Ghost Assassin的TOR与GFW的PK系列文章
==========
13
47
=================
TOR与GFW的PK(3)————披着羊皮的狼
话说可恶的共匪GFW对于加密流量那是特别关照啊,特别是对于出入443端口的HTTPS流量严加监视,一发现有异常就阻断,很多时候还故意随机丢包劣化传输质量,google2010年退出天朝市场之后就是遭到了此等待遇从而使自己在天朝的市场份额由30%多降到了不足3%[1]。
至于Tor,那更加是一直被GFW恨之入骨杀之而后快的,尤其是在GFW引入了基于DPI(Deep Packet Inspection,深度包检测)[2]的IDS(Intrusion Detecting System,入侵检测系统)[3]之后,特别的加密流量如Tor流量可以说被完全封杀了。怎么办呢?
英勇的Tor团队的成员们开始想办法了:“据研究大部分企业级和国家级的DPI都采用基于正则表达式[4]的检测算法,GFW很可能也是如此。”“对,天朝曾经向伊朗出口GFW技术[5],而伊朗采用的DPI—X就是采用基于正则表达式的检测算法的[6],那么天朝应该也一样。”
“GFW通过DPI识别协议并对“非法”协议进行封锁,阻断相应连接,但常用的合法协议(例如HTTP)只能放行,要是封锁了,那就等于直接断网了。”“那么就把狼披上羊皮吧!”
看上去正常的流量,看上去不正常的流量;可恶的GFW,杀死了加密的流量;穿上羊皮,恶狼变成了小羊;出入80端口的Tor,蒙在鼓里的GFW;冲向自由的互联网,对GFW宣战!试问,谁是幕后英雄?
FTE(Fomat-Transforming Encryption,格式转换加密)[7]!FTE成功把特别的加密Tor流量伪装成了明文的HTTP流量!事实上,FTE可以把输入的协议转换为任意指定的目标协议从而欺骗GFW!
“究竟是怎么一回事?加密流量变成非加密流量?”“不,不是变成非加密流量,而是进行格式转换把基于正则表达式的DPI检测算法给耍了,让基于DPI的IDS认为传输的是非加密流量。”
这么说吧,FTE实际上是这么一个工作流程:密钥生成,加密和解密。实际上,整个FTE就是在常规对称加密算法(基于AES的CTR模式[8])的基础上叠加了格式转换编码算法,加密时输入随机生成(实际上是通过精心设计的伪随机算法生成)密钥,数据和想要转换的数据包格式格式并将相应数据包先加密再转换为对应的格式,然后传输到FTE网桥(即服务器端)之后再进行解密得到数据。当然客户端并不是支持所有的格式的,所以输入的格式必须在客户端支持的格式集合当中。
“但是在加密之前必须要先协商好使用哪种格式以及进行密钥交换,要不然无法正常传输数据啊!”“没错,但很显然不能明文协商,否则直接被DPI了。”“那怎么办呢?”
FTE采用了这样一种协商策略:客户端将密钥和接下来的连接里采用的格式打包之后加密(这里存疑,密钥交换应该是和格式协商一起进行的,但我看了好几遍论文[7]里描述FTE记录层工作过程的部分都没有找到对密钥交换的说明,但密钥交换也只能和协商过程一起进行了,其他时候没有机会的),这种加密算法将massage伪装为任意一种合法格式,传输到服务器端之后服务器再一个个格式试着解密过去(服务器事先放置了解密密钥),直到成功解密为止。FTE特别的一点是上行(客户端到服务器端)流量和下行(服务器端到客户端)流量可以采用不同的伪装格式,协商的时候就可以选择好想要使用的格式。
“好像还有个中间人攻击的问题。”其实没有了,GFW拿不到服务器端事先放置好的解密密钥,没法获得后来的加密过程中使用的密钥,根本就无法进行中间人攻击。而且客户端还会进行数字签名(采用HMAC-SHA256签名算法[9]),GFW更是无从下手了”“对,同时还可以保证数据包不被篡改。”
说起来也没什么特别的:GFW用正则表达式识别谁是狼谁是小羊,那么FTE就把恶狼(Tor流量)给披上羊皮(进行格式转换,简单来说就是在加密数据的基础上重新构造数据包,让数据包的结构看起来像是被合法协议处理过的数据包),从而成功把GFW给耍了。
实验结果[7]表明FTE成功把那些基于DPI的IDS们耍的团团转,一个个的正则表达式检测算法全都失效了,不过GFW却没那么好对付:实验发现如果被FTE处理过的流量走443端口,就会遭到GFW的主动探测攻击[10],而FTE没有对于客户端的身份认证机制,无法对抗主动探测攻击,就这么被屏蔽了。不过,如果走80端口(也就是伪装成HTTP流量),GFW是无法识别的,可以成功突破封锁。
就像007一样,总是伪装成平民;就像英勇的47(玩过hitman系列的应该清楚),“喂喂,我是自己人”!对抗肮脏的DPI,需要勇气更要智慧;专心于一点,单调但聪明,耶耶,这就是对抗封锁的幕后英雄——FTE!
