Например X-Forwarded-For

лол, ещё один детсадовец. ну и??? зашёл прочекал себя на предмет твоего X-Forwarded-For... обновил сиркут и получил новую идентификацию, лол.

Cookie: ci_session=764f737029c7aa153130c55b4c1fde82d58b5701
Accept-Encoding: gzip
Incap-Proxy-689: OK
X-Forwarded-For: 178.165.72.177, 198.143.55.11
Incap-Client-IP: 178.165.72.177
X-Forwarded-Proto: https
Connection: close

Cookie: ci_session=764f737029c7aa153130c55b4c1fde82d58b5701
Accept-Encoding: gzip
Incap-Proxy-1093: OK
X-Forwarded-For: 109.70.100.31, 192.230.113.12
Incap-Client-IP: 109.70.100.31
X-Forwarded-Proto: https
Connection: close

так что твой X-Forwarded-For работает только против таких клоунов, как ты.

Методов идентифицировать анона милионы.

методы в студию, мы тут все их как раз обсуждаем. один метод я уже знаю - метод обнаружения клоунов...

зашёл прочекал себя на предмет твоего X-Forwarded-For… обновил сиркут и получил новую идентификацию,

Значит у тебя оно заткнуть. Чекать X-Forwarded-For необходимо, не везде закрывают.

Теперь проверь успели ли уже закрыть: https://github.com/jonasstrehle/supercookie

Кинте сюда пожалуйста форматированный вывод:

gpg --check-sigs --with-colons 'Tor Browser Developers'
и
gpg --armor --export 'Tor Browser Developers'

С предыдущей темы, в ней анона не уважают Korchevatel.

Arksunix Скинь вывод с предыдущего поста. Могли подменить и тор бровзер и его публичный ключ.

тут по существу общаются. если есть что сказать говори, клоун. а если нечего, то вон беги в соседний топик где гугл хром обсуждают.

Уруруру мои маленькие хакерюги мамкины. Как думаешь, сколько в России, реально способных не только поставить тор, но и наладить беспалевную работу через него?

Примерно 3000 с небольшим по некоторым учетным данным. Все еще не конкретно? ;-) Ну продолжай обсуждать x-forwarded-for

Ну и высер.

Ого... Как смело-то... =)))

известные ремэйлеры позакрывал фбр/интерпол и иже с ними, так как все они они использовались в основном террористами.

Lavabit из-за подполковника Эдуарда Снеговикова закрыли, ЕМНИП. Он-то какой же террорист? Впрочем, после закрытия Lavabit сам Ладар Левисон (по совместительству бывший создатель/владелец Lavabit) вообще прекратил использовать электронную почту. «Если бы вы знали то, что знаю я, то поступили бы так же», — сказал он.

Видать, тоже террорюга матёрый… =))) Всё по горам да без подштанников норовил пошастать – дескать Пророк не носил и нам грех, ага… =)))

Бггг... =)))

Например, сам факт, что сумел грамотно закрыться от деанонимизации может послужить деанонимизации, потому что вообще в мире не так много людей, которые имеют соответствующие знания и опыт.

Надеюсь, Вы в курсе что безопасность это не состояние, это процесс. И откровенно тупо использовать какие-либо средства безопасности в «электронном мире» не создавая параллельно с этим ещё и «аватара» («цифровую личность», продуманную вплоть до лексики и modus operandi).

Правда, отдельные дол… (ну, Вы поняли) даже на этом умудряются прокалываться, из под мужского ника выписывая ставшее уже хрестоматийным «Сама я крымчанка, дочь офицера! Поверьте, у нас не всё так однозначно…» (остальной текст легко гуглится и служил в своё время источником преизрядного числа мемов). =)))

такие вещи как Stylometry обсуждали уже кучу раз. и те, кто в теме, обращают на эти вещи пристальное внимание.

Ну, кстати, вот здесь соглашусь… Справедливости ради.

Башка вспухнет. =)

Например X-Forwarded-For https://en.m.wikipedia.org/wiki/X-Forwarded-For На каждый известный метод идентификации надо придумывать свою затычку.

Можно сокет поменять, можно перезапустить тот же онион-роутер, тем самым поменяв сокет, например, kill -HUPpidof tor. А можно просто прочесть и использовать оттуда вполне валидную команду NEWNIM, которой тор, даже не останавливаясь и не разрывая соединений, для новых соединений переключится на чистые заготовленные цепочки. Т.е., соединение с сервером закроется, новые соединения (пусть даже с тем же сервером) будт строиться по-новому и X-Forwarded-For тут как зайцу триппер, прошу прощения, коллеги… =)))

Нет.

спец. средства будут всё же эффективнее.

