Атака на отказ обслуживания Tor-клиентов?

Досить через Tor невозможно банально из-за низкой пропускной способности сети — сам Tor задосится раньше, чем любой сетевой ресурс. На самом деле всё проще:

Two recent trends make the problem more urgent. First, sites like Cloudflare, Akamai, and Disqus create bottlenecks where their components are used by many websites. This centralization impacts many websites at once when e.g. Cloudflare changes its strategy for how to handle Tor users. Second, services increasingly outsource their blacklisting, such that e.g. Skype refuses connections from IP addresses that run Tor exit relays, not because they worry about abuse via Tor (it's hard to use Skype over Tor), but because their blacklist provider has an incentive to be overbroad in its blocking. (Blacklist providers compete in part by having "the most complete" list, and in many cases it's hard for services to notice that they're losing contributions from now-missing users.)

То есть службы, составляющие блэклисты, финансово заинтересованы в том, чтобы фигачить в них всё, что движется мало-мальски способно создать проблемы (а Tor — известный источник проблем, только не от DDoS'а).

Tor Project в курсе этой проблемы, там по ссылке можете посмотреть, как её собираются решать.

попытаться удлинить им цепочку через torrc

Насколько знаю, средствами Tor это нельзя сделать – добавить прокси после эксита. Можно добавить только перед entry нодой. Самый простой выход – пользоваться веб-прокси через веб-интерфейс. Имеется недостаток – все сайты для браузера выглядят как один с разной query string в GET-запросе. Это значит что куки общие и сайты могут их читать. Правильней добавлять нормальный прокси (socks или http) с помощью обёртки-проксификатора (proxychains и т.п.). В Интернете их полно, но скорость обычно очень низкая.

это противоречит идеологии Tor, оставляющей на усмотрение сайтов, давать или нет к себе анонимный доступ из сети

Порочная идеология. Для ограничения доступа с сайту много других способов (регистрация, пароль на каталоги и т.д.) вместо тупого бана по IP-адресу.

Досить через Tor невозможно банально из-за низкой пропускной способности сети — сам Tor задосится раньше, чем любой сетевой ресурс.

Если не просто дос, а ддос (распределённый) со многих машин через множество эксит-нод, то сайт может задоситься раньше чем Tor. И вообще забивание канала трафиком далеко не единственный способ. Атака на системные ресурсы типа syn-флуда или SSL-renegotiation тоже разновидности доса. Боты на форумах также могут рассматриваться как атаки нарушающие нормальную работу ресурса.

Когда-то Tor можно было соединять с прокси через privoxy. Ещё тогда это мало кто пробовал, а сейчас это совсем нештатная конфигурация.


К сожалению, это вручную форум можно настроить на чтение из Tor, но не давать, к примеру, возможность постинга, но многие операторы сайтов и хостеры банят Tor готовыми внешними инструментами, которые заточены, как уже было сказано выше, банить всё по списку без разбора, не вникая в тонкости, Tor это или нет.

К сожалению, действительно, если раньше тот же ЖЖ (не будем обсуждать его актуальность и содержательность) лишь иногда не срабатывал через Tor, то сейчас он закрыт на чтение практически наглухо. И если кто-то даёт на него ссылку, то из под Tor не прочитать.

Досить через Tor невозможно банально из-за низкой пропускной способности сети — сам Tor задосится раньше, чем любой сетевой ресурс. На самом деле всё проще

Этому противоречат 2 наблюдения:
1) Доступ к данным ресурсам вне Tor практически открыт
2) Подобные блокировки случались и раньше, причем довольно синхронно и имели небольшую продолжительность (редко более недели).

А сейчас начали блочить серьезно, где-то с середины августа, после известных событий. Учитывая очень большое желание определенных контор иметь полную информацию о пользователях некоторого множества ресурсов (Паша Дуров солидарен), такая атака имеет правдоподобное объяснение.

К сожалению, это вручную форум можно настроить на чтение из Tor, но не давать, к примеру, возможность постинга, но многие операторы сайтов и хостеры банят Tor готовыми внешними инструментами, которые заточены, как уже было сказано выше, банить всё по списку без разбора, не вникая в тонкости, Tor это или нет.

Ну не все. Тот же CloudFlare подсовывает тест Тьюринга, что вполне достаточно для нормальной деятельности.

К сожалению, действительно, если раньше тот же ЖЖ (не будем обсуждать его актуальность и содержательность) лишь иногда не срабатывал через Tor, то сейчас он закрыт на чтение практически наглухо. И если кто-то даёт на него ссылку, то из под Tor не прочитать.

Вот как раз один из. С середины августа эта канитель. Если раньше проблема решалась перебором 1-2 цепочек в Vidalia, то теперь порой и 10 смен не хватает. А с одноранговых прокси или прямо – ходи не хочу.

