如何安全的使用Tor網(wǎng)絡(luò)
責(zé)編:mhshi |2015-07-21 10:44:14Tor是互聯(lián)網(wǎng)上用于保護(hù)您隱私最有力的工具之一,但是時(shí)至今日仍有許多人往往認(rèn)為T(mén)or是一個(gè)終端加密工具。事實(shí)上,Tor是用來(lái)匿名瀏覽網(wǎng)頁(yè)和郵件發(fā)送(并非是郵件內(nèi)容加密)的。今天,我們要討論一下 Tor的是如何工作的、它做什么、不會(huì)做什么,以及我們?cè)撊绾握_地使用它。
Tor的工作原理是這樣的:
當(dāng)你通過(guò)Tor發(fā)送郵件時(shí),?tor會(huì)使用一種稱(chēng)為“洋蔥路由”的加密技術(shù)通過(guò)網(wǎng)絡(luò)隨機(jī)生成的過(guò)程傳送郵件。這有點(diǎn)像在一疊信中放了一封密信。網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都會(huì)解密消息(打開(kāi)的最外信封),然后發(fā)送內(nèi)部加密的內(nèi)容(內(nèi)密封的信封)至其下一個(gè)地址。這導(dǎo)致如果單看一個(gè)節(jié)點(diǎn)是看不了信的全部?jī)?nèi)容,并且該消息的傳送路徑難以追蹤。
但是,最終的消息已經(jīng)傳送到達(dá)。如果它要一個(gè)直接連接到Tor網(wǎng)絡(luò)的服務(wù)器上“Tor隱藏服務(wù)”,沒(méi)有任何問(wèn)題。但是,如果你只是使用Tor作為代 理來(lái)訪問(wèn)你經(jīng)常上的網(wǎng)絡(luò),就有點(diǎn)復(fù)雜。因?yàn)樵谀承r(shí)候,你的流量需要經(jīng)過(guò)一個(gè)Tor “出口節(jié)點(diǎn)”, 該節(jié)點(diǎn)負(fù)責(zé)把你的數(shù)據(jù)包傳送到網(wǎng)絡(luò)上。
您的流量很容易在這些出口節(jié)點(diǎn)被窺探。
瑞典安全研究人員“Chloe”制定了巧妙的技術(shù)來(lái)欺騙被監(jiān)聽(tīng)的節(jié)點(diǎn)。她建立了一個(gè)蜜罐網(wǎng)站,并使用了一個(gè)貌似合法的域名并進(jìn)行網(wǎng)頁(yè)設(shè)計(jì)。作為特定測(cè)試,她以比特幣為主題。然后使用不同的賬戶(hù)密碼組合通過(guò)不同的Tor出口節(jié)點(diǎn)登陸這個(gè)蜜罐網(wǎng)站
然后,她測(cè)試了一個(gè)月。發(fā)現(xiàn)任何被監(jiān)視的節(jié)點(diǎn)都竊取了她的用戶(hù)名和密碼,并嘗試使用它。她記錄下蜜罐網(wǎng)站上出現(xiàn)的很多登錄嘗試。由于每個(gè)節(jié)點(diǎn)的密碼是唯一的,因此Chloe可以找到到底哪些節(jié)點(diǎn)上鉤了。
該實(shí)驗(yàn)的結(jié)果很有趣。約1400個(gè)退出記錄, 16個(gè)嘗試竊取密碼和登錄。這個(gè)數(shù)字在表面看起來(lái)并不多,但是卻讓人不得不注意。
首先,這只是選了幾個(gè)和比特幣有關(guān)的節(jié)點(diǎn),換句話說(shuō),實(shí)際上有更多的節(jié)點(diǎn)被監(jiān)聽(tīng)。說(shuō)不定那些雄心勃勃的罪犯正隱藏在暗處等待著。
其次,僅僅一個(gè)監(jiān)聽(tīng)的出口節(jié)點(diǎn)造成的危害就很大。安全顧問(wèn)Dan Egerstad測(cè)試了5個(gè)監(jiān)聽(tīng)的Tor出口節(jié)點(diǎn),很快發(fā)現(xiàn)自己的登錄憑據(jù)已經(jīng)登錄上了為數(shù)千臺(tái)世界各地的服務(wù)器,其中受害的包括了澳大利亞,印度,伊朗,日本,俄羅斯使館。這里面伴隨著大量敏感信息。
Egerstad估計(jì)通過(guò)他節(jié)點(diǎn)的95%流量是未加密的,給他機(jī)會(huì)來(lái)訪問(wèn)未加密的內(nèi)容。在網(wǎng)上發(fā)出這個(gè)結(jié)果后,Egerstad被瑞典警察搜查扣押。
這只不過(guò)是5個(gè)監(jiān)聽(tīng)的節(jié)點(diǎn)而已!Chloe曾報(bào)道Tor的半集中式系統(tǒng)清理監(jiān)聽(tīng)節(jié)點(diǎn)并沒(méi)有完全將問(wèn)題解決,他們依舊窺探著!
