Stai parlando di attacchi di un avversario con una visione parziale della rete; che è possibile, ma in realtà devi sospettare il tuo client e il tuo server prima del tempo, e in termini pratici devi avere controllo e visibilità su un'enorme quantità di spazio di rete.
Le FAQ Tor possono essere un buon posto per dare un'occhiata, ma essenzialmente l'attacco è possibile dato:
A bad first of three servers can see encrypted Tor traffic coming from your computer. It still doesn't know who you are and what you are doing over Tor.
e
A bad third of three servers can see the traffic you sent into Tor. It won't know who sent this traffic.
Qualcuno dovrebbe controllare almeno tre server per creare la corrispondenza, e in pratica dovrebbe controllarne molti, molti di più in quanto non c'è modo di determinare quali tre server una determinata connessione utilizzerà in un circuito di rete.
Ora modifica questo valore; vuoi solo identificare i popolari siti .onion, ma stai vedendo il traffico proveniente dagli IP e verso gli IP. Non hai idea, nessuno, quale traffico è il traffico 'di risposta', e che è il traffico 'richiesta', non hai idea se quegli IP siano semplicemente dei relay che vengono scelti alcune volte - è molto possibile in questo scenario che tu non vedere mai l'IP di qualsiasi sito .onion popolare. Inoltre, i circuiti Tor sono costruiti per resistere a questo tipo di attacco .
In particolare se stai osservando tutto il traffico in entrata e in uscita e identifica 1.2.3.4 come popolare - non sai se si tratta di un endpoint, o un router, un server / client che carica o scarica qualcosa. Tutto quello che sai è che è il traffico Tor. Tor è impostato in modo tale che non siano informazioni veramente interessanti - il fatto che tu stia eseguendo Tor non è un segreto (e come hai notato, pubblicano l'elenco di exit nodes per scopi di blacklisting, ma tutti i nodi non bridge sono elencati nei relé descrittori ).
È un po 'diverso se già avere alcuni sospetti, gli attacchi di temporizzazione possono funzionare in questo caso - ma alla fine della giornata, è probabile che mostri solo che due macchine sono comunicanti , non di ciò su cui stanno comunicando, e tu non lo fai t sapere definitivamente che non sono solo un router nella transazione.
Infine, se il servizio che stai cercando di identificare è un Servizio nascosto tutte le scommesse sono fuori servizio - sono progettati per distribuire il tipo di traffico che stai cercando su un collegamento aggiungendo deliberatamente un numero di router pre-trusted nell'equazione, il che annullerebbe qualsiasi conoscenza che avessi sulla rete.