“暗网下/AWX”刚刚报道有传言称Tor浏览器的网桥WebTunnel存在被流量识别问题,WebTunnel又传来新的消息。
根据Tor项目官方博客的文章,在3月12日世界反网络审查日,Tor项目的反审查团队很高兴地正式宣布推出WebTunnel,这是一种新型的Tor桥接器,旨在帮助严格审查地区的用户连接到Tor网络。WebTunnel现已在Tor浏览器的稳定版本中提供使用,它加入了由Tor项目开发和维护的审查规避技术集合。
开发不同类型的桥接技术对于提高Tor抵御审查的能力以及在高度动态和不断变化的审查环境中领先对手至关重要。尤其是在即将迎来2024年全球大选之际,规避审查的技术在捍卫互联网自由方面的作用变得尤为重要。用户可以在Tor社区门户中找到运行WebTunnel网桥的要求和说明。
什么是WebTunnel以及它如何工作? WebTunnel是一种抗审查的可插拔传输方式,其设计灵感来自HTTPT,用于模仿加密网络流量(HTTPS)。它的工作原理是将有效载荷连接包装成类似WebSocket的HTTPS连接,在网络观察者看来就是普通的HTTPS(WebSocket)连接。因此,对于不知道隐藏路径的旁观者来说,它看起来就像与网页服务器的普通HTTP连接,让人以为用户只是在浏览网页。
事实上,WebTunnel与普通Web流量非常相似,它可以与同一网络端点上的网站共存,即相同的域名、IP地址和端口。这种共存允许标准流量反向代理将普通Web流量和WebTunnel转发到各自的应用程序服务器。因此,当有人试图访问共享网络地址上的网站时,他们只会看到该网站地址的内容,而不会注意到秘密桥梁(WebTunnel)的存在。
WebTunnel与obfs4网桥的比较 对于大多数Tor浏览器用户来说,WebTunnel可以用作obfs4的替代品。虽然obfs4和其他完全加密的流量旨在完全不同且无法识别,但WebTunnel模仿已知和典型Web流量的方法使其在存在协议允许列表和默认拒绝网络环境的情况下更加有效。
将网络流量审查机制视为硬币分类机,硬币代表流动的流量。传统上,这样的机器会检查硬币是否符合已知的形状,如果符合则允许其通过,如果不符合则将其丢弃。在完全加密、未知流量的情况下,不符合任何特定形状,它将受到审查。在WebTunnel的硬币类比中,硬币不仅必须不符合任何已知的被阻止协议的形状,而且还需要符合公认的允许形状——否则,它就会被丢弃。Obfs4流量既不匹配任何已知允许的协议,也不匹配文本协议,因此会被拒绝。相反,类似于HTTPS流量(一种允许的协议)的WebTunnel流量将有可能被通过。
如何使用WebTunnel桥接器? 🌉步骤1-获取WebTunnel网桥 目前,WebTunnel网桥仅通过Tor项目网桥网站分发。Tor项目计划加入更多的分发方式,例如Telegram和moat。
使用常规网络浏览器访问网站:https://bridges.torproject.org/options
在“高级选项”中,从下拉菜单中选择“Webtunnel”,然后单击“获取网桥”。输入正确的验证码后复制网桥链接线路。
💻步骤2-下载并安装桌面版Tor浏览器 注意:WebTunnel桥接器不适用于旧版本的Tor浏览器(12.5.x)。
下载并安装最新版本的桌面版Tor浏览器。打开Tor浏览器并转到连接首选项窗口(或单击“配置连接”)。
单击“手动添加桥”并添加步骤1中提供的网桥链接线路。关闭网桥对话框并单击“连接”。
📲或下载并安装Android版Tor浏览器 下载并安装最新版本的Android版Tor浏览器。运行Tor浏览器并选择配置网桥的选项。
选择“提供我知道的网桥”并输入提供的网桥地址。点击“确定”,如果一切正常,它将连接。
Tor项目宣称其目标是确保Tor适合所有人,目前全球有60个WebTunnel网桥,每天有700多名活跃用户在不同平台上使用WebTunnel。目前除了在伊朗的某些地区无法使用外,WebTunnel在多个地区可以使用。但是,中国社区的用户对该技术嗤之以鼻,一些中国网友评论称,这已经是被玩剩下来了,基本属于淘汰了的技术。
根据Tor项目的官方预告,该组织将于2024年1月25日–2024年1月26日举办Tor的邮箱发布活动。Tor项目号召Tor用户与其一起启动Tor的邮箱,这是一个见证中心,展示来自全球Tor用户的故事!🌍
Tor项目表示:发布会上,将可以聆听数字权利倡导者、记者和其他网络隐私专家就外联、宣传、2024年面临的挑战以及他们对数字权利未来的展望分享见解。了解如何利用Tor项目等资源推进基层工作。他们邀请了来自大赦科技(Amnesty Tech)、The Intercept、Internews和Article 19的发言人。
由于该活动页面没有更多的介绍,且互联网及暗网都没有相关的新闻报道,”暗网下/AWX“目前尚无法判断Tor的邮箱(Tor’s Postbox)代表什么意思,是物理上的邮政信箱,还是电子邮箱服务,还是仅是一次在线交流活动,让我们拭目以待。
大家可以在2024年1月25日访问Tor项目的Youtube直播页面收看:https://www.youtube.com/watch?v=-K8ki7zBArs
目前Tor网络上的邮箱服务比较杂乱,这里列出一些常见的电子邮箱服务:
ProtonMail
