一个足智多谋的政府将如何阻止托尔？

#1 楼

为了阻止Tor，需要做的就是在以下链接中找到Tor节点的当前列表：

http://torstatus.blutmagie.de/ip_list_all.php /Tor_ip_list_ALL.csv

，然后通过路由器或防火墙双向阻止它们。

这表示将有很多方法可以解决这种问题，人们仍然可以使用VPN在给定区域之外进行连接，然后从另一个位置运行Tor流量或通过该通道建立隧道，但这将有效类似地，下面的Tor出口节点列表对于阻止Tor流量连接到任何给定的网站可能很有用：

https：// check.torproject.org/exit-addresses

我想说，使Tor难以使用很容易，但使它无法使用极其困难。

请记住，拥有大量财务资源的政府可以在启动后数分钟内花钱运行ZMAP.io之类的工具来查找潜在的Tor服务器，包括Tor Bridge。对于预算有限的用户而言，连续扫描整个IPv4地址空间变得微不足道，因此寻找并阻止Tor节点的活动可能很有效，但绝不是绝对的。

最后，请记住，一旦确定了Tor用户，政府可能会监视该用户将来的连接，以查找新的Tor桥或类似的连接。

注意：扫描IPv4的任务变得微不足道，但是由于规模庞大，扫描所有公共IPv6地址空间的过程将根本无法管理。那就是说，需要一个大型政府项目来关联其他类型的数据，例如Netflow，某种类型的流量签名或某种其他形式的标识，以识别和阻止IPv6网络上的Tor流量。

再次，政府可以使Tor难以使用，但很难使它无法使用。为了保护最终用户免受与cookie或其他签名有关的风险（可能会泄露有关Tor用户的其他信息），明智的做法是使用匿名的现场CD，如下所示： .whonix.org /

https://tails.boum.org/

Torflow可视化也可能令人感兴趣：

https：/ /torflow.uncharted.software

相关文章：通过分析路由器信息可以轻松揭露81％的Tor用户

http://thehackernews.com/2014/11/ 81-of-tor-users-be-easily-unmasked_18.html

另一篇有关更危险但相关的问题的相关文章：Tor浏览器暴露

https： //hackernoon.com/tor-browser-exposed-anti-privacy-implantation-at-mass-scale-bd68e9eb1e95

#2 楼

Tor用于规避审查！


不，不是直接的。 Tor与匿名有关，与可用性无关。 Tor本身并不能帮助其用户访问被阻止的内容。 Tor使得很难将客户与网站访问联系起来，从而使人们能够发布或阅读内容而不会被发现，从而为您提供帮助。这样做是为了避免与禁止内容有关，而不是直接传播禁止内容。

控制该国ISP的所有网络设备的政府可以决定允许居民使用哪些网站和服务访问，并且可以知道谁在访问什么。如果某人正在使用Tor，则其计算机会连接到提供Tor服务的主机（Tor中继）。 ISP级别的筛选器可以检测到连接的目标是否是Tor中继，如果存在则拒绝它。

直接帮助绕过审查的工具是VPN。 ISP级别的过滤器可以阻止与VPN的连接，但前提是它知道该服务是VPN。 Tor继电器在大多数情况下是公共的，并且必须是重型基础结构的一部分（必须从其他已知的Tor中得知）。相反，VPN自己运行，因此很容易创建新的VPN：完全阻止VPN几乎是不可能的（阻止所有加密协议确实会阻止大多数常见的VPN，但是仍可以使用隐写术制作低带宽VPN如果没有其他要求）。

VPN和Tor可以结合使用（并且经常结合使用）。 ISP可以阻止直接使用Tor，但不能阻止通过VPN使用Tor。甚至存在专门使用Tor：Tor桥的类似VPN的服务。此处有一场军备竞赛，ISP /政府可以在发现Tor桥时阻止它们，但是新桥很容易弹出。 br />

不，这不是原始文章所说的，也不是THN文章所说的。原始文章说，警察局（不是政府）已要求采取各种不同现实主义的措施，包括禁止Tor。甚至您引用的文章都声称此请求是一项立法提案（尚未提出），而不是即将生效的法律。

#3 楼

实际上，由于Tor桥，Tor实际上很难被阻塞：


桥继电器（或简称“桥”）是Tor继电器，未在Tor主目录中列出。由于没有完整的公共列表，即使您的ISP正在过滤与所有已知的Tor中继的连接，它们也可能无法阻止所有网桥。


