登录linux vps.apt-get updateapt-get install tor
(yum updateyum install tor)
easy_install pip
pip install obfsproxy 然后编辑/etc/tor/torrc,定义一个ORPort,不把你的vps作为tor网络的出口节点,而是设置成tor Bridge.:
Log notice file /var/log/tor/notices.log
RunAsDaemon 1
ORPort 444
Exitpolicy reject *:*
BridgeRelay 1
ServerTransportPlugin obfs4 exec /usr/local/bin/obfsproxy
PublishServerDescriptor 0ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw}ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw} 重启Tor服务:
service tor restart 查看日志文件tail -F /var/log/tor/notices.log,当看到有类似的输出,证明成功:root@localhost:~# tail -F /var/log/tor/notices.log
May 19 08:09:26.000 [notice] I learned some more directory information, but not enough to build a circuit: We need more descriptors: we have 5997/7176, and can only build 56% of likely paths. (We have 83% of guards bw, 84% of midpoint bw, and 79% of exit bw.)
May 19 08:09:26.000 [notice] I learned some more directory information, but not enough to build a circuit: We need more descriptors: we have 6087/7176, and can only build 59% of likely paths. (We have 84% of guards bw, 85% of midpoint bw, and 81% of exit bw.)
May 19 08:09:26.000 [notice] We now have enough directory information to build circuits.
May 19 08:09:26.000 [notice] Bootstrapped 80%: Connecting to the Tor network.
May 19 08:09:26.000 [notice] Bootstrapped 90%: Establishing a Tor circuit.
May 19 08:09:27.000 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.
May 19 08:09:27.000 [notice] Bootstrapped 100%: Done.
May 19 08:09:27.000 [notice] Now checking whether ORPort 123.123.123.123:444 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
May 19 08:09:29.000 [notice] Self-testing indicates your ORPort is reachable from the outside. Excellent.
May 19 08:09:33.000 [notice] Performing bandwidth self-test...done. z (以上的123.123.123.123是我的vps的IP,这里用123.123.123.123代替) 然后在本地机器安装
然后回到主界面,点击『Configure』
先到 ISP 设置,问你的 ISP 是否屏蔽了 Tor 或者审查连接。选择yes,然后点击continue.
在弹出的窗口中,连接方式选择enter custom bridges,然后在其下的空白栏中填写my-vps-ip:444 ,然后点击continue.
在弹出的窗口中,建议选择yes,使用本地代理:(这是再一次套一层代理,这样才更容易连上tor网络.本地代理可使用ss. 以后再连接tor网络时,就可以不使用本地代理,而只用自己定制的网桥即可。)
然后点击continue.
在弹出的窗口中,proxy type选择socks5,address和port分别填127.0.0.1和1080 ,然后点击connect,
稍等片刻(不到1分钟),即可成功连接tor网络.
自动连接的obfs4网桥是已经加入 Directory 的,其IP 经常被屏蔽,所以还是推荐使用 『custom bridges』。
obfs4 连接在现在依然是个好办法。令人担忧的是,GFW 也是在使用纳税人的钱投入升级,毕竟这种需要非对称加密认证协商密钥的过程再怎么混淆还是会有流量特征的蛛丝马迹,随着 GFW 运算能力的提升和流量统计样本库的增加,obfs4 被识别也许只是时间问题。或许将来还会有 obfs5,obfs6,对此我既不悲观,也不乐观。这是场一眼望不见尽头的漫长博弈。
哈哈,用此办法,访问youtube,超快。
相关帖子:https://briteming.blogspot.com/2017/05/obfs4tor-bridge.html
(浏览器加固
首先是打上Privacy Badger和HTTPS Everywhere插件,来自大名鼎鼎的 EFF 也就是电子前哨基金会。
1:Privacy Badger中文名隐私獾,主要是限制各类商业trackers,此插件还能关闭WebRTC,插件安装后,点击设置标志然后勾选“阻止 WebRTC 泄露本地 IP 地址”即可。插件下载页面:
2:使用HTTPS Everywhere插件强制https连接,tor上可以防止蜜罐窥探到访问内容:
https://www.eff.org/https-everywhere
3:Neat URL此插件能清除URL内的parameters,防止类似Google Analytics的分析流量,项目地址:
https://github.com/Smile4ever/Neat-URL
4:还有一个很野蛮的加固浏览器方法,此方法会严重影响浏览器易用性,严重警告,大家酌情添加,下面是项目地址:
https://github.com/pyllyukko/user.js
简单点讲就是下载user.js文件放入火狐 [firefox directory]\Data\profile\ 文件夹里,重启即可。
浏览器加固就先讲这么多,其它还有阻止部分Javascript APIs生成指纹乃至直接禁用JS脚本,删除不安全的根证书等老生常谈的话题就不展开了.)
