Как сайты обнаруживают Tor?
Всем известно, что многие сайты обнаруживают, когда на них заходят с Tor-узла и чинят всякие пакости, например требуют капчу. Первый среди них – Гугл.
Интересно, как они это обнаруживают – по IP Tor-узлов, или по спецификаческой "окраске" трафика, или еще как-то?
Первое. Это не баг, а фича: список exit-узлов открыт. Философия проекта в том, что владельцы сайтов вправе устанавливать специфические правила доступа для пользователей Tor, это нормально.
Гугл как раз и по специфической окраске: слишком много запросов с одного IP — временный бан. Другие сервисы (Clodflare и др.) используют и готовые списки забаненных за подозрительную активность IP: там м.б. и Tor-узлы, и прокси, и анонимайзеры, и пр.
Тогда вопрос распыляется:
1) если обнаружение по IP, то значит можно завести свою exit-ноду и выходить через нее, пока этот IP тоже не попадет в соотв. список?
Знать бы, как быстро обновляется этот список, и поможет ли установка exit на динамическом IP, который будет "запутывать" сайты.
2) если специфическая окраска трафика, то в чем ее суть? Не в том ли, что запрос на нужный сайт происходит не с одного, а с некольких exit-узлов?
В список (консенсус-документ) этот узел попадёт сразу, без этого он и не будет узлом сети.
Не поможет по вышеназванной причине.
В том, что с IP-адреса exit-узла идёт слишком много разнородного трафика, в том числе злонамеренного (сканеры уязвимостей и прочая нечесть).