TOR与GFW的PK(1)
——MEEK,让Tor复活的英雄!
最近对于我们翻墙党来说最好的消息就是TOR复活了。从2010年开始,GFW逐渐把绝大部分TOR中继节点和目录服务器的IP都列入了黑名单,导致TOR无法在墙内独立联网,只能靠网桥,但不少网桥IP也被GFW加入了黑名单,导致这几年TOR的翻墙效果一直都不好。
不过最近出的meek插件和obfs4网桥又成功让TOR复活了,除了这两种,TOR团队还开发了几种流量混淆插件:FlashProxy,FTE(Format-Transforming Encryption,格式转换加密),FTE-IPv6,ScrambleSuit,还有几种停止开发了。
obfs4我已经介绍过了[1],这次我具体说说MEEK,在以后的系列里具体介绍一下其他插件。
先插一件事:我一直在强调当使用TOR+前置代理时,前置代理看到的是强加密的TOR流量,但有些人就想到了一个问题:从前置代理服务器到出口节点,自然是强加密的TOR流量(此时可以把前置代理服务器理解为本机,入口节点只知道代理服务器的IP地址),但从本机到代理服务器的这段路呢?是不是只有翻墙工具提供的加密处理,而对于代理服务器而言能看到明文呢?
答案是:不是,从本机到代理服务器的这段路也是强加密的TOR流量。
这里要引入一个概念:”原生支持HTTPS“。我曾经多次提过不原生支持HTTPS的翻墙工具(如goagent)无法成为TOR的前置代理,为什么呢?
所谓”原生支持HTTPS“简单来说就是当单独使用某一翻墙工具时,你可以直接连接到被墙的HTTPS网站而不用对操作系统做任何改动。对,像goagent那样要导入自己的数字证书就是在对操作系统进行改动(关于这一点,我会在接下来分析各翻墙手段原理及安全性时进行详细说明)。
或者说连接到HTTPS网站时,从本机到目标网站服务器都是TLS强加密[2](我用流程图说明一下这段过程)
对于原生支持HTTPS的翻墙软件来说,在连接HTTPS网站时远程服务器只知道用户连接了哪个网站以及真实IP(一重代理),而完全不知道传输内容(关于这一点,我以后会具体说明其中的原理,现在只要知道这个结论就行了)。
那么TOR+前置代理时情况也是一样的,TOR从设计上就保证了从本机到出口节点都是HTTPS强加密,中间不会有任何解密过程,自然远程服务器也不会知道你的传输内容(前提是翻墙工具要支持原生HTTPS,所以不支持原生HTTPS的GAE类翻墙工具无法成为TOR的前置代理)。
明白了这些,就可以开始说MEEK了。MEEK的原理是将TOR流量伪装成普通的云计算流量从而骗过GFW,成功翻墙。
具体来说就是这样一个过程:本机上的TOR客户端与云计算平台服务器进行通信(GAE,amazon,azure),再与MEEK SERVER进行通信,再先与目录服务器通信获得中继节点信息再连接到入口节点,搭建TOR环路(我在下面给出原理图)。这一段路也是原生支持HTTPS的(TOR自带的流量混淆插件都原生支持HTTPS),而且直到出口节点,你的数据都是被TLS强加密着的,如果目标网站支持HTTPS,还会一直强加密到目标网站服务器为止,除非进行中间人攻击,否则没人知道你干了什么。
MEEK高明的地方就在于GFW无法区分被混淆过的TOR流量和普通云计算流量,但又不敢封杀云计算IP,因为不少墙内公司都依赖这些云计算服务,贸然封封锁会造成严重的经济损失。
(不过事实上已经封杀了GAE,但有解决方案:
1,从这里https://gitweb.torproject.org/pluggable-transports/meek.git/tree/HEAD:/appengine下载app,然后修改google ID(就像修改goagent的proxy.ini一样),然后像goagent一样的方法上传[3]。
2,在https://cloud.google.com/appengine/downloads#Google_App_Engine_SDK_for_Go下载go_appengine与python,然后修改app.yaml中的google id号(替换里面的“meek-reflect”),然后再上传(运行go_appengine/goapp deploy)。可以像goagent一样上传多个,反正每个ID就1G的流量。
3,最后修改torrc文件,写上: UseBridges 1
