Tor

Описание Tor

Tor — это бесплатное программное обеспечение и открытая сеть, которая помогает вам защититься против анализа трафика, форм сетевого надзора, которые угрожают персональной свободе и приватности, способствует конфиденциальности бизнес активности и связей, а также государственной безопасности.

Сеть Tor — это группа серверов под управлением добровольцев, которая позволяет людям увеличить их приватность и безопасность в Интернете. Пользователи Tor в этой сети подключаются через серию виртуальных туннелей, а не напрямую, что позволяет как организациями, так и частным лицами обмениваться информацией по публичным сетям не ставя под угрозу свою приватность. Наряду с этим, Tor — это эффективный инструмент для обхода цензуры, позволяющий его пользователям получать доступ к заблокированным ресурсам или контенту. Tor также может использоваться как строительный кирпичик разработчиками программного обеспечения для создания новых инструментов коммуникации с встроенными функциями приватности.

Частные лица используют Tor для предотвращения слежки веб-сайтами за ними и за членами их семьи, или для подключения к новостным сайтам, службам мгновенных сообщений или чему-то подобному, когда они заблокированы их местными Интернет-провайдерами. Скрытые службы Tor позволяют пользователям публиковать веб-сайты и другие сервисы без необходимости раскрывать расположение этого сайта. Частные лица также используют Tor для социально чувствительных взаимодействий.

Для некоторых ситуаций Tor является достаточным инструмент по сокрытию своего реального IP, для обхода региональных блокировок и для защиты трафика от перехвата/анализа/модификации на некоторых этапах. Нужно хорошо понимать, что выходные узлы Tor получают трафик в исходном виде, в том, в котором он был отправлен с вашего компьютера, и в котором ваш компьютер его получит. А настроить свой выходной узел может абсолютно кто угодно, без формальных проверок. На этом узле может иметься любое программное обеспечение, в том числе модифицированный Tor. Если этот трафик не зашифрован, то возможна его запись, модификация, сбор учётных данных, и другие методики, применяемые при атаке человек-посередине, например, подмена (спуфинг) DNS ответов, заражение исполнимых файлов бэкдорами и прочее, также возможно проведение атак для понижения HTTPS до HTTP. Ещё нужно помнить, что от выходного узла до цели назначения и обратно, трафик также передаётся в исходном виде.

Tor ни в коем случае нельзя расценивать как абсолютное средство, способное полностью обеспечить анонимность и безопасность трафика. Поскольку таковым оно не является даже по своему исходному дизайну. Нельзя исключать случайные и сознательные ошибки, уязвимости (уже имели место). Нельзя полагаться на скрытые сервисы ни в качестве их создателя, ни в качестве потребителя, поскольку практика показывает, что их «скрытость» не является серьёзным препятствием для правоохранительных органов. Также на Tor нужно смотреть в общем контексте, при котором государство, поддерживающее Tor, принуждает к «сотрудничеству» (читай соучастию в преступлении против народа) IT гигантов, имеющих дело с персональными данными, а в противном случае доводит компании до закрытия (например, Lavabit). В этом контексте нет места независимой и неподконтрольной сети. Тем не менее, из Tor'а можно извлекать для себя выгоду и это нужно делать, но при этом чётко понимать и всегда держать в голове, как минимум, очевидные риски.

Кроме особенностей дизайна сети Tor, постоянно ведутся исследования по поиску методов раскрытия анонимности пользователей данной сети. Далеко не все они являются публичными. Но даже среди публичных имеются относительно успешные техники: анализ профилей активности, массовое внедрение в сеть подконтрольных узлов, использование эксплуатаций различного программного обеспечения, использование особенностей работы некоторых протоколов (например, torrent-трафика) и т.д.

Домашняя страница: https://www.torproject.org/

Автор: Tor Project

Лицензия: модифицированная лицензия BSD

Справка по Tor

Запуск:

tor -f <torrc> [args]

Руководство по Tor

ИМЯ

tor — луковый маршрутизатор второго поколения.

СИНОПСИС

tor [ОПЦИЯ значение]...

ОПИСАНИЕ

Tor — это служба анонимизации соединений. Данные передаются по случайным узлам, которые имеют информацию только о предыдущем и последующем узле, но не о других. При передаче трафика используется его шифрование, тем не менее, последний узел — выходной узел Tor — имеет дело с трафиком в открытом виде.