http://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion
https://www.protonmail.com
RiseUp
http://3xeiol2bnhrsqhcsaifwtnlqkylrerdspzua7bcjrh26qlrrrctfobid.onion
https://help.riseup.net/en/email
Mail2Tor
http://mail2torjgmxgexntbrmhvgluavhj7ouul5yar6ylbvjkxwqf6ixkwyd.onion
http://mail2tor.com
Cock.li
http://rurcblzhmdk22kttfkel2zduhyu3r6to7knyc7wiorzrx5gw4c3lftad.onion
https://cock.li
Dainwin1210.de
http://danielas3rtn54uwmofdo3x2bsdifr47huasnmbgqzfrec5ubupvtpid.onion
https://danwin1210.de
SecTor.City
http://sector2nyjrxphgrj3cvnueanomz4trvgyxofvu3cexltoxuegtlmzid.onion
https://sector.city
OnionMail.org
http://pflujznptk5lmuf6xwadfqy6nffykdvahfbljh7liljailjbxrgvhfid.onion
https://onionmail.org
OnionMail.info
http://pflujznptk5lmuf6xwadfqy6nffykdvahfbljh7liljailjbxrgvhfid.onion
https://onionmail.info
Volatile.bz
http://u45ylsmarbsqs6brxp3aq2wvksrpajkp23vvvxaejsg63w2fx6oap3ad.onion
https://volatile.bz/registration.xht
Systemli.org
http://7sk2kov2xwx6cbc32phynrifegg6pklmzs7luwcggtzrnlsolxxuyfyd.onion
https://www.systemli.org
Dozaru Onion Mail Server
http://eot3almpracnkz7gz3r5yr3qaymngqsrmvbica2shw5zuc52az2gxoqd.onion
Hobe Onion Mail
http://ovhcd6qhuz22bid42pw7unwfqf7i55rghb5x62q4kxchjnk2gz2ot6id.onion
Torbox
http://torbox36ijlcevujx7mjb4oiusvwgvmue7jfn2cvutwa6kl6to3uyqad.onion
Hidden Mail Onion Server
http://5nm4mdhzyfbif6i5qv3kh4i7j2trlbuvujsencsqn55opaa3d6qhfcqd.onion
SecretMail
http://2nxpboa3ya52j5au4gxwkdt4nxoh5g4y4f3tuqedlza46y35jmv6doid.onion
以上暗网邮箱服务,”暗网下/AWX“不保证全部可靠,请用户们使用后进行反馈。Tor项目本次的官方预告,”暗网下/AWX“将及时关注。
2023年对Tor项目而言是艰难且辛苦的,本文是Tor项目针对2023年的总结文章,总结了Tor项目团队的辛勤工作,回顾了他们在改善Tor的功能以及为全球数百万用户带来的体验方面所取得的许多值得一提的成就。一方面通过重写Tor的代码库提高了Tor网络的性能和安全性,使其更易于维护并嵌入到新的第三方应用程序中,另一方面通过本地化、推广、宣传和培训使Tor技术更广泛地可用。
总结中,Tor项目团队隆重感谢了他们的捐助者、支持者和志愿者的慷慨捐助,同时也感谢他们的用户、志愿者、中继运营商、合作伙伴和捐助者社区,大家的支持使得2023年成为取得诸多成就的一年。Tor项目2023年推出了许多新版本,得益于来自世界各地的志愿者花费无数时间测试新工具并为提供宝贵反馈的直接结果,持续帮助官方改进和部署新功能。
Mullvad浏览器的主要视觉效果 Tor项目与Mullvad VPN合作推出了Mullvad浏览器,这是一款基于Tor浏览器原理构建的注重隐私的Web浏览器。它提供与Tor浏览器类似的隐私功能,例如防指纹和防跟踪保护,但独立于Tor网络运行。Tor浏览器将继续作为匿名上网的强大选择而存在,而Mulvad浏览器则提供替代的隐私浏览器。
Tor项目提供了一个如何以不同方式打造技术的示例。Mullvad浏览器就是一个很好的例子,它证明了以隐私为核心的技术是可以被数百万人使用的。
通过这种合作关系,Tor项目能够对Tor浏览器进行必要的改进,使两款浏览器和更大的隐私技术生态系统都从中受益。Tor项目团队可以更自由地开发实验性功能,满足Mullvad浏览器alpha频道用户的需求,同时又不影响Tor浏览器严格的匿名标准。