下一篇,Flashproxy!
最后附上科普文链接集合:https://plus.google.com/u/0/109790703964908675921/about
参考资料:
1,谷歌退出中国大陆事件https://zh.wikipedia.org/zh/%E8%B0%B7%E6%AD%8C%E9%80%80%E5%87%BA%E4%B8%AD%E5%9B%BD%E5%A4%A7%E9%99%86%E4%BA%8B%E4%BB%B6
2,Firewall Evolution – Deep Packet Inspectionhttp://leetupload.com/database/Misc/Papers/Web%20Papers/Firewall-Evolution-deep-packet-inspection.pdf
3,网络安全入侵检测 A 研究综述http://www.jos.org.cn/1000-9825/11/1460.pdf
4,正则表达式https://zh.wikipedia.org/zh/%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F
5,http://www.chinagfw.org/2014/03/blog-post_12.html
6,Iran Vows to Unplug Internethttp://www.wsj.com/news/articles/SB10001424052748704889404576277391449002016?mg=reno64-wsj&url=http%3A%2F%2Fonline.wsj.com%2Farticle%2FSB10001424052748704889404576277391449002016.html
7,Protocol Misidentification Made Easy with Format-Transforming Encryptionhttps://kpdyer.com/publications/ccs2013-fte.pdf
8,Comments to NIST concerning AES Modes of Operations:CTR-Mode Encryptionhttp://web.cs.ucdavis.edu/~rogaway/papers/ctr.pdf
9,https://en.wikipedia.org/wiki/Hash-based_message_authentication_code
10,TOR网桥,主动探测攻击和烧钱的GFWhttps://plus.google.com/109790703964908675921/posts/aLcyVfcH7mP
话说可恶的共匪GFW对于加密流量那是特别关照啊,特别是对于出入443端口的HTTPS流量严加监视,一发现有异常就阻断,很多时候还故意随机丢包劣化传输质量,google2010年退出天朝市场之后就是遭到了此等待遇从而使自己在天朝的市场份额由30%多降到了不足3%[1]。
至于Tor,那更加是一直被GFW恨之入骨杀之而后快的,尤其是在GFW引入了基于DPI(Deep Packet Inspection,深度包检测)[2]的IDS(Intrusion Detecting System,入侵检测系统)[3]之后,特别的加密流量如Tor流量可以说被完全封杀了。怎么办呢?
英勇的Tor团队的成员们开始想办法了:“据研究大部分企业级和国家级的DPI都采用基于正则表达式[4]的检测算法,GFW很可能也是如此。”“对,天朝曾经向伊朗出口GFW技术[5],而伊朗采用的DPI—X就是采用基于正则表达式的检测算法的[6],那么天朝应该也一样。”
“GFW通过DPI识别协议并对“非法”协议进行封锁,阻断相应连接,但常用的合法协议(例如HTTP)只能放行,要是封锁了,那就等于直接断网了。”“那么就把狼披上羊皮吧!”
看上去正常的流量,看上去不正常的流量;可恶的GFW,杀死了加密的流量;穿上羊皮,恶狼变成了小羊;出入80端口的Tor,蒙在鼓里的GFW;冲向自由的互联网,对GFW宣战!试问,谁是幕后英雄?
FTE(Fomat-Transforming Encryption,格式转换加密)[7]!FTE成功把特别的加密Tor流量伪装成了明文的HTTP流量!事实上,FTE可以把输入的协议转换为任意指定的目标协议从而欺骗GFW!