Bridge meek 0.0.2.0:1 url=https://yourapphere.appspot.com/front=www.google.com
ClientTransportPlugin meek exec ./meek-client --log meek-client.log申请GAE账号是需要手机号的,不过可以绕过[4]
*或者可以直接修改host填上可用的google IP,meek-google就复活了。*)
其他两种meek插件(amazon和azura)分别依赖于amazon和微软的云平台,也是可以自行搭建后给自己用的,不过操作复杂不适合小白,有兴趣的技术党可以看这里[5],里面描述了搭建过程,可以自己试试。
下一篇我会讲讲ScrambleSuit,obfs4和ScrambleSuit的原理有相通之处,诸位就把下一篇当成对于这篇[6]的补充好了。
补充说明:后来Tor开发者又专门叙述了如何应对MEEK被屏蔽,请看https://plus.google.com/109790703964908675921/posts/26zCmDmjYXP
最后照例附上科普文链接集合:https://plus.google.com/u/0/109790703964908675921/about
参考资料:
1,TOR网桥,主动探测攻击和烧钱的GFW
https://plus.google.com/109790703964908675921/posts/aLcyVfcH7mP
2,SSL/TLS的原理以及互联网究竟是如何工作的(3)
————TLS的专场!
https://plus.google.com/109790703964908675921/posts/NwWoGQ9mcDY
3,http://allinfa.com/goagent-v322-gae.html
4,http://blog.sina.com.cn/s/blog_4c451e0e01018rdx.html
5,MEEK设计文档https://trac.torproject.org/projects/tor/wiki/doc/meek#Distinguishability
6,TOR网桥,主动探测攻击和烧钱的GFW
https://plus.google.com/109790703964908675921/posts/aLcyVfcH7mP
2015年10月11日星期日
Ghost Assassin的TOR与GFW的PK系列文章
Ghost Assassin的TOR与GFW的PK系列文章
==========
13
47
=================
TOR与GFW的PK(3)————披着羊皮的狼
话说可恶的共匪GFW对于加密流量那是特别关照啊,特别是对于出入443端口的HTTPS流量严加监视,一发现有异常就阻断,很多时候还故意随机丢包劣化传输质量,google2010年退出天朝市场之后就是遭到了此等待遇从而使自己在天朝的市场份额由30%多降到了不足3%[1]。
至于Tor,那更加是一直被GFW恨之入骨杀之而后快的,尤其是在GFW引入了基于DPI(Deep Packet Inspection,深度包检测)[2]的IDS(Intrusion Detecting System,入侵检测系统)[3]之后,特别的加密流量如Tor流量可以说被完全封杀了。怎么办呢?
英勇的Tor团队的成员们开始想办法了:“据研究大部分企业级和国家级的DPI都采用基于正则表达式[4]的检测算法,GFW很可能也是如此。”“对,天朝曾经向伊朗出口GFW技术[5],而伊朗采用的DPI—X就是采用基于正则表达式的检测算法的[6],那么天朝应该也一样。”
“GFW通过DPI识别协议并对“非法”协议进行封锁,阻断相应连接,但常用的合法协议(例如HTTP)只能放行,要是封锁了,那就等于直接断网了。”“那么就把狼披上羊皮吧!”
看上去正常的流量,看上去不正常的流量;可恶的GFW,杀死了加密的流量;穿上羊皮,恶狼变成了小羊;出入80端口的Tor,蒙在鼓里的GFW;冲向自由的互联网,对GFW宣战!试问,谁是幕后英雄?
FTE(Fomat-Transforming Encryption,格式转换加密)[7]!FTE成功把特别的加密Tor流量伪装成了明文的HTTP流量!事实上,FTE可以把输入的协议转换为任意指定的目标协议从而欺骗GFW!