Tor浏览器 在2023年发布的Tor浏览器12.5和13版本的新功能中,一些有益的连锁反应已经显现。Tor项目团队解决了许多遗留问题,并对Tor浏览器的自定义组件进行了可访问性审查。尤其值得注意的是,在过渡到Firefox ESR 115后,Tor浏览器的可访问性得到了改善,同时用户界面的视觉效果也发生了变化,这对于使用屏幕阅读器和其他辅助技术的用户来说,无疑将大大提高浏览器的性能。
2023年全年,Tor项目团队旨在打造成熟的用户体验,推动Tor浏览器在质量和用户UI方面更加走向主流,包括更新的网络显示、.onion网站的新图标、连接体验的改进、应用程序图标的更新、主页功能,以及更大的新窗户。最新版本还删除了与Torbutton相关的遗留代码,这使得Tor代码库更加面向未来,并提供更好的集成和更无缝地过渡到新的Arti实施。
Arti Tor项目团队在2023年用Rust重写Tor的多年项目Arti并完成了反审查支持,提供了功能齐全的桥梁和可插拔传输。团队还对洋葱服务方面做了大量工作,为可用的客户端支持和即将到来的服务器端准备铺平了道路,并与应用程序团队合作探索各种API设计,将Arti打造成Tor浏览器之外各种程序和服务的基础。除了简化可维护性和可扩展性之外,Arti还通过网络团队的众多努力解决了安全和性能问题。
网络团队 2023年,网络团队部署了关键的新功能,以改进Tor网络的防御机制、速度和性能。拥塞控制(Congestion Control)和流量聚合(Conflux)这两项设计旨在通过选择不那么拥塞的中继站和创建多条网络路径来优化流量,目前已经取得了可喜的成果,包括下载速度提高了2倍,以及通过更长时间的连接提供了更稳定的用户体验。
该团队还投入了大量工作来减轻对Tor网络的攻击,并增强对洋葱服务的防御,最终在Tor 0.4.8版本中引入了工作量证明(PoW)防御。这种动态PoW机制优先考虑来自真实用户的流量,从而有效的阻止攻击者使用大规模DoS攻击来发动攻击。
这些根据流量需求动态调整的强大解决方案是用户反馈、赞助项目和志愿者贡献的直接结果。Tor项目团队称要感谢中继运营商社区在功能发布期间升级到0.4.8的快速部署,再次证明Tor网络的优势在于其协作精神,可以满足数百万用户不断增长的需求。
社区工作和外联 但是,要建立一个可信赖的网络,不仅需要不断迭代和改进技术解决方案,还需要在志愿者、中继运营商、盟友、捐助者和赞助商社区中保持这种协作精神。在这一年中,社区团队实施了多项综合计划,强调社区建设、教育和积极主动的倡议,以增强Tor项目的全球影响力。
无论是在月度聚会、活动中的一对一会议、专用聊天频道、Tor论坛还是活跃的邮件列表中,Tor的中继运营者社区都会定期进行交流,目的是介绍想法、促进倡议并建立共识。这种团结对于维护分布式网络的力量和防御恶意行为者非常重要。
作为Tor项目团队深入社区活动的一部分,Tor项目在全球范围内为记者、活动家、人权维护者和律师举办了数字安全和Tor培训。许多在线和线下会议吸引了来自全球多数国家的参与者,并在东非和拉丁美洲组织了地区会议,分享最新信息,解决合作伙伴面临的具体挑战,并利用这些见解推出新功能。
2023年最引人注目的活动是Tor培训学院,聚集了20多名网络安全从业人员,参加为期两天的现场训练营。该学院旨在培训从业人员教授Tor,内容涵盖Tor网络和工具生态系统的细微差别。来自网络干扰开放观察站的特邀演讲者讨论了网络篡改测量问题,而本地化实验室则介绍了他们通过将Tor工具本地化为更多语言,使Tor工具更广泛地使用所做的努力。为此,Tor项目团队还创建了斯瓦希里语、中文和阿拉伯语的本地化视频系列,其中包含有关如何使用Tor浏览器、Bridges和OnionShare的简单易懂的教育内容。
然而,由于有组织或者个人蓄意阻止访问,更多用户仍然被禁止访问Tor网络,无法获得Tor网络提供的隐私和匿名优势。
反审查工作 幸运的是,Tor项目的反审查团队在前几年应对大规模审查事件的过程中学到了很多,测试并发现了现有的抗审查基础设施的弱点。2023年,Tor项目团队投入了大量的时间和精力来改进其中一些系统,扩展和改进Tor工具包中的工具,以便在审查事件发生时能更好地做出反应。
Tor项目团队专注于开发和测试新工具:WebTunnel和Conjure。WebTunnel是一种可插拔的传输方式,它能使流量看起来像与网站的常规安全连接,从而使审查人员很难确定该网站是否也是WebTunnel桥接器。Conjure利用友好的ISP提供商地址空间中大量未使用的IPv6地址。由于这个空间非常大,并且连接地址可能不断变化,因此审查者很难在不对部署ISP托管的真实网站造成重大附带损害的情况下阻止所有潜在的”幽灵“代理。
Tor项目团队在2023年面临的一项重大挑战是协助解决土库曼斯坦的审查制度。这确实挑战了Tor现有反审查工具的极限。他们的许多策略并不像其他地区那样有效,因为土库曼斯坦审查机构毫不犹豫地封锁了整个IP区块。虽然我们能够通过meek和obfs4网桥支持一些用户,但Tor所依赖的一些域名前端提供商将在2024年停止提供服务。
Tor项目团队称,这说明了为什么Tor项目需要不断投资,建立先进的反审查对策,开发新的工具,以便在高度动态和不断变化的审查环境中领先于对手。其掌握的工具越多,就越能有的放矢地采取应对措施,让审查者无所遁形,让数百万用户能够访问自由开放的互联网。
