Иногда поисковик даже может завести не туда, выдав ссылку на фейковый проект. The idea of onion routing was created in at the U. Онион ссылки не открываются в обычных браузерах, таких как Mozilla или Google. Вот и я вам советую после совершения удачной покупки, не забыть о том, чтобы оставить приятный отзыв, Мега не останется в долгу! Продолжение доступно только участникам Вариант 1.
Не делиться каналами с потоками, нацеленными на иной порт назначения. Не делиться каналами с потоками, нацеленными на иной адресок назначения. Опосля того, как таковая цепь простаивает в течение наиболее чем секунды MaxCircuitDirtiness , она может быть закрыта. Ежели никакие остальные правила изоляции не помешают этому, разрешает потокам на этом порту вместе употреблять каналы с потоками из хоть какого другого порта с той же группой сеансов.
По умолчанию потоки, приобретенные на различных SocksPorts , TransPorts и т. Этот параметр переопределяет это поведение. Флаги обрабатываются слева направо. Ежели флаги конфликтуют, употребляется крайний флаг в строке, а все прошлые флаги игнорируются. Для конфликтующих флагов ошибка не возникает. Эти запросы выполняются фактически повсевременно на работающем компе и могут служить предпосылкой утечки инфы, даже ежели вы используете Tor для конкретно самих соединений.
Смотрите Введение в DNS терминологию, составляющие и концепции. DNS запросы демонстрируют, какие веб-сайты вы открывали. Чтоб не происходило утечки из DNS, эти запросы также можно делать через сеть Tor. Выполнение запросов через Tor можно настроить независимо от выхода в сеть через Tor — то есть можно применять Tor лишь для получения IP адресов доменов, но подсоединятся к ним впрямую, или употреблять обе функции сразу.
В этом случае опосля пуска службы Tor будет открыт порт и все поступившие на него DNS запросы будут обработаны через сеть Tor, то есть наружный наблюдающий не сумеет перехватить, узреть либо поменять ваши DNS запросы и ответы на их.
В системных настройках и настройках приложений в качестве IP адреса DNS сервера необходимо указывать localhost , а в качестве порта необходимо указывать тот порт, который является значением DNSPort. Необходимо держать в голове, что достаточно нередко в настройках операционной системы либо приложений можно указать лишь IP адресок сервера, но нереально указать порт, так как предполагается, что употребляется обычный порт Чтоб применять Tor для выполнения общесистемных DNS запросов, в качестве значения DNSPort необходимо указать 53 либо применять iptables для перенаправления трафика, предназначенного для 53 порта, на локальный порт службы Tor.
При указании значения " auto ", Tor выберет порт за вас. Она поддерживает флаги изоляции, подробности о которых смотрите в описании директивы SocksPort. При собственной работе служба Tor составляет временные пути контуры по которым проходит трафик. Этот путь включает в себя 3 случайных узла сети Tor:. То есть хотя сеть Tor и обязана служить интересам юзера, скомпрометированные узлы Tor несут риск для юзера.
Ежели вы желаете уменьшить этот риск и не применять узлы Tor из собственной страны либо из определённых государств, то этот раздел для вас поможет. Дальше показано, как исключить узлы из определённых государств при составлении маршрутов Tor. Ниже будут рассмотрены директивы, которыми вы сможете исключить узлы Tor по определённым чертам, либо напротив применять лишь узлы, удовлетворяющие определённым чертам.
Внедрение директив однокипное — опосля директивы необходимо перечислить один признак либо перечень признаков узлов Tor. Код страны представляет собой двухбуквенное обозначение кодов ISO Они должны быть помещены в фигурные скобки. Эта функция исключает ноды на всех стадиях при составлении маршрута, то есть указанные ноды не могут употребляться для входной, промежной либо выходной ноды. Обратите внимание, что могут употребляться не лишь коды государств, но и IP спектры и отпечатки определённых узлов.
По умолчанию этот параметр рассматривается как предпочтение, которое Tor может переопределить для продолжения работы. К примеру, ежели вы пытаетесь подключиться к сокрытому сервису, но исключили все точки входа к этому сокрытому сервису, Tor все равно подключится к одному из их. Ежели для вас не необходимо это поведение, установите параметр StrictNodes описано ниже.
