如何优雅地用Tor_下篇

为了庆祝三胖去见马克思,特写下tor教程第二篇,上一篇博文已经详细说过Windows和Linux下怎么快捷地用tor,这一篇主要讲tor网桥直连,怎么寻找普通网桥和obfs4网桥?怎么灵活配置torrc文件?以及怎么设置浏览器插件和安全加固?

获取tor网桥

tor网桥洋文叫“Tor Bridge”,用于桥接洋葱网络,而俺们要找的网桥是入口节点,用于直接连接tor,下面讲讲怎么找这个入口节点并测试节点可用性以及速度快慢。

1:首先可以去官方页面获取,此页面点击上面“直接给我网桥”获取的是普通网桥,点击下面“获取网桥”获取的是obfs4网桥,也就是你每次可以获取6个网桥,如果是用tor连接此页面的话,因为tor的IP总是在变的,于是你隔过几分钟就可以再次获取一次,这样的话,你可以短时间内获取大量网桥。下面是获取页面:

https://bridges.torproject.org/options

2:然后是邮件获取,gmail发送邮件至bridges@torproject.org,稍后就会收到torproject给你发来的网桥,如果没收到,那肯定是在垃圾邮件内。

邮件主题: get bridges

邮件内容: get transport obfs4

3:最后是Telegram订阅,订阅地址:

https://t.me/tor_bridges

上面各种渠道获取后,相信你已找到大量的网桥了。当然,这些网桥在天朝不是个个都能用的,下面就来测试节点的可用性。

测试入口节点可用性

Bridge obfs4 212.83.188.151:9822 0F2A94473B79300F9AF0D52C756F64B9D93D5C7B cert=U09xY9yyqQbtHBiW7fTJgnty7L3s9S5GztGJcMTciVYQK0cRiPUYdaIbEfpZUptbYx2CeQ iat-mode=0

上面是一个完整的obfs4网桥地址,Windows打开CMD窗口,ping一下前面的数字IP

ping 212.83.188.151

留下能ping通的,建议延时500ms以内,丢包不超过25%,不通的直接就可以扔掉了。ping通的网桥,俺们可以到下面页面测试一下速率。

https://metrics.torproject.org/rs.html

输入IP后面的40位ID进行测试,以上面网桥例,也就是:

0F2A94473B79300F9AF0D52C756F64B9D93D5C7B

建议留下带宽512 KiB/s及以上的网桥,当然带宽是越大越好,取决于你手上有多少网桥了。好了,下面讲讲这些网桥怎么用。

torrc文件详解

torrc文件也就是tor的配置文件,上面找好的网桥,添加到torrc里就可以使用了。下面详细讲讲torrc怎么配置,当然具体用法你得结合上一篇博文使用:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
#下面是跨机共享代理,去掉前面#号即可开启
#SocksPort 0.0.0.0:9050
#下面是前置代理,去掉前面#号即可开启
#HTTPSProxy 127.0.0.1:8787
#Socks5Proxy 127.0.0.1:1080
#下面数字改为0,关闭自带网桥连接,开启前置代理
UseBridges 1

DataDirectory ./Data
#下面是geoip文件路径,geoip的作用也就是判定节点地理位置,配合节点排除或指定节点国家使用,另外作用是显示洋葱浏览器上的国旗、地区。
GeoIPFile ./Data/geoip
GeoIPv6File ./Data/geoip6
#下面日志路径,打开后终端不会显示连接日志
#Log notice file ./Data/tor.log

#较少对硬盘的读写
AvoidDiskWrites 1

#下面是排除邪恶国家节点,去掉前面#号即可开启
#ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}
#ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}
#下面是强制排除邪恶国家节点,即使Tor找不到可用的线路,也不会去尝试这些国家的节点,去掉前面#号开启
#StrictNodes 1

#下面是指定国家出口节点,比如德国,法国,荷兰
ExitNodes {de},{fr},{nl}
#下面是指定出口IP,和上面指定出口国家不可同时开启,二选一
#ExitNodes 185.248.160.65,54.37.16.241,46.182.106.190
#StrictExitNodes的意思是需要按照ExitNodes指定节点作为出口
StrictExitNodes 1

#这个是obfs4proxy的路径
ClientTransportPlugin obfs4 exec ./PluggableTransports/obfs4proxy managed

#下面是普通网桥写法:
Bridge 66.42.73.78:40367 8975AAF1A5317E04600F30AD3ED43083820FF516
#下面是obfs4网桥,可以多填,一行一个,按下面格式填写:
Bridge obfs4 66.42.73.78:41563 8975AAF1A5317E04600F30AD3ED43083820FF516 cert=6LMNcXh6MIfApbZiMksnS4Kj+2sffZ5pybSqtcOO5YoHgfrMpkBJqvLxhuR2Ppau0L2seg iatmode=0

#tor默认的重建链路的时间是30s,可以适当延长时间保证速度
NewCircuitPeriod 900

torrc配置文件尽量简洁,可用网桥不要填太多,建议10个左右,太多的话不利于排错,而且会拖慢整体速度。

指定出口节点

上面影响tor速度的是入口节点,也就是俺们找的网桥,另一个是出口节点,中间节点不可控所以不做考虑。简单点讲也就是控制好入口和出口的带宽,也就相应能提升速度。

入口刚才已经讲过了,那么讲讲出口节点,出口节点可以在YouTube上观察各个地区的速率,然后根据快慢设置出口国家,俺这边测试欧洲国家节点比较友好。具体设置出口国家方法看上面torrc文件注释。附上:国家地区代码

另外还有一种方法,会影响tor的匿名性,可相应稳定tor的速度。就是指定出口IP,怎么指定出口IP呢?下面给出方法:

首先,打开Tor官方所有实时出口节点列表:

https://check.torproject.org/exit-addresses

然后,复制出口IP的40位identity key到测速页面测试,选择带宽大于20MiB/s并且支持80和443端口的节点。

最后,在torrc文件里配置如下,即可指定出口节点。注:这样配置虽然能稳定tor的速度,但会影响tor的匿名性,本人是不建议采用的,大家酌情配置!