“究竟是怎么一回事?加密流量变成非加密流量?”“不,不是变成非加密流量,而是进行格式转换把基于正则表达式的DPI检测算法给耍了,让基于DPI的IDS认为传输的是非加密流量。”
这么说吧,FTE实际上是这么一个工作流程:密钥生成,加密和解密。实际上,整个FTE就是在常规对称加密算法(基于AES的CTR模式[8])的基础上叠加了格式转换编码算法,加密时输入随机生成(实际上是通过精心设计的伪随机算法生成)密钥,数据和想要转换的数据包格式格式并将相应数据包先加密再转换为对应的格式,然后传输到FTE网桥(即服务器端)之后再进行解密得到数据。当然客户端并不是支持所有的格式的,所以输入的格式必须在客户端支持的格式集合当中。
“但是在加密之前必须要先协商好使用哪种格式以及进行密钥交换,要不然无法正常传输数据啊!”“没错,但很显然不能明文协商,否则直接被DPI了。”“那怎么办呢?”
FTE采用了这样一种协商策略:客户端将密钥和接下来的连接里采用的格式打包之后加密(这里存疑,密钥交换应该是和格式协商一起进行的,但我看了好几遍论文[7]里描述FTE记录层工作过程的部分都没有找到对密钥交换的说明,但密钥交换也只能和协商过程一起进行了,其他时候没有机会的),这种加密算法将massage伪装为任意一种合法格式,传输到服务器端之后服务器再一个个格式试着解密过去(服务器事先放置了解密密钥),直到成功解密为止。FTE特别的一点是上行(客户端到服务器端)流量和下行(服务器端到客户端)流量可以采用不同的伪装格式,协商的时候就可以选择好想要使用的格式。
“好像还有个中间人攻击的问题。”其实没有了,GFW拿不到服务器端事先放置好的解密密钥,没法获得后来的加密过程中使用的密钥,根本就无法进行中间人攻击。而且客户端还会进行数字签名(采用HMAC-SHA256签名算法[9]),GFW更是无从下手了”“对,同时还可以保证数据包不被篡改。”
说起来也没什么特别的:GFW用正则表达式识别谁是狼谁是小羊,那么FTE就把恶狼(Tor流量)给披上羊皮(进行格式转换,简单来说就是在加密数据的基础上重新构造数据包,让数据包的结构看起来像是被合法协议处理过的数据包),从而成功把GFW给耍了。
实验结果[7]表明FTE成功把那些基于DPI的IDS们耍的团团转,一个个的正则表达式检测算法全都失效了,不过GFW却没那么好对付:实验发现如果被FTE处理过的流量走443端口,就会遭到GFW的主动探测攻击[10],而FTE没有对于客户端的身份认证机制,无法对抗主动探测攻击,就这么被屏蔽了。不过,如果走80端口(也就是伪装成HTTP流量),GFW是无法识别的,可以成功突破封锁。
就像007一样,总是伪装成平民;就像英勇的47(玩过hitman系列的应该清楚),“喂喂,我是自己人”!对抗肮脏的DPI,需要勇气更要智慧;专心于一点,单调但聪明,耶耶,这就是对抗封锁的幕后英雄——FTE!
下一篇,Flashproxy!
最后附上科普文链接集合:https://plus.google.com/u/0/109790703964908675921/about
参考资料:
1,谷歌退出中国大陆事件https://zh.wikipedia.org/zh/%E8%B0%B7%E6%AD%8C%E9%80%80%E5%87%BA%E4%B8%AD%E5%9B%BD%E5%A4%A7%E9%99%86%E4%BA%8B%E4%BB%B6
2,Firewall Evolution – Deep Packet Inspectionhttp://leetupload.com/database/Misc/Papers/Web%20Papers/Firewall-Evolution-deep-packet-inspection.pdf
3,网络安全入侵检测 A 研究综述http://www.jos.org.cn/1000-9825/11/1460.pdf
4,正则表达式https://zh.wikipedia.org/zh/%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F
5,http://www.chinagfw.org/2014/03/blog-post_12.html
6,Iran Vows to Unplug Internethttp://www.wsj.com/news/articles/SB10001424052748704889404576277391449002016?mg=reno64-wsj&url=http%3A%2F%2Fonline.wsj.com%2Farticle%2FSB10001424052748704889404576277391449002016.html
7,Protocol Misidentification Made Easy with Format-Transforming Encryptionhttps://kpdyer.com/publications/ccs2013-fte.pdf
8,Comments to NIST concerning AES Modes of Operations:CTR-Mode Encryptionhttp://web.cs.ucdavis.edu/~rogaway/papers/ctr.pdf
9,https://en.wikipedia.org/wiki/Hash-based_message_authentication_code
10,TOR网桥,主动探测攻击和烧钱的GFWhttps://plus.google.com/109790703964908675921/posts/aLcyVfcH7mP
======================
TOR与GFW的PK(4)
======================
====================
关于TOR使用问题的补充
我写过一堆关于TOR的文章(链接集合https://plus.google.com/u/0/109790703964908675921/about),现在发现有一些遗漏,特此写一个FAQ供大家参考:
1,如何获得TOR软件?
