登录linux vps.
apt-get update
apt-get install tor
(yum update
yum install tor)
easy_install pip
pip install obfsproxy
然后编辑/etc/tor/torrc
,定义一个ORPort,不把你的vps作为tor网络的出口节点,而是设置成tor Bridge.:
Log notice file /var/log/tor/notices.log
RunAsDaemon 1
ORPort 444
Exitpolicy reject *:*
BridgeRelay 1
ServerTransportPlugin obfs4 exec /usr/local/bin/obfsproxy
PublishServerDescriptor 0
ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw}
重启Tor服务:
service tor restart
查看日志文件tail -F /var/log/tor/notices.log,当看到有类似的输出,证明成功:
root@localhost:~# tail -F /var/log/tor/notices.log
May 19 08:09:26.000 [notice] I learned some more directory information, but not enough to build a circuit: We need more descriptors: we have 5997/7176, and can only build 56% of likely paths. (We have 83% of guards bw, 84% of midpoint bw, and 79% of exit bw.)
May 19 08:09:26.000 [notice] I learned some more directory information, but not enough to build a circuit: We need more descriptors: we have 6087/7176, and can only build 59% of likely paths. (We have 84% of guards bw, 85% of midpoint bw, and 81% of exit bw.)
May 19 08:09:26.000 [notice] We now have enough directory information to build circuits.
May 19 08:09:26.000 [notice] Bootstrapped 80%: Connecting to the Tor network.
May 19 08:09:26.000 [notice] Bootstrapped 90%: Establishing a Tor circuit.
May 19 08:09:27.000 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.
May 19 08:09:27.000 [notice] Bootstrapped 100%: Done.
May 19 08:09:27.000 [notice] Now checking whether ORPort 123.123.123.123:444 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
May 19 08:09:29.000 [notice] Self-testing indicates your ORPort is reachable from the outside. Excellent.
May 19 08:09:33.000 [notice] Performing bandwidth self-test...done.
z
(以上的
123.123.123.123是我的vps的IP,这里用
123.123.123.123代替)
然后在本地机器安装
TorBrowser。
使用 obfs4 连接Tor网桥,比以前更为方便,新的 TorBrowser 可以自动获得在 Directory 里的部分网桥中继 (Tor Bridges),省却了手动获得tor网桥的过程,尤其适合身边没有任何突破网络封锁工具的人。一般情况下如果直接打开 TorBrowser,得到的结果便是这样的。 然后回到主界面,点击『Configure』
先到 ISP 设置,问你的 ISP 是否屏蔽了 Tor 或者审查连接。选择yes,然后点击continue.
在弹出的窗口中,连接方式选择enter custom bridges,然后在其下的空白栏中填写my-vps-ip:444 ,然后点击continue.
在弹出的窗口中,建议选择yes,使用本地代理:(这是再一次套一层代理,这样才更容易连上tor网络.本地代理可使用ss. 以后再连接tor网络时,就可以不使用本地代理,而只用自己定制的网桥即可。)
然后点击continue.
在弹出的窗口中,proxy type选择socks5,address和port分别填127.0.0.1和1080 ,然后点击connect,
稍等片刻(不到1分钟),即可成功连接tor网络.
自动连接的obfs4网桥是已经加入 Directory 的,其IP 经常被屏蔽,所以还是推荐使用 『custom bridges』。
obfs4 连接在现在依然是个好办法。令人担忧的是,GFW 也是在使用纳税人的钱投入升级,毕竟这种需要非对称加密认证协商密钥的过程再怎么混淆还是会有流量特征的蛛丝马迹,随着 GFW 运算能力的提升和流量统计样本库的增加,obfs4 被识别也许只是时间问题。或许将来还会有 obfs5,obfs6,对此我既不悲观,也不乐观。这是场一眼望不见尽头的漫长博弈。
哈哈,用此办法,访问youtube,超快。
首先是打上Privacy Badger和HTTPS Everywhere插件,来自大名鼎鼎的 EFF 也就是电子前哨基金会。
1:Privacy Badger中文名隐私獾,主要是限制各类商业trackers,此插件还能关闭WebRTC,插件安装后,点击设置标志然后勾选“阻止 WebRTC 泄露本地 IP 地址”即可。插件下载页面:
2:使用HTTPS Everywhere插件强制https连接,tor上可以防止蜜罐窥探到访问内容:
https://www.eff.org/https-everywhere
3:Neat URL此插件能清除URL内的parameters,防止类似Google Analytics的分析流量,项目地址:
https://github.com/Smile4ever/Neat-URL
4:还有一个很野蛮的加固浏览器方法,此方法会严重影响浏览器易用性,严重警告,大家酌情添加,下面是项目地址:
https://github.com/pyllyukko/user.js
简单点讲就是下载user.js文件放入火狐 [firefox directory]\Data\profile\
文件夹里,重启即可。
浏览器加固就先讲这么多,其它还有阻止部分Javascript APIs生成指纹乃至直接禁用JS脚本,删除不安全的根证书等老生常谈的话题就不展开了.)