Это ненужная в принципе в данном случае вещь. У нас и так трафик должен подмешиваться к некоему трафику, который и так через наш онион-роутер прокачивается. Работаем мы – качаем чужого трафика чуть меньше, не работаем мы – качается преимущественно чужой трафик. Имитировать наличие пользователя в данном случае здесь – только ресурсы компа тратить. К тому же онио-роутер может быть в прнципе развёрнут где-то на сервере, где пользователя априорно постоянно быть не может (и такой онио-роутер может обслуживать целую сеть пользователей, которые по локалке к нему цепляются).

JavaScript может выпалить и хостнейм, и разрешение экрана, и в принципе всё остальное, зависит от желания того кто этот js писал.

На самом выходном узле ведь никаких логов не ведется?

Кто тебе сказал? Почему ты ему поверил? ☺

JavaScript может выпалить и хостнейм

Чего?

Чего?

Того.

JavaScript позволяет идентифицировать тебя в 98% случаев.

Каким образом?

JavaScript позволяет идентифицировать тебя в 98% случаев.

Статистику можно подправить, с 98% сделать хотя бы 8% https://github.com/dillbyrne/random-agent-spoofer

JavaScript

Лучше отключить!

А что думаешь про шадоусокс вместо vpn? По идее его плохо должно быть видно, он на то и шадоусокс

шадоусокс

А он шифрует трафик? Я знаю, что обычные socks не шифруют ничего, вот почему vpn лучше.

Нет.

В «чистом» виде трафик он не шифрует. Это просто проксик на основе socks5. Делался китайцами для решения китайских специфичных задач (обход всекитайского файервола «зелёная дамба»/«золотой щит»).

Ключевая особенность – максимальная мимикрия под «стандартный» http(s), при которой шифрация невозможна в принципе, т.к. будет служить демаскирующим признаком такого трафика. Считайте, VPN Вы подняли, если начали шифровать трафик через «теневые носки». Ну и ещё пара чисто технических тонкостей, которые простому пользователю в пень не убились.

Состоит из двух приблуд. Одна (клиент) на Вашем локалхосте, вторая (сервер) за пределами «золотого щита». Задача решается простая – надо дядюшке Ляо посетить запретный сайт, он пробрасывает запрос на клиента, тот шлёт на сервер за пределам и ответ возвращается. Для стороннего наблюдателя это выглядит как будто дядюшка Ляо запросил сайт (пусть будет, предположим, ЛОР в Китае запрещён), mail.somewhere.ru, где у него стоит сервер, а на самом деле сервер выстроил ему цепочку на linux.org.ru, где дядюшка Ляо сравнил уважаемого товарища Си Цзипина с Винни-Пухом (правоверные ханьцы от этого бесятся).

P.S. Ну понятно что структура пакетов в части запрос-заголовки-отклик меняются только в части подстановки адресов сайта. Вместо linux.org.ru там будет mail.somewhere.ru, payload останется прежним и неизменным.

Этого им хватает, т.к. отследить через анализ содержимого все несколько миллиардов (сколько их там шныряет по интернету) нереально. В случае с https нереально совсем. Поэтому, по формальному признаку если, то им и так хватает.

Ты баклажан.

Здесь важно не конфигурировать one hop node. Т.е., иногда отдельные олени говорят – «о, я тут точку нашёл, скорость звиздатая, дай-ка я сразу на неё прыгать буду».

Современные версии Tor не поддерживают работу в таком режиме. Конечно, можно модифицировать исходники маршрутизатора, но едва ли «олени» осилят.

Максимум что Вы можете сделать – указать какую-то выходную ноду для какого-то конкретного сайта (нужно держать разные torrc). Это нужно чтобы не перелогиниваться постоянно на посещаемом сайте.

Даже не помню, когда в последний раз встречался с таким подходом. Обычно для этого используют печеньки.

В принципе, можно и для целых стран включать-выключать выходные ноды, но это уже man torrc.

Опасно так делать, если не осознавать последствия. Находясь в той же Германии или США отключать выход из Германии/США — максимально глупый самоубийственный шаг. *шёпотом* Зато можно отключать сторожевые узлы из страны текущей дислокации, это в основном незаметно.

Здесь самая большая проблема в том, что тор качает не только Ваш трафик. Он качает некий общий трафик, к которому Вы подмешиваете свой и отделить Ваш траф от не-Вашего крайне сложно. Т.е., на примере. Пусть некий провайдер (которым Вы пользуетесь) сжирает в месяц 20Т трафика. Вы поставили свой онион роутер и пров стал сжирать чуть больше, т.к. у него в сети появился трафик тора. Ну пусть станет 20.5Т в месяц (цифры тут похрен, условно считаем). Теперь Вы, придя с работы, решили посидеть под тором. Что произойдёт? Увеличение трафика? Нет. Каналы связи не резиновые и полоса пропускания у Вас и у прова останется всё та же. Следовательно, во время работы с тором, Вы будете пропускать меньше «чужого» трафика через свой онион роутер, забирая часть трафика под свои нужды.

Это справедливо только для тех, у кого в torrc включён невыходной узел, то есть совершенно неверно для большинства пользователей, которые используют Tor Browser без дополнительной настройки.