Tor项目团队表示,他们的目标是确保Tor适合所有人。地缘政治冲突和气候灾难使数百万人面临风险,互联网对于人们沟通交流、了解世界各地正在发生的事情、组织、捍卫人权和建立团结至关重要。”暗网下/AWX“将持续保持关注与跟进报道Tor项目在2024年的进步发展。
本文是Tor项目针对斯诺登泄密事件发生十年后的思考总结文章,通过对斯诺登泄密事件讲述公民隐私权的重要性,讲述Tor网络保护在线隐私的职责,讲述了Tor项目2024年的展望。在2023年的最后一天,“暗网下/AWX”借此文与大家分享,暗网催生了大量的网络犯罪,也改进了在线的隐私,孰是孰非,自有天论。
十年前,即2013年6月,爱德华·斯诺登(Edward Snowden)冒着失去自由的风险与媒体分享文件,揭露了美国政府大规模监控项目的范围。他的过程需要专业的操作安全和每一步的匿名性有力保证。这也是斯诺登求助于Tor网络和Tails的部分原因,Tails是一种可以通过Tor传输电脑流量的操作系统,以便与可信赖的记者进行交流。
斯诺登的泄密事件显示,美国国家安全局正在通过互联网对美国公众进行广泛的监视。这一消息引发了许多关于监控在社会中的地位以及网络隐私保护是否重要的公开辩论。人们在互联网上是否有隐私权?在这些辩论中,人们的普遍反应是,当他们使用互联网时,他们“没有什么可隐瞒的”,那么为什么他们需要隐私呢?
自斯诺登泄密事件发生以来,人们看到了许多具体的例子,说明各国政府和企业在网络上侵犯隐私的行为如何影响一个社会的社会环境和每个人的生活。作为个人,我们也对科技行业及其滥用的商业模式有了更多的了解,该模式专注于收集有关我们网络行为的信息,就好像它是可供开发的新自然资源一样。
我们已经看到,通过网络监控收集到的大量数据集,政府和企业可以利用对我们的了解来操纵公众舆论。利用这些数据开展的针对性极强的宣传活动,尤其是那些利用假新闻或仇恨言论的宣传活动,已经促使各国做出了影响全球社会的决定。英国脱欧公投活动、美国特朗普的竞选活动以及巴西博尔索纳罗的竞选活动都明确使用了这些策略。
目睹这种数据操纵对现实世界的影响,让我们许多人明白,隐私与有所隐瞒无关。相反,隐私意味着保护你这个人,保护让你成为你的所有个人细节。你关心什么,爱什么,恨什么,好奇什么,欢笑什么,恐惧什么。最重要的是,你可以选择何时分享这些信息,以及与谁分享。关于隐私的争论已经从有什么东西需要隐藏变成了能够行使我们的代理权。
这种观念上的转变导致客户要求科技行业提供更好的隐私保护,并通过立法(如 GDPR 和 CCPA)试图帮助消费者对我们在使用服务或应用程序时产生的数据行使一些权利。
至少在营销活动中,科技行业已经蜕变为将隐私放在首位,以避免遭到客户的拒绝,以及因新立法而面临数百万美元罚款的风险。之所以说“变形”,是因为即使是以隐私为重点的信息传播这层薄薄的面纱,也无法改变建立在收集用户数据基础上的商业模式,也无法限制这些数据的使用方式。科技公司所做的改变只是为了在不损失利润的情况下满足要求,比如谷歌正在逐步淘汰谷歌 Chrome 浏览器中的第三方 Cookie,取而代之的是自己的数据跟踪和广告服务技术,并试图将其作为用户隐私的好处来推销。
Tor项目提供了一个如何以不同方式打造技术的示例。构建供数百万人使用的以隐私为核心的技术是可能的。Tor项目建立技术来推进这一权利,以帮助用户重新获得他们在数字空间中的主导权。Tor项目希望成为在不断变化的世界中开发保护隐私技术的参照点。
变革是可能的。Tor项目看到了它的雏形,他们很自豪地看到,业界其他公司也在采用 Tor 浏览器和 Tor 网络的一部分而开发的创新功能。网络浏览器现在已经开始提供针对第三方 cookie 或指纹识别的保护,而这些功能Tor项目已经提供了十多年,苹果等公司也在试用私人中继(Private Relay)等功能,这是一个模仿 Tor 网络模式的测试版功能。
但是,要抓住这次巨变的机会,不仅要向大科技公司施压,迫使其做出改变,还要取代这些选择。而是要用从设计之初就考虑到隐私的工具来取代这些选择。Mullvad Browser、OnionShare、Tails、Quiet 和 Ricochet Refresh 等工具都是这种新型生态系统的一部分。
2024年,Tor项目将继续开展改善在线隐私的重要工作,而且将持续面临全球范围内的挑战。明年,世界41%的人口将参加全国大选。从滥用数据收集和操纵广告技术到全面关闭网络和网站审查,政治活动和选举越来越多地受到互联网自由的破坏。与此同时,世界各地的立法也威胁着加密的合法性。各国政府还通过新技术和扩大法律权力来加强监控,比如我们在美国就看到了情报委员会提出的法案 H.R.6611,即《2023 年外国情报监视法改革和重新授权法案》。
2024 年,Tor 将在这里迎接这些挑战。Tor项目将通过实时用户支持渠道、本地化、与社区合作伙伴开展培训,以及跟踪全球互联网自由的发展情况,扩大全球对 Tor 的访问。Tor项目将继续为洋葱服务运营商开发管理工具,为希望发布洋葱网站的组织提供支持,从而推动洋葱服务的采用。Tor项目将加强 Tor 网络抵御攻击的能力,多年来一直致力于减少网络上的恶意中继活动。Tor项目将进入用 Rust 重写 Tor 的第三年,Rust 是一种更安全、更现代的语言,能让 Tor 更容易集成到各种应用程序和服务中。Tor项目表示将参与网络人权的斗争。
“暗网下/AWX”祝大家元旦快乐。
