О важности исключения выходных узлов в TOR.

[PANDORA]

О важности искючения выходных узлов в TOR.

Всем прекрасно известно, что TOR скрывает реальный IP адрес и шифрует трафик. Однако немногие понимают принцип работы "Лукового маршрутизатора". Попробую доступно и понятно рассказать об этом роутере и о важности исключения выходных узлов.

Для справки: То, что многие называют тором на самом деле не тор, а тор браузер. Тор браузер это комплекс для анонимного сёрфинга, который состоит из:

1. Браузера Mozilla Firefox
2. TOR (The Onion Router)
3. Адд-она HTTPS Everywhere
4. Адд-она NoScript
5. Адд-она TOR Button
6. Адд-она UBlock Origin
7. Конфигуратора

Принцип работы TOR.

Без тора пакеты от нашей машины до конечного сайта идит на прямую. То есть конечный сайт видит наш IP адрес:

При запуске TOR генерируются несколько цепочек, каждая из которых состоит из трех случайных злов: входного, среднего и выходного. При том каждый пакет трижды шифруется. После этого пакеты идут от нашей машины на первый узел. Он снимает первый слой шифрования, видит куда направить пакет дальше и передает его на средний узел. Средний узел снимает второй слой шифрования, видит куда направить пакет и шлет его на выходной узел, где с пакета снимается последний слой шифрования, после чего НЕШИФРОВАННЫЙ пакет отправляется на конечный сайт:

Срок жизни цепочки по умолчанию - 10 минут. Через десять минут все три узла поменяются случайным образом и цепочка станет выглядеть например вот так:

Вроде все отлично, однако лишь на первый взгляд. В отличии от i2p где пакеты передаются по нескольким тунелям с "односторонним движением" в TOR все пакеты идут по одной цепочке как от нас к адресату, так и от адресата обратно к нам. А это значит, что если выходной узел захвачен "вероятным противником" или же вовсе создан им (что чаще всего и происходит) то мы можем поиметь неприятности, одна из которых - анализаторы трафика.

В тор браузере для предотващения этого по умолчанию включен адд-он HTTPS Everywhere. А он так же по умолчанию настроен на запуск SSL шифрования ЕСЛИ ЭТО ПОДДЕРЖИВАЕТСЯ сайтом или сервером. Если же нет - то он пропустит нешифрованный HTTP трафик - который может заснифить даже школьник. В результате можно потерять учетные записи и много другой конфиденциальной информации.

Стратегия защиты.

Предотвратить это с помощью двух настроек. Первая - исключению узлов которые могут пренадлежать "вероятному противнику". Вторая - перевод адд она HTTPS Everywhere в режим "Block all unencrypted request".

Для исклчения узлов в TOR нам нужно найти его конфигуратор. Файл конфигурации называется torrc и выглядит как обычный текстовый файл. В низ этого файла необходимо дописать следующую строчку:

Код:
ExcludeExitNodes {ru}, {ua}, {by}
Затем сохраняем файл и перезапускаем TOR или тор браузер. Отслеживать цепочки можно либо в Tor Button (если у вас Windows) либо с помощью Onion Circuits (Если у вас Linux).Продвинутые пользователи Linux могут вместо этого использовать TOR ARM - который не просто показывает цепочки но и позволяет конфигурировать роутер:

TOR ARM:

Android OS.

В настройках Orbot так же можно исключить узлы, но не выходные, а все. Ищем опцию ExcludeNodes и вписываем то же самое (буквы изменятся на заглавные).

Мануал написан эксклюзивно для форума ruTOR.
При написании использовались следующие материалы:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[SeriousBud]

Забыл одну важную деталь:
траффик сниффать возможно только при выходе в клирнет,
при сёрфинге в зоне .onion запрещать ноды неактуально и даже вредно для анонимности, траффик полностью зашифрован от клиента до сайта.

 

[DarkNode]

Советую почитать про

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

на другом ресурсе.



ТС, почему ты про Windows не вспомнил в статье?

 

[Mturin]

StrictNodes не указывал на WG, все работает как нужно....(ExcludeExitNodes {ru}, {ua}, {by})

 

[PANDORA]

Забыл одну важную деталь:
траффик сниффать возможно только при выходе в клирнет,
при сёрфинге в зоне .onion запрещать ноды неактуально и даже вредно для анонимности, траффик полностью зашифрован от клиента до сайта.

Верно. Однако тех кто не выходит из *.onion единицы, а учитываю мою ЦА таких и вовсе нет.

StrictNodes не указывал на WG, все работает как нужно....(ExcludeExitNodes {ru}, {ua}, {by})

Да парень так упорно хотел выставить меня дураком, что в итоге дураком оказался сам. Он правильно написал - есть такая опция. Нужна она вот почему. Если использовать вместо ExcludeExitNodes опцию ExcludeNodes (которая исключает ВСЕ узлы, а не только выходы) и при этом составить список из скажем 10 исключенных доменов в которые попадут все страны рядом с твоей (а их всего 249) то может произойти ситуация когда к серверу все узлы всех цепочек в исключенных. Тогда роутер нарушит конфигурацию и все равно использует один из исключенных узлов. А опция StrictNodes не позволяет ему это сделать. Однако речь идет об исключении только выходов. Исключение 3 доменов из 249 из возможных ВЫХОДНЫХ узлов даже в теории не может привести к такой ситуации.