Добавлю что у трафика тора есть определённые характерные признаки, позволяющие его задавить в принципе. При желании, конечно. Т.е., ни в сеть прова, ни из неё ничего не выйдет, что касается тора.

Вот именно это легко обходится с помощью мостов, даже obfs4 обычно хватает, но есть более мощные вроде meek_lite или перспективного snowflake.

Если у Вас не установлен кеширующий DNS, то все запросы летят либо прову, либо на открытые DNS сервера, типа гуглевских 8.8.8.8 или 8.8.4.4, на деле, ещё есть такие же открытые и кеширующие. Это уже как настроено. Но главное что запросы летят вовне.

Tor Browser никогда не посылает DNS мимо сети Tor. Системный демон можно тоже настроить на поддержку DNS и направить на него все запросы. Делается это однострочником: echo "DNSPort 53" >> /etc/tor/torrc && echo "nameserver 127.0.0.1" > /etc/resolv.conf. см. тут: DNSpooq — семь новых уязвимостей в dnsmasq (комментарий)

Мы не рассматриваем тут fake onion routers

Это что?

Но на мой взгляд, js, flash на hidden service позволяют деанонимизировать пользователя, допустим, банально организовать запрос http на какой-то открытый сайт, находящийся за пределами мети тор. Тогда станет ясен адрес клиента через REMOTE_ADDR.

Tor Browser изначально полностью изолирует запросы в одной вкладке и завязывает их на единственный выходной узел, эксплуатируя SOCKS Auth, см. man tor IsolateSOCKSAuth.

Т.о. это не сработает, никакой полезной информации противник не получит.

Тут важно, если речь идёт о torrc, НЕ присваивать порту браузера флаг IsolateDestAddr или присвоить NoIsolateDestAddr, иначе разные запросы пойдут через разные выходные узлы. Изоляция на уровне SOCKS Auth останется(т.е. к тому же cloudflare сторонние запросы будут идти с разных адресов при разных SOCKS user/password), но при желании можно с одной страницы запрашивать тысячи разных адресов и довести жертву до лимита открытых цепочек, а дальше можно без проблем вычислить сторожевой узел жертвы.

ctrl+shift+l спасёт анонима в большинстве случаев(здесь не спасёт, тут она принудительная, а вот тот же YouTube без проблем).

[quote]Находясь в той же Германии или США отключать выход из Германии/США — максимально глупый самоубийственный шаг[/quote] Почему самоубийственный?

Где-то читал шо таки shadowsocks Винни-Пух успешно побанил

Львиная доля выходных узлов располагается в США и Германии. Отключив бОльшую часть выходных узлов ты ставишь себя в уязвимое положение. Тебе отныне доступны лишь немногие оставшиеся выходные узлы, что позволит вычислить тебя намного быстрее с помощью атаки пересечением.

Всё не так плохо если ты, например, выходишь на связь из России и отключаешь российские выходные узлы. Это может даже сыграть на руку, поскольку схема ты(рф)-сторожевой узел-(может быть РФ)-промежуточный узел(может быть РФ)-выходной узел(может быть РФ)-конечный ресурс(РФ) более не сработает. Можно даже отключить российские узлы целиком и получить ты(рф)-сторожевой узел(не РФ)-промежуточный узел(не РФ)-выходной узел(не РФ)-конечный ресурс(РФ), не сильно потеряв в анонимности(российских узлов относительно мало).

На практике, если так и делать, желательно отключать бСССР целиком, а точнее вот так: ExcludeNodes {am},{az},{kg},{ru},{ua},{by},{md},{uz},{sy},{tm},{kz},{tj},{ve},{??}

Какая разница, какие выходные узлы, для атаки пересечением, чем плохо в частности даже зафиксировать конкретную выходную ноду по IP?

атаки пересечением
зафиксировать конкретную выходную ноду по IP

Это не одно и то же. Тот, кто исключил много узлов, сильно выделяется из общей массы. Один раз поймать IP выходного узла — это одно, а вот постоянно ловить выходные узлы из РФ, Японии, Мексики, но НИКОГДА из Германии и США — это совсем другое.

Сеть Tor сама регулирует нагрузку на отдельные узлы, используя для этого консенсус(networkstatus consensus), распространяемый корневыми серверами каталогов(DirAuth).

На основании консенсуса конечный клиент вычисляет наиболее оптимальные узлы для построения цепочки, ориентируясь на флаги ретрансляторов, их максимальную и текущую пропускную способность.

Так, в общем случае большая пропускная способность + флаги, такие как Fast, Stable, Valid == приоритетность узла.

Широко известно, что в реальной работе сети Интернет маршруты выбираются не по расстоянию(аля короче=лучше), а по стоимости полосы. Здесь похожий принцип: чем больше разница между максимальной и задействованной пропускной способностью узла, тем ниже «стоимость» маршрута, построенного с его использованием, с поправкой на флаги. Так, отсутствие флагов Valid и Stable сильно повышает «стоимость».