最近,有俄罗斯媒体在Telegram称,从数据分析,他们认为自2006年以来由“Tor项目”(The Tor Project)运营的Tor是美国军事情报机构的产品。该消息说,他们是根据“Tor项目”的财务报告来判断的,统计数据略有变化,但本质保持不变。
文章称,非营利组织“Tor项目”2021-2022年资金来源的财务报告近期已发布,并提交给美国税务机关,根据财务报告,当期“Tor项目”的收入为700万美元,其中53.5%来自美国政府或者与美国政府有联系。而在2006-2018年,“Tor项目”共获得了3250万美元,其中80%来自美国政府(美国国务院和美国国防部)。
该俄罗斯媒体认为,众所周知,谁付钱谁就说了算。就Tor而言,付了钱的人能够掌握有关用户活动的数据。
该俄罗斯媒体说,有人可能会说他们是阴谋论,但事实证明,在适当的时候,所有的指令和命令都是明确执行的,而如何安排则是技术问题。
该媒体也引用了一个案例,说道,只需回顾一下,据称在一名网络爱好者的帮助下,美国联邦调查局 (FBI)员工成功利用这一技术对RagnarLocker 勒索软件团伙的暗网泄露站点进行了去匿名化,嫌疑人也被起诉;并对臭名昭著的Wazawaka(又名 m1x、又名 Boriselcin、又名 Uhodiransomwar)提出指控。
该媒体最后表示,就在一年前他们这么解读的时候,大多数订阅者都会说他们偏执并且过度散布了阴谋论。但最近发生的事件清楚地表明,在正确的时刻,所有用户权利和自由立即被打上引号。匿名就是这样的匿名。
“暗网下/AWX”认为,该媒体的文章只能当阴谋论看看,毕竟文章中提及的案件有之前的文章可以解释:安全研究人员Sh1ttyKids 发布了一种新方法的详细信息,该方法可根据 HTTP 响应标头中的实体标记 (ETag) 对Tor服务器进行去匿名化。
但是从Tor的原理看,出口节点是能够掌握暗网中的许多流量数据的,因此只要美国政府能够控制着绝大多数的Tor出口节点,那自然可以创造出针对Tor的棱镜。
另外,一旦Tor网络中存在漏洞,或者各种利用方法(如ETag溯源),研究人员都会第一时间提交给美国当局,使得FBI可以更加容易追踪到网络犯罪分子。
因此,“暗网下/AWX”不认为“Tor项目”与美国军事情报机构有关,读者们以为呢?
近日,Tor项目发布Tor 0.4.8版本,正式推出了针对洋葱服务的工作量防御机制(Proof-of-Work Defense),旨在优先处理经过验证的网络流量,以阻止拒绝服务(DoS)攻击。
Tor的工作量证明(PoW)防御机制是一种动态的反应机制,在正常使用条件下保持休眠状态。但当洋葱服务受到DoS攻击的压力时,该机制会提示传入的客户端连接执行一系列连续的更复杂操作。然后,洋葱服务将根据客户端表现出的工作量水平对这些连接进行优先级排序。
此举旨在将DoS攻击的成本增加到难以维持的水平,同时优先考虑合法流量,抑制攻击流量。引入工作量证明机制将使大规模攻击成本高昂且不切实际,从而抑制攻击者。因此Tor项目鼓励用户将洋葱服务升级到0.4.8版本。
如果攻击者向onion服务发送大量连接请求,PoW防御会启动增加访问.onion网站所需的计算量。增加的计算量对绝大部分设备是可控的,所耗费时间从5毫秒到30毫秒。攻击流量增加,工作量就会增加,最多需要1分钟的工作量。整个过程对用户是不可见的。
为什么需要更新? 洋葱服务通过混淆IP地址来优先考虑用户隐私,这种固有设计使其容易受到DoS攻击,而传统的基于IP的速率限制在这些情况下并不能起到很好的保护作用。为了找到替代解决方案,Tor项目设计了一种涉及客户端难题的工作量证明机制,以在不损害用户隐私的情况下阻止DoS攻击。
它是如何工作的? 工作量证明就像一个票据系统,默认情况下关闭,但通过创建一个优先级队列来适应网络压力。在访问洋葱服务之前,必须解决一个小难题,证明客户端已经完成了一些“工作”。谜题越难,证明用户所做的工作越多,从而证明用户是真实的,而不是试图充斥洋葱服务的僵尸。最终,工作量证明机制阻止了攻击者,同时为真实用户提供了到达目的地的机会。
这对于攻击者和用户意味着什么? 如果攻击者试图向洋葱服务发送大量请求,并淹没洋葱服务,PoW防御就会启动,并增加访问.onion站点所需的计算量。这种票据系统旨在使大量尝试连接洋葱服务的攻击者处于不利地位。维持此类攻击将需要大量的计算工作,而随着计算力的增加,回报也会越来越少。
然而,对于倾向于一次只提交几个请求的日常用户来说,解决难题所增加的计算量对于大多数设备来说是可以承受的,对于速度较快与稍慢的计算机来说,每次解决的初始时间范围从5毫秒到30毫秒不等。如果攻击流量增加,工作量就会增加,最多大约需要1分钟的工作量。虽然这个过程对用户来说是不可见的,并且使得等待工作量证明解决方案与等待慢速网络连接相当,但它具有明显的优势,那就是通过证明自己的非机器属性,即使在Tor网络面临压力的情况下,也能为用户提供访问Tor网络的机会。
在过去的一年里,Tor项目投入了大量的工作来减轻对Tor网络的攻击并增强对洋葱服务的防御。Tor的PoW防御的引入不仅使洋葱服务成为少数具有内置DoS保护的通信协议之一,而且一旦被各大网站采用,还将有望降低定向攻击对网络速度的负面影响。该系统的动态特性有助于在流量突然激增时平衡负载,确保对洋葱服务的访问更加稳定可靠。