Когда-то Tor можно было соединять с прокси через privoxy. Ещё тогда это мало кто пробовал, а сейчас это совсем нештатная конфигурация.

Через Polipo и сейчас все работает как часы, только действительно прикручивать его надо вручную вместе с Vidalia. Самая большая проблема теперь отыскать подходящий прокси. Раньше найти их было довольно просто, а сейчас даже на freeproxylist.org надо попотеть. Можно купить платный доступ, но опыт отсутствует и хотелось бы доброго совета по этой теме.

Самый простой выход – пользоваться веб-прокси через веб-интерфейс.

Веб-прокси не очень-то дружат с Tor. Да и блочат их тоже. К сожалению.

Кто-нибудь наблюдал/документировал (D)DoS-атаки из Tor in-the-wild? Гости на форуме пишут о них не первый раз, но я на их реальность смотрю крайне скептически.

Здесь нет противоречия. Доступ из Tor и иных подозрительных источников могут блокировать по причинам, отличным от предотвращения именно (D)DoS-атак — чтобы меньше провоцировать зуд у скрипткиддис, например.

Когда-то Tor можно было соединять с прокси через privoxy

Это можно и сейчас, но нужно иметь в виду что

1. Можно добавить только HTTP-прокси, SOCKS нельзя
2. В Privoxy нет pipelining, что облегчает анализ Tor-трафика (видимо из-за этого torproject от него отказался).
3. В Privoxy нужно включить keep-alive, который по умолчанию отключен. Иначе не будет длительной HTTP-сессии с фиксированной цепочкой для сайта, и ноды будут регулярно меняться повышая риск раскрытия анонимности.

Вариант с отдельным проксификатором выглядит безопасней. Насчёт Polipo не знаю, может у него нет перечисленных недостатков.

Веб-прокси не очень-то дружат с Tor

Большинство нормально дружат. Их плюс в том что они стабильней и реже меняются.

Кто-нибудь наблюдал/документировал (D)DoS-атаки из Tor in-the-wild?

Речь шла не о личном опыте, а о технической возможности. Она есть и скорей всего кем-то используется.

В блоге Tor project анонимы утверждали, что для них блокировки от CloudFlare совпали с выходом новой версии Tor Browser, а старая версия вроде как до сих пор работает. В рассылке утверждалось, что обычная Firefox работающая через Tor (но может речь шла про подключения без Tor?), тоже не блокируется.

На крайний случай, можно использовать переводчик гугловский. Из недостатков: нет поддержки https сайтов.

что мешает tor -> anonimaizer -> пункт назначения?

Если ссылка популярна, то она закеширована поисковиком — пусть хотя бы тем же startpage.com. Дальше её ищем в нём, и, если находится, выбираем «View by Ixquick Proxy». Аналогично с гугл-кэшем. Геморрой, да. Если ссылка непопулярная, то помогут только web-прокси или ещё более геморройные решения.

Я последнее время наблюдаю выкидывание ReCapcha на множестве ресурсов. Типа, пока её не пройдёте, страницу не увидите. Если JS отключен, капча усложняется. Надо её пройти, сайт возвращает ответ, ответ копипастим в поле ввода и жмём кнопку. Когда-то это работало. Теперь сколько эту процедуру ни делай, вместо редиректа на целевую страницу происходит повторный запрос с капчей и так до бесконечности. Они таким образом вынуждают включить JS.


Ну да, да, man spamhouse: blackmailing, шантаж, угрозы.

По теме: почему Tor Project не может подать в суд на те компании, которые добавляют его узлы в свои списки?

Да, по ссылке выше оно и есть:

But if you don't allow scripts from the main "security" provider (such as Cloudfare), entering the captcha doesn't work.

В последнее время читаю ЖЖ через http://anonymouse.org/cgi-bin/anon-www.cgi/http://адрес, получается, но авторизация невозможна. Выход напрямую из Tor почти всегда банит. В редких случаях удается загрузить ЖЖ без анонимайзера и авторизоваться, но в связи с последними "улучшениями" интерфейса, просмотр сообщений в почте невозможен, статистика тоже не видна. Вывод: ЖЖ скурвился, из ЖЖ нужно уходить.

Потому что для этого нет оснований.

Если JS отключен, капча усложняется. Надо её пройти, сайт возвращает ответ, ответ копипастим в поле ввода и жмём кнопку. Когда-то это работало. Теперь сколько эту процедуру ни делай, вместо редиректа на целевую страницу происходит повторный запрос с капчей и так до бесконечности. Они таким образом вынуждают включить JS.

VirtualBox + TB + js. Другого выхода не вижу. Норамльно юзать сеть без js практически нереально, как ни крути, даже этот сайт.

Ведь дыр в VirtualBox гораздо меньше, чем дыр в TB с включенными скриптами.

На этом сайте JS абсолютно не обязателен.