Также обратите внимание, что ежели вы являетесь ретранслятором, этот и остальные варианты выбора узлов ниже влияют лишь на ваши собственные контуры, которые Tor создаёт для вас. Клиенты могут по-прежнему строить каналы через вас к хоть какому узлу. Контроллеры могут огласить Tor, чтоб они строили схемы через хоть какой узел.
Коды государств не чувствительны к регистру. Перечень идентификационных отпечатков, кодов государств и шаблонов адресов узлов, которые никогда не будут употребляться при выборе выходного узла, то есть узла, который доставляет для вас трафик за пределы сети Tor.
Обратите внимание, что хоть какой узел, указанный в ExcludeNodes , автоматом считается также частью этого перечня. Смотрите также предостережения по функции « ExitNodes » ниже. Ежели для этого параметра установлено значение 1 , то все неизвестные страны рассматриваются как исключённые в ExcludeNodes и ExcludeExitNodes.
Этот параметр не действует, ежели файл GeoIP не настроен либо не может быть найден. По умолчанию: auto. Перечень идентификационных отпечатков, кодов государств и шаблонов адресов узлов, которые будут употребляться в качестве выходного узла, то есть узла, который доставляет для вас трафик за пределы сети Tor. Обратите внимание: ежели вы укажете тут очень не достаточно узлов либо исключите очень много выходных узлов с помощью ExcludeExitNodes , вы сможете понизить функциональность.
К примеру, ежели ни один из перечисленных выходов не разрешает трафик через порт 80 либо , вы не можете просматривать интернет-страницы. Также обратите внимание, что не каждый канал употребляется для доставки трафика за пределы сети Tor. Нормально созидать контуры без выхода к примеру, те, которые употребляются для подключения к сокрытым службам, те, которые выполняют подключение к управляющим серверам, те, которые употребляются для самотестирования доступности ретранслятора и т.
Чтоб на сто процентов исключить узлы по определённым признакам, смотрите ExcludeNodes и StrictNodes. Функция ExcludeNodes переопределяет эту опцию: хоть какой узел, указанный сразу в ExitNodes и ExcludeNodes , рассматривается как исключённый. Адресная запись. Перечень идентификационных отпечатков и кодов государств узлов, используемых для «средних» хопов в обыденных цепях.
Обыденные каналы включают в себя все каналы, не считая прямых соединений с управляющими серверами. Средние хопы — все узлы не считая выхода и входа. Это экспериментальная функция, предназначенная для использования исследователями и разрабами для безопасного тестирования новейших функций в сети Tor. Эта функция может быть удалена в будущем. Параметр ExcludeNodes переопределяет этот параметр: хоть какой узел, указанный в MiddleNodes и ExcludeNodes , рассматривается как исключённый. Перечень идентификационных отпечатков и кодов государств узлов, которые будут употребляться для первого перехода в ваших обыденных цепях.
Функция Bridge переопределяет эту опцию; ежели вы настроили Bridge , а значение UseBridges равно 1, то конкретно мост употребляются в качестве узлов входа. Функция ExcludeNodes переопределяет эту опцию: хоть какой узел, указанный в EntryNodes и ExcludeNodes , рассматривается как исключённый.
Ежели для параметра StrictNodes установлено значение 1 , Tor будет разглядывать параметр ExcludeNodes не как рекомендательный, а как неотклонимый для всех генерируемых вами цепей, даже ежели это нарушит функциональность для вас StrictNodes не применяется к ExcludeExitNodes , ExitNodes , MiddleNodes либо MapAddress. Ежели для StrictNodes задано значение 0, Tor все равно будет пробовать избегать узлов в перечне ExcludeNodes , но при этом наиболее высочайшим ценностью является обеспечение работоспособности подключения.
В частности, StrictNodes 0 докладывает Tor, что можно употреблять исключённый узел, когда нужно выполнить самотестирование достижимости ретранслятора, подключиться к сокрытому сервису, предоставить сокрытый сервис клиенту, выполнить запрос. По умолчанию: 0. Вопросец блокировки доступа к IP адресам к которым вы подключаетесь из сети Tor может показаться не чрезвычайно нужным, но, на самом деле, по умолчанию уже установлено достаточно много ограничений, о которых вы сможете не знать. По умолчанию для подключений через сеть Tor заблокированы все соединения на порты:.