Конечно, «стоимость» рассчитывается различным образом для различных типов использования пропускной способности узла. Так, например, флаг Exit накладывает ОГРОМНЫЙ штраф к «стоимости» промежуточного и сторожевого тарифа для узла.

Да, разумеется, клиент Tor не всегда выбирает самые «дешёвые» узлы, но он выбирает из узлов, входящих в определённый диапазон «стоимости».

Я это всё к чему веду — наиболее «дешёвые» выходные узлы почти всегда расположены в Германии, США и Нидерландах, в частности потому, что местные датацентры имеют хорошее соотношение цена-качество(пропускная способность), что выливается в приоритетность выходных узлов именно из этих стран.

И отключив наиболее «массовые» выходные узлы, пользователь начинает использовать более «дорогие», что, вкупе с публичной доступностью консенсуса, позволяет строить определённые предположения о клиенте сети на основе используемых им выходных узлов.

Это если кратко и грубо, но я думаю суть ясна.

Хакиры мамкины

Попробуй потоньше.

Например, сам факт, что сумел грамотно закрыться от деанонимизации может послужить деанонимизации, потому что вообще в мире не так много людей, которые имеют соответствующие знания и опыт.

Ведь просто поставить Tor Browser, тыкнуть на иконку щита и выбрать «Safest» — задача неподъёмная, куда там ядерной физике, да?

В сочетании с парой-тройкой дополнительных фактов, к которым между прочим и знание или наоборот плохое знание каких-то языков относится.

Посидев немного со словарём, простым самоучителем и машинным переводчиком, даже далёкий от конкретного языка человек осилит литературный перевод. Анимешники соврать не дадут.

Ну, это уж не говоря о том, что эти «пару-тройку факторов» необходимо для начала соотнести с конкретной личностью, что совсем не всегда тривиально.

Да. Вы правы.

Современные версии Tor не поддерживают работу в таком режиме. Конечно, можно модифицировать исходники маршрутизатора, но едва ли «олени» осилят.

Всё верно. Просто, у меня опыт с тором годика с 2001-02, когда его в паблик домен отдали и о таком варианте использования я в курсе. К тому же довелось работать на некую организацию, где такое могут сделать. 146%, чисто даже для своих нужд. =)

Даже не помню, когда в последний раз встречался с таким подходом. Обычно для этого используют печеньки.

Да, но вот даже сейчас у меня именно такой вариант использования. И нода неубитая и «профиль» моей «цифровой личности» настроен очень точно. Кроме того, даже браузер… В общем, текущий user agent здесь фейковый. У меня свой вариант браузера для таких случаев. WebKitGtk позволяет сделать какой угодно «браузер» со всеми нужными свойствами, под конкретную «цифровую личность». Просто меньше шансов проколоться на мелочах. Чисто из таких соображений. Ну и если fingerprint браузера кто придумает снять, то тоже «ничего необычного». Китайский подход, который применялся в shadow socks имеет право на существование – меньше демаскирующего трафика.

Опасно так делать, если не осознавать последствия. Находясь в той же Германии или США отключать выход из Германии/США — максимально глупый самоубийственный шаг. шёпотом Зато можно отключать сторожевые узлы из страны текущей дислокации, это в основном незаметно.

Безусловно! Но тут дело в тех задачах, которые решаем таким образом.

Это справедливо только для тех, у кого в torrc включён невыходной узел, то есть совершенно неверно для большинства пользователей, которые используют Tor Browser без дополнительной настройки.

Конечно. Наивные и незамутнённые не понимают основ работы. Они думают что вот врубили тор и всё, «чики-чики, а я в домике сижу». А на деле получили заметную флуктуацию трафика (заметную у того же прова, например). Если поставить выходную ноду, включить её на постоянку, то с этого IP уже можно сразу получить ряд ограничений – да тот же Сбер будет блокировать доступ. Они же тоже списки выходных нод «пасут» и блокируют доступ с «недобросовестных и сомнительных» IP. Приходится мудрить так чтоб под блокировки не влететь и чтоб соблюсти основные правила. =)

Вот именно это легко обходится с помощью мостов,

Да, но надо помнить что «стандартный» пакет тора (в терминах Tor это «cell», «ячейка») как правило занимает 512 байт, но на деле, большая часть пакетов имеет длину 586 байт. Obfproxy – 565 байт. В основном, конечно, на практике, если тестировать размеры пакетов, то отличия могут быть. Не все пакеты строго таких длин. Но даже если заблокировать внутри прова по длинам пакетов, уже может поплохеть. Можно и внутри прова, и во вне от прова и внутрь к прову. Если добавить сюда информацию по выходным точкам (ну и по входным, как мы понимаем, т.к. где выход, там и вход), то вообще интересную картинку получить можно. Где-то даже для Cisco ASA скрипты уже готовые видел.