--------------------------------------------如何搭建洋葱网路的中继Tor Relay (1)
搭建TOR Relay 过程
- 下载安装TOR因为是debian发展出来的分支之一,只要依照官网指示: Configuring a Tor relay on Debian/Ubuntu
1.1 编辑更新/etc/apt/sources.list 这个档案,新加入这两行,让torproject.org 软体源成为系统软体更新时也要检查的对象之一
deb http://deb.torproject.org/torproject.org trusty main deb-src http://deb.torproject.org/torproject.org trusty main
1.2 在命令行输入以下二行,以将torproject.org 的金钥汇入到本地电脑,这样更新软体源时请求才会被接受
gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
1.3 更新安装
$ sudo apt-get update $ sudo apt-get install tor deb.torproject.org-keyring
\2. 开始设定中继器
2.1 Edit the bottom part of /etc/tor/torrc
我还不完全了解torrc 这个档案设定值,所以就照抄地复制官网上的指令,把以下四行加入到torrc 档案最后
ORPort 443
Exitpolicy reject *:*
Nickname ididntedittheconfig // 似乎是自己這個中繼的膩稱,後來我另取了一個讓自己可識的代名
ContactInfo human@...
2.2 若网路环境有防火墙设定,请作相应的调整(没有)
2.3 重新启动电脑,让中继器功能开始运作
\3. 确认它能正常运作打开记录档,其位置在: /var/log/tor/log 内容显示如下图,看起来应该是能正常运作。
其实我自己也不知道这样作会不会给其它依赖TOR的使用者带来风险,先以实验性质来操作。如果有哪位网民意外地看到这篇文章,发珼有任何问题,请来信指教或批评,毕竟许多TOR使用者为从事危险工作(不是指暗网的交易啦)的社运人士、记者等等。哦对了,一两个月前,看到这个声明稿,大概也是让我想试试TOR Relay的潜在动机之一Access Now and EFF Condemn the Arrest of Tor Node Operator Dmitry Bogatov in Russia.
TOR 其它专案
TOR Atlas
仔细地查看TOR上头的资料,果然藏着许多之前未注意到的东西,例如这个Atlas 呈现TOR网路当中全球各地中继运行的状况。不过目前受限于程式本身设计,如果查询结果超过50笔资料,它会反应说资料过太无法在网页上显示。试着输入140 这个容易筛出可能是台湾学术网路IP上的机器,找到了几台TAN底下的洋葱网路中继。
搭建洋葱网路的中继Tor Relay (II)
照说一个TOR 新设的中继,都会经历以下四个阶段的「成长过程」(看完之后一整个有一种角色养成的电玩游戏之感)
1. 第一阶段新生期在这个阶段(0~3天左右),新的中继还不会被洋葱网路列入可使用的名单。
继然新中继不会被洋葱网路列为可用的节点,也不会把它的「贡献」的网路流量给计算进去。这时候只能靠「业主」自行来做频宽测试,所以它会建造四个回路circuits 传送到洋葱网路内然后再传回给自己,再向每一个回路送出125KB的流量,以导入洋葱网路被动式的计算系统。这个所谓「洋葱网路被动式的计算系统」是以十秒钟为单位来计算中继可以提供的最大频宽。
如果没问题,按照这样的计算法,新中继的流量应是4*125K/10 = 50KB/s,这个数据可以在自己机器上的档案relay descriptor找到。
**bandwidth-authority(bwauths)**则是洋葱网路内评估一个中继的频宽效能的「权量单位」。
consensus number,代表的则是频宽上传与下载之间所同意的「频寛权量」 bwauths,这个值也会考虑你与其它相近规模中继表现比较再做调整。
2. 第二阶段(第3天到第8天) 流量渐增
接下来bwauths 会来比较你和其它新类似中继之间的表现, 慢慢地提高让更多用户透中你这个中继来建立传输回路的比重与流量。