如果您在使用Tor瀏覽網(wǎng)頁(yè),你發(fā)送的任何郵件都會(huì)很容易在您的出口節(jié)點(diǎn)窺探。就這點(diǎn)為不擇手段的人提供了機(jī)會(huì)將出口節(jié)點(diǎn)作為間諜活動(dòng),盜竊或勒索。
幸運(yùn)的是,那些因?yàn)檫@種緣故而信息泄漏的國(guó)家導(dǎo)有一個(gè)基本的錯(cuò)誤,即:他們誤解了Tor是什么,是用來(lái)做什么的。
好消息是,你可以使用一些簡(jiǎn)單的技巧在使用Tor的時(shí)候保護(hù)您的隱私。
1、使用暗網(wǎng)
與出口節(jié)點(diǎn)保持安全距離的最簡(jiǎn)單的方法就是不使用它們:堅(jiān)持使用Tor本身的隱匿服務(wù),你可以確保所有的通信都是加密的,無(wú)需跨越更多的互聯(lián)網(wǎng)。但是這種方式有時(shí)很有效。暗網(wǎng)只是互聯(lián)網(wǎng)中眾多網(wǎng)站的一小部分。
2、使用HTTPS
另一種方式使Tor的更安全的方法是增強(qiáng)終端到終端的加密協(xié)議。其中最有用的一般是HTTPS,允許你在加密模式下瀏覽網(wǎng)站。Tor網(wǎng)站默認(rèn)支持HTTPS的功能。在你發(fā)送任何敏感信息之前檢查一下HTTPS按鈕是否為綠色。
3、使用匿名服務(wù)
您也可以使用不會(huì)記錄活動(dòng)的網(wǎng)站和服務(wù)提高你的安全。例如,雖然谷歌通過(guò)你平時(shí)的搜索活動(dòng)找出你是誰(shuí)。但是他們不是用于任何惡意目的,僅僅只是作為 其業(yè)務(wù)的一部分。因此,您需要使用像Duck Duck Go瀏覽器之類(lèi)的,它有一個(gè)服務(wù)功能就是不會(huì)保留任何關(guān)于你信息。你也可以結(jié)合Cryptocat加密聊天功能進(jìn)行私人會(huì)話。
4、避免個(gè)人信息
避免個(gè)人信息泄漏的最安全的方式就是在起先時(shí)候就避免發(fā)送信息。使用Tor瀏覽固然不錯(cuò),但也要最大程度地避免信息上傳。只能盡可能避免聊天、發(fā)送郵件和上論壇。
5、避免登錄
最后,避免瀏覽需要你登錄的網(wǎng)站。通過(guò)Tor瀏覽reddit就存在這潛在的危險(xiǎn),因?yàn)樗藶g覽、發(fā)布和評(píng)論,讓攻擊者很容易獲取到個(gè)人信息。 你也應(yīng)該注意避免像Facebook知道你的身份后把它買(mǎi)給廣告商理事之類(lèi)的事。 Tor不是魔術(shù),并不能保護(hù)你,除非你不在乎你的信息被別人知道。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