Про списки нод вот где их поискать можно – раз, два, больше красявостей, три – прямо сразу список IP для цискиных скриптов, четыре – IP, апдейт раз в час, ну и ещё найти можно. Не проблема кому надо.

Т.е., было бы желание, конечно. Даже DPI и близко не нужен. Просто смотрим src, dst, для пакетов нужной нам длины, если src || dst совпадают со списочным, тупо дроп. Ну, это если «крупными мазками». К слову, телегу не было никакого труда заблокировать точно так же. Но по сути блоков и по результатам, там вовсе не это искали. Не телегу. Но это так, чисто к слову. =)

Tor Browser никогда не посылает DNS мимо сети Tor. Системный демон можно тоже настроить на поддержку DNS и направить на него все запросы.

Да, согласен. Но сила Тора тут не только в браузинге html. Тут много чего можно делать, конечно – от стандартной разведки или поиска людей и до… (понятно до применения каких программных средств). Те же tsocks не зря были написаны. Хотя, мой набор средств ими не пользуется, я переписал всё что мне нужно на С и сделал свою библиотеку, которая сразу интегрирована. Так просто меньше думать. Важно понимать как именно отрабатывает тор в том или ином случае. А то всё будет печально.

Это что?

Некоторое время назад в тор появилось довольно много нод. Порядка 250+. Судя по описанию было задействовано аж 380 нод. Но тут проблема не в ssl stripping (сдёргивании ssl/tls и получении тех же пар логин/пароль к учёткам, на основании которых можно строить дальнейшие атаки типа password guessing). Тут наибольшей проблемой стало на мой взгляд то, что эти онион-роутеры были не только выходными нодами, они были и в начале цепочек и в середине. Т.е., те, кто провели такого рода атаку, получили весьма достоверную карту сети и намного более полный список IP, чем те что приведены выше. Явно что те, кто проводил такого рода атаку, в курсе того, что они делают. И зачем. Предположить кто именно, я могу, но не буду. =)

кстати, SM5T001, тему про анонимные ремэйлеры, имхо, стоит закрыть, ибо на бумаге очень круто, но на практике их почти не осталось нормальных. многие в прошлом известные ремэйлеры позакрывал фбр/интерпол и иже с ними, так как все они они использовались в основном террористами. сейчас работает-то всего пара стабильных.

В «белой» сети да, а вот сервисов внутри анонимных сетей много, нужно только уметь искать(некоторые умеют отсылать письма и «наружу»). Большая часть из них, правда, обычно предназначена для узкого круга лиц, но есть и общедоступные

Да.

Где-то читал шо таки shadowsocks Винни-Пух успешно побанил

К автору в Китае на чаёк наведались местные товарищи и предупредили его что ещё одна дурацкая выходка, и он поедет помогать уйгурам радостно вливаться в здоровое ханьское общество. В ближайшем концлагере, простите, «лагере перевоспитания». Году в 2017 это было. Автор внял голосу рассудка. Деваться ему было некуда. =)

Да, это так.

Всё верно для случая tor browser.

Да, есть.

обычно предназначена для узкого круга лиц, но есть и общедоступные

Но общедоступные сразу вызывают ряд нездоровых вопросов, т.к. можно сразу считать что они в той или иной степени подконтрольны… «третьим лицам». Ну либо вынуждены достаточно часто менять своё местоположение.

https://cdn-112.anonfiles.com/dbffF8H9p9/32fb825d-1613083583/zgKYCnusR6.tar.x...

b2sum zgKYCnusR6.tar.xz.gpg :

7fefa18060fb6d773054b566f620369144662d7636f345b2c7ee0cd450c0cd17eb7f5c287d489fe1a7c3dd1a2db34eb9be7591593417a2b2129ea3c74c241717

Пароль: MARIA

В общем, текущий user agent здесь фейковый.

Я бы не рекомендовал при использовании Tor отклоняться от стандартного:

Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0

Конечно. Наивные и незамутнённые не понимают основ работы. Они думают что вот врубили тор и всё, «чики-чики, а я в домике сижу». А на деле получили заметную флуктуацию трафика (заметную у того же прова, например).

Перспективная технология snowflake, на данный момент уже тесно интегрированная с браузером, позволит усилить анонимность конечного пользователя Tor Browser, заодно предоставляя трудноблокируемые мосты для нуждающихся. Snowflake спроектирован так, чтобы максимально мимикрировать под VoIP, а миллионы IP пользователей Tor переблокировать проблематично.

Вот скоро должны будут окончательно обкатать технологию, после чего можно и по умолчанию будет рекомендовать всем пользователям включать snowflake при первом запуске браузера.

И вот это будет большой шаг вперёд, он очень значительно усилит анонимность Tor в целом.

Т.е., было бы желание, конечно. Даже DPI и близко не нужен. Просто смотрим src, dst, для пакетов нужной нам длины, если src || dst совпадают со списочным, тупо дроп. Ну, это если «крупными мазками».

