的动机很简单。如果台湾的匿名网络只出现在小众社群、海外虚拟专用服务器(VPS)上,或者被视为灰色地带的工具,它们就不会被认真对待。大学——尤其是像TANet这样的学术网络——旨在支持研究、实验和公共利益。正因如此,这种基础架构才能真正发挥作用。
为了降低校方的顾虑,苏恩立在提议中明确了技术边界:建立的是“中继节点”(MiddleRelay),而非“出口节点”(ExitNode)。他用大学能够理解的方式来解释它:
这是一个Tor中继节点,而不是出口节点。 它不直接向外部用户提供内容。 这是一项关于网络基础设施和匿名通信的实验。 在流程方面,他与网络管理员、教授和系主任交换了电子邮件。他确保所有需要签字确认或被抄送的人都明白这台机器的功能。大学的要求很实际:如果教育部询问,他们需要能够解释清楚。这便成了沟通的切入点。
从技术细节上看,中继节点在Tor网络中仅负责接收加密流量并转发给下一个节点,它既不直接与目标网站通信,也不会在校方IP下产生任何外部访问记录。这意味着,即便有人通过Tor网络进行非法活动,校方的IP也不会出现在任何受害服务器的访问日志中。这种低风险、高贡献的方案,最终赢得了台师大计信系决策层的认可。
在采访中,苏恩立提到,他不仅提供了详尽的技术文档来解释Tor的工作原理,还强调了学术机构在支持全球互联网自由方面的道德义务。他认为,作为计算机专业的学生,有责任维护一个开放且安全的网络环境。
匿名网络不等于犯罪工具 除了技术层面的推动,苏恩立还通过校园里的学生社团组织匿名网络相关的活动,介绍 Tor、匿名通信及其背后的设计原则。即使参与人数并不总是很多,这些活动也帮助人们理解了“匿名网络≠犯罪工具”,而无需依赖刻板印象。他的核心观点非常直接:匿名是保护记者、维权人士以及普通公民隐私的必要工具,不应因少数人的滥用而全盘否定其价值。
通过这些活动,他成功地将Tor从一个神秘的“黑客工具”转化为了一个具有学术研究价值的课题。在他的努力下,台师大计信系不仅提供了一台服务器和稳定的出口带宽,更在行政层面上为未来的网络隐私实验开辟了先河。这标志着台湾学术界在对待网络匿名性问题上,开始从单纯的“封堵”转向更有深度、更具包容性的“研究与支持”。
学生力量的示范效应 在国立台湾师范大学,所有出站连接默认都被阻止。任何服务都需要申请例外,包括提供IP地址、预期用途和相关证明文件,并最终确保符合学校向教育部汇报的流程。苏恩立形容这个申请的过程既繁琐又在意料之中,只要愿意填写文件并清楚地解释事情,这条路是存在的。
苏恩立的行为在台湾甚至亚洲的大学生圈子中产生了连锁反应。他证明了当一名学生掌握了正确的沟通策略与扎实的技术基础时,是可以改变臃肿的行政体系对新兴技术的看法的。他所建立的节点不仅为全球Tor网络增加了节点多样性,也为其他希望在校内推动隐私技术的学生提供了一份可复制的“行政沟通指南”。
在台湾师范大学部署Tor中继的这次尝试并非终点,也并非最终答案。然而,它清楚地证明了一件事:在台湾大学里,只要愿意沟通和解释,匿名网络并非完全没有用武之地。
这一节点的稳定运行,不仅是台师大的荣誉,更是对TANet传统管理模式的一次温和且有力的挑战。它告诉我们,隐私保护并非法外之地的避难所,而是每一个数字公民应得的基本权利。
11月6日,X用户Andrew Morris(@Andrew___Morris)发布推文称,有人正在攻击Tor,而且已经持续了几周。攻击者伪造了Tor出口和目录节点的IP地址,并在TCP/22端口上肆意发送TCP SYN数据包——这引发了托管服务提供商大量的滥用投诉,然后托管服务提供商就会临时屏蔽/禁止实际上并没有做错任何事的Tor基础设施。
Quick PSA: Someone is attacking Tor right now and has been for a few weeks. The attacker is spoofing the IPs of Tor Exit and Directory nodes, and blasting TCP SYN packets indiscriminately on 22/TCP- spurring a large amount of abuse complaints to hosting providers, which are…
— Andrew Morris (@Andrew___Morris) November 6, 2024 目前,Andrew Morris建议所有主机提供商忽略“SSH 扫描”或 “22/TCP 端口扫描”并来自以下任何 IP 的滥用投诉:https://pastebin.com/idKU0agt。Andrew Morris表示这是一种巧妙的攻击,他正在与合作伙伴合作,以三角测量这些流量的真正来源,然后设法断开连接。他在推文后面提供了来自攻击者的奇怪网站:r00t[.]monster,并给出了社区报告的参考:
https://gitlab.torproject.org/tpo/network-health/analysis/-/issues/85
https://archive.torproject.org/websites/lists.torproject.org/pipermail/tor-relays/2024-October/021953.html
11月8日,Tor官方在博客做出回复,称正在保卫Tor网络,号召社区共同努力,减少针对Tor的IP欺骗。
Tor官方称,10月底,Tor目录管理机构、中继运营者,甚至Tor项目系统管理团队都收到了来自其提供商的关于端口扫描的多项滥用投诉。这些投诉被追溯到一次有组织的IP欺骗攻击,攻击者欺骗非出口中继和其他Tor相关IP,以触发滥用报告,目的是破坏Tor项目和Tor网络。