 

[PANDORA]

Дополнение:

ExcludeExitNodes {ru},{ua},{by},{lv},{md},{??}

последние две отключают все узлы которые не удалось идентифицировать.

​

 

[poravalit]

А можете дать какой-нибудь комментарий по инструментарию ОС Parrot? (на картинке выше). Именно в целях большей анонимизации и защиты от проникновения.
И реальных возможностей по взлому и проникновению?

 

[pp_runion]

Код:
ExcludeExitNodes {ru}, {ua}, {by}

Как эта запись помогает с точки зрения анонимности, безопаности?

 

[Nonoanigilist]

Как эта запись помогает с точки зрения анонимности, безопаности?

Исключает выходные ноды. От которых трафик на целейвой сайт идёт без шифрования.

 

[pp_runion]

ну допустим нода под фбр. они выяснили что ты зашел на рутор и возможно спиздили токен там или еще чего. логин пасс. им это каким макаром интересно? что они получат за раскрытие этого преступления?

и другой вопрос когда наши сотрудники подловили дилера на входе. им это информация может дать определенные бонусы - от очередного раскрытого дела до внеочередного звания. так понятнее?

А почему нода под ФБР? Под нашими ментами ведь

 

[Old_Mo]

Как всегда все изложено понятно, а о настройке Джаббера нет статьи случаем? И про Рикошет было бы интересно почитать.
[doublepost=1531846414][/doublepost]

Ну да, ведь если ты или я можем арендовать VPS-ку, то менты такого точно делать не умеют

я не думаю что проблема в технической части. скорее в правовой и финансовой.

Думаю проблема больше в профессиональных навыках и мотивации, даже если найдется такой ментеныш, который догадается замутить такой узел, будет реальная проблема объяснить престарелому начальнику, что это такое и для чего надо, даже если это удалось, как начальник учившийся читать еще при керосиновой лампе, объяснит эти расходы такой же замшелой бухгалтерше, предположим все удалось, что получит технарь в случае успеха? Одобрительное похлопывание по плечу? А оно ему надо?
Так что если такой узел и поднимут это будут люди из спецслужб, но если вы не работаете в трансграничной сфере или не ручкаетесь с терррористами, вы им не сильно будете интересны.

 

[Versa]

В настройках Orbot так же можно исключить узлы, но не выходные, а все. Ищем опцию ExcludeNodes и вписываем то же самое (буквы изменятся на заглавные).
Я что то не очень понял куда это вписывать и это ли вписывать. Нашел пункт "пользовательские настройки Torrc на андройде в Orbot и скопировав вставил, правильно? Или не туда?
А, все, разобрался, нашел вашу тему, предыдущую, про настройки для андройд, хотя там ниписано про выходные ноды.

 

[BuyMe.Маркет]

ТС, почему ты про Windows не вспомнил в статье?

Потому что Windows, херня а не анонимность)

 

[Xander]

Потому что Windows, херня а не анонимность)

Уберите ваш ключ под спойлер!

 

[Zerozet]

Получается блокируются русские и укрпинские узли?!

 

[PANDORA]

Получается блокируются русские и укрпинские узли?!

ExcludeExitNodes {ru},{ua},{by},{??}
StrictNodes 1

вот такими строками блокируются русские, украинские, белорусские узлы, а так же узлы чей домен не удалось определить.

 

[Per_Se]

Подскажите, пожалуйста, команду для запрещения использовать цепочку состоящую из нод только одной страны.

 

[zxc12]

Подскажите, пожалуйста, команду для запрещения использовать цепочку состоящую из нод только одной страны

Бро, ну ты чё, яж тебе в другой теме ответил уже, ты саму статью читал вообще?
Или просто прям носом тыкнуть надо (без обидняков)

Для исклчения узлов в TOR нам нужно найти его конфигуратор. Файл конфигурации называется torrc и выглядит как обычный текстовый файл. В низ этого файла необходимо дописать следующую строчку:

Код:
ExcludeExitNodes {ru}, {ua}, {by}
Затем сохраняем файл и перезапускаем TOR или тор браузер.

 

[Per_Se]

Бро, ну ты чё, яж тебе в другой теме ответил уже, ты саму статью читал вообще?
Или просто прям носом тыкнуть надо (без обидняков)

Это ты не понял. Я знаю как исключать страны. Я спрашивал как запретить составлять цепочку из нод только одной страны. Например DE, DE и DE, то есть все ноды в цепочке из Германии.

 

[zxc12]

как запретить составлять цепочку из нод только одной страны. Например DE, DE и DE, то есть все ноды в цепочке из Германии.

ExcludeNodes {de} - исключение страны из цепочки нод
EntryNodes {xx} - желаемые домены стран для входа в tor
ExitNodes {xх} - домены желаемых стран выхода
ExcludeNodes 255.254.0.0/8 - исключение по Ip

Сразу надо задавать вопрос правильно