Что такое сеть Tor, и как она работает
Из-за ужесточения доступа к определенным веб-сайтам все большее количество людей стали пользоваться VPN и Tor для доступа к ним, и для неизвестного серфинга в сети-интернет. Про VPN мы заявляли в одной из заметок раньше, сейчас побеседуем про Tor.
Сразу проговорюсь — в публикации не будет аннотации о том, как скачать и настроить Tor Browser — лишь технологическое описание и механизмы работы самой сети. Тут можно посмотреть топ запрещенных сайтов сети TOR.
История Tor
Теория «луковичной» сети была показана в 1995 году при помощи экспериментальной корпорации ВМС США. В 1997 году к подготовке подключился DAPRA — отдел Министерства обороны США, соответствующий за подготовку технологий для дальнейшего применения их на добро боевых сил США (надо сказать, тот же отдел придумал ARPANET — сеть, которая в будущем обратилась в знаменитый всем интернет). В 2003 году были размещены первоначальные коды сети в свободном доступе, и сеть стала активно расти (как и ARPANET 20 годами раньше) — к 2016 году в интернете было не менее 7000 участков и порядка 2 млрд клиентов.
Механизмы работы сети
Для клиента сеть действует довольно легко: его данные предварительно попадают на защитный участок, далее проходят через промежуточный участок на выходной участок, и теперь из выходного участка — в пункт предназначения:
Проследить защитный участок через 2 иных участка невозможно, кроме того все смотрится так, как будто данные клиента возникли из выходного участка. С учетом того, что через данный участок может проходить самый различный трафик (в том числе незаконный) — в ответе за него будет владелец этого участка, таким образом если повстречаете его в настоящей жизни — пожмите ему руку, так как неприятностей с законодательством у него хватает.
Основы устройства разных участков
Рассмотрим с узлами подробно.
- Входной (либо защитный, либо дозорный) участок — место, где ваши данные входят в интернет Tor. При этом выбирается далеко не самый обозримый участок, а самый качественный, таким образом не изумляйтесь, если пинг оказывается на уровне пары сотен миллисекунд — это все для вашей безопасности.
- Промежуточный участок — сделан специально для того, чтобы при помощи выходного участка невозможно было проследить входной: самый минимум, что выйдет проследить, это именно промежуточный участок. Сам участок как правило представляет онлайн сервер, таким образом операторы компьютера видят только закодированный трафик и ничего не менее.
- Выходной участок — точка, откуда ваши данные пускаются на необходимый адрес. Опять таки — выбирается самый качественный сервер (что как раз это значит — побеседуем ниже), таким образом пинг вполне может быть очень огромным.
В конечном итоге трафик, прежде чем угодить на необходимый сервер, может объехать весь Земной шар, и не раз.
Как организовано кодирование, и отчего сеть — луковичная
Tor расшифровывается как The Onion Router, и здесь появляется вопрос — а причем здесь чеснок? Все дело в методе зашифровки: он сделан по принципу лука, другими словами, чтобы добраться до его центра (до ваших данных), необходимо поочередно снять все слои (кодирование).
На самом деле это смотрится так: заказчик шифрует данные так, чтобы ключ расшифровки был лишь у выходного участка. На нем они опять таки шифруются, а так, чтобы дешифрировать их мог лишь промежуточный участок. На нем данные опять таки шифруются так, чтобы дешифрировать их мог лишь дозорный участок:
В конечном итоге трафик после выходного участка целиком зашифрован, и промежуточный участок ни за что на свете не отвечает — он лишь сообщает закодированные данные. А вот до выходного участка трафик может идти и по HTTP и FTP, и вытянуть секретную информацию из него особенного труда не понимает.
Как можно блокировать Tor
Само собой, не все правительства «рады» тому, что их жители легко проходят на запретные веб-сайты, из-за этого рассмотрим, как теоретически можно блокировать Tor.