答:https://www.torproject.org/download/download-easy.html.en这是官网下载地址,有些人的PC不能翻墙,那么就先百度“代理服务器”找一个代理临时翻一下墙,就可以去下载了,或者百度“科学上网”或“VPN”找一个翻墙工具凑合一下,先出来再下载;一定要去官网,别的地方的软件有可能是被伪装的木马。
2,TOR BROWSER需要安装吗?
答:不需要安装,只有一个解压过程,这是绿色软件,不需要管理员权限就可以运行。
3,TOR可以直接连接吗?
答:墙内无法直接连接,必须加上前置代理或者利用网桥中继或新出的MEEK插件才能连接上。
4,为什么我设置了前置代理还是连不上?
答:设置前置代理之前需要保证这个前置代理是可用的(也就是可以单独拿来翻墙的),如果前置代理是VPN,那就无需任何设置,直接在第一步设置时选择连接即可;如果不是,那么就要选择“配置”选项,在下一步选择设置前置代理,然后填上相应的端口号,自由门是127.0.0.1 8580(HTTP/HTTPS)无界是127.0.0.1 9666(HTTP/HTTPS) shadowsocks是127.0.0.1 1080(SOCKS5)(也可能有服务器的本地端口是自定义的,那么就填写自定义端口)SSH 是127.0.0.1 7070(SOCKS5) 赛风三是127.0.0.1 1080(SOCKS5),GAE类(goagent,wallproxy,还有一些一键翻墙包)翻墙工具没法成为TOR的前置代理,lantern大家自己试吧,我不清楚他的原理,不想贸然使用。
设置之前前置代理就要开着,设置好连接成功后就要和TOR一起一直开着,还有就是不能关闭那个TOR BROWSER(如果你想用其他浏览器的话),关闭了Tor Browser,TOR也会随之关闭。
4,最新版TOR Browser为什么不能编辑删除证书?
答:这是最新版的BUG,迄今为止还没能被修复,大家可以去TOR官网反映BUG,除此之外只能等待了,考虑到共匪的中间人攻击越来越疯狂(这几个月都发生五次国家级中间人攻击了,分别针对google,github,微软hotmail,yahoo以及苹果icloud),建议大家暂时改用没有BUG的firefox或chrome,同时轰走所有天朝证书https://plus.google.com/109790703964908675921/posts/XfgEeXNQAJy
5,我可以使用其他浏览器,是吧?
答:的确可以,但你需要进行一些相应的隐私设置:首先,firefox下载autoproxy,chrome下载proxyswitchysharp扩展,然后新建情景模式,填上127.0.0.1 9150,选择socksv5,再保存,激活扩展,点击选择刚刚新建的情景模式(名字随便取,建议用TOR),然后再安装上这几款扩展:NoScript(chrome中叫ScriptSafe,激活后请默认禁止加载所有JavaScript,网页要是显示不正常再一个个放行),disconnect,PrivacyBadger,User-Agent Switcher(或者名字类似的,能切换User-agent的),Ghostery,Notify Headers(或者名字类似的,能修改HTTP Headers的),EditThisCookie(方便及时删除cookie),adblock plus,都要启用,同时禁止所有插件运行(chrome在选项里可以禁用插件,firefox直接点击附加组件,在里面可以禁用插件),禁止第三方cookie(都是在选项里选择禁止)以上工作做好之后就能够在很大程度上躲避追踪保护隐私了。
6,为什么你不推荐Vadalia(TOR的图形界面,带有显示节点所在地的功能?)