洋葱网路为世人熟知的三点式跳接匿名传送,通常会把第一个接入点称作为guard relay,当然Tor用户要挑选稳定又可靠的中继来当作其进入匿名网路的第一个跳点。所以第一个跳点的重要性与特殊性仍在于这是匿名网路的入口,也很容易遭到对手的攻击,故其防御更显重要。所谓的攻击,可能是敌对者也来安装中继,引诱用户使用他们所搭建的中继,那不是自投罗网嘛?所以在TOR的设计上,则希望guard relay的数目不能太多,让用户能选择这些为数有限的第一个节点进入,这样就算封包不慎进入了对手所提供旳第一个节点造成了一些遗失,但如果其它封包运气好没出错,则用户接下来的回路依然是安全的状态。
讲了这么多的意思是说,这个我搭建的、存活了4、5天的中继,它的作用就是在洋葱网路当中作为第二个跳接的节点。
3. 第三阶段加速让中继升为guard relay (第8天之后的二个月间)但流量可以会先降后升
中继要被授予guard flag 才能成为guard relay。而洋葱网路在评估是否给中继守门标志的考量点有三:
- “频寛要足” (they need to have a large enough consensus weight),
- “weighted fractional uptime 中继可以维持上线的工作时间” (最好是能全年无休不关机的运行中继),
- “time known 加入时间” (为了提高对手的攻击成本,TOR 不会把新搭建加入的中继冒然列为入口节点)
另外一个概念是guard rotation period 轮值期
对于TOR使用者他们只会挑选授有guard flag 的中继做为入门的接入节点,但这也意谓着这个背着守护者旗志的中继不会被使用者当作第二个跳接的节点,因为它们假设此中继要负责许多接入者的流量,为了避免其负荷过大,在考量把资源作出最佳配置尤其是稀少资源的节省,就不会把guard relay作为第二个中间的节点。
对于需要使用TOR匿名网路的用户,他们通常每4-8周会调整一次其入口节点的挑选,一方面是因为新加入成为guard relay 的被利用数量少所以要做点流量上的调配(尤其是新用户通常会初被分配到刚授予入口资格的中继),另一方面也是考量避免让那些运作了许多的入门守护中继会发生过多用户流量不断涌入长期负担过大的问题。
4.熟成期, 中继可以晋升为guard relay (第68天之后).
一但中继「晋升」为guard relay (这段成长时间多少通常也视Tor 版本而异,似乎越晚期的新版Tor 所要花的时间也更长),这个中继也进入了一个稳定状态
后记
看完这篇介绍,我大概可以揣摸猜想作为守护者入口节点中继的重要性,但更好奇文中完全没提:那么作为跳出洋葱匿名网路的最后一个节点,它既然要扮演出口看守后门,与外界连结,那不是一样有高度被攻击的风险嘛??
------------------------
Tor 的节点分两种
- 第一种是中继节点,而中继节点又分两种:
- Tor Relay,就是我部署过的,需要加入 Directory。虽然现在 GFW 是通过流量特征屏蔽 Tor,但作为第一跳的 IP 还是可能会被探测屏蔽。
- Tor Bridges,也是我推荐部署的,第一跳的 IP 不在公共 directory 里,手动获取也方便。
- 第二种是 Exit Nodes,出口节点。所谓蜜罐也都是部署在出口节点上的。出口节点以外的访问的目标网站如果不是 SSL,那么从出口到目标网站就是明文的,会暴露 DNS 记录和明文密码。
并且自己搭建中继节点也没有法律风险,不会被主机商掐,他们最担心的就是利用出口节点做 BT 下载,Botnet,滥发垃圾邮件或发起 DDoS 攻击,由于 Tor 的链路是不可回溯的,所有黑锅都得出口节点背,律师函也是发给 VPS 服务商的。欧美国家的出口节点大都是 ISP 或图书馆院校机构,有 abuse desk,很正规。但俄罗斯,巴基斯坦之类的国家,因为当地 ISP 和机房没有欧美那么严格的 Regulations,非常可能被布有蜜罐。中国的 Dedicated IPs 不是 ISP 就是企业,可想而知,在一个 Tor 被穷追猛打的国度出现出口节点,谁敢用?所以一定要在客户端中修改
torrc 排除这些国家。下面第一行是排除这些国家的中继节点,不走那里的服务器。第二行是不从那些国家服务器的出口出去。ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{??}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{??}
New Identity,一切要自己注意。-----------------
重点参考:https://www.torproject.org/docs/pluggable-transports
obfsproxy
Tor Bridges
Configuring a Tor Relay on Debian / Ubuntu