--------------------------------------------如何搭建洋葱网路的中继Tor Relay (1)
搭建TOR Relay 过程
- 下载安装TOR因为是debian发展出来的分支之一,只要依照官网指示: Configuring a Tor relay on Debian/Ubuntu
1.1 编辑更新/etc/apt/sources.list 这个档案,新加入这两行,让torproject.org 软体源成为系统软体更新时也要检查的对象之一
deb http://deb.torproject.org/torproject.org trusty main deb-src http://deb.torproject.org/torproject.org trusty main
1.2 在命令行输入以下二行,以将torproject.org 的金钥汇入到本地电脑,这样更新软体源时请求才会被接受
gpg –keyserver keys.gnupg.net –recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -
1.3 更新安装
$ sudo apt-get update $ sudo apt-get install tor deb.torproject.org-keyring
ORPort 443
Exitpolicy reject *:*
Nickname ididntedittheconfig // 似乎是自己這個中繼的膩稱,後來我另取了一個讓自己可識的代名
ContactInfo human@...
TOR 其它专案
TOR Atlas
搭建洋葱网路的中继Tor Relay (II)
1. 第一阶段新生期在这个阶段(0~3天左右),新的中继还不会被洋葱网路列入可使用的名单。
2. 第二阶段(第3天到第8天) 流量渐增
3. 第三阶段加速让中继升为guard relay (第8天之后的二个月间)但流量可以会先降后升
- “频寛要足” (they need to have a large enough consensus weight),
- “weighted fractional uptime 中继可以维持上线的工作时间” (最好是能全年无休不关机的运行中继),
- “time known 加入时间” (为了提高对手的攻击成本,TOR 不会把新搭建加入的中继冒然列为入口节点)
4.熟成期, 中继可以晋升为guard relay (第68天之后).
后记
Tor 的节点分两种
- 第一种是中继节点,而中继节点又分两种:
- Tor Relay,就是我部署过的,需要加入 Directory。虽然现在 GFW 是通过流量特征屏蔽 Tor,但作为第一跳的 IP 还是可能会被探测屏蔽。
- Tor Bridges,也是我推荐部署的,第一跳的 IP 不在公共 directory 里,手动获取也方便。
- 第二种是 Exit Nodes,出口节点。所谓蜜罐也都是部署在出口节点上的。出口节点以外的访问的目标网站如果不是 SSL,那么从出口到目标网站就是明文的,会暴露 DNS 记录和明文密码。
并且自己搭建中继节点也没有法律风险,不会被主机商掐,他们最担心的就是利用出口节点做 BT 下载,Botnet,滥发垃圾邮件或发起 DDoS 攻击,由于 Tor 的链路是不可回溯的,所有黑锅都得出口节点背,律师函也是发给 VPS 服务商的。欧美国家的出口节点大都是 ISP 或图书馆院校机构,有 abuse desk,很正规。但俄罗斯,巴基斯坦之类的国家,因为当地 ISP 和机房没有欧美那么严格的 Regulations,非常可能被布有蜜罐。中国的 Dedicated IPs 不是 ISP 就是企业,可想而知,在一个 Tor 被穷追猛打的国度出现出口节点,谁敢用?所以一定要在客户端中修改
torrc
排除这些国家。下面第一行是排除这些国家的中继节点,不走那里的服务器。第二行是不从那些国家服务器的出口出去。ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{??}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{??}
当然并不是不排除的国家就安全,美国肯定有 FBI
的蜜罐,东欧的网络犯罪集团也多了去了,野鸡服务器大把大把的,某些不干好事的暗网服务器会放在乌克兰俄罗斯罗马尼亚这些东欧国家。每次使用 Tor
浏览器时看下自己的 Circuit 和出口,过一段时间或 Session 换 New Identity