Да, изначально цели скрыть использование Tor не стоит. Кроме того, упомянутое выше свойство пакетов(padding до 512 байт) очень важно для анонимной работы, поскольку позволяет эффективно бороться с т.н. «website traffic fingerprinting». Этого, кстати, не делают VPN и прокси, из-за чего анонимность сильно страдает.

Тем не менее, новые технологии мостов(meek, он же meek_lite, а также новейший перспективный snowflake) в этом смысле труднее поддаются блокировке. meek вроде до сих пор работает в КНР.

Те же tsocks не зря были написаны. Хотя, мой набор средств ими не пользуется, я переписал всё что мне нужно на С и сделал свою библиотеку, которая сразу интегрирована.

Массовое решение уже существует, называется torsocks, он же бывший torify. Работает через LD_PRELOAD, но если очень нужно, то можно и...

Кстати, умеет проводить изоляцию цепочек по PID, эксплуатируя всё тот же SOCKS Auth.

Предположить кто именно, я могу, но не буду. =)

Почему нет?

Допустим будет от выходной ноды до vk 3000 соединений, как понять, что 2665 - это мое?

tor в строгом смысле не является надёжным протоколом.
Например в случае посящения сайта:

1. отсутствует задержка между получением и отправкой сообщения промежуточными узлами, которая в норме должна быть случайно выбрана в промежутке до 45 минут
2. Передача трафика идёт неравномерно, не равными порциями через равные промежутки времени, при отсутствии реального трафика в канал не подмешивается случайная последовательность необходимого объёма, что позволяет определить куда передана информация через кореляцию объёмов передаваемой информации.

В общем если хочешь реально скрыть своё пребывание в сети то про протоколы на основе http(s) просто забудь, вообще забудь всё что так или иначе завязывает информацию на конкретную промежуточную ноду(сервер).

да тот же Сбер будет блокировать доступ

Он должен не блокировать доступ, а сразу вызывать бригаду по ситуации:

1. либо медики - это если настоящий сберо-юзер хочет к своему аккаунту через тор. Такое надо залечивать сразу.

2. либо полиция/пожарники/роскосмос/спортлото - это если юзер ненастоящий. И ненастоящего надо тут же мочить в (сами-знаете-где, каждое утро туда по морозцу бегаете) ибо у бабушек воровать пенсию не есть хорошо.

К слову, телегу не было никакого труда заблокировать точно так же. Но по сути блоков и по результатам, там вовсе не это искали. Не телегу. Но это так, чисто к слову. =)

Да, как видно цели заблокировать не стояло изначально. Только кто-нибудь напрочь оторванный от реальности сможет утверждать, что РФ слабее того же Казахстана, Ирана или тем более Эфиопии.

Наивнее некуда, однакож многие взаправду решили, что Дуров красавчик, а они-де «здесь власть».

напрочь оторванный от реальности сможет утверждать, что РФ слабее

Про красавчиков и власть понятно. Однако не стоит забывать, что «Не надо объяснять хитростью то, что можно объяснить глупостью».

Конкретно ваш опыт общения с «айти спициализтами на бюджетнай зряплате» что подсказывает по вопросу ?

Однако не стоит забывать, что «Не надо объяснять хитростью то, что можно объяснить глупостью».

Я лично, в одиночку мог бы забанить телеграм одним скриптом, будь у меня необходимый допуск. На его написание ушло бы менее недели в ленивом стиле, и большую часть времени заняла бы сетевая разведка.

Какая, право, глупость?!

DPI в РФ внедрён повсеместно уже как 510 лет, никакие модномолодёжные прокси не помогут. Даже мосты Tor с трудом бы обошли серьёзную блокировку, а Tor это не шарашка какая-нибудь, а самый настоящий академический проект с тридцатилетней историей, и самый большой научный вклад проекта на данный момент — исследования по маскировке сетевой активности и обходу цензуры. И это никто никогда даже не подвергал сомнению.

Просто многие даже приблизительно в своей голове не могут вообразить, каким могуществом обладает и не самое богатое и сильное государство, такое как Казахстан или Украина. Что уж говорить об РФ.

Конкретно ваш опыт общения с «айти спициализтами на бюджетнай зряплате» что подсказывает по вопросу ?

Даже ламеры-эникеи, обслуживающие компы во всяких налоговых, госуслугах и прочих МФЦ с МВД, будут пограмотнее дуровских «ИБэшников», напейсавших костыльный недокриптоалгоритм на коленке, за который расстрелять мало. Ведь у первых хватит ума использовать уже готовую сертифицированную и поддерживаемую криптографию.

Если мы говорим о перспективных студентах, особенно обучающихся в ВУЗах мск и спб(напомню, российские студенты постоянно держат первенство в соревнованиях по информатике, конкурент только Китай) и которых активно, прямо с первых курсов начинают вербовать в спецслужбы, то... Ну, вы понимаете о чём я.