(https://www.torproject.org/docs/tor-relay-debian.html.en)
https://github.com/torproject/tor
相关帖子:
http://briteming.blogspot.com/2016/09/tor-relay-tor-bridges.html
http://briteming.blogspot.com/2013/04/setting-up-obfsproxy-bridge-on.html
http://briteming.blogspot.com/2015/07/obfs4.html
http://briteming.blogspot.com/2013/02/bypassing-censorship-by-obfuscating.html
http://briteming.blogspot.com/2013/02/obfsproxyopenvpn.html
https://www.perfect-privacy.com/howto/tunnelblick-obfsproxy-stealth-vpn/
---------------------
通过http代理,快速连接到Tor网络(这是老办法,仅供参考)
首先来到这个网站 http://www.proxy-list.org/en/index.php 输入验证码点击Enter按钮进入代理页面,找到代理(要选支持ssl的非中国的代理,也就是Country这列里对应的不是cn且SSL这列里对应的是Y的代理,有好几页好多代理可以任选一个不行就多试几个)。or 用软件proxy hunter(代理猎手)或者用这款工具:http://mingzhpy.appspot.com/cms/show_article/236002.html搜索最新可用的http proxy.或者在这里http://nntime.com/寻找最新的http proxy. 或者这里:http://proxygo.com.ru/,
http://www.cybersyndrome.net/,http://www.atomintersoft.com/products/proxy/country.aspx/France-Fr,http://www.samair.ru/,http://www.checker.freeproxy.ru/checker/,
http://tools.rosinstrument.com/proxy/
然后再回到Tor的设置里加入你找到的http代理进行添加,按确定; 如图
稍等片刻! 咱们的Tor又变成绿色了!!注意:在tor变绿后,建议不要取消“我使用代理服务器连接到网络“。
(如果不是使用Vidalia可以找到tor的torrc文件记事本打开在里面加入HTTPSProxy xxx.xxx.xxx.xxx :8080保存就可以了).此法不错,我试验成功。网上的http代理何止千千万,所以此法具有很大的实用性。(http://freeproxylist.org/cn/)
注意:使用代理时要取消网桥.(即:不要勾选我的isp阻挡了对tor网络的连接)
如果过一段时间,又连不上tor网络了,你可找新的http代理(重复以上步骤即可)
-------------------------------------------------------------------
如何用海外普通代理呢?
用记事本打开torrc文件
在里面加入
HttpProxy *.*.*.238:8080
HttpsProxy *.*.*.20:80
可以加多个代理后保存.,再用tor就行了,运行一段时间(有时可达一个星期)不行了就换海外普通代理.继续使用.
找海外普通代理的方法请参考:
http://forums.internetfreedom.org/index.php?topic=4194.0
注意区分SSL代理要用 HttpsProxy *.*.*.20:80
http代理要用 HttpProxy *.*.*.238:8080
-------------------------------------------------------------------
首先,需要在在Vidalia中设置使用HTTPS代理访问互联网,设置时要注意代理类型也要选择HTTPS的。从原理上说,HTTPS连接能保证Tor 连接启动阶段的安全性,从本人的实践上看效果也非常显著。提醒一点,只要Tor变绿之后,就不再需要Vidalia设置中的HTTPS的代理了,所以只需 要一个临时可用的HTTPS代理就能满足要求。以后一旦Tor无法正常连接,再找个临时可用的HTTPS代理,重新操作一遍即可。