Эти блокировки распространяются как на IPv4, так и на IPv6 адреса. Также заблокированы все сероватые IP адреса то есть относящиеся к локальным сетям. И дополнительно заблокированы ваши главные наружные IPv4 и IPv6 адреса. Вы сможете добавить свои собственные правила блокировки используя директиву ExitPolicy. Также при желании можно указать ПОРТ. Можно применять несколько директив ExitPolicy , или указать несколько политик через запятую при одной директиве ExitPolicy. Директивы обрабатываются начиная с первой.
1-ое совпадение выигрывает. Не запамятовывайте о дефолтных политиках, которые хотя и отсутствуют в конфигурационном файле, но при этом обрабатываются первыми! Примеры, когда разрешён доступ к irc портам, а всё остальное заблокировано:. Разрешить также доступ к nntp по умолчанию доступ к порту заблокирован :. В качестве псевдонима локальных сетей можно употреблять слово " private ", хотя приватные IP спектры уже заблокированы по умолчанию.
Выше перечислены политики, которые используются в Tor по умолчанию и которые заблокируют доступ к неким подсетям и портам. Чтоб разрешить доступ к IP адресам из локальных диапазонов добавьте директиву:. Как было поведано в прошлых разделах, по умолчанию Tor перекрывает доступ через сеть Tor для неких портов и IP адресов.
Вы сможете применять директиву. Вы сможете ограничить по IP и сетям тех, кто может подключаться к запущенной службе Tor, для этого употребляется директива SocksPolicy. Эта директива устанавливают политику для этого сервера. Политики тщательно описаны в разделе « Как заблокировать доступ к определённым спектрам IP и портам через Tor », отличие лишь в том, что указанный порт игнорируется.
Хоть какой адресок, не совпадающий с хоть какой записью в политике принимается. 1-ый пункт, который совпал, выигрывает. Ежели не установлена SocksPolicy , то принимаются все и лишь запросы, которые достигли SocksPort. Пример опции, когда принимаются соединения лишь от сабсети Ежели для этого параметра установлено значение 0, Tor будет избегать подключения к управляющим серверам и входным нодам по IPv4.
Обратите внимание, что клиенты с IPv4-адресом в мосте, прокси либо подключаемой транспортной полосы будут пробовать подключиться через IPv4, даже ежели для ClientUseIPv4 установлено значение 0. По умолчанию: 1. Ежели для этого параметра установлено значение 1, Tor может подключаться к управляющим серверам и входным нодам через IPv6. Обратите внимание, что клиенты, настроенные с IPv6-адресом в мосте, прокси либо подключаемой транспортной полосы, будут пробовать подключиться через IPv6, даже ежели для ClientUseIPv6 установлено значение 0.
Есть исследования, в которых предложены способы идентификации юзеров сетей Tor на основании собранной инфы о исходящем от их трафике и трафике пришедшем к определённому хосту. Трафик может быть зашифрован, но нрав активности время от времени дозволяет вправду сравнить юзеров.
Для защиты от такового рода атак узлы сети Tor могут посылать ненадобный трафик — просто чтоб сбить с толку подобные анализаторы профилей трафика. Эти данные именуются padding, «заполнение». Этот параметр регулирует внедрение Tor для защиты от неких форм анализа трафика. В итоге получаем анонимное соединение. Анонимное и модемное :. Но диалапный коннект - это не самая основная неувязка активных юзеров Tor. Еще посильнее их обязано тревожить, что любые данные можно перехватить и, черт подери, сделать это просто!
В случае, ежели таковой способности не предвидено можно употреблять соксофикатор к примеру, Sockcap , но держать в голове при этом, что через сокс можно пустить лишь TCP-трафик. Вообщем, для большинства юзеров намного наиболее увлекательны будут готовые сборки так именуемые Bundles , включающие сам Tor, а также преконфигурированные браузер Firefox и IM-клиент Pidgin. Поставил и все работает! Щелкнул - и весь безопасно трафик уже передается через цепочку промежных узлов.