“究竟是怎么一回事?加密流量变成非加密流量?”“不,不是变成非加密流量,而是进行格式转换把基于正则表达式的DPI检测算法给耍了,让基于DPI的IDS认为传输的是非加密流量。”
这么说吧,FTE实际上是这么一个工作流程:密钥生成,加密和解密。实际上,整个FTE就是在常规对称加密算法(基于AES的CTR模式[8])的基础上叠加了格式转换编码算法,加密时输入随机生成(实际上是通过精心设计的伪随机算法生成)密钥,数据和想要转换的数据包格式格式并将相应数据包先加密再转换为对应的格式,然后传输到FTE网桥(即服务器端)之后再进行解密得到数据。当然客户端并不是支持所有的格式的,所以输入的格式必须在客户端支持的格式集合当中。
“但是在加密之前必须要先协商好使用哪种格式以及进行密钥交换,要不然无法正常传输数据啊!”“没错,但很显然不能明文协商,否则直接被DPI了。”“那怎么办呢?”
FTE采用了这样一种协商策略:客户端将密钥和接下来的连接里采用的格式打包之后加密(这里存疑,密钥交换应该是和格式协商一起进行的,但我看了好几遍论文[7]里描述FTE记录层工作过程的部分都没有找到对密钥交换的说明,但密钥交换也只能和协商过程一起进行了,其他时候没有机会的),这种加密算法将massage伪装为任意一种合法格式,传输到服务器端之后服务器再一个个格式试着解密过去(服务器事先放置了解密密钥),直到成功解密为止。FTE特别的一点是上行(客户端到服务器端)流量和下行(服务器端到客户端)流量可以采用不同的伪装格式,协商的时候就可以选择好想要使用的格式。
“好像还有个中间人攻击的问题。”其实没有了,GFW拿不到服务器端事先放置好的解密密钥,没法获得后来的加密过程中使用的密钥,根本就无法进行中间人攻击。而且客户端还会进行数字签名(采用HMAC-SHA256签名算法[9]),GFW更是无从下手了”“对,同时还可以保证数据包不被篡改。”
说起来也没什么特别的:GFW用正则表达式识别谁是狼谁是小羊,那么FTE就把恶狼(Tor流量)给披上羊皮(进行格式转换,简单来说就是在加密数据的基础上重新构造数据包,让数据包的结构看起来像是被合法协议处理过的数据包),从而成功把GFW给耍了。
实验结果[7]表明FTE成功把那些基于DPI的IDS们耍的团团转,一个个的正则表达式检测算法全都失效了,不过GFW却没那么好对付:实验发现如果被FTE处理过的流量走443端口,就会遭到GFW的主动探测攻击[10],而FTE没有对于客户端的身份认证机制,无法对抗主动探测攻击,就这么被屏蔽了。不过,如果走80端口(也就是伪装成HTTP流量),GFW是无法识别的,可以成功突破封锁。
就像007一样,总是伪装成平民;就像英勇的47(玩过hitman系列的应该清楚),“喂喂,我是自己人”!对抗肮脏的DPI,需要勇气更要智慧;专心于一点,单调但聪明,耶耶,这就是对抗封锁的幕后英雄——FTE!
下一篇,Flashproxy!