其次,如何获取临时可用的HTTPS的代理呢?这就是童鞋们各显神通的时候了。为了不给相关部门按图索骥封网站的机会,就不提供直接的连接了。只说一些基 本的查找程序。通过搜索引擎找到那些代理搜索的网站,要找那些能区别HTTPS和HTTP代理的网站(本人经验这类网站E文的居多,多学E文好处多多啊, 很多E文站老大哥都是不管的),得到大批结果后,可以找个境内的在线代理测试网站测试一下,找出当前可用的HTTPS代理。
再次,在当前环境恶劣的条件下,建议各位童鞋把Tor设为开机启动项,这样每次开机更新Tor本地节点信息,对于防止自己机器上的Tor被封应该是有好处的。
最后,在Twitter上看到有童鞋说,一个家用路由器后面的的两个机器,一个几十秒Tor变绿,一个需要几小时。为解决此类问题,再重发一下以前文章中 的内容:经过本人的分析对比,Tor节点信息的文件位置是“C:Documents and SettingsAdministratorApplication DataTor”(其中C是系统盘,Administrator是用户名,具体到个人的机器会有不同),共有三个文件保存节点相关信息,cached- certs、cached-consensus、cached-descriptors。从能连上Tor的机器上Copy这三个文件覆盖到自己的机器上, 也是有效果的(某童鞋测试过发现,其实只要前两个即可)。
----------------------------------------------
双击任务栏中的洋葱头图标,打开Vidalia控制面板,接着在打开的控制面板中点击”停止Tor”,接着点击”设置
”按钮,在弹出的窗口中切换到”网络”标签页,并选中”我使用代理服务器连接到网
络”,接着在下面填入http代理服务器地址和端口号,并在Type处选择
HTTP/HTTPS,完毕后点确定并启动Tor,稍等一会Tor就能成功的连接到Tor网络上了。
待Tor连接成功后,到”网络”标签中取消”我使用代理服务器连接到网络”,并点击”确定”按钮,接着就可以通过Tor翻墙了。
-------------
首先通过普通网络搜索或者代理网站获得一个可用的HTTP代理,最好是海外的。验证可用后,在Vidalia中设置使用代理访问互联网。一旦成功连 接上Tor网络后,可以在设置中把代理去掉,再次重新启动Tor,这样没有经过代理,访问速度会快一点。以后使用Tor也应该是正常的。
至于其中的原因,我初步猜想:GFW采用了类似IP层特征码识别的检测方法,来阻断Tor客户端连接Tor网络。我们在设置中加上代理,就改变了发送到网 络上的数据包及其特征码,因而能躲过了GFW的检测,也就避免了其对Tor连接的攻击。至于连上Tor网络之后就无需再用代理,应该是因为连上一次Tor 网络后,Tor软件就在本地存放了一些Tor网络的节点信息,可供下次连接使用。
经过分析对比,目前笔者已经找到了Tor节点信息的文件位置是“C:\Documents and Settings\Administrator\Application Data\Tor\”(其中C是系统盘,Administrator是用户名,具体到个人的机器会有不同),共有三个文件保存节点相关信 息,cached-certs、cached-consensus、cached-descriptors,保存这三个文件以备不时之需,应该也是有作用 的。
谨 防 cookies 泄密:如果你曾在未使用 Tor 和 Privoxy 的情况下浏览了某个站点,这个站点给你设置了一个 cookie,那么,即使你又开始使用 Tor,那个 cookie 仍能用来确认你的身份。所以你浏览敏感网站前,请清理浏览器的 cookies。
(二)你的浏览器插件也可能会泄漏你的上网信息
浏览器插件例如 Java、Flash、ActiveX、RealPlayer、Quicktime、Adobe 的 PDF 插件等等能被用来泄漏您真实的 IP 地址。当然你可以使用两个浏览器,(一个使用 Tor 浏览敏感网站,另一个用作平时一般的浏览)。
现在的64位操作系统提供了两个IE浏览器,一个是32位的 IE,一个是64位的IE。一般我们都用32位的浏览器,因为现在很多的网站上的插件不支持64位IE,所以我们可以用32位的IE浏览器浏览普通网站,用64位的IE浏览敏感网站。不是一举两得吗。
(三)千万不要安装国内网站上的浏览器插件
当你刚装完一个新的系统浏览网站时,;浏览器常常会弹出一个对话框要求你安装插件,请务必上国外的官方网站安装该浏览器插件。例如:上Adobe网站安装其Flash插件,等等。
在浏览国内某些网站时,也常会弹出对话框要求你安装某某插件等等,请千万不要安装,这些插件常常是被改装过的,轻者会使你的浏览器无辜崩溃,重者你的信息被窃取你都蒙在鼓里呢。切记,切记!