上周,Tor项目向众多Tor中继运营商宣布,正式推出”WebTunnel“。WebTunnel是一种适用于Tor生态系统的新型桥接式可插拔传输(PT),它是一个抗审查的代理,试图模仿HTTPS流量,基于HTTPT 21研究。Tor项目目前正在对WebTunnel进行试运行,并鼓励网桥运营商建立WebTunnel网桥,以发现这个新的可插拔传输的实施中的问题。
WebTunnel是如何工作的 连接到WebTunnel Bridge时,客户端通过加密连接向负载均衡器发送http 1.1升级请求,就像WebSocket的工作方式一样。因此,从观察者的角度来看,这个过程看起来就像是与真实网站的真实Websocket连接。如果有人尝试连接到前置网站,那么将呈现的将是该前置网站。如果没有完整的URL路径,就很难通过探测HTTPS端口来判断一个网站是否承载了WebTunnel。
技术要求 要设置WebTunnel桥接,用户需要一个自我托管的网站,一个能自主控制的域名,一个可配置的负载平衡器,静态IPv4,以及设置Tor Bridge的环境来建立一个WebTunnel桥接。建议使用Docker或其他容器运行时来简化设置过程,但这不是必需的。
设置指南可在此处获取:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel#docker-setup
如何测试和报告问题 用户可以通过使用Tor浏览器最新的Alpha 3版本来测试WebTunnel桥接。目前,WebTunnel只通过HTTPS分发(torrc设置:’BridgeDistribution https’)。
用户可以在Tor项目的GitLab上报告问题:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel
鉴于这个新的PT目前仅在Tor浏览器的Alpha版本上可用,中继运营商目前不应期望有大量的使用或大量的用户。
Tor项目称,如果用户在设置WebTunnel时遇到任何困难,请及时反馈给Tor项目。Tor项目感谢大家对Tor生态系统的贡献。
经过几年的发展,Tor项目近期的Git显示,其已经成功地将其“工作量证明”(PoW)功能合并到Tor软件包的主要分支中。这意味着,在发布下一个Tor软件补丁并在节点中广泛实施后,困扰网络多年的拒绝服务(DoS或DDoS)攻击应该会大大减少。
Tor网络在2022年的大部分时间里都受到持续的DDoS攻击的困扰,这不仅导致几个主要的暗网市场以及暗网论坛在数周或数月内无法访问,而且还产生了更广泛的影响,即几乎所有用户都觉得整个Tor网络的速度在变慢。然而,此类攻击对Tor来说并不是什么新鲜事,多年来,如何缓解这些攻击的解决方案一直是开发人员争论的主题。
2020年8月,Tor项目发布了一篇博文,解释了如何使用“工作量证明”的实施来使试图对网络进行DDoS攻击的攻击者付出更高的代价。2022年10月,在此类攻击达到临界水平后,Tor项目发布了工作量证明技术实施的状态更新,并于2023年3月17日正式引入了一项技术提案。近日,该提案的努力被合并到了Tor的主要代码库中,尽管这些变化将对DDoS攻击产生什么防护效果还有待观察。
While Proof-Of-Work has been traditionally used to power blockchains, it was originally suggested for DoS protection. Tor devs have been exploring the space and we believe that such a system could work wonders against the DoS attacks the network is currently experiencing. (7/8)
— The Tor Project (@torproject) September 9, 2020 Tor项目于2020年9月发布推文称:
“虽然工作量证明传统上一直用于为区块链提供动力,但最初建议用于DoS保护。Tor开发人员一直在探索这个空间,我们相信这样的系统可以在抵御网络目前正在经历的DoS攻击方面创造奇迹。”
工作量证明的概念是在1999年首次提出的。它于2002年在一篇题为“Hashcash–拒绝服务防护措施”(Hashcash – A Denial of Service Counter-Measure)的论文中正式纳入Adam Back的hashcash系统。Hashcash旨在通过要求电子邮件发件人执行少量计算工作来防止垃圾邮件;其“证明”已添加到电子邮件标题中。然后可以通过可验证的方式确定包含此类标头的电子邮件不包含垃圾邮件。
尽管hashcash仅在今天的少数实现中使用,但著名的工作量证明在2009年被比特币采用,用于比特币挖矿。目前使用工作量证明进行区块链挖矿的其他流行加密货币包括狗狗币、莱特币和门罗币。
Mullvad浏览器是非营利组织Tor项目和Mullvad VPN之间的合作的产品,提供了一个反追踪浏览器,旨在与VPN一起使用。
Today we announced the Mullvad Browser – built by the Tor Project. A browser allowing anyone to take advantage of the privacy protections of Tor Browser without Tor.
