Blokování bypassu Tor. Transparentní blokování bypassu a přístupu k síti Tor. Čeho chtějí Státní duma a Roskomnadzor dosáhnout
Mnoho úřadů již delší dobu blokuje sociální sítě, video služby, sdílení souborů a zábavní weby. Některé dokonce blokují oblíbené anonymizační služby. Zaměstnavatelé se tak snaží donutit zaměstnance, aby dělali své bezprostřední povinnosti a netrávili pracovní čas zábavou. V tomto článku vám krok za krokem řeknu, jak můžeme my, běžní uživatelé, toto blokování obejít a užít si neomezený přístup k internetu.
Vlastně už je pro nás vše vymyšleno a použijeme hotové řešení.
Seznamte se s Torem.
Tor je systém, který umožňuje navázat anonymní síťové připojení, které organizuje přenos dat v šifrované podobě. Používáním Tor uživatelé mohou zůstat v anonymitě při návštěvě webových stránek, zveřejňování obsahu, odesílání zpráv a používání jiných aplikací, které používají protokol TCP. Technika Tor také poskytuje ochranu před mechanismy analýzy provozu, které ohrožují nejen anonymitu uživatele, ale také důvěrnost dat.
Systém Tor byl vytvořen ve výzkumné laboratoři amerického námořnictva na federální příkaz. V roce 2002 se rozhodli tento vývoj odtajnit a zdrojové kódy byly předány nezávislým vývojářům, kteří vytvořili klientský software a zveřejnili zdrojový kód pod svobodnou licencí, aby jej každý mohl zkontrolovat, zda neobsahuje chyby a zadní vrátka.
Skončeme s teorií a přejdeme k instalaci a konfiguraci systému.
Přejdeme na stránku stahování systému Tor, kde vybereme možnost s ruským rozhraním a stáhneme instalační soubor. Velikost souboru je asi 25 megabajtů.
Spusťte stažený soubor, vyberte umístění instalace a klikněte na tlačítko Extrahovat
Po dokončení instalace se nám na ploše neobjeví žádní noví zástupci, takže otevřeme adresář, do kterého jsme systém nainstalovali a spustíme z něj soubor Start Tor Browser.exe
Otevře se okno programu, ve kterém se zobrazí proces připojení
Pokud vaše síť přistupuje k internetu prostřednictvím proxy serveru, proces připojení se zastaví ve fázi vytváření šifrovaného připojení.
Klikněte na tlačítko Nastavení
V okně, které se zobrazí, přejděte na kartu Síť
Vše nakonfigurujeme tak, jak je znázorněno na obrázku, s uvedením vaší proxy adresy a portu
Klikněte na tlačítko Exit
Restartujte Spusťte Tor Browser.exe
Čekáme na připojení k systému Tor
Poté otevřete prohlížeč Firefox zabudovaný v systému, prostřednictvím kterého můžete anonymně navštěvovat libovolné stránky
Proč potřebujete VPN
Pomocí služeb VPN můžete obejít blokování stránek, které v Rusku nefungují (například Spotify). Ale to není jediný důvod, proč jsou potřeba. Vzdálení pracovníci a zaměstnanci poboček se připojují přes VPN k podnikovým službám, takže neohrožují firemní data. Lidé, kteří přistupují k internetu na veřejné Wi-Fi a bojí se, že jejich data budou zachycena, také používají VPN, aby se chránili před vetřelci.
Jak to funguje? Pokud se váš počítač obvykle připojuje k Internetu prostřednictvím serveru ISP, pak služba VPN nastaví tunel mezi vaším počítačem a vzdáleným serverem. Získáte tak přístup k internetu kruhovým objezdem. Všechna data uvnitř tunelu jsou šifrována, takže poskytovatel ani hackeři nevědí, kam pod připojením VPN jdete a co na internetu děláte. Stránky zároveň nevidí skutečnou IP adresu vašeho počítače, protože pracujete pod adresou někoho jiného. VPN (Virtual Private Network) vytváří zabezpečenou privátní síť v rámci nezabezpečeného internetu.
Jak bude blokován?
Sargis Darbinyan: „Existuje mnoho způsobů, které může člověk použít: prostudujte si problém a snadno si nastavte vlastní VPN, použijte další řešení, jako je Psiphon, Tor, turbo režimy prohlížeče, pluginy, pořiďte si další službu VPN, která se stará o uživatele a rychle zasáhne “.
K čemu blokování povede?