最后附上科普文链接集合:https://plus.google.com/u/0/109790703964908675921/about
参考资料:
1,谷歌退出中国大陆事件https://zh.wikipedia.org/zh/%E8%B0%B7%E6%AD%8C%E9%80%80%E5%87%BA%E4%B8%AD%E5%9B%BD%E5%A4%A7%E9%99%86%E4%BA%8B%E4%BB%B6
2,Firewall Evolution – Deep Packet Inspectionhttp://leetupload.com/database/Misc/Papers/Web%20Papers/Firewall-Evolution-deep-packet-inspection.pdf
3,网络安全入侵检测 A 研究综述http://www.jos.org.cn/1000-9825/11/1460.pdf
4,正则表达式https://zh.wikipedia.org/zh/%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F
5,http://www.chinagfw.org/2014/03/blog-post_12.html
6,Iran Vows to Unplug Internethttp://www.wsj.com/news/articles/SB10001424052748704889404576277391449002016?mg=reno64-wsj&url=http%3A%2F%2Fonline.wsj.com%2Farticle%2FSB10001424052748704889404576277391449002016.html
7,Protocol Misidentification Made Easy with Format-Transforming Encryptionhttps://kpdyer.com/publications/ccs2013-fte.pdf
8,Comments to NIST concerning AES Modes of Operations:CTR-Mode Encryptionhttp://web.cs.ucdavis.edu/~rogaway/papers/ctr.pdf
9,https://en.wikipedia.org/wiki/Hash-based_message_authentication_code
10,TOR网桥,主动探测攻击和烧钱的GFWhttps://plus.google.com/109790703964908675921/posts/aLcyVfcH7mP
话说可恶的共匪GFW对于加密流量那是特别关照啊,特别是对于出入443端口的HTTPS流量严加监视,一发现有异常就阻断,很多时候还故意随机丢包劣化传输质量,google2010年退出天朝市场之后就是遭到了此等待遇从而使自己在天朝的市场份额由30%多降到了不足3%[1]。
至于Tor,那更加是一直被GFW恨之入骨杀之而后快的,尤其是在GFW引入了基于DPI(Deep Packet Inspection,深度包检测)[2]的IDS(Intrusion Detecting System,入侵检测系统)[3]之后,特别的加密流量如Tor流量可以说被完全封杀了。怎么办呢?
英勇的Tor团队的成员们开始想办法了:“据研究大部分企业级和国家级的DPI都采用基于正则表达式[4]的检测算法,GFW很可能也是如此。”“对,天朝曾经向伊朗出口GFW技术[5],而伊朗采用的DPI—X就是采用基于正则表达式的检测算法的[6],那么天朝应该也一样。”
“GFW通过DPI识别协议并对“非法”协议进行封锁,阻断相应连接,但常用的合法协议(例如HTTP)只能放行,要是封锁了,那就等于直接断网了。”“那么就把狼披上羊皮吧!”
看上去正常的流量,看上去不正常的流量;可恶的GFW,杀死了加密的流量;穿上羊皮,恶狼变成了小羊;出入80端口的Tor,蒙在鼓里的GFW;冲向自由的互联网,对GFW宣战!试问,谁是幕后英雄?
FTE(Fomat-Transforming Encryption,格式转换加密)[7]!FTE成功把特别的加密Tor流量伪装成了明文的HTTP流量!事实上,FTE可以把输入的协议转换为任意指定的目标协议从而欺骗GFW!
“究竟是怎么一回事?加密流量变成非加密流量?”“不,不是变成非加密流量,而是进行格式转换把基于正则表达式的DPI检测算法给耍了,让基于DPI的IDS认为传输的是非加密流量。”
这么说吧,FTE实际上是这么一个工作流程:密钥生成,加密和解密。实际上,整个FTE就是在常规对称加密算法(基于AES的CTR模式[8])的基础上叠加了格式转换编码算法,加密时输入随机生成(实际上是通过精心设计的伪随机算法生成)密钥,数据和想要转换的数据包格式格式并将相应数据包先加密再转换为对应的格式,然后传输到FTE网桥(即服务器端)之后再进行解密得到数据。当然客户端并不是支持所有的格式的,所以输入的格式必须在客户端支持的格式集合当中。
“但是在加密之前必须要先协商好使用哪种格式以及进行密钥交换,要不然无法正常传输数据啊!”“没错,但很显然不能明文协商,否则直接被DPI了。”“那怎么办呢?”