答:因为Vadalia从2012年开始就再也没有更新过了,只有TOR Browser一直更新着,不过我想推荐一下两个基于TOR的即时更新的项目:Tor Ranger(http://allinfa.com/toranger-177-tor.html)和BlackBeltPrivacy(http://allinfa.com/blackbelt-privacy-v3201410-tor-waste.html)。还有个Advanced Onion Router(http://allinfa.com/advanced-onion-router-v03020.html),有段时间没更新了,但比Vadalia要新不少,可以代替Vadalia。
7,我想用网桥中继,该怎么设置?
答:前置代理和网桥中继只能二选一,否则很大可能无法正常连接。如果选了网桥中继,那么前一步就不能设置前置代理。在下一步选择“我的ISP封锁了TOR”,进入网桥设置界面,最新版推荐首先尝试那三个MEEK插件,大部分都能连上,如果不行,尝试集成的obfs3网桥,再不行就要想办法获取网桥,看这里http://allinfa.com/tor-links.html
8,怎样设置torrc文件?
答:打开TOR Browser文件目录下的torrc(Browser->Tor Browser->data->tor,就能看到torrc文件),在最后添加如下语句(一句一行,括号里的是我的解说,不要加进去):
AvoidDiskWrites 1(减少硬盘读写)
SocksListenAddress 127.0.0.1
ControlPort 9151
SocksPort 9150(前面三个分别是本机监听地址,控制端口与本机端口)
HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C(控制端口密码验证)
DirReqStatistics 0(防止默认写入相关数据)
ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}(上面两行都是排除可疑国家的蜜罐节点)
StrictNodes 1(强制执行)
如果使用网桥中继,那么还要加上: UpdateBridgesFromAuthority 1
9,我只用TOR就能保持匿名了吗?
答:不行,使用TOR只是保持匿名的重要手段之一,要想真正做到匿名还要做不少工作,可以好好看看https://plus.google.com/u/0/109790703964908675921/about里面匿名和浏览器安全与隐私保护这两个分类下的科普。
10,TOR支持移动端吗?
答:android平台上有一个Tor Orbot,墙内无法直连,链接https://guardianproject.info/apps/orbot/,但我建议对于移动端采取完全不信任的态度,因为移动端在安全领域成熟度远不如PC端,而且墙内移动硬件有后门的可能性很大。不过还是可以想办法提升安全性:不要用国产App,选择国外大品牌的水货。
我写过一堆关于TOR的文章(链接集合https://plus.google.com/u/0/109790703964908675921/about),现在发现有一些遗漏,特此写一个FAQ供大家参考:
1,如何获得TOR软件?
答:https://www.torproject.org/download/download-easy.html.en这是官网下载地址,有些人的PC不能翻墙,那么就先百度“代理服务器”找一个代理临时翻一下墙,就可以去下载了,或者百度“科学上网”或“VPN”找一个翻墙工具凑合一下,先出来再下载;一定要去官网,别的地方的软件有可能是被伪装的木马。
2,TOR BROWSER需要安装吗?
答:不需要安装,只有一个解压过程,这是绿色软件,不需要管理员权限就可以运行。
3,TOR可以直接连接吗?
答:墙内无法直接连接,必须加上前置代理或者利用网桥中继或新出的MEEK插件才能连接上。
4,为什么我设置了前置代理还是连不上?
答:设置前置代理之前需要保证这个前置代理是可用的(也就是可以单独拿来翻墙的),如果前置代理是VPN,那就无需任何设置,直接在第一步设置时选择连接即可;如果不是,那么就要选择“配置”选项,在下一步选择设置前置代理,然后填上相应的端口号,自由门是127.0.0.1 8580(HTTP/HTTPS)无界是127.0.0.1 9666(HTTP/HTTPS) shadowsocks是127.0.0.1 1080(SOCKS5)(也可能有服务器的本地端口是自定义的,那么就填写自定义端口)SSH 是127.0.0.1 7070(SOCKS5) 赛风三是127.0.0.1 1080(SOCKS5),GAE类(goagent,wallproxy,还有一些一键翻墙包)翻墙工具没法成为TOR的前置代理,lantern大家自己试吧,我不清楚他的原理,不想贸然使用。
设置之前前置代理就要开着,设置好连接成功后就要和TOR一起一直开着,还有就是不能关闭那个TOR BROWSER(如果你想用其他浏览器的话),关闭了Tor Browser,TOR也会随之关闭。
4,最新版TOR Browser为什么不能编辑删除证书?