👀 Learn more here: https://t.co/TW9MfXFrK5
— The Tor Project (@torproject) April 3, 2023 使用数字匿名服务Tor的最简单方法是通过Tor浏览器。你下载并像普通浏览器一样使用它,它会在您使用时覆盖您的数字足迹,让任何人都很难跟踪您的在线活动。最重要的是,Tor浏览器设计有反监视措施,可以阻止追踪者并阻止设备指纹识别方法。但是您可能不想一直使用Tor浏览器,因为它的页面加载时间相对较慢,而且可能有点麻烦。但今天推出的一款由Tor项目的用户体验和应用程序团队开发的新浏览器提供了相同的隐私重点,该浏览器使用不同的基础架构构建,纳入了VPN支持而不是Tor。
该工具被称为Mullvad浏览器,出自Tor项目和VPN制造商Mullvad之间的合作。这个免费的开源浏览器现在可供下载。VPN领域很拥挤,有一些有问题的参与者,但Mullvad一直是备受推崇和信任的VPN,因为它是开源的,不通过用户数据获利,并对其系统和基础设施提供独立的第三方审计。尽管如此,Mullvad浏览器可以与您信任的任何VPN一起使用,也可以在没有VPN的情况下仅作为一个注重隐私的浏览器使用。
“我们来这里不是为了竞争和赢得浏览器的市场份额;我们来到这里是因为我们的使命是通过技术促进人权,”Tor项目执行董事伊莎贝拉·费尔南德斯(Isabela Fernandez)说,“因此,我们希望为需要隐私和审查制度绕过的人提供替代方案。”
Tor网络和虚拟专用网络(VPN)都会加密您的网络流量,并通过一个中介进行隧道传输,但Tor专注于通过一系列“跃点”或特殊服务器发送流量的特定方案所带来的匿名性。相比之下,VPN不会煞费苦心地匿名化您的流量,而是专注于通过创建一个只有您和VPN提供商可以看到您的网络活动的系统来提供隐私保护。因此,VPN的声誉很复杂,因为它们只有在VPN提供商值得信赖时才具有私密性。不过,根据您的使用情况和环境,它们可能是一个有价值的工具。
“Mullvad的使命是让大规模监控变得不切实际,仅靠VPN还不足以实现在线隐私——您还需要一个注重隐私的Web浏览器,”Mullvad首席执行官Jan Jonsson说。“我们希望提供与Tor浏览器一样出色的以隐私为中心的浏览器,专门适用于那些希望通过VPN而不是Tor网络连接到互联网的用户。这次合作的目的是为人们提供更多的隐私选择。”
Tor项目和Mullvad都表示,他们被对方在人权和数字隐私倡议方面的记录所吸引而进行合作。Mullvad一直是非营利组织Tor项目的长期财务支持者。
还有其他广受好评的隐私浏览器,如Brave,它们也可以与VPN一起使用,甚至具有内置的VPN功能。但Tor项目说,他们多年来开创反追踪技术的经验,如cookie隔离和其他反监视技术,意味着Mullvad浏览器是以非常高的质量推出的。Tor项目的Fernandez补充说,在开发Mullvad浏览器的过程中,该团队做出了一些发现和改进,这些发现和改进现在已被重新整合到Tor浏览器中。
Fernandez说:“也许这款新浏览器会吸引我们现在无法触及的受众。”“多个替代方案可以共存并相互支持。我们正在与其他组织合作,建立替代方案,因为这是一场大的战斗。我们的对手是大公司,所以我们需要共同努力。”
此外,Mullvad浏览器也具有一些其他的隐私功能。例如,它会自动阻止嵌入式广告和社交媒体跟踪器,还可以通过随机化用户代理标头来增加隐私保护。它还使用一个名为“FingerprintJS”的JavaScript库,该库可以检测设备指纹技术,并模糊化设备指纹信息以防止其被用于跟踪用户。
总的来说,Mullvad浏览器是一个非常注重隐私保护的浏览器,它集成了一些反监视技术和VPN支持,可以提供额外的隐私保护和匿名性。然而,就像使用任何VPN或其他隐私工具一样,使用Mullvad浏览器并不能完全保证您的隐私和匿名性,因为这些技术都不是绝对的。但是,它仍然是一个很好的选择,特别是对于那些担心隐私问题的用户。
Tor项目鼓励您检查Mullvad浏览器及其功能。它可以在没有Mullvad VPN的情况下使用,但建议结合使用。如果您想了解有关此合作伙伴关系的更多信息,可以访问Mullvad.net/browser。
维护Tor匿名网络和相关浏览器的组织Tor Project正在继续将其基础设施从以前由Team Cymru提供的基础设施转移出去,Team Cymru是一家互联网监测公司,它捐赠了硬件和其他资源。该组织在一份声明中告诉Motherboard,Tor项目现在预计迁移工作将在春季完成。