Что вообщем представляют собой эти узлы и как в принципе устроен Tor? Попробуем разобраться. В базе лежит распределенная система узлов - так именуемых нод, меж которыми в зашифрованном виде передаются данные. Для соединения традиционно употребляется три сервера, которые образуют временную цепочку.
Каждый сервер выбирается случайным образом, при этом он знает лишь то, от какого звена получил данные и кому они предназначаются. Не достаточно этого - цепочки повсевременно изменяются. Даже в случае перехвата данных на одном из серверов отследить полный маршрут пакетов в том числе и их отправителя не представляется вероятным. Перед отправлением пакет поочередно шифруется 3-мя ключами: поначалу для третьей ноды, позже для 2-ой и, в конце концов, для первой.
Когда 1-ая нода получает пакет, она расшифровывает «верхний» слой шифра и выяснит, куда выслать пакет далее. 2-ой и 3-ий сервер поступают аналогичным образом. Итак, маршрут повсевременно изменяется, данные через промежные узлы проходят в виде шушары, то есть в зашифрованном виде - где подвох? Он есть. Ведь, как серьезно бы ни защищались данные, как изощренно не выбирался и запутывался маршрут, кое-где на выходе данные все равно необходимо расшифровывать.
Ведь лишь так их можно доставить до места назначения. Эта операция осуществляется на крайней ноде в цепочке - так именуемой выходной нодой Exit Node. Ежели на таком узле установить снифер, то данным ничего больше не остается, как прямиком попасть в логи :. Ты можешь помыслить, что система такового положения дел не допускает и поднять Tor для работы выходной ноды нельзя?
Вся система строится на большом количестве энтузиастов, участвующих в проекте и предоставляющие свои домашние компы как ноды, и в том числе выходные. Несколько строчек кода в конфиге - твой билет их ряды. Ну что ж, приступим. Для тестов нам пригодится хоть какой никсовый дистрибутив, пускай даже это будет Backtrack , запущенный с флешки, либо Ubuntu на виртуальной машине - это совсем не необходимо. Дальше будет нужно крайняя версия Tor на момент публикации - 0. Любители GUI также могут скачать и установить Vidalia - мы же будем работать в консоли.
Итак скачиваем пакет, распаковываем и устанавливаем. Я думаю на данной стадии никаких заморочек быть не обязано. В неприятном случае - синхронизируем с общественными серверами времени. Забегая вперед скажу, что для пуска Tor лучше сделать отдельного юзера - делается это командой adduser. Сейчас необходимо сделать файл конфигурации.
Tor употребляет для хранения собственных данных папку. Создаем папку. Устанавливаем его в DirPort — на этом порту Tor будет принимать данные от сервера директорий. Устанавливаем в ExitPolicy — описывает, какой трафик мы будем принимать и форвардить. Имеет формат "ExitPolicy Accept reject address:port". По умолчанию политика следующая:.
Значит, что мы будем резать трафик, направленный на перечисленные выше порты, а весь остальной будем пропускать. В принципе можно ее и не переопределять и бросить дефолтной, ну это уж на твой выбор. Я употреблял следующую:. HashedControlPassword — хеш пароля для доступа и конфигурации Tor-сервера чтоб никакой свирепый взломщик не сумел переконфигурировать наш сервер , создается при помощи команды: tor --hash-password. Это пригодится нам, ежели мы захотим применять Tor в связке с Privoxy либо иными прокси.
Сохраняем конфигурации и закрываем файл. Можно приступать к запуску. Открываем консоль, логинимся под toruser и запускаем Tor, передав в качестве параметра путь до конфиг-файла:. И смотрим выдаваемые сообщения. Как лишь сервер сумеет подсоединиться к сети, он попробует найти доступность собственных портов снаружи. Это может занять до 20 минут. В логах покажутся сообщения вида "Self-testing indicates your ORPort is reachable from the outside.
Ежели таких нет, это означает, что сервер недоступен из Сети — тогда следует перепроверить файрволл. Как лишь сервер определит доступность, он загрузит на сервер директорий базу нод собственный дескриптор. Это дозволит клиентам выяснить адресок, порты, ключи и другую информацию о нашем сервере. Правда, обновляется он не мгновенно - время от времени может потребоваться некая время, чтоб эта информация в базе обновилась.