答:这是最新版的BUG,迄今为止还没能被修复,大家可以去TOR官网反映BUG,除此之外只能等待了,考虑到共匪的中间人攻击越来越疯狂(这几个月都发生五次国家级中间人攻击了,分别针对google,github,微软hotmail,yahoo以及苹果icloud),建议大家暂时改用没有BUG的firefox或chrome,同时轰走所有天朝证书https://plus.google.com/109790703964908675921/posts/XfgEeXNQAJy
5,我可以使用其他浏览器,是吧?
答:的确可以,但你需要进行一些相应的隐私设置:首先,firefox下载autoproxy,chrome下载proxyswitchysharp扩展,然后新建情景模式,填上127.0.0.1 9150,选择socksv5,再保存,激活扩展,点击选择刚刚新建的情景模式(名字随便取,建议用TOR),然后再安装上这几款扩展:NoScript(chrome中叫ScriptSafe,激活后请默认禁止加载所有JavaScript,网页要是显示不正常再一个个放行),disconnect,PrivacyBadger,User-Agent Switcher(或者名字类似的,能切换User-agent的),Ghostery,Notify Headers(或者名字类似的,能修改HTTP Headers的),EditThisCookie(方便及时删除cookie),adblock plus,都要启用,同时禁止所有插件运行(chrome在选项里可以禁用插件,firefox直接点击附加组件,在里面可以禁用插件),禁止第三方cookie(都是在选项里选择禁止)以上工作做好之后就能够在很大程度上躲避追踪保护隐私了。
6,为什么你不推荐Vadalia(TOR的图形界面,带有显示节点所在地的功能?)
答:因为Vadalia从2012年开始就再也没有更新过了,只有TOR Browser一直更新着,不过我想推荐一下两个基于TOR的即时更新的项目:Tor Ranger(http://allinfa.com/toranger-177-tor.html)和BlackBeltPrivacy(http://allinfa.com/blackbelt-privacy-v3201410-tor-waste.html)。还有个Advanced Onion Router(http://allinfa.com/advanced-onion-router-v03020.html),有段时间没更新了,但比Vadalia要新不少,可以代替Vadalia。
7,我想用网桥中继,该怎么设置?
答:前置代理和网桥中继只能二选一,否则很大可能无法正常连接。如果选了网桥中继,那么前一步就不能设置前置代理。在下一步选择“我的ISP封锁了TOR”,进入网桥设置界面,最新版推荐首先尝试那三个MEEK插件,大部分都能连上,如果不行,尝试集成的obfs3网桥,再不行就要想办法获取网桥,看这里http://allinfa.com/tor-links.html
8,怎样设置torrc文件?
答:打开TOR Browser文件目录下的torrc(Browser->Tor Browser->data->tor,就能看到torrc文件),在最后添加如下语句(一句一行,括号里的是我的解说,不要加进去):
AvoidDiskWrites 1(减少硬盘读写)
SocksListenAddress 127.0.0.1
ControlPort 9151
SocksPort 9150(前面三个分别是本机监听地址,控制端口与本机端口)
HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C(控制端口密码验证)
DirReqStatistics 0(防止默认写入相关数据)
ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}(上面两行都是排除可疑国家的蜜罐节点)
StrictNodes 1(强制执行)
如果使用网桥中继,那么还要加上: UpdateBridgesFromAuthority 1
9,我只用TOR就能保持匿名了吗?
答:不行,使用TOR只是保持匿名的重要手段之一,要想真正做到匿名还要做不少工作,可以好好看看https://plus.google.com/u/0/109790703964908675921/about里面匿名和浏览器安全与隐私保护这两个分类下的科普。
10,TOR支持移动端吗?
答:android平台上有一个Tor Orbot,墙内无法直连,链接https://guardianproject.info/apps/orbot/,但我建议对于移动端采取完全不信任的态度,因为移动端在安全领域成熟度远不如PC端,而且墙内移动硬件有后门的可能性很大。不过还是可以想办法提升安全性:不要用国产App,选择国外大品牌的水货。
https://plus.google.com/109790703964908675921/posts/Pt8stBEGX8
https://xijie.wordpress.com/2015/01/11/ghost-assassin%E7%9A%84tor%E4%B8%8Egfw%E7%9A%84pk%E7%B3%BB%E5%88%97%E6%96%87%E7%AB%A0/
没有评论:
发表评论