FTE采用了这样一种协商策略:客户端将密钥和接下来的连接里采用的格式打包之后加密(这里存疑,密钥交换应该是和格式协商一起进行的,但我看了好几遍论文[7]里描述FTE记录层工作过程的部分都没有找到对密钥交换的说明,但密钥交换也只能和协商过程一起进行了,其他时候没有机会的),这种加密算法将massage伪装为任意一种合法格式,传输到服务器端之后服务器再一个个格式试着解密过去(服务器事先放置了解密密钥),直到成功解密为止。FTE特别的一点是上行(客户端到服务器端)流量和下行(服务器端到客户端)流量可以采用不同的伪装格式,协商的时候就可以选择好想要使用的格式。
“好像还有个中间人攻击的问题。”其实没有了,GFW拿不到服务器端事先放置好的解密密钥,没法获得后来的加密过程中使用的密钥,根本就无法进行中间人攻击。而且客户端还会进行数字签名(采用HMAC-SHA256签名算法[9]),GFW更是无从下手了”“对,同时还可以保证数据包不被篡改。”
说起来也没什么特别的:GFW用正则表达式识别谁是狼谁是小羊,那么FTE就把恶狼(Tor流量)给披上羊皮(进行格式转换,简单来说就是在加密数据的基础上重新构造数据包,让数据包的结构看起来像是被合法协议处理过的数据包),从而成功把GFW给耍了。
实验结果[7]表明FTE成功把那些基于DPI的IDS们耍的团团转,一个个的正则表达式检测算法全都失效了,不过GFW却没那么好对付:实验发现如果被FTE处理过的流量走443端口,就会遭到GFW的主动探测攻击[10],而FTE没有对于客户端的身份认证机制,无法对抗主动探测攻击,就这么被屏蔽了。不过,如果走80端口(也就是伪装成HTTP流量),GFW是无法识别的,可以成功突破封锁。
就像007一样,总是伪装成平民;就像英勇的47(玩过hitman系列的应该清楚),“喂喂,我是自己人”!对抗肮脏的DPI,需要勇气更要智慧;专心于一点,单调但聪明,耶耶,这就是对抗封锁的幕后英雄——FTE!
下一篇,Flashproxy!
最后附上科普文链接集合:https://plus.google.com/u/0/109790703964908675921/about
参考资料:
1,谷歌退出中国大陆事件https://zh.wikipedia.org/zh/%E8%B0%B7%E6%AD%8C%E9%80%80%E5%87%BA%E4%B8%AD%E5%9B%BD%E5%A4%A7%E9%99%86%E4%BA%8B%E4%BB%B6
2,Firewall Evolution – Deep Packet Inspectionhttp://leetupload.com/database/Misc/Papers/Web%20Papers/Firewall-Evolution-deep-packet-inspection.pdf
3,网络安全入侵检测 A 研究综述http://www.jos.org.cn/1000-9825/11/1460.pdf
4,正则表达式https://zh.wikipedia.org/zh/%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F
5,http://www.chinagfw.org/2014/03/blog-post_12.html
6,Iran Vows to Unplug Internethttp://www.wsj.com/news/articles/SB10001424052748704889404576277391449002016?mg=reno64-wsj&url=http%3A%2F%2Fonline.wsj.com%2Farticle%2FSB10001424052748704889404576277391449002016.html
7,Protocol Misidentification Made Easy with Format-Transforming Encryptionhttps://kpdyer.com/publications/ccs2013-fte.pdf
8,Comments to NIST concerning AES Modes of Operations:CTR-Mode Encryptionhttp://web.cs.ucdavis.edu/~rogaway/papers/ctr.pdf
9,https://en.wikipedia.org/wiki/Hash-based_message_authentication_code
10,TOR网桥,主动探测攻击和烧钱的GFWhttps://plus.google.com/109790703964908675921/posts/aLcyVfcH7mP
======================
TOR与GFW的PK(4)
======================
====================
关于TOR使用问题的补充
我写过一堆关于TOR的文章(链接集合https://plus.google.com/u/0/109790703964908675921/about),现在发现有一些遗漏,特此写一个FAQ供大家参考:
1,如何获得TOR软件?
答:https://www.torproject.org/download/download-easy.html.en这是官网下载地址,有些人的PC不能翻墙,那么就先百度“代理服务器”找一个代理临时翻一下墙,就可以去下载了,或者百度“科学上网”或“VPN”找一个翻墙工具凑合一下,先出来再下载;一定要去官网,别的地方的软件有可能是被伪装的木马。
2,TOR BROWSER需要安装吗?