1
2
3
#建议填35个大带宽、支持80443端口的IP,然后IP不要填错了,填写测速页面Exit Addresses下面的IP
StrictExitNodes 1
ExitNodes 185.248.160.65,54.37.16.241,46.182.106.190

另,本人建议:注重安全的用户尽量不要折腾出口节点,包括指定出口国家,保持默认就好。因为更改节点会导致指纹增加,详情见下文。

浏览器加固

首先是打上Privacy Badger和HTTPS Everywhere插件,来自大名鼎鼎的 EFF 也就是电子前哨基金会。

1:Privacy Badger中文名隐私獾,主要是限制各类商业trackers,此插件还能关闭WebRTC,插件安装后,点击设置标志然后勾选“阻止 WebRTC 泄露本地 IP 地址”即可。插件下载页面:

https://privacybadger.org/

2:使用HTTPS Everywhere插件强制https连接,tor上可以防止蜜罐窥探到访问内容:

https://www.eff.org/https-everywhere

3:Neat URL此插件能清除URL内的parameters,防止类似Google Analytics的分析流量,项目地址:

https://github.com/Smile4ever/Neat-URL

4:还有一个很野蛮的加固浏览器方法,此方法会严重影响浏览器易用性,严重警告,大家酌情添加,下面是项目地址:

https://github.com/pyllyukko/user.js

简单点讲就是下载user.js文件放入火狐 [firefox directory]\Data\profile\ 文件夹里,重启即可。

浏览器加固就先讲这么多,其它还有阻止部分Javascript APIs生成指纹乃至直接禁用JS脚本,删除不安全的根证书,启用DNS Over HTTPS等老生常谈的话题就不展开了。

5:最后,推荐一下SwitchyOmega插件,tor的端口是:Socks5 127.0.0.1:9050 下面是SwitchyOmega插件用法:

https://yuan.ga/switchyomega-tutorial/

回答几个问题

下面是回答上一篇博文的几个问题。

1:到底是用前置更安全还是使用网桥安全?

回答这个问题之前,先普及一个安全概念:“使用服务越多,中间环节越长,越会增大攻击面。”前置也不例外,比如前置VPS商,如果是TLS前置的话,那中间环节就更多了比如域名商,DNS解析商等等。一次意外的拖库将导致你的整个互联网身份全部暴露。洋文比较好的可以看看下面这篇文章的详细论述:

https://matt.traudt.xyz/p/mRikAa4h.html

所以对于前置,大家也不要过度解读,以为前置会比裸tor安全,别忘了tor还有个obfs4proxy混淆,这个下一个问题会详细解答。

2:Tor流量特征是不是很明显?

既然讲到流量特征,那么就得先讲讲tor内置的obfs4proxy,下面是obfs4网桥工作路径:

1
tor client ----> obfs4proxy client ----> censor ----> obfs4proxy server ----> tor bridge

可以看到,tor客户端发送数据到obfs4proxy,obfs4proxy会对数据包进行拆分或填充模糊其网络指纹,再转发给tor网桥。obfs4proxy主要进行以下工作:

1:obfs4通过填充数据(包括在握手数据包中添加填充数据)来加密tor流量并混淆数据包大小特征。

2:通过IAT模式拆分较大的obfs4数据包,以模糊其网络指纹。

以上,可以知道obfs4proxy就是用来模糊tor的流量特征的。再加上tor的用户基数是不小的,即使有特征,在现有用户基数下也够不上威胁。下面是全球Tor用户使用人数的统计:

https://metrics.torproject.org/userstats-bridge-country.html

3:邪恶国家节点需不需要排除?

关于tor节点排除和出口更改,官方是明确不建议这么做的:

https://2019.www.torproject.org/docs/faq#ChooseEntryExit

更改节点会导致指纹增加:

https://2019.www.torproject.org/docs/faq#ChoosePathCountries

网桥这一块并不能成为tor安全环境的重点环节,因现在的网站基本都是SSL加密,网桥是无日志的,即使是蜜罐也不能拿你怎么办;靠蜜罐抓人相当于守株待兔,收益与成本明显不成正比;再说,人家设置蜜罐节点干嘛不去自由国家,就非得傻愣愣地在你们知道的几个专制国家设置蜜罐?

最后,下面页面有俺用最新源码编译的Linux_amd64,Tor和obfs4proxy,当然Windows版本也有,内置几十个可用网桥。运行后,浏览器设置端口 Socks5 127.0.0.1:9050 即可过墙,下载页面:

https://starts.sh/cloud/docs/

具体用法见上一篇博文:

https://starts.sh/posts/tor_obfs4_proxy.html