Вот и возник наш сервер в перечне. Поглядим на строку ниже HelloHacker. Exit - значит, что мы являемся Exit Node! Итак, выходная нода настроена, запущена, добавлена в базу - кто-либо непременно ею воспользуется уже в самое наиблежайшее время. Что ж, остается лишь запустить возлюбленный снифер Wireshark, выбрать Интерфейс, смотрящий во внешнюю сеть и включить захват пакетов.
А далее необходимо чуток подождать. В большинстве случаев пакеты начинают сыпаться в логи уже чрезвычайно скоро :. Опосля этого можно отключить захват и проанализировать приобретенный дамп к примеру, выполнить поиск строчки pass в пакетах. Как ты знаешь HTTP-протокол передает все в открытом виде, так что может попасться что-нибудь увлекательное мне за 40 минут работы попались 2 логина и пасса к забугорным трекерам.
Согласись, хорошо. Но все же самое вкусное пролетает мимо нас точнее проходит то оно как раз через нас, но зашифрованным. Но и здесь есть выход. Мы уже писали в майском номере о тулзе, перехватывающей данные в SSL-соединениях — sslstrip. На прошедшей в августе конференции BlackHat Moxie Marlinspike зарелизил новейшую версию данной нам восхитительной программульки кстати, настоятельно рекомендую ознакомиться с его докладом - все материалы с BlackHat мы выкладывали на сентябрьском DVD.
Скачиваем sslstrip с веб-сайта создателя и устанавливаем подробнее от том как употреблять sslstrip смотри майским номер. Так как мы являемся крайним узлом, то трафик от предшествующего узла передается зашифрованным, расшифровывается на нашем сервере и уже позже отчаливает конечному адресату.
Итак, нам нужно пропускать исходящий http трафик через sslstrip. Для этого добавим в iptables такое правило:. Другими словами, мы задаем, чтоб весь исходящий HTTP-трафик юзера toruser шел на sslstrip. Все, сейчас процесс вполне автоматизирован, а нам осталось лишь ожидать.
А позже инспектировать логи. Перехватывать чужие логины и пароли мы научились. А вот задача поинтересней. Сталкивался ли ты c ситуацией, когда ты находишься во внутренней сети, а посканировать интересующий тебя сервак нельзя, поэтому как это здесь же завлечет внимание IDS и соответственно администратора. Либо вот еще вариант: ты сканируешь удаленный хост, а он распознает сканирование и перекрывает твой ip-адрес. Противные ситуации. Но и из их есть выход! Нам снова поможет Tor, который можно применять в качестве посредника для сканирования.
Ведь, кто говорил, что эта система можно употреблять лишь для анонимного серфинга? В чем преимущество такового сканирования? В нашем первом случае сканирование сервера будет происходить из инета, а не из локальной сети. А во втором, даже ежели нас заблокируют, мы постоянно сможем пустить трафик через иной Tor-сервер, благо их хватает. Итак, для наших тестов нам понадобится:. Устанавливаем, все, не считая tortunnel.
Заходим в конфиг proxychains и, чтоб пустить трафик через Tor, раскомментируем строчку:. Сохраняем и запускаем сканирование адресок На 1-ый взор это кажется скорым и действенным методом сканирования, но это не так. При дефолтном SYN-сканировании пакеты через Tor не пойдут. Таковым образом мы бы сканировали сервер впрямую и, может быть, спалились бы.
Укажем Nmap употреблять сканирование с полным соединением: " proxychains nmap -sT -PN
Какие порты использует TOR Browser? Вопрос задан более трёх лет назад. просмотров. Как пробросить 25 порт через микротик=>микротик=>почтовый сервер и обратно? Состояние перевода: На этой странице представлен перевод статьи Tor. Дата последней синхронизации: 11 июля Вы можете помочь синхронизировать перевод, если в английской версии произошли изменения. SanchesV Ставишь расширение FoxyProxy, прописываешь туда прокси SOCKS5 порт , плашка DNS через proxy должна стоять. а дальше есть два пути: 1. Запустить Tor Browser, чтобы он соединился с tor сетью, а Opera потом подключится к нему. В этом случае локальный порт.