Artem Kozljuk: „Prakticky celý byznys je svázán s VPN. Virtuální privátní sítě jakéhokoli podniku, od malých po velké, jsou ohroženy. Selhání VPN může nastat kdykoli kvůli nesprávnému vymáhání nového zákona. Vidíme nekonečně mnohokrát, jak Roskomnadzor prosazuje tyto zákony. Za prvé, jsou negramotně napsané z technické stránky, a za druhé, v procesu vymáhání práva Roskomnadzor tuto technickou negramotnost zvyšuje do nových rozměrů.“
Markus Saar: „Zatím není jasné, jak bude ověřování a kontrola probíhat. VPN, na rozdíl od formy anonymizátoru, je uzavřená síť a pro přístup k ní je třeba zakoupit placené předplatné a nainstalovat software. Některé služby navíc nemají vlastní software a připojení je nutné nakonfigurovat ručně pomocí konfiguračních souborů, klíčů a certifikátů. Druhou otázkou je, jak racionální je „zasáhnout“ technicky zdatné uživatele, kteří začali používat VPN, Tor a další nástroje. Pokud totiž jednou našli sílu a chuť obejít cenzuru, budou to dělat znovu a znovu.
Sargis Darbinyan: „Zablokování provozu VPN ze strany telekomunikačních operátorů jednoznačně znamená obrovské škody pro celý podnikový sektor, digitální ekonomiku země a snížení bezpečnosti ruských občanů v globálním digitálním prostředí tváří v tvář cizím zpravodajským službám, korporacím a narušitelům, kteří používat zranitelnosti pro sledování a krádeže dat. Nikdo zatím nedokázal stoprocentně uzavřít možnost přenášet a přijímat informace přes VPN, a to ani v asijských a muslimských zemích s represivními režimy. Poskytovatelé mají seznamy IP adres nejoblíbenějších VPN, které s určitou frekvencí aktualizují a blokují. Provoz VPN se ale také naučil maskovat. Poskytovatel VPN může vytvářet nové IP adresy alespoň každou minutu (plus nekonečné IPv6), takže to bude stále obtížnější a dražší.
Ruské úřady zakázaly služby, aby obešly blokování. Ovlivňuje prohlížeč Tor, který používá spoofing více IP adres, ale není tak snadné jej překonat. Tor poskytuje ochranu proti zablokování pomocí tzv. „mostů“.
Jak obejít Tor blok:
1. Spusťte prohlížeč Tor a přejděte na web bridges.torproject.org.
2. Klikněte na Získat mosty a zadejte znaky z obrázku (s největší pravděpodobností to nebude fungovat napoprvé).
3. Zkopírujte seznam vydaných mostů.
4. Klikněte na ikonu Tor nalevo od adresního řádku a vyberte „Nastavení sítě Tor“.
5. Vyberte „Můj poskytovatel internetových služeb (ISP) blokuje připojení k síti Tor“
6. Klikněte na "Zadat vlastní mosty".
7. Vložte mosty, které jste zkopírovali dříve, a klepněte na OK.
8. Restartujte prohlížeč Tor. Nyní můžete navštívit stránky, které váš ISP zablokoval z Tor.
Pokud nemáte přístup k bridges.torproject.org, pošlete prosím e-mail s jakýmkoli obsahem na adresu
Co když chcete přejít na síť bez přitažených omezení, ale nechcete pokaždé nahrazovat proxy v prohlížeči? Co když chcete navštěvovat zakázané i běžné stránky a přitom neutrpí rychlost otevírání běžných stránek? Co když vás zajímá, co se děje ve vzdálených částech globální sítě?
Na základě těchto úvah musíme:
- Normální stránky se otevřely jako obvykle
- Zakázané stránky se otevíraly přes Tor bez nastavení
- Všechny weby v zóně .onion se také otevírají bez nastavení
Na jedné straně jsou požadavky protichůdné. Na druhou stranu, co byste neudělali pro pohodlí!
Dalo by se vzpomenout na různé způsoby a prostředky, jak obejít DPI, ale pokud na nic takového nechcete myslet, ale chcete to dokonce nastavit a zapomenout, pak neexistují analogy Toru pro řešení úlohy v podmínky snadného přístupu k blokovaným stránkám.
Pokud budete postupovat pouze podle těchto pokynů, nezískáte úplnou anonymitu. Anonymita bez opatření OPSEC není možná. Pokyny znamenají pouze obcházení omezení.
Co potřebujeme?
Pro začátek potřebujeme buď router, nebo server, který funguje jako transparentní most, který přes sebe prochází veškerý provoz. Může to být existující server, může to být Raspberry Pi box. Fungovat mohou i obyčejné kompaktní routery s Linuxem, pokud na ně v zásadě umístíte potřebné balíčky.
Pokud již máte vhodný router, nemusíte most konfigurovat samostatně a můžete.
Pokud je instalace Tor na váš router problém, pak budete potřebovat jakýkoli počítač se dvěma síťovými rozhraními a Debian Linux na palubě. Nakonec jej připojíte k síťové propasti mezi routerem, který se dívá do vnějšího světa, a vaší místní sítí.
Když ne na servery a routery, tak možná.