答:不需要安装,只有一个解压过程,这是绿色软件,不需要管理员权限就可以运行。
3,TOR可以直接连接吗?
答:墙内无法直接连接,必须加上前置代理或者利用网桥中继或新出的MEEK插件才能连接上。
4,为什么我设置了前置代理还是连不上?
答:设置前置代理之前需要保证这个前置代理是可用的(也就是可以单独拿来翻墙的),如果前置代理是VPN,那就无需任何设置,直接在第一步设置时选择连接即可;如果不是,那么就要选择“配置”选项,在下一步选择设置前置代理,然后填上相应的端口号,自由门是127.0.0.1 8580(HTTP/HTTPS)无界是127.0.0.1 9666(HTTP/HTTPS) shadowsocks是127.0.0.1 1080(SOCKS5)(也可能有服务器的本地端口是自定义的,那么就填写自定义端口)SSH 是127.0.0.1 7070(SOCKS5) 赛风三是127.0.0.1 1080(SOCKS5),GAE类(goagent,wallproxy,还有一些一键翻墙包)翻墙工具没法成为TOR的前置代理,lantern大家自己试吧,我不清楚他的原理,不想贸然使用。
设置之前前置代理就要开着,设置好连接成功后就要和TOR一起一直开着,还有就是不能关闭那个TOR BROWSER(如果你想用其他浏览器的话),关闭了Tor Browser,TOR也会随之关闭。
4,最新版TOR Browser为什么不能编辑删除证书?
答:这是最新版的BUG,迄今为止还没能被修复,大家可以去TOR官网反映BUG,除此之外只能等待了,考虑到共匪的中间人攻击越来越疯狂(这几个月都发生五次国家级中间人攻击了,分别针对google,github,微软hotmail,yahoo以及苹果icloud),建议大家暂时改用没有BUG的firefox或chrome,同时轰走所有天朝证书https://plus.google.com/109790703964908675921/posts/XfgEeXNQAJy
5,我可以使用其他浏览器,是吧?
答:的确可以,但你需要进行一些相应的隐私设置:首先,firefox下载autoproxy,chrome下载proxyswitchysharp扩展,然后新建情景模式,填上127.0.0.1 9150,选择socksv5,再保存,激活扩展,点击选择刚刚新建的情景模式(名字随便取,建议用TOR),然后再安装上这几款扩展:NoScript(chrome中叫ScriptSafe,激活后请默认禁止加载所有JavaScript,网页要是显示不正常再一个个放行),disconnect,PrivacyBadger,User-Agent Switcher(或者名字类似的,能切换User-agent的),Ghostery,Notify Headers(或者名字类似的,能修改HTTP Headers的),EditThisCookie(方便及时删除cookie),adblock plus,都要启用,同时禁止所有插件运行(chrome在选项里可以禁用插件,firefox直接点击附加组件,在里面可以禁用插件),禁止第三方cookie(都是在选项里选择禁止)以上工作做好之后就能够在很大程度上躲避追踪保护隐私了。
6,为什么你不推荐Vadalia(TOR的图形界面,带有显示节点所在地的功能?)
答:因为Vadalia从2012年开始就再也没有更新过了,只有TOR Browser一直更新着,不过我想推荐一下两个基于TOR的即时更新的项目:Tor Ranger(http://allinfa.com/toranger-177-tor.html)和BlackBeltPrivacy(http://allinfa.com/blackbelt-privacy-v3201410-tor-waste.html)。还有个Advanced Onion Router(http://allinfa.com/advanced-onion-router-v03020.html),有段时间没更新了,但比Vadalia要新不少,可以代替Vadalia。
7,我想用网桥中继,该怎么设置?
答:前置代理和网桥中继只能二选一,否则很大可能无法正常连接。如果选了网桥中继,那么前一步就不能设置前置代理。在下一步选择“我的ISP封锁了TOR”,进入网桥设置界面,最新版推荐首先尝试那三个MEEK插件,大部分都能连上,如果不行,尝试集成的obfs3网桥,再不行就要想办法获取网桥,看这里http://allinfa.com/tor-links.html
8,怎样设置torrc文件?