完全禁止Tor，法国将需要执行深度数据包检查（类似于中国防火墙），但是即使这样的措施也可能会被Obfsproxy等专用工具击败。有效地使中国人无法使用Tor的原因是监狱徒刑的威胁。我希望法国不会走这条路。他们可以愉快地切换到OwnCloud或不能整体阻止的类似服务。或者他们可以通过发送加密的7zip附件通过GMail进行通信。等。

请记住，法国刚刚进行了区域民意测验，像这样的宣布在选举期间像夏日雨后的蘑菇一样产生。

#4 楼

审查军备竞赛

尝试对Tor网络进行审查的国家不同。迄今为止，中国是最成功的。但是，其他国家/政府也取得了成功。不管取得了这些成功，检查都是一场技术军备竞赛，双方都在不断改进其进攻和防御。

雅各布·阿佩尔鲍姆（Jacob Appelbaum）和罗杰·丁格丁（Roger Dingledine）题为《政府如何努力阻止Tor》。 （该演讲也可以在YouTube上找到。）作为Tor开发人员，他们在继续展示Tor网络攻击的演变之前，提供了Tor网络的快速概述。攻击的范围从简单的端口和DNS阻止到包括深度数据包检测和主动探测在内的现代技术。

在简要讨论可能会成为未来技术的问题之前，我将在下面总结该演示的内容。在这次军备竞赛中使用。


立即发生攻击

这里总结了上述演示中讨论的阻塞方法，以及一些其他评论以及有关每种方法的局限性的信息：



阻止目录权限：Tor二进制文件具有用于引导的IP地址的硬编码列表（在Tor网络上查找其他节点）。通常，Tor客户端将在启动时连接到这些服务器之一，以下载中继列表。阻止此连接将阻止进行交换。局限性在于网桥可用于通过备用IP地址路由目录连接。

下载网络目录：也称为网络共识，这是网络上所有中继的列表（不包括网桥）。阻止所有中继的IP地址将阻止Tor客户端通过它们路由流量。再次，限制是网桥可以绕过此路径，因为它们使用的IP地址未在一个列表中发布。也一样Tor项目将他们的网桥地址池划分为不同的分发策略，以防止一个人获得所有网桥地址，即使其中一种分发机制存在缺陷。除了这些机制之外，您还可以通过与可能运行自己的未列出网桥的朋友或其他组织通信来获得网桥。 Tor协议和Tor试图模仿的SSL / TLS握手之间的差异。在演示中，Roger提到Tor项目已经意识到了许多协议区分符，这是一个开放性的问题，是否应该抢先固定它们还是让它们成为未来攻击的低谷果实。 />阻止Tor网站：如果人们无法下载Tor软件，他们将无法连接到网络。局限性在于人们可以通过其他机制（包括不同的镜像）或通过发送电子邮件至gettor@torproject.org来获取软件。

主动探测网桥：在中国，当有人连接到Tor网桥或SSH服务器时，另一个IP地址会建立后续连接以尝试说出Tor协议...如果成功，原始的Tor连接将被丢弃。这是军备竞赛中的最新一步，可以使用几种可能的方法来解决。视频中提到的一种方法是对网桥进行密码保护，但这有其取舍。

带宽限制：在伊朗，政府减少了分配给加密连接的带宽。随着网站上越来越多地使用加密，此方法将越来越多地限制对常用网站（包括Google，Wikipedia等）的访问。此外，如下所述，协议不需要使用格式转换加密来加密。 >

军备竞赛的未来

如前所述，审查技术是军备竞赛，并且仍在继续。这意味着创新将继续发生。

可插拔传输已投入了大量开发工作，可插拔传输本质上是可应用于Tor桥节点的协议混淆层。这使得区分Tor流量和非Tor流量变得更加困难，并迫使阻塞与Tor无关的其他服务/协议。 >


Meek：Meek传输使用一种称为“域前沿”的方法来伪造流量的最终目的地。通过更改对google.com的请求中的HTTP标头，可以使Google的基础架构将您的数据包重新路由到其App Engine服务。对于Amazon的CloudFront和Microsoft的Azure平台等也是如此。

Flashproxy：最初是斯坦福大学的一个项目，该项目使用JavaScript和Web套接字将普通的Web浏览器转换为Tor桥，从而实现了难以实时阻止的桥地址的极端多样性和搅乱。

最后，我要提到格式转换加密（FTE）。这种加密技术允许一个人操纵数据，从而使其看起来像DPI引擎的另一种协议。在本文中，研究人员将该技术应用于Tor网络，以通过DPI引擎创建协议错误识别。