今天的 Tetralet 又在唧唧喳喳了



« 五月 2017 »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        






 

在 Internet 上隱匿行蹤!(十七) - 封鎖 Tor!

Tetralet | 27 元月, 2007 11:07

就如前言所說的,個人並不認為封鎖 Tor 是個好主意。但以技術上而言,如果身為網路管理者的您若想封鎖 Tor 其實並非難事。

首先,Tor 為了避免連上假冒的 Onion Routing,所以有數台用來提供 Tor Server 完整列表的 Tor Directory Server 其 IP指紋碼 等資訊是寫死在程式碼裡的。封鎖這幾台 Tor Directory Server 就能夠有效阻止 Tor Client 連上 Onion Routing 了。

註:
Tor Client 在成功和 Onion Routing 連線後,會同時得到一份上線中的 Tor Directory Server 列表,此後即使無法和那幾台 Tor Directory Server 連線,Tor Client 還是可以根據這份列表試圖連上 Onion Routing。所以封鎖這幾台 Tor Directory Server 未必能有效阻止 Tor Client 上線。

另外,Tor Client 只會試著使用少數幾個 Port 和 Onion Routing 連線。封鎖這幾個 Port 也能有效阻止 Tor Client 和 Onion Routing 連線。

而每台 Tor Client 都能向 Tor Directory Server 取得即時的 Tor Server 的完整列表,所以任何人也都可以用相同手法取得這份即時的完整列表,進而加以封鎖、干擾或阻斷。您可以據此時時修正防火牆規則,以阻止使用者連上 Onion Routing 或是阻止 Tor 使用者和您的站台連線,甚至採取更近一步的攻防手段。

另外也有站台根據這份即時 Tor Server 完整列表建立 DNS 反向查詢資訊,並提供一些 PHP 語法來判斷對方是不是使用 Tor 連線的。當然,除非您很信任這些站台所提供的資訊,否則個人並不建議您採用這種作法。

而 Tor 官方網站也提供了一個小小的 Script 可用來取出 Tor Server 的完整列表,但所採用的方法都極為類似,在此就不再多加說明了。

另外,某些專制政府阻擋 Tor 的做法則是在國內外撒下大量的假 Tor Server,若 Tor 使用者以這些 Server 做為出口點(exit node)的話(而出口點是 Tor 在連線的過程中隨機選取的),這些 Tor Server 將會以最高標準檢查其通訊內容,必要時會阻斷 Tor 的連線。所以若您連上了 Onion Routing 但似乎網頁怎麼等都出不來時,請重新連線即可。

所以說其實 Onion Routing 並沒有想像中堅不可摧,而有不少人可是急著要把 Tor 的火給滅了呢!

(待續)

迴響

Re: 在 Internet 上隱匿行蹤!(十七) - 封鎖 Tor!

請問 Tor Client 有沒有辦法自定使用的 Port 呢?這樣或許可以避開預設 Port 太少的問題?

[回應] guest @ 27/01/2007, 17:33

Re: guest

Tor Client 所要連上的 Port 是由 Tor Server 決定的,Tor Client 只可以在其中挑選它可以連上線的 Tor Server。比如說,Tor Client 只能走 80/443 出去,那麼它只能挑那些正在監聽 80/443 的 Tor Server 來進行連線。
還好的是,一般防火牆應該會讓 Client 用 20/80/443 等常用的 Port 出去,所以要擋住 Tor 其實也沒有想像中那麼容易。

[回應] Tetralet @ 28/01/2007, 17:46

authimage
驗證碼皆為英文大寫字母
僅輸入前4碼即可。後2碼是假的,欺敵用。
這是為了防制 Spam 而設計的。若造成您的不便還請見諒!
Accessible and Valid XHTML 1.0 Strict and CSS
Powered by LifeType - Design by BalearWeb