http://www.cybersyndrome.net/,http://www.atomintersoft.com/products/proxy/country.aspx/France-Fr,http://www.samair.ru/,http://www.checker.freeproxy.ru/checker/,
http://tools.rosinstrument.com/proxy/
然后再回到Tor的设置里加入你找到的http代理进行添加,按确定; 如图
稍等片刻! 咱们的Tor又变成绿色了!!注意:在tor变绿后,建议不要取消“我使用代理服务器连接到网络“。
(如果不是使用Vidalia可以找到tor的torrc文件记事本打开在里面加入HTTPSProxy xxx.xxx.xxx.xxx :8080保存就可以了).此法不错,我试验成功。网上的http代理何止千千万,所以此法具有很大的实用性。(http://freeproxylist.org/cn/)
注意:使用代理时要取消网桥.(即:不要勾选我的isp阻挡了对tor网络的连接)
如果过一段时间,又连不上tor网络了,你可找新的http代理(重复以上步骤即可)
-------------------------------------------------------------------
如何用海外普通代理呢?
用记事本打开torrc文件
在里面加入
HttpProxy *.*.*.238:8080
HttpsProxy *.*.*.20:80
可以加多个代理后保存.,再用tor就行了,运行一段时间(有时可达一个星期)不行了就换海外普通代理.继续使用.
找海外普通代理的方法请参考:
http://forums.internetfreedom.org/index.php?topic=4194.0
注意区分SSL代理要用 HttpsProxy *.*.*.20:80
http代理要用 HttpProxy *.*.*.238:8080
-------------------------------------------------------------------
首先,需要在在Vidalia中设置使用HTTPS代理访问互联网,设置时要注意代理类型也要选择HTTPS的。从原理上说,HTTPS连接能保证Tor 连接启动阶段的安全性,从本人的实践上看效果也非常显著。提醒一点,只要Tor变绿之后,就不再需要Vidalia设置中的HTTPS的代理了,所以只需 要一个临时可用的HTTPS代理就能满足要求。以后一旦Tor无法正常连接,再找个临时可用的HTTPS代理,重新操作一遍即可。
其次,如何获取临时可用的HTTPS的代理呢?这就是童鞋们各显神通的时候了。为了不给相关部门按图索骥封网站的机会,就不提供直接的连接了。只说一些基 本的查找程序。通过搜索引擎找到那些代理搜索的网站,要找那些能区别HTTPS和HTTP代理的网站(本人经验这类网站E文的居多,多学E文好处多多啊, 很多E文站老大哥都是不管的),得到大批结果后,可以找个境内的在线代理测试网站测试一下,找出当前可用的HTTPS代理。
再次,在当前环境恶劣的条件下,建议各位童鞋把Tor设为开机启动项,这样每次开机更新Tor本地节点信息,对于防止自己机器上的Tor被封应该是有好处的。
最后,在Twitter上看到有童鞋说,一个家用路由器后面的的两个机器,一个几十秒Tor变绿,一个需要几小时。为解决此类问题,再重发一下以前文章中 的内容:经过本人的分析对比,Tor节点信息的文件位置是“C:Documents and SettingsAdministratorApplication DataTor”(其中C是系统盘,Administrator是用户名,具体到个人的机器会有不同),共有三个文件保存节点相关信息,cached- certs、cached-consensus、cached-descriptors。从能连上Tor的机器上Copy这三个文件覆盖到自己的机器上, 也是有效果的(某童鞋测试过发现,其实只要前两个即可)。
----------------------------------------------
双击任务栏中的洋葱头图标,打开Vidalia控制面板,接着在打开的控制面板中点击”停止Tor”,接着点击”设置
”按钮,在弹出的窗口中切换到”网络”标签页,并选中”我使用代理服务器连接到网
络”,接着在下面填入http代理服务器地址和端口号,并在Type处选择
HTTP/HTTPS,完毕后点确定并启动Tor,稍等一会Tor就能成功的连接到Tor网络上了。
待Tor连接成功后,到”网络”标签中取消”我使用代理服务器连接到网络”,并点击”确定”按钮,接着就可以通过Tor翻墙了。
-------------
首先通过普通网络搜索或者代理网站获得一个可用的HTTP代理,最好是海外的。验证可用后,在Vidalia中设置使用代理访问互联网。一旦成功连 接上Tor网络后,可以在设置中把代理去掉,再次重新启动Tor,这样没有经过代理,访问速度会快一点。以后使用Tor也应该是正常的。
至于其中的原因,我初步猜想:GFW采用了类似IP层特征码识别的检测方法,来阻断Tor客户端连接Tor网络。我们在设置中加上代理,就改变了发送到网 络上的数据包及其特征码,因而能躲过了GFW的检测,也就避免了其对Tor连接的攻击。至于连上Tor网络之后就无需再用代理,应该是因为连上一次Tor 网络后,Tor软件就在本地存放了一些Tor网络的节点信息,可供下次连接使用。