Формально да. =)

Я бы не рекомендовал при использовании Tor отклоняться от стандартного:

Но здесь (на этом ресурсе) я по легенде апологет Gentoo. В реале тоже, кстати. И было бы странно. =) Хотя, говорю же – цифровой оттиск должен в общем и целом соответствовать профилю цифровой личности. Мелочи, на них все влетают. Но вообще-то да, стандартный по временам лучше. Просто, выходя в интернет, я одеваюсь «по погоде» того ресурса, куда собираюсь заглянуть. =)))

Перспективная технология snowflake

Да, дополнительные эфемерные проксики, мимикрирующие под WebRTC и работающие прямо в браузере, это хорошо. Хорошая идея. Посмотрим что со всем этим будет дальше. Пока меня несколько напрягает использование «стандартного» хрома. Уж больно он гад «фонит». Если кому описание технологии понадобится, то оно здесь и хдесь. Ну и механизм распространения пока так… не совсем понятен. Волонтёр должен зайти на сайт, хостящий snowflake проксик, дальше клиент тора должен найти доступный прокс через сигнальный канал… ну и дальше начать работать. Пока со скрытностью «не очень». Выпаливаться будут через простую поисковую систему, достаточно подточить краулер. Поэтому, пока да, вроде, перспективно, но что будет дальше поглядим, Бог даст. Ну и да, там, унутре, GOшечка, если что. =)

Кроме того, упомянутое выше свойство пакетов(padding до 512 байт) очень важно для анонимной работы, поскольку позволяет эффективно бороться с т.н. «website traffic fingerprinting». Этого, кстати, не делают VPN и прокси, из-за чего анонимность сильно страдает.

Скрыть использование тор можно только одним – не привлекать к своей деятельности «пристального» внимания. Со стороны даже не «государства», а всяких жуликов прежде всего. Ну и со стороны чужих государств уйти от их излишне любопытного ока, т.е., формально – х.з. «кто это вообще» на сайт пришёл. Любая иная активность, построенная на использовании технологий типа VPN, сразу махом выдаёт с головой пользователя. Если есть точка ыхода, то должна быть и точка выхода. В торе сделано по максимуму всё, чтобы отдалить эти точки друг от друга. Во всех остальных технологиях это и не рассматривается даже.

Тем не менее, новые технологии мостов(meek, он же meek_lite, а также новейший перспективный snowflake) в этом смысле труднее поддаются блокировке. meek вроде до сих пор работает в КНР.

Насколько я понимаю, пока да. Пока китайцы не разобрались с тем, откуда берутся все эти сайты, на которые шлются запросы типа тех, что передаются в строке --url=куда.шлём.запрос описалово и примеры. Мимикрия под стандартный http(s) хороша, здесь реализован примерно такой же подход как и в shadowsocks (по своей идее). Но со временем число доступных пользователям внутри КНР проксов упадёт. Не все готовы (вне КНР) предоставлять свои ресурсы для пользователей в КНР. У меня, например, Chaina вся на серверах вырублена. Насколько я понимаю, для ускорения доступа они хотят сгородить свою некую BridgeDB, так что… Может получиться что выпалят всех и махом. Нельзя исключить и такого поворота событий. И да, и тут клиенты на GOшечке написаны. =)

Массовое решение уже существует, называется torsocks, он же бывший torify. Работает через LD_PRELOAD, но если очень нужно, то можно и…

Дык да. Но я не очень просто люблю трюки с LD_PRELOAD, да и набор нужного ПО свой по большей части, либо модифицированный. Поэтому одним махом решил все свои проблемы. =)

Почему нет?

Ресурсы на то, чтобы создать несколько отслеживаемых кластеров на разных IP есть только у стран. Тут использовались белые IP разных стран. Зачем нужны были отслеживаемые кластеры? Да чтоб свой трафик не гонять и исключить «свои» узлы из цепочек, так можно собрать требуемую информацию намного быстрее, хотя, это и демаскирующий признак, да. Но «государство» тут не боится того, что спалят. Какое именно «государство» это ещё доказать нужно. Но тут явно спецы служб поработали. Судя по «почерку». =)

Внёс в игнор тебя братан, сорри, но про перспективных студней я побольше тебя знаю.

Не-а...

Он должен не блокировать доступ, а сразу вызывать бригаду по ситуации:

Сбер ничего из перечисленного делать не должен. =) Да и права не имеет. «Противоправных деяний» нет, а медицинские диагнозы это вообще не дело Сбера. =) Будет уголовно наказуемое деяние (или более-менее серьёзный инцидент), тогда заяву ментам, они будут «мотать» как положена. А пока, как говорят менты, «нет тела, нет дела» (да, понимаю что не нравится логика «когда Вас убьют, тогда и приходите»), но иначе ни одна служба в мире не работает. Только пост-фактум.

В качестве предупредительной меря я бы рекомендовал самостоятельно думать головой и не делать очевидных глупостей, но это уже… Не всегда объяснишь, не всегда и нужно объяснять.

