Tor Browser сетевые соединения

такое нельзя разшифровать.

man netstat /-W

Потому-что tor-нода не соединяется напрямую с выходным узлом, она соединяется с ним через цепочку промежуточных узлов. Сетевой стек ОС ничего не знает о выходном узле

как мне узнать ip того что нельзя расшифровать?

Я писал про входной узел цепочки созданный для сайта.

И кто придумал сделать слова «вход» и «выход» такими похожими. Это всё Кирилл с Мефодием виноваты, да-да.

P.S. добавь к netstat-у ключ -n, выхлоп всяко понятнее станет

в netstat нет ниодного адреса с цепочки tor.

в netstat нет ниодного адреса с цепочки tor.

Так и должно быть.

С чем я тогда соединяюсь?
Где посмотреть в тор браузере этот ip?

Того пути, что показывается при нажатии на луковицу, вам недостаточно? Что именно вы хотите выяснить?

я хочу сопоставить netstat и tor и определить правильность netstat информации.

По хорошему, netstat работать в торе и не должен https://trac.torproject.org/projects/tor/ticket/3313

Как тогда мне проверить с чем он соединяется?
В снифере прийдется долго фильтровать все.

Где посмотреть ip с которым он должен будет соединится?

1. используюй ключ -n чтобы вместо '82.ip-51-254-120' выдавало адрес в человеческом виде
2. скорее всего, имеешь дело с мостами

не понял как перенастроить тор браузер что бы понять с тем ли он соединяется с чем пишет.

-n помогло.

но теперь с тцп дамп не получается.
$ tcpdump host 192.168.1.3

получаю

tcpdump: enp2s0: You don't have permission to capture on that device
(socket: Operation not permitted)

не понял как перенастроить тор браузер что бы понять с тем ли он соединяется с чем пишет.

тут не помогу, листай вики торбандла. у меня тор и репозитория

tcpdump: enp2s0: You don't have permission to capture on that device

так пишет же, что прав не хватает. либо выполнять команду от рута, либо давать capability tcpdump-у

В общем я увидел странные соединения.

Хочу сделать вывод в терминал только список ip соединений.Примерно такого вида
........
........
........
для удобства просмотра.

Как правильно дать команду?
Сейчас она имеет вид
sudo tcpdump host 192.168.1.3

только список адресов с твоей машины можно получить тем же sudo lsof -np <pid tor-демона> | grep TCP
вид получается аналогичный netstat-у, но в принципе может быть удобнее
tcpdump-ом загребается весь трафик, и не факт что то время, которое собиралось будет достаточно чтобы пакеты всех открытых соединений упали в дамп.
ну и логично, что адреса, отображённые в дампе будут те же самые, что и в выводе netstat или lsof

Что tcpdump может захватить не все пакеты?

он захватит все пакеты, которые ты укажешь в фильтрах. вот только о цепочке дальше первого релея/бриджа ты ничего не узнаешь.

Где в тор посмотреть ip который вижу в netstat после запуска tor?

Хотел проверить не заходит ли тор куда не требуется.

Зачем? Вы надеетесь раскусить злые умыслы тора? Куда положено, туда и заходит.

tcpdum пом изучал лишние соединения. Хочу знать где искать ip что бы узнать что лишнее.

Вы увидите только надводную часть айсберга. Если бы это было так просто - посмотреть в tcpdump и увидеть лишнее - это было уже давно общеизвестно. Тем более что проблема совсем не в «левых» потаенных соединениях, а в том, что по слухам, большинство вполне легальных узлов, не то что скомпрометированы, а прямо «дядей» и запущены. В общем, ни к чему это.

Меня интересует как разделить соединения тора и остальные. Потом я отброшу соединения остального софта и получу соединения вызванные вирусной активностью если подхвачу вирус.

Чем только люди не развлекаются.... Ну попробуйте в tcpdump задать фильтрацию по портам, с учетом того, что по умолчанию в торе используется 9050 (если это то, что вы имеете в виду) Или просто постепенно закрывайте лишнее

Спасибо.

входной узел не соответствует адресам что вижу в netstat. Ответственно заявляю, что такого не может и не должно быть.

Посмотреть цепочки тора - проще простого. Есть команда getinfo circuit-status, её можно через nc на порт управления тором передавать по HTTP. Погуглите примеры в сети.

У тора есть служебные цепочки для скачки статистики, которые не отображаются в браузере, но отображаются в листинге getinfo circuit-status.

В норме входной узел (guard) будет виден через netstat -apn, если netstat запущен из-под рута. Чудес нету.

Я и говорю - бессмысленное занятие. Ну увидит тс цепочки, дальше то он что с этой очевидной информацией делать будет? «этот узел - хороший, этот - наверное плохой, ему не доверяю»? )

По адресам хочу определить нет ли трояна.
----------------------------------------------
Посмотреть цепочки тора - проще простого. Есть команда getinfo circuit-status, её можно через nc на порт управления тором передавать по HTTP. Погуглите примеры в сети.

nc что это такре?

getinfo circuit-status
покамненашел.

netstat зачем под рутом запускать?

Хотелось бы надеяться, что вы все-таки троллите, а не говорите всерьез

всерьез...

нетстат и без рута что-то показует.

а ты посмотри на его темы. Ему шапочку из фольги нужно купить.