答:打开TOR Browser文件目录下的torrc(Browser->Tor Browser->data->tor,就能看到torrc文件),在最后添加如下语句(一句一行,括号里的是我的解说,不要加进去):
AvoidDiskWrites 1(减少硬盘读写)
SocksListenAddress 127.0.0.1
ControlPort 9151
SocksPort 9150(前面三个分别是本机监听地址,控制端口与本机端口)
HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C(控制端口密码验证)
DirReqStatistics 0(防止默认写入相关数据)
ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}(上面两行都是排除可疑国家的蜜罐节点)
StrictNodes 1(强制执行)
如果使用网桥中继,那么还要加上: UpdateBridgesFromAuthority 1
9,我只用TOR就能保持匿名了吗?
答:不行,使用TOR只是保持匿名的重要手段之一,要想真正做到匿名还要做不少工作,可以好好看看https://plus.google.com/u/0/109790703964908675921/about里面匿名和浏览器安全与隐私保护这两个分类下的科普。
10,TOR支持移动端吗?
答:android平台上有一个Tor Orbot,墙内无法直连,链接https://guardianproject.info/apps/orbot/,但我建议对于移动端采取完全不信任的态度,因为移动端在安全领域成熟度远不如PC端,而且墙内移动硬件有后门的可能性很大。不过还是可以想办法提升安全性:不要用国产App,选择国外大品牌的水货。
我写过一堆关于TOR的文章(链接集合https://plus.google.com/u/0/109790703964908675921/about),现在发现有一些遗漏,特此写一个FAQ供大家参考:
1,如何获得TOR软件?
答:https://www.torproject.org/download/download-easy.html.en这是官网下载地址,有些人的PC不能翻墙,那么就先百度“代理服务器”找一个代理临时翻一下墙,就可以去下载了,或者百度“科学上网”或“VPN”找一个翻墙工具凑合一下,先出来再下载;一定要去官网,别的地方的软件有可能是被伪装的木马。
2,TOR BROWSER需要安装吗?
答:不需要安装,只有一个解压过程,这是绿色软件,不需要管理员权限就可以运行。
3,TOR可以直接连接吗?
答:墙内无法直接连接,必须加上前置代理或者利用网桥中继或新出的MEEK插件才能连接上。
4,为什么我设置了前置代理还是连不上?
答:设置前置代理之前需要保证这个前置代理是可用的(也就是可以单独拿来翻墙的),如果前置代理是VPN,那就无需任何设置,直接在第一步设置时选择连接即可;如果不是,那么就要选择“配置”选项,在下一步选择设置前置代理,然后填上相应的端口号,自由门是127.0.0.1 8580(HTTP/HTTPS)无界是127.0.0.1 9666(HTTP/HTTPS) shadowsocks是127.0.0.1 1080(SOCKS5)(也可能有服务器的本地端口是自定义的,那么就填写自定义端口)SSH 是127.0.0.1 7070(SOCKS5) 赛风三是127.0.0.1 1080(SOCKS5),GAE类(goagent,wallproxy,还有一些一键翻墙包)翻墙工具没法成为TOR的前置代理,lantern大家自己试吧,我不清楚他的原理,不想贸然使用。
设置之前前置代理就要开着,设置好连接成功后就要和TOR一起一直开着,还有就是不能关闭那个TOR BROWSER(如果你想用其他浏览器的话),关闭了Tor Browser,TOR也会随之关闭。
4,最新版TOR Browser为什么不能编辑删除证书?
答:这是最新版的BUG,迄今为止还没能被修复,大家可以去TOR官网反映BUG,除此之外只能等待了,考虑到共匪的中间人攻击越来越疯狂(这几个月都发生五次国家级中间人攻击了,分别针对google,github,微软hotmail,yahoo以及苹果icloud),建议大家暂时改用没有BUG的firefox或chrome,同时轰走所有天朝证书https://plus.google.com/109790703964908675921/posts/XfgEeXNQAJy
5,我可以使用其他浏览器,是吧?