Ага...

Абсолютно согласен. Но я только могу добавить что индивидуумы из «поколения снежинок», стоящие с плакатиками «мы не хотим чтобы нами управляли», не понимают что ими уже управляют и ими всегда будут управлять. «Неуправляемые» это те, кто стоит молча в стороне, занимаясь своими делами. Как говорится, «бойся не ту собаку что лает, бойся ту, которая молча кусает». ;)

Но быть «неуправляемым» сразу и махом означает наложить на себя массу ограничений и в реальной жизни в том числе. Самым сложным в школах Ига-рю и Кога-рю, была «жизнь видимых людей».

В общем, “We work in the dark - we do what we can - we give what we have. Our doubt is our passion, and our passion is our task. The rest is the madness of art.” © Henry James. Ну либо. Т.е., «неуправляемый» это всегда сложно и для самой личности и для «государства».

Я только немного добавлю... Если позволите.

Я лично, в одиночку мог бы забанить телеграм одним скриптом, будь у меня необходимый допуск. На его написание ушло бы менее недели в ленивом стиле, и большую часть времени заняла бы сетевая разведка.

+1! Могу добавить что сей скрипт сам бы выявлял вновь возникающие «направления» и сам бы из и закрывал. Основная идея, как я и писал на другом ресурсе (правда, там я пишу прямо с матом) была не в том, чтобы закрыть телегу. Любопытно что в результате действий РКН отъехали какие-то больницы на Ставрополье, ряд сервисов РЖД прилёг… Т.е., была банальная проверка на соблюдение 152-ФЗ. «Трансграничную обработку данных» ни кто не запрещал. А вот персданные там хранить ненужно. Вежливо и ласково напомнили.

Tor это не шарашка какая-нибудь, а самый настоящий академический проект с тридцатилетней историей, и самый большой научный вклад проекта на данный момент — исследования по маскировке сетевой активности и обходу цензуры. И это никто никогда даже не подвергал сомнению.

Да. Я бы ещё напомнил что сам по себе Tor написан был подразделением военно-морской разведки США (U.S. Naval Research Lab (NRL) ). https://www.torproject.org/about/history/

in 1995, David Goldschlag, Mike Reed, and Paul Syverson at the U.S. Naval Research Lab (NRL) asked themselves if there was a way to create internet connections that don’t reveal who is talking to whom, even to someone monitoring the network.

И (оттуда же):

In the early 2000s, Roger Dingledine, a recent Massachusetts Institute of Technology (MIT) graduate, began working on an NRL onion routing project with Paul Syverson.

До сих пор Tor получает от американских госструктур до 85% своего бюджета, в 2017г. он получил 51.5% своего быджета. Tor отрицает, что как-либо сотрудничает с властями (и это, кстати, правда). Более того, в США тратят на борьбу с Tor чуть ли не больше денег, чем на его поддержку. Например, в 2014 г., по данным Tor, американский Университет Карнеги-Меллон получил $1 млн, чтобы вычислить IP-адреса ряда пользователей. В итоге была проведена операция Onymous, в ходе которой было задержано 17 продавцов нелегальной продукции. Университет в ответ клялся, что делится информацией бесплатно, если получает судебный запрос. Но мы-то понимаем… =))) И эти люди что-то говорят про «русских хаккИров», ага… =)))

Казалось бы – нафиг платить в оба конца? А всё просто – слишком уж хорошая вещь получилась. Неизбежное зло в данном случае, чтобы сеть росла и включала в себя возможно большее число узлов, иначе им свои задачи не порешать на малой сети. Поэтому и отдали в паблик домен, чтобы самим дальше не продолжать развивать за деньги и на безопасность проверить. Но изначально математика там ну оооочень хорошая. Кстати, раньше прямо на сайте тора был раздел про используемую там «математику». Сейчас чего-то я его не вижу.

Если мы говорим о перспективных студентах, особенно обучающихся в ВУЗах мск и спб(напомню, российские студенты постоянно держат первенство в соревнованиях по информатике, конкурент только Китай) и которых активно, прямо с первых курсов начинают вербовать в спецслужбы, то… Ну, вы понимаете о чём я.

Есть ещё курсанты специализированных и весьма специализированных ВУЗов, входящих в систему подготовки силовых ведомств. Там вообще селективный отбор (как правило, поступают те, у кого отец уже служивый, либо отслужил). Там кадры ни фига не слабее, просто реже «светятся».

Случайно никто не хочет купить гараж?

Рассматривая контекст темы, скорее нужен - бункер и кессон в гараже под это не покатит, увы.

Казалось бы – нафиг платить в оба конца? А всё просто – слишком уж хорошая вещь получилась

Можно еще добавить, что лучше самим развивать и держать под контролем, чем позволить кому-то создать подобное, выпустив из рук монополию.

https://wiki.gentoo.org/wiki/Tor старте редакции этой доки хороши с версиями 0.2.*