在Motherboard报道称Team Cymru向美国军方的多个分支机构出售了一种名为“Augury”的互联网监控工具后,Tor项目于10月宣布了这一举措。Augury部分基于互联网服务提供商提供的数据,并声称覆盖了全球90%的互联网流量。一名举报人还声称,隶属于海军的民事执法机构NCIS参与了未经授权的使用和购买这些数据。
Tor项目的通信主管Pavel Zoneff告诉Motherboard,该组织已经“取得了很大进展,包括进行重大投资以扩展我们自己的服务器基础设施。我们已经迁移了最关键的功能,目前正在跟踪今年春季结束前的完成情况。一旦过渡完成,我们将分享更新信息。”
在Tor项目10月的公告中,Tor项目执行董事Isabela Fernandes提到Team Cymru多年来向Tor捐赠了“硬件和大量带宽。这些主要是网络镜像,用于构建和模拟机器等内部项目。”Fernandes写道,Tor社区对Tor项目使用Team Cymru的基础设施表示担忧。
鉴于Tor项目与Team Cymru的任务之间存在冲突,“继续接受Team Cymru的基础设施捐赠是不可行的,”Fernandes写道,并补充说,自2022年初以来,Tor项目一直在计划搬出一些东西。在Motherboard的报道之后,这些努力似乎更加认真地进行了。
Team Cymru的首席执行官Rob Thomas也是Tor项目的董事会成员,Motherboard在其报告中指出了这一点。他于2022年8月4日离开。在10月的博客文章中,Fernandes解释说,Tor项目的工作人员和志愿者在2021年底对Thomas的董事会职位表示担忧。这引发了内部讨论。“在这些谈话中,很明显,尽管Cymru团队可能提供与Tor使命背道而驰的服务,但没有迹象表明Rob Thomas在提供这些服务方面的作用对Tor用户造成了任何直接风险,这是我们最关心的问题。”Fernandes写道。
“但当然,不积极危害我们的用户是一个低标准,”Fernandes继续说道。“对Team Cymru的商业模式和Tor的使命之间的内在脱节提出质疑是合理的,Tor的使命包括为所有人提供私人和匿名的互联网访问。Rob Thomas选择从董事会辞职的原因是他自己的,但自从我们最初的谈话以来的几个月里,Team Cymru的工作如何与Tor项目的使命相抵触,已经变得越来越清楚。”
互联网监控平台Augury 互联网监控平台Augury由网络安全公司Team Cymru开发,捆绑了大量数据,并作为付费服务提供给政府和企业客户。在私营行业,网络安全分析师使用它来跟踪黑客的活动或确定网络攻击的原因。在政府领域,分析师也可以做同样的事情,但处理刑事调查的机构也购买了这种能力。军事机构没有描述他们对该工具的使用情况。然而,该工具的销售仍然突出了Team Cymru如何获得这种有争议的数据,然后作为一项业务出售,这一点让网络安全行业的多个来源感到震惊。
“网络数据包括来自全球550多个收集点的数据,包括欧洲、中东、北美/南美、非洲和亚洲的收集点,并且每天至少有1000亿条新记录的更新。”Motherboard审查的一份美国政府采购记录中对Augury平台的描述是这样的。它补充说,Augury提供对“PB级”的当前和历史数据的访问。
Motherboard发现,美国海军、陆军、网络司令部以及国防反情报和安全局总共支付了至少350万美元来访问Augury。这使得军方可以使用数量惊人的敏感信息来跟踪互联网的使用情况。Motherboard已经广泛报道了美国机构如何通过简单地购买私营公司的商业数据来获得在某些情况下需要搜查令或其他法律机制的数据。最常见的情况是,这些销售围绕着从智能手机上获取的位置数据。Augury的购买行为表明,这种购买数据的方式也延伸到了与互联网使用更直接相关的信息。
Team Cymru在其网站上表示,其解决方案提供了“对互联网上绝大多数活动的访问权限”。“Augury是93%的互联网流量的可见性,”另一个描述该工具的网站写道。根据Team Cymru的网站,一些客户可以使用不同品牌名称Pure Signal RECON来访问该平台。
Augury平台有哪些数据 根据在线采购记录,Augury平台为其用户提供了大量不同类型的互联网数据。这些类型的数据包括与电子邮件、远程桌面和文件共享协议有关的包捕获数据(PCAP)。
PCAP通常指的是完整的数据捕获,包含了非常详细的网络活动信息。PCAP数据包括从一个服务器发送到另一个服务器的请求,以及该服务器的响应。Augury的数据还可以包括网络浏览器活动,例如访问的URL和Cookie等详细信息。