答:的确可以,但你需要进行一些相应的隐私设置:首先,firefox下载autoproxy,chrome下载proxyswitchysharp扩展,然后新建情景模式,填上127.0.0.1 9150,选择socksv5,再保存,激活扩展,点击选择刚刚新建的情景模式(名字随便取,建议用TOR),然后再安装上这几款扩展:NoScript(chrome中叫ScriptSafe,激活后请默认禁止加载所有JavaScript,网页要是显示不正常再一个个放行),disconnect,PrivacyBadger,User-Agent Switcher(或者名字类似的,能切换User-agent的),Ghostery,Notify Headers(或者名字类似的,能修改HTTP Headers的),EditThisCookie(方便及时删除cookie),adblock plus,都要启用,同时禁止所有插件运行(chrome在选项里可以禁用插件,firefox直接点击附加组件,在里面可以禁用插件),禁止第三方cookie(都是在选项里选择禁止)以上工作做好之后就能够在很大程度上躲避追踪保护隐私了。
6,为什么你不推荐Vadalia(TOR的图形界面,带有显示节点所在地的功能?)
答:因为Vadalia从2012年开始就再也没有更新过了,只有TOR Browser一直更新着,不过我想推荐一下两个基于TOR的即时更新的项目:Tor Ranger(http://allinfa.com/toranger-177-tor.html)和BlackBeltPrivacy(http://allinfa.com/blackbelt-privacy-v3201410-tor-waste.html)。还有个Advanced Onion Router(http://allinfa.com/advanced-onion-router-v03020.html),有段时间没更新了,但比Vadalia要新不少,可以代替Vadalia。
7,我想用网桥中继,该怎么设置?
答:前置代理和网桥中继只能二选一,否则很大可能无法正常连接。如果选了网桥中继,那么前一步就不能设置前置代理。在下一步选择“我的ISP封锁了TOR”,进入网桥设置界面,最新版推荐首先尝试那三个MEEK插件,大部分都能连上,如果不行,尝试集成的obfs3网桥,再不行就要想办法获取网桥,看这里http://allinfa.com/tor-links.html
8,怎样设置torrc文件?
答:打开TOR Browser文件目录下的torrc(Browser->Tor Browser->data->tor,就能看到torrc文件),在最后添加如下语句(一句一行,括号里的是我的解说,不要加进去):
AvoidDiskWrites 1(减少硬盘读写)
SocksListenAddress 127.0.0.1
ControlPort 9151
SocksPort 9150(前面三个分别是本机监听地址,控制端口与本机端口)
HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C(控制端口密码验证)
DirReqStatistics 0(防止默认写入相关数据)
ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}(上面两行都是排除可疑国家的蜜罐节点)
StrictNodes 1(强制执行)
如果使用网桥中继,那么还要加上: UpdateBridgesFromAuthority 1
9,我只用TOR就能保持匿名了吗?
答:不行,使用TOR只是保持匿名的重要手段之一,要想真正做到匿名还要做不少工作,可以好好看看https://plus.google.com/u/0/109790703964908675921/about里面匿名和浏览器安全与隐私保护这两个分类下的科普。
10,TOR支持移动端吗?
答:android平台上有一个Tor Orbot,墙内无法直连,链接https://guardianproject.info/apps/orbot/,但我建议对于移动端采取完全不信任的态度,因为移动端在安全领域成熟度远不如PC端,而且墙内移动硬件有后门的可能性很大。不过还是可以想办法提升安全性:不要用国产App,选择国外大品牌的水货。
https://plus.google.com/109790703964908675921/posts/Pt8stBEGX8
https://xijie.wordpress.com/2015/01/11/ghost-assassin%E7%9A%84tor%E4%B8%8Egfw%E7%9A%84pk%E7%B3%BB%E5%88%97%E6%96%87%E7%AB%A0/
订阅:
博文 (Atom)