经过分析对比,目前笔者已经找到了Tor节点信息的文件位置是“C:\Documents and Settings\Administrator\Application Data\Tor\”(其中C是系统盘,Administrator是用户名,具体到个人的机器会有不同),共有三个文件保存节点相关信 息,cached-certs、cached-consensus、cached-descriptors,保存这三个文件以备不时之需,应该也是有作用 的。
1 Tor 简介
以下是中文维基百科相关条目的链接:
但是为了防止该条目也被圈到墙外,我转载并编辑如下。
2.1.1概述
Tor(The Onion Router)是第二代洋葱路由(Onion Routing)的一种实现,用户通过Tor可以在因特网上进行匿名交流。最初该项目由美国海军研究实验室(US Naval Research Laboratory)赞助。2004年的后期,Tor成为电子前哨基金会(Electronic Frontier Foundation,EFF)的一个项目。2005年后期,EFF不再赞助Tor项目,但他们继续维持Tor的官方网站。
Tor专门防范流量过滤、嗅探分析,使用户免受其害。Tor是在由洋葱路由器(Onion Routers)组成的表层网(Overlay Network)上进行通讯,可以实现匿名对外连接、匿名隐藏服务。
2.1.2 匿名外连
Tor用户在本机运行一个洋葱代理服务器(Onion Proxy),这个代理周期性地与其他运行Tor服务的节点交流,从而在Tor网络中构成虚电路(Virtual Circuit)。 Tor是在网络协议栈中的应用层进行加密(也就是按照“Onion”的模式),而它之所以被称为Onion(洋葱)是因为它的结构就跟洋葱相同,你只能看出它的外表而想要看到核心就必须把它层层的剥开。即每个Router(路由器)间的传输都经过Symmetric Key(对称密钥)来加密,形成有层次的结构。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包在里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以保持通信安全。同时对于客户端,洋葱代理服务器又作为SOCKS接口。一些应用程序就可以将Tor作为代理服务器,网络通信就可以通过Tor的虚拟环路来进行。
进入Tor网络后,加密信息在路由器间传递,最后到达“出口节点”(Exit Node),明文数据从这个节点直接发往原来的目的地。对于目的主机而言,是从“出口节点”发来信息。
由于在TCP数据流的级别通讯,Tor显得卓然独立于其他匿名网络。通过使用Tor,一般的应用程序都可以实现匿名,比如IRC、即时通讯,以及浏览网页。浏览网页时,Tor常常与Privoxy或Polipo等软件工具联合使用,Privoxy、Polipo是开源代理服务器,可以在应用层增加保护隐私。
2.1.3 规矩与滥用
由于Tor可以匿名进行TCP传输,这就导致了被滥用的可能。路由器存放有一个“出口政策”(exit policy),内有各种地址、端口的组合规定,通过这个来区别哪些传输可以通过这个节点而离开Tor网络,这样就可能防范许多滥用的可能。潜在的滥用包括:
* P2P:抛开合法性不谈,如果通过Tor网络来进行巨额数据的传输,这就有些不礼貌了,毕竟洋葱路由器是由志愿者,花费自己的带宽建立起来的。
* E-mail:匿名的SMTP很容易导致垃圾邮件的产生,一般Tor节点的“出口政策”,都拒绝对外连接到端口25(smtp的端口)。
* 蓄意破坏:由于不会被识破,用户有时会利用Tor来对协作网站进行破坏,这导致许多的网站,包括�基百科,决定部分限制对Tor的通讯。
2.1.4 隐蔽的匿名服务和网站
Tor不仅可以提供客户端的匿名访问,Tor还可以提供服务器的匿名。通过使用Tor网络,用户可以维护位置不可知的服务器。当然如果要访问这个隐蔽的服务,客户端也得安装Tor。
通过Tor指定的顶级域名(Top Level Domain,TLD).onion,可以访问其隐藏的服务。Tor网络可以识别自己的TLD,并自动路由到隐藏的服务。然后,隐藏的服务将请求交由标准的服务器软件进行处理,这个服务器软件应该预先进行配置,从而只侦听非公开的接口。如果这个服务还可以通过公共的因特网来访问,那也会受到相关连的攻击,这样就没有真正的隐藏起来。
Tor隐藏服务有个另外的好处,由于不需要公开的IP地址,服务就可以躲在防火墙和NAT背后。
2.1.5 反制防火长城(GFW)
Tor在中国被许多人用来突破防火长城,这主要是因为中国屏蔽了大量的海外网站。Tor会自动检测节点是否可达目标地址。如果返回错误,它会自动更换节点。相应地,这种技术也可以用在中国境外模拟中国境内节点,以访问一些境外无法访问的内容。
2009年9月以后,一段时间,使用tor的0.2.1.19版本,并不使用bridges的情况之下,无法建立tor连接;然而目前使用tor 的最新稳定版0.2.1.20,仍然能建立tor连接,突破网络封锁,并且不需要 使用Bridges。(?)