В общих чертах, Tor обеспечивает распределённую сеть серверов и трансляторов («луковая маршрутизация»).

Пользователи перебрасывают свои TCP потоки — веб-трафик, ftp, ssh и т. д. — по сети, и получатели, наблюдатели и даже сами трансляторы испытывают трудности по отслеживанию источника потока.

По умолчанию tor действует только как клиент. Для помощи сети путём предоставления транслятора, измените опцию настройки ORPort — подробности ниже.

ОПЦИИ КОМАНДНОЙ СТРОКИ

-h, -help

Показать короткую справку и выйти.

-f ФАЙЛ

Задать новый конфигурационный файл, содержащий последующие опции настройки Tor ИЛИ передать - [тире] для того, чтобы Tor считывал опции конфигурации из стандартного ввода (По умолчанию: /etc/tor/torrc или $HOME/.torrc, если этот файл не найден)

--allow-missing-torrc

Не требовать, чтобы файл конфигурации, указанный с опцией -f, существовал, если стандартный файл torrc может быть доступен.

--defaults-torrc ФАЙЛ

Указывает файл, в котором искать значения по умолчанию для опций Tor. Содержимое этого файла перезаписывается регулярным конфигурационным файлам и значениями опций командной строки. (По умолчанию: /etc/tor/torrc-defaults.)

--ignore-missing-torrc

Указывает, что Tor должен обработать отсутствующий файл torrc как если бы он был пустым. Обычно Tor делает это для отсутствующих по умолчанию стандартных файлов torrc, но не для тех, которые указаны в командной строке.

--hash-password ПАРОЛЬ

Генерирует хеш пароля для доступа порта управления.

--list-fingerprint

Генерирует ваши ключи и выводит ваш никнэйм и отпечатки.

--verify-config

Проверяет конфигурационный файл на правильность.

--service install [--options опции командной-строки]

Устанавливает экземпляр Tor в качестве службы Windows с переданными опциями командной строки. Актуальную инструкцию можно найти на https://www.torproject.org/docs/faq#NTService

--service remove|start|stop

Удаляет, запускает или останавливает сконфигурированную службу Tor в Windows.

--nt-service

Используется внутренне для реализации службы Windows.

--list-torrc-options

Список действительных опций.

--version

Показать версию Tor и выйти.

--quiet|--hush

Переопределяет консольный журнал по умолчанию. По умолчанию, Tor начинает протоколирование сообщений в консоль на уровне «уведомления» и выше. После разбора своей конфигурации, он перестаёт это делать, если конфигурация говорить ему вести журнал где-либо ещё. Вы можете переопределить это поведение опцией --hush, которая говорит Tor'у отправлять в консоль только предупреждения и ошибки, или опцией --quiet, которая говорит Tor'у вообще не писать в консоль.

--keygen [--newpass]

Запуск "tor --keygen" создаёт новый идентификационный мастер ключ ed25519 для транслятора. Опционально вы можете зашифровать идентификационный мастер ключ парольной фразой: Tor спросит у вас её. Если вы не хотите шифровать мастер ключ, просто не вводите парольную фразу, когда она спрашивается.

Опцию --newpass следует использовать с --keygen только когда вам нужно добавить, изменить или удалить парольную фразу на существующий идентификационный мастер ключ ed25519. У вас появиться запрос старой парольной фразы (если она установлена) и нового пароля (если нужен).

При генерации мастер ключа, вы возможно захотите использовать --DataDirectory для контроля, куда нужно сохранить ключи и сертификаты и --SigningKeyLifetime для контроля их время жизни. Их поведение документировано ниже в разделе опций сервера. (У вас должны быть права записи, в указанную с опцией --DataDirectory директорию.)

Для использования сгенерированных файлов вы должны скопировать их в директорию DataDirectory/keys вашего демона Tor, и убедиться, что они принадлежат пользователю, фактически запустившему демон Tor на вашей системе.

Другие опции могут быть указаны в командной строке в формате "--опция value", в формате "опция значение" или в конфигурационном файле. Например, вы можете сказать Tor'у начать прослушивать SOCKS подключения на порту 9999, передав ему -SocksPort 9999 или SocksPort 9999 в командную строку, или разместив "SocksPort 9999" в конфигурационном файле. Вам понадобиться взять в кавычки опции, в которых присутствуют пробелы: если вы хотите, чтобы Tor записывал в журнал все отладочные сообщения в debug.log, вам, вероятно, понадобиться сказать --Log debug file debug.log.