,一切要自己注意。-----------------
重点参考:https://www.torproject.org/docs/pluggable-transports
obfsproxy
Tor Bridges
Configuring a Tor Relay on Debian / Ubuntu
(https://www.torproject.org/docs/tor-relay-debian.html.en)
https://github.com/torproject/tor
相关帖子:
http://briteming.blogspot.com/2016/09/tor-relay-tor-bridges.html
http://briteming.blogspot.com/2013/04/setting-up-obfsproxy-bridge-on.html
http://briteming.blogspot.com/2015/07/obfs4.html
http://briteming.blogspot.com/2013/02/bypassing-censorship-by-obfuscating.html
http://briteming.blogspot.com/2013/02/obfsproxyopenvpn.html
https://www.perfect-privacy.com/howto/tunnelblick-obfsproxy-stealth-vpn/
---------------------
通过http代理,快速连接到Tor网络(这是老办法,仅供参考)
http://www.cybersyndrome.net/,http://www.atomintersoft.com/products/proxy/country.aspx/France-Fr,http://www.samair.ru/,http://www.checker.freeproxy.ru/checker/,
http://tools.rosinstrument.com/proxy/
然后再回到Tor的设置里加入你找到的http代理进行添加,按确定; 如图
稍等片刻! 咱们的Tor又变成绿色了!!注意:在tor变绿后,建议不要取消“我使用代理服务器连接到网络“。
(如果不是使用Vidalia可以找到tor的torrc文件记事本打开在里面加入HTTPSProxy xxx.xxx.xxx.xxx :8080保存就可以了).此法不错,我试验成功。网上的http代理何止千千万,所以此法具有很大的实用性。(http://freeproxylist.org/cn/)
注意:使用代理时要取消网桥.(即:不要勾选我的isp阻挡了对tor网络的连接)
如果过一段时间,又连不上tor网络了,你可找新的http代理(重复以上步骤即可)
-------------------------------------------------------------------
如何用海外普通代理呢?
用记事本打开torrc文件
在里面加入
HttpProxy *.*.*.238:8080
HttpsProxy *.*.*.20:80
可以加多个代理后保存.,再用tor就行了,运行一段时间(有时可达一个星期)不行了就换海外普通代理.继续使用.
找海外普通代理的方法请参考:
http://forums.internetfreedom.org/index.php?topic=4194.0
注意区分SSL代理要用 HttpsProxy *.*.*.20:80
http代理要用 HttpProxy *.*.*.238:8080
-------------------------------------------------------------------
首先,需要在在Vidalia中设置使用HTTPS代理访问互联网,设置时要注意代理类型也要选择HTTPS的。从原理上说,HTTPS连接能保证Tor 连接启动阶段的安全性,从本人的实践上看效果也非常显著。提醒一点,只要Tor变绿之后,就不再需要Vidalia设置中的HTTPS的代理了,所以只需 要一个临时可用的HTTPS代理就能满足要求。以后一旦Tor无法正常连接,再找个临时可用的HTTPS代理,重新操作一遍即可。
其次,如何获取临时可用的HTTPS的代理呢?这就是童鞋们各显神通的时候了。为了不给相关部门按图索骥封网站的机会,就不提供直接的连接了。只说一些基 本的查找程序。通过搜索引擎找到那些代理搜索的网站,要找那些能区别HTTPS和HTTP代理的网站(本人经验这类网站E文的居多,多学E文好处多多啊, 很多E文站老大哥都是不管的),得到大批结果后,可以找个境内的在线代理测试网站测试一下,找出当前可用的HTTPS代理。