2.2 Vidalia 简介
Vidalia是Tor的一个跨平台的GUI控制工具,它是使用Qt框架(是一个跨平台的C++应用程序开发框架)构建的,可以在任何支持Qt4.1及更高版本的平台上运行,包括Windows,Mac OS X,Linux或者其它使用X11窗口系统(是一种以位图方式显示的软件窗口系统)的类Unix系统。
Vidalia允许你启动、停止Tor,查看Tor的状态信息,监视Tor的带宽使用情况,也可以使你更方便的构建自己的Tor服务器,为其他人提供方便。Vidalia由Matt Edman和Justin Hipple编写。
2.3 如何下载最新版的Vidalia套件(包含Tor程序)
由于老佛爷的砌墙大队全面封杀Tor,现在想在大陆网站上获得Tor或者Vidalia套件已经很有些困难了。以往我们要找什么都是上搜索引擎找,如果是不和谐的东西我们一般都上谷歌找(嘿嘿),但是鉴于谷歌今日宣布有可能要退出大陆市场了,在这里推荐生活在简体中文世界的朋友可以访问谷歌新加坡站 http://www.google.com.sg/ 获取简体中文搜索服务。
你可以在谷歌上搜索“Vidalia 多国语言版”,找到最新版本(我下载的是0.2.1.19版)的条目,当然这个条目下的直接下载十之八九是被禁止的,这只是为了获知最新版本的下载链接,然后我们将发现的下载链接贴到迅雷这样的分布式下载软件里,迅雷会自动尽量替我们寻找其他可替代的资源,使我们能最终完成下载。
https://torproj.xpdm.us/
请注意:
(一)浏览敏感网站时请先清除你的浏览器cookies谨 防 cookies 泄密:如果你曾在未使用 Tor 和 Privoxy 的情况下浏览了某个站点,这个站点给你设置了一个 cookie,那么,即使你又开始使用 Tor,那个 cookie 仍能用来确认你的身份。所以你浏览敏感网站前,请清理浏览器的 cookies。
(二)你的浏览器插件也可能会泄漏你的上网信息
浏览器插件例如 Java、Flash、ActiveX、RealPlayer、Quicktime、Adobe 的 PDF 插件等等能被用来泄漏您真实的 IP 地址。当然你可以使用两个浏览器,(一个使用 Tor 浏览敏感网站,另一个用作平时一般的浏览)。
现在的64位操作系统提供了两个IE浏览器,一个是32位的 IE,一个是64位的IE。一般我们都用32位的浏览器,因为现在很多的网站上的插件不支持64位IE,所以我们可以用32位的IE浏览器浏览普通网站,用64位的IE浏览敏感网站。不是一举两得吗。
(三)千万不要安装国内网站上的浏览器插件
当你刚装完一个新的系统浏览网站时,;浏览器常常会弹出一个对话框要求你安装插件,请务必上国外的官方网站安装该浏览器插件。例如:上Adobe网站安装其Flash插件,等等。
在浏览国内某些网站时,也常会弹出对话框要求你安装某某插件等等,请千万不要安装,这些插件常常是被改装过的,轻者会使你的浏览器无辜崩溃,重者你的信息被窃取你都蒙在鼓里呢。切记,切记!
No comments:
Post a Comment