洋蔥頭

洋蔥頭

洋蔥路由
洋蔥頭既Tor(The Onion Router)是第二代onion routing(洋蔥路由)的一種實現,用戶通過Tor可以在因特網上進行匿名交流。[1]最初該項目由美國海軍研究實驗室(US Naval Research Laboratory)贊助。2004年的後期,Tor成為電子前哨基金會(Electronic Frontier Foundation,EFF)的一個項目。2005年後期,EFF不再贊助Tor項目,但他們繼續維持Tor的官方網站。
    中文名:洋蔥頭 外文名: 所屬品牌: 産品類型: 英文名:Onion 應用:因特網 學科:計算機學

基本内容

Tor專門防範流量過濾、嗅探分析,讓用戶免受其害。Tor在由“onion routers”(洋蔥)組成的表層網(overlay network)上進行通信,可以實現匿名對外連接、匿名隐藏服務。

浏覽器包

Tor浏覽器包是一個免費的計算機應用程序,可以下載和使用,以避免互聯網過濾。它可用來屏蔽一個互聯網用戶的IP地址,允許匿名浏覽。Tor浏覽器包是提供包括漢語在内的多國語言界面。

Tor用戶在本機運行一個洋蔥代理服務器(onion proxy),這個代理周期性地與其他Tor交流,從而在Tor網絡中構成虛電路(virtual circuit)。Tor是在5層協議棧中的應用層進行加密(也就是按照'onion'的模式)。而它之所以被稱為onion,是因為它的結構就跟洋蔥相同,隻能看出它的外表,而想要看到核心,就必須把它層層的剝開。即每個路由器間的傳輸都經過對等密鑰(symmetric key)來加密,形成有層次的結構。

它中間所經過的各節點,都好像洋蔥的一層皮,把客戶端包在裡面,算是保護信息來源的一種方式,這樣在洋蔥路由器之間可以保持通訊安全。同時對于客戶端,洋蔥代理服務器又作為SOCKS接口。一些應用程序就可以将Tor作為代理服務器,網絡通訊就可以通過Tor的虛拟環路來進行。

進入Tor網絡後,加密信息在路由器間層層傳遞,最後到達“出口節點”(exit node),明文數據從這個節點直接發往原來的目的地。對于目的地主機而言,是從“出口節點”發來信息。要注意的是明文信息即使在Tor網絡中是加密的,離開Tor後仍然是明文的。維基解密創始人便聲稱其公開的某些文件是截獲于Tor的出口節點。

由于在TCP數據流的級别通訊,Tor顯得卓然獨立于其他匿名網絡。通過使用Tor,一般的應用程序都可以實現匿名,比如IRC、即時通訊,以及浏覽網頁。浏覽網頁時,Tor常常與Privoxy或Polipo等聯合使用,Privoxy、Polipo是開源代理服務器,可以在應用層增加保護隐私。

由于Tor可以匿名進行TCP傳輸,這就導緻了被濫用的可能。路由器存放有一個“出口政策”(exit policy),内有各種地址、端口的組合規定,通過這個來區别哪些傳輸可以通過這個節點而離開Tor網絡,這樣就可能防範許多濫用的可能。潛在的濫用包括:

P2P:抛開合法性不談,如果通過Tor網絡來進行大量數據的傳輸,這就有些不禮貌了,畢竟洋蔥路由器是由志願者,花費自己的帶寬創建起來的。

E-mail:匿名的SMTP很容易導緻垃圾郵件的産生,一般Tor節點的“出口政策”,都拒絕對外連接到端口25(smtp的端口)。

蓄意破壞:由于不會被識破,用戶有時會利用Tor來對協作網站進行破壞,這導緻許多的網站,決定部分限制對Tor的通訊。

Tor不僅可以提供客戶端的匿名訪問,Tor還可以提供服務器的匿名。通過使用Tor網絡,用戶可以維護位置不可知的服務器。當然如果要訪問這個隐蔽的服務,客戶端也得安裝Tor。

通過Tor指定的頂級域名(Top Level Domain,TLD).onion,可以訪問其隐藏的服務。Tor網絡可以識别自己的TLD,并自動路由到隐藏的服務。然後,隐藏的服務将請求交由标準的服務器軟件進行處理,這個服務器軟件應該預先進行配置,從而隻偵聽非公開的接口。如果這個服務還可以通過公共的因特網來訪問,那也會受到相關連的攻擊,這樣就沒有真正的隐藏起來。

Tor隐藏服務有個另外的好處,由于不需要公開的IP地址,服務就可以躲在防火牆和NAT背後。

Tor在中國大陸被許多人用于突破防火長城,這主要是因為中國大陸屏蔽了大量的海外網站和服務器。Tor會自動檢測節點是否可達目标地址。如果返回錯誤無法到達,它會自動更換節點。相應地,這種技術也可以用在中國境外模拟中國境内的節點,以訪問一些境外無法訪問的内容。

而防火長城對于Tor一直沒有很好的解決方法。現行比較有效的方法是對未使用SSL(HTTPS)加密的連接進行特征檢測并重置連接,或對已知節點和網橋進行IP地址屏蔽,也有在中國境内創建Tor的虛假節點以對通過其傳輸的數據進行最大限度的審查。

作為反制,有部分大陸網民自發在中國境内建起網橋,幫助中國境内未能連接上Tor網絡的用戶連接。

使用網橋

2009年9月以後的一段時間内,使用的Tor的0.2.1.19版本,并不使用網橋的情況之下無法創建Tor的連接。然而使用的Tor的穩定版0.2.1.20,仍能夠創建Tor的連接,突破網絡封鎖且不需要勾選“ISP阻擋了對Tor網絡的連接”的選項,即使用網橋。從理論上來說,在使用網橋的情況下,Tor的總能創建連接,而不被封鎖,因為網橋是可以動态更新的。

2010年6月3日前後的一段時間内,使用Tor的0.2.1.26版本,在使用Bridges的情況之下,創建Tor的連接也相當的困難,顯示的信息是“創建Tor回路failed”,這說明防火長城成功偵測并截斷了Tor的連接。但Tor的連接一旦創建後切斷并不容易,所以Tor一旦成功創建連接後就無法被防火長城幹擾。同年8月前後至今,Tor又可以連接上。據全球互聯網自由聯盟上的用戶說,隻要加一次網橋,接下來就可以輕松連上Tor網絡。

但在2011年1月之後,據大陸的網民反映Tor即使更換了網橋也無法正常連接上,但事實上這是網橋已經被屏蔽的結果。對于長期頻繁使用和連接Tor的用戶來說,由于Tor會緩存節點路由信息,所以隻要這些節點或網橋沒被封鎖,他們照樣能正常使用Tor。

自2011年10月後,當中國的一個Tor客戶端與美國的網橋中繼創建連接,一個中國的數據探針會在15分鐘周期内嘗試與Tor進行SSL協商和重協商,但目的不是創建TCP連接。12月後這種行為停止。

相關詞條

相關搜索

其它詞條