再次,在当前环境恶劣的条件下,建议各位童鞋把Tor设为开机启动项,这样每次开机更新Tor本地节点信息,对于防止自己机器上的Tor被封应该是有好处的。
最后,在Twitter上看到有童鞋说,一个家用路由器后面的的两个机器,一个几十秒Tor变绿,一个需要几小时。为解决此类问题,再重发一下以前文章中 的内容:经过本人的分析对比,Tor节点信息的文件位置是“C:Documents and SettingsAdministratorApplication DataTor”(其中C是系统盘,Administrator是用户名,具体到个人的机器会有不同),共有三个文件保存节点相关信息,cached- certs、cached-consensus、cached-descriptors。从能连上Tor的机器上Copy这三个文件覆盖到自己的机器上, 也是有效果的(某童鞋测试过发现,其实只要前两个即可)。
----------------------------------------------
双击任务栏中的洋葱头图标,打开Vidalia控制面板,接着在打开的控制面板中点击”停止Tor”,接着点击”设置
”按钮,在弹出的窗口中切换到”网络”标签页,并选中”我使用代理服务器连接到网
络”,接着在下面填入http代理服务器地址和端口号,并在Type处选择
HTTP/HTTPS,完毕后点确定并启动Tor,稍等一会Tor就能成功的连接到Tor网络上了。
待Tor连接成功后,到”网络”标签中取消”我使用代理服务器连接到网络”,并点击”确定”按钮,接着就可以通过Tor翻墙了。
-------------
首先通过普通网络搜索或者代理网站获得一个可用的HTTP代理,最好是海外的。验证可用后,在Vidalia中设置使用代理访问互联网。一旦成功连 接上Tor网络后,可以在设置中把代理去掉,再次重新启动Tor,这样没有经过代理,访问速度会快一点。以后使用Tor也应该是正常的。
至于其中的原因,我初步猜想:GFW采用了类似IP层特征码识别的检测方法,来阻断Tor客户端连接Tor网络。我们在设置中加上代理,就改变了发送到网 络上的数据包及其特征码,因而能躲过了GFW的检测,也就避免了其对Tor连接的攻击。至于连上Tor网络之后就无需再用代理,应该是因为连上一次Tor 网络后,Tor软件就在本地存放了一些Tor网络的节点信息,可供下次连接使用。
经过分析对比,目前笔者已经找到了Tor节点信息的文件位置是“C:\Documents and Settings\Administrator\Application Data\Tor\”(其中C是系统盘,Administrator是用户名,具体到个人的机器会有不同),共有三个文件保存节点相关信 息,cached-certs、cached-consensus、cached-descriptors,保存这三个文件以备不时之需,应该也是有作用 的。
谨 防 cookies 泄密:如果你曾在未使用 Tor 和 Privoxy 的情况下浏览了某个站点,这个站点给你设置了一个 cookie,那么,即使你又开始使用 Tor,那个 cookie 仍能用来确认你的身份。所以你浏览敏感网站前,请清理浏览器的 cookies。
(二)你的浏览器插件也可能会泄漏你的上网信息
浏览器插件例如 Java、Flash、ActiveX、RealPlayer、Quicktime、Adobe 的 PDF 插件等等能被用来泄漏您真实的 IP 地址。当然你可以使用两个浏览器,(一个使用 Tor 浏览敏感网站,另一个用作平时一般的浏览)。
现在的64位操作系统提供了两个IE浏览器,一个是32位的 IE,一个是64位的IE。一般我们都用32位的浏览器,因为现在很多的网站上的插件不支持64位IE,所以我们可以用32位的IE浏览器浏览普通网站,用64位的IE浏览敏感网站。不是一举两得吗。
(三)千万不要安装国内网站上的浏览器插件
当你刚装完一个新的系统浏览网站时,;浏览器常常会弹出一个对话框要求你安装插件,请务必上国外的官方网站安装该浏览器插件。例如:上Adobe网站安装其Flash插件,等等。
在浏览国内某些网站时,也常会弹出对话框要求你安装某某插件等等,请千万不要安装,这些插件常常是被改装过的,轻者会使你的浏览器无辜崩溃,重者你的信息被窃取你都蒙在鼓里呢。切记,切记!
No comments:
Post a Comment