Опции в командной строке переписывают эти же опции из конфигурационных файлов. Смотрите следующую секцию для дополнительной информации.

ФОРМАТ КОНФИГУРАЦИОННОГО ФАЙЛА

Все конфигурационные опции в конфигурационном файле пишутся, по умолчанию, на отдельных строках. Их форма записи включает имя опции и значение или имя опции и строка в кавычках (опция значение или опция "значение"). Всё после символа # расценивается как комментарий. Опции чувствительны к регистру. Внутри заковыченных значений разрешено экранирование символов в стиле C. Для разбития одного пункта конфигурации на несколько строк, используйте одиночный символ обратного слэша (\) перед окончанием строки. В таких многострочных пунктах могут использоваться комментарии, но они должны начинаться с начала строки.

По умолчанию, опция командной строки перезаписывает опцию, найденную в конфигурационном файле и опция в конфигурационном файле перезаписывает эту опцию в файле defaults.

Это правило является простым для опций, которые принимают единичное значение, но оно может стать сложным для опций, которые разрешают более чем одно вхождение: если вы указали четыре SocksPorts в вашем конфигурационном файле, и ещё один SocksPort в командной строки, опция командной строки заменит все SocksPorts из конфигурационного файла. Если это не то что вам нужно, то перед именем опции добавьте знак плюс (+), и вместо полной замены её значение будет добавлено к предыдущему набору опций. Например, настройка SocksPort 9100 будет использовать только порт 9100, а настройка +SocksPort 9100 будет использовать порты 9100 и 9050 (поскольку этот устанавливается по умолчанию).

В качестве альтернативы вы можете захотеть удалить каждый экземпляр опции конфигурационного файла, а не заменять их все: вы можете, к примеру, сказать в командной строке, что вы вовсе не хотите SocksPorts. Чтобы это сделать, перед именем опции добавьте косую черту (/). Вы можете использовать знак плюс (+) и косую черту (/) в конфигурационном файле и в командной строке.

ОБЩИЕ НАСТРОЙКИ

Маркер среднего значения использования полосы пропускания всех соединений (в байтах в секунду) на этом узле для указанного порта и среднего значения использования исходящей полосы пропускания (это же значение). Если вы хотите запустить транслятор в публичной сети, то это значение должно быть по крайней мере 75 килобайт для транслятора (это 600 килобит) или 50 килобайт для моста (400 килобит), но, конечно, чем больше, тем лучше; если возможно, рекомендуется по крайней мере 250 килобайт (2 мегабита). (По умолчанию: 1 GByte)

С этой опцией, и другими опциями, принимающими аргументы в байтах, килобайтах и т. п., также поддерживаются другие форматы. Особенно "KBytes" могут быть записаны как "kilobytes" или "kb"; "MBytes" могут быть записаны как "megabytes" или "MB"; "kbits" могут быть записаны как "kilobits" и т. д. Tor также принимает "byte" и "bit" в единственном числе. Также распознаются префиксы "tera" и "T". Если единицы не указаны, то по умолчанию принимаются байты. Для избежания путаницы, рекомендуется явная запись "bytes" или "bits", поскольку легко забыть, что "B" означает байты, а не биты.

Маркер предела размера максимального всплеска (максимальной пропускной способности) всех соединений (также известный как burst), задаётся в числе байтов на каждое направление. По умолчанию: 1 GByte)

Если установлена эта настройка, то для нашего BandwidthRate будет объявляться пропускная способность не более той, которая указана здесь. Операторы серверов, кто хочет сократить количество клиентов, строящих через них маршруты (чем больше объявляемая полоса пропускания, тем больше клиентов) с помощью этой настройки могут снизить требования к центральному процессору на сервере, не влияя на производительность сети.

Если не 0, то устанавливает отдельный маркер общего среднего использования полосы пропускания _ретранслируемого трафика_ на этом узле на указанном порту в байтах в секунду и среднее использование исходящей полосы пропускания на это же значение. Ретранслируемый трафик в настоящее время рассчитывается для включения управляющих запросов, но это может быть изменено в будущих версиях. (По умолчанию: 0)

Если не 0, ограничивает максимальный размер маркера всех соединений (также известный как burst) для _ретранслируемого трафика_ на заданное количество байтов в каждом направлении. (По умолчанию: 0).

[В ПРОЦЕССЕ ПОДГОТОВКИ]