Первый вариант — это блокировать выходные участки Tor. Другими словами клиенты обычно не могут выходить из сети, и она будет ненужной для тех, кто желает применять ее для анонимизации. Как досадно бы это не звучало — по ясным основаниям перечень всех выходных участков известен, и теоретически при блокаде их всех известность Tor быстро уменьшится. Теоретически — поскольку даже если блокировать все выходные участки на территории одной страны, никто не вредит пользоваться узлами располагающейся рядом, которая может и не блокировать такой трафик. С учетом того, что участков 5 тысяч — блокада даже тысячи не особенно окажет влияние на надежность сети.
2-й вариант — блокировать всех поступающих в Tor клиентов. Вот это куда хуже, поскольку делает сеть целиком ненужной, так как пользоваться выходными узлами иных стран ясное дело не выйдет (так как какой там выходной участок, если в интернет угодить невозможно). Опять таки — перечень всех дозорных участков есть в открытом доступе, и Tor был бы блокирован, если б не одна ловкость — мосты.
Что из себя представляет мосты
Мосты — это далеко не размещенные в свободном доступе участки. А тогда появляется вопрос — раз это далеко не общественный участок, то как о нем клиент выяснит? Все очень просто — при попытке объединения с сетью клиенту подаются адреса только нескольких мостов — это имеет резон, так как клиенту не надо очень много входных участков.
При этом общий перечень всех мостов строго конфиденциален, таким образом минимум, на что готовы правительства — это блокировать по несколько мостов за один раз. Но раз общий перечень не известен, кроме того регулярно возникают свежие мосты — это смотрится как борьба с ветряными мельницами. Наиболее солидная попытка отыскать мосты была принята учеными при помощи сканера портов ZMap — она сделала возможным отыскать, по определенным данным, до 86% всех портов. А 86 — не 100, кроме того, как я сообщал, свежие мосты возникают регулярно.
Принцип консенсуса в интернете Tor
Само собой, всю данную сеть из 7000 участков необходимо как-нибудь сохранять. Для этого сделано 10 производительных компьютеров, поддерживаемых некоторым вокруг испытанных добровольцев. Ежечасно они рассматривают пригодность всех участков, через какие участки проходит больше трафика, какие участки мухлюют (про это ниже), и тому подобное. При этом статья всех данных происходит в открытом виде через HTTP (само собой, помимо перечня всех мостов) и доступна каждому.
Появляется вопрос — раз все решения по сети принимаются совместно, отчего компьютеров 10 — так как тогда доступна ничья (5 на 5)? Все очень просто — 9 компьютеров отвечает за перечень участков, а 1 — за перечень мостов. Таким образом к консенсусу придти всегда можно.
Что из себя представляет узлы-снифферы
Само собой, многим, кто держит выходные участки, приезжала в голову идея — раз через их участки проходит трафик точно так, будто бы он проходит от устройства клиента, то почему не попользоваться логинами и паролями (ну и иными секретными данными)? С учетом того, что огромная часть трафика проходит по открытым протоколам (HTTP, FTP и SMTP) — данные передаются в открытом виде, бери — не хочу. При этом, как досадно бы это не звучало, данную инертную прослушку (сниффинг) проследить со стороны клиента никоим образом невозможно, из-за этого один метод войны — пересылайте свое имя через Tor в зашифрованном виде.
Само собой, разработчикам (ну и пользователям) Tor это никоим образом не по нраву, из-за этого был изобретен знак в консенсусе, именуемый BadExit. Его резон в том, чтобы отлавливать и устанавливать особые метки на выходы, которые слушают трафик. Способов определения прослушки очень много, самый очевидный — сделать страницу, где можно заводить логины и пароли, и транслировать их в интернете Tor по HTTP. Если затем с этого участка будет попытка входа на данный веб-сайт с данными логинами и паролями — означает данный участок занимается сниффингом. Само собой, никто не вредит им пользоваться, а, как я сообщал выше — шифруйте свое имя, и тогда обладатели подобных участков будут не в силах.
Разумеется, не все выходные участки такие (по определенным данным, их порядка 5%), и абсолютное большинство обладателей участков серьезно относится к собственной функции и получает все опасности на себя, помогая жить сети Tor всюду, помимо Антарктиды (полагаю, пингвины не против, как и полярники — все-таки у них имеется дела поважнее), за что им огромное наше спасибо.