Traffico Tor standard
I nodi di ingresso Tor predefiniti sono elencati pubblicamente. Quindi, per bloccare una connessione Tor standard, l'ISP deve solo verificare gli IP a cui ci si sta collegando rispetto a un elenco di nodi noti (chiamato " entry guards ").
Ad esempio, il mio browser Tor ha scelto in modo casuale 62.210.92.11
come punto di ingresso da un elenco di nodi pubblici. Ora, un intercettatore potrebbe solo cercare l'IP su Atlas (puoi filtrare i nodi di guardia con flag:Guard
) per concludere che sono un utente Tor.
Con i ponti
I
Ponti non sono relé Tor non elencati e pertanto non possono essere bloccati facilmente. Ma la ricerca suggerisce che i ponti possono potenzialmente essere identificati analizzando il loro traffico in entrata e in uscita (come collegato nella risposta di @ user169339).
Un'altra opzione per un intercettatore consiste nell'utilizzare DPI per ispezionare l'iniziale handshake TLS durante la connessione alla rete Tor. Ad esempio, gli autori del documento Rilevamento e blocco del traffico del router di cipolla mediante l'ispezione approfondita dei pacchetti hanno rilevato alcune caratteristiche che possono essere facilmente implementate come regole del firewall, tra cui:
-
Le suite di crittografia offerte dal client Tor sono sempre le stesse.
-
Nel messaggio ClientHello
, il server_name
indicato è sempre un nome di dominio casuale sotto forma di www.[a-z0-9].[com|net]
.
-
Soggetto ed emittente del certificato presentato durante l'handshake hanno anche questo dominio casuale impostato nel campo commonName
che dovrebbe essere facile da distinguere dai certificati legittimi.
In un rapido test ho potuto annusare alcuni pseudo domini da un handshake Tor TLS:
www.65nrpfd6bt7h.com
www.dgb2ozu32a6mjxhrijwa5gtp5.com
www.arqnns3y6lowbr3ses67cb.com
(Anche i domini casuali da soli, anche se potresti non essere in grado di filtrarli in modo affidabile, potrebbero sicuramente attirare l'attenzione del tuo sysadmin locale.)
Trasporti inseribili
I Trasporti a innesto sono il tentativo del progetto Tor di superare il blocco basato su DPI fornendo un'API per scambiare il traffico Tor su protocolli arbitrari (oscurati) che sono più difficili da rilevare per i firewall:
Pluggable Transports help you bypass censorship against Tor.
Pluggable Transports (PT) transform the Tor traffic flow between the client and the bridge. This way, censors who monitor traffic between the client and the bridge will see innocent-looking transformed traffic instead of the actual Tor traffic. External programs can talk to Tor clients and Tor bridges using the pluggable transport API, to make it easier to build interoperable programs.