Балансировка двух Tor-каналов vs анонимность
Если хочется получить бОльшую скорость работы через Tor, или если хочется не ассоциировать разные анонимные identity посредством использования одних и тех же цепочек в Tor, можно, в простейшем случае, поднять два разных тор-клиента, и связать каждый из них со своим пользователем на машине. Однако, у такого подхода, если единственная его цель – улучшение качества и скорости связи, есть очевидный минус: "ручная" балансировка задач между разными Tor-каналами далеко не самая оптимальная. В связи с этим предлагается обсудить следующую схему. Допустим, что у нас есть два тор-канала (соответствуют одновременно запущенным двум Tor-клиентам) с прозрачным заворачиванием всего трафика от нужных юзеров в сеть Tor. Логично было бы сделать автоматическую балансировку нагрузки между этими каналами стандартными средствами firewall'а (например, altq в OpenBSD PF с использованием опций типа round-robin, route-to и, может быть, source-hash: какие-то примеры обсуждались здесь). Однако, мне не очевидно что такая схема будет работать корректно, т.к. всё зависит от того, отправляются ли разные tcp-сессии через разные gateway (Tor-клиенты), и, если нет, то как отреагирует firewall на ситуацию с сосуществованием двух независимых маршрутов до одного и того же внешнего IP. Также возникает вопрос о всевозможных последствиях для анонимности в таком подходе: сможет ли, к примеру, внешний хост определить, что пользовательский Tor-клиент настроен именно вышеуказанным способом? Вдруг разные элементы web-страницы будут загружаться через разные exit-ноды? Просьба к уважаемым участникам, кто понимает как технически работают балансировки интернет-каналов и Tor высказаться по этому поводу. Конкретные тезисы, выносимые на обсуждение, следующие:
- Возможно ли настроить такую схему (нет ли здесь противоречий со стандартами)?
- Каковы последствия данной настройки для анонимности?
- Какие конкретные технические рекомендации вы можете дать для организации такой настройки? (В терминологии iptables или, что лучше, pf, т.к. с ним я знаком лучше)
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 301 документов: 8 редакций: 4
Когда-то давно интересовался подобным вопросом. Под Винду находил проги, которые могли устанавливать до 500 соединений одновременно.
В общем случае, скорость не увеличится. Винда и Линукс – это операционки с разделением по времени. Будет происходить чередование каналов закачки. Лет десять назад, скорость по разным маршрутам могла заметно отличаться из-за разницы в качестве обслуживания. Возможно, на многоядерных/многопроцессорных машинах скорость увеличится на число ядер, но для этого нужны проги специально написанные и скомпиленные соответствующим компилятором.
комментариев: 301 документов: 8 редакций: 4
В том-то и дело, что одиночного. А про ядра – это просто предположение.
Есть разные утилиты типа half-open fix, которые увеличивают кл-во соединений по умолчанию с десяти, как правило до ста, правкой файла tcpip.sys. Это в виндах, которые не тронуты руками говносборщиков. Хотя среди сборок есть неплохие, но при работе с виндой предпочтительны чистые образа, во избежание глюков и малвари от сборщика, что не редкость. Бэкдоры от Майкрософт и АНБ не рассматриваются, потому что использование винды развлекательное или для официальной работы.
Раньше в винде было ограничение на 10 соед. Потом его снимали вроде в каких-то версиях, в общем от оси к оси, в зависимости от SP и обновлений, там разные решения были.
Обычно увеличивают до 100, как правило выставляют значение <100>. Но можно устанавливать любое произвольное количество, если не изменяет память, то и 500, и хоть тысячу, хоть две, не помню, есть ли вообще там ограничение, в частности в half-open fix'e. Вообще-то, 100 за глаза хватает рабочей станции, активно юзающей сеть + торенты.
Это в основном для торентоводов-стахановцев. Например, устаревшая, но до сих пор популярная среди юзеров торентов модель роутера асус RT-n16, по словам производителя, позволяет устанавливать до 300 тысяч одновременных соединений.
Жлобское сетевое поведение. И DM так делают, если выставить подобные настройки и сервер позволит качать в несколько потоков. Как правило, чаще встречаются просьбы (либо предопределенные политики) владельцев сетевого ресурса качать в один-два потока. Или бан.
Во многих случаях агрессивного поведения качальщика, он мало что выигрывает. Если один поток отдает 1 Мб/с, то это не значит, 10 потоков будут отдавать в сумме 10 Мб/с.
Про балансировку тора читать странно. Зачем? Тем более, если рассматривать с прицелом на анонимность, без пол-литра не обойтись.
Сейчас и так из коробки все быстро и анонимно. Но можно попробовать. Смотря для чего использовать балансировку.
Mellon, результаты экспериментов будут опубликованы? Тем более, что топик древний.
Кстати, кажется ранее в каком-то из торент-клиентов была встроена поддержка Tor. Vuze вроде, но он неудобный показался, с рекламой был года 4 назад, он как-то сразу не понравился, поэтому мной не только режим торификации не тестировался, но и обычное использование.
Топик был создан более четырёх лет назад, когда со скоростью всё было не так хорошо, опасность профилирования ещё не осознавалась, а TBB не было. Я — автор топика, если что.
Почему-то сразу вспоминается это и это.