Postavíme most
Nastavení mostu na Debianu není problém. Budete potřebovat program brctl, který je v balíčku bridge-utils:
apt install bridge-utils
Trvalá konfigurace pro most se nastavuje v /etc/network/interfaces . Pokud vytváříte most z rozhraní eth0 a eth1 , bude konfigurace vypadat takto:
# Označit rozhraní jako ručně konfigurovatelná iface eth0 inet manual iface eth1 inet manual # Bridge se automaticky spustí po restartu auto br0 # Bridge s DHCP IP akvizicí iface br0 inet dhcp bridge_ports eth0 eth1 # Bridge se statickou IP iface br0 inet static bridge_ports adresa eth0 eth1 .1.2 maska sítě 255.255.255.0 brána 192.168.1.1
Musíte vybrat jednu konfiguraci pro most: s dynamickou IP nebo statickou.
Upozorňujeme, že v této fázi není nutné zahrnout server do přerušení sítě. Vystačíte si s jedním připojeným rozhraním.
Požádejme systém, aby použil nová nastavení:
opětovné načtení sítě služby
Nyní můžete zkontrolovat existenci mostu pomocí příkazu brctl show:
# brctl zobrazit název mostu ID mostu STP povolená rozhraní br0 8000.0011cc4433ff no eth0 eth1
Můžete zobrazit přidělenou IP adresu a obecně zkontrolovat skutečnost, že byla IP vydána prostřednictvím DHCP nebo staticky, pomocí příkazu ip:
# ip --family inet addr show dev br0 scope global 4: br0:
Pokud je vše v pořádku s IP adresami, můžete již zkusit zahrnout server do přerušení sítě...
Nakonec by všechna zařízení ve vaší síti, která jsou součástí serveru, měla mít plný přístup ke globální síti, jako by mezi nimi a externím routerem nebyl žádný server. To samé platí o fungování DHCP a dalších věcech. To vše stojí za to zkontrolovat, než přejdete k nastavení Tor.
Pokud něco nefunguje stejně jako předtím, nebo nefunguje vůbec, měli byste nejprve vyřešit problémy, teprve potom přejít k nastavení samotného Tor.
Nastavte démona Tor
Instalace Toru probíhá normálně. Nainstalujme také databázi vazeb zemí:
apt nainstalovat tor tor-geoipdb
Na konec konfiguračního souboru /etc/tor/torrc musíte přidat direktivy pro aktivaci funkce proxy serveru:
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300
Restartujeme Tor a zkontrolujeme, zda DNS v naší konfiguraci funguje na nějakém známém webu:
# service to restart # dig +short facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
Poslední příkaz by měl vydat IP z podsítě 10.0.0.0/8.
Při restartu Tor v případě přísahá na použití veřejné IP pro TransPort a DNSPort, ke kterým ve skutečnosti mohou přistupovat lidé zvenčí. Napravme toto nedorozumění povolením pouze připojení z místní sítě (v mém případě je to 192.168.1.0/24):
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 9040 -j ACCEPT -dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP
Poslední dvě pravidla lze přeskočit, pokud máte výchozí pravidlo DROP pro řetězec INPUT.
Nastavte přístup pro celou místní síť
Aby všechna zařízení v síti mohla přistupovat na stránky v Tor, musíme všechny požadavky přeposílat do vyhrazené sítě 10.0.0.0/8 na port vestavěného Tor proxy serveru:
iptables -t nat -A PŘEDMĚROVÁNÍ -p tcp -d 10.0.0.0/8 -j PŘESMĚROVÁNÍ --na-port 9040 iptables -t nat -A VÝSTUP -p tcp -d 10.0.0.0/8 -j PŘESMĚROVÁNÍ --na- port 9040
Přidáváme dvě pravidla pro řetězce PREROUTING a OUTPUT, aby schéma fungovalo nejen ze zařízení v síti, ale i ze samotného serveru. Pokud není vyžadováno, aby toto schéma fungovalo ze samotného serveru, lze přidání pravidla do řetězce OUTPUT přeskočit.
Předávání DNS dotazů do zóny .onion
Tento problém lze vyřešit buď nahrazením DNS serveru vaším vlastním v DHCP odpovědích klientům, nebo, pokud není obvyklé používat lokální DNS server ve vaší síti, zachycením veškerého DNS provozu. V druhém případě nebudete muset konfigurovat vůbec nic, ale všichni vaši klienti, včetně vás, ztratí možnost zadávat libovolné požadavky na libovolné servery. To je zjevná nepříjemnost.
Požadavky DNS, které zmiňují doménu .onion, budeme přeposílat pouze na vestavěný port serveru DNS a všechny ostatní požadavky ponecháme samotné:
iptables -t nat -A PŘEDMĚROVÁNÍ -p udp --dport 53 -m řetězec \ --hex-string "|056f6e696f6e00|" --algo bm -j PŘESMĚROVÁNÍ --na-porty 5300 iptables -t nat -A VÝSTUP -p udp --dport 53 -m řetězec \ --hex-string "|056f6e696f6e00|" --algo bm -j PŘESMĚROVÁNÍ --na-porty 5300
Magický řetězec 056f6e696f6e00 souvisí se zvláštnostmi předávání tečky v dotazech DNS: je přenášen jako délka řádku, který za ním následuje. To je důvod, proč náš magický řetězec začíná 0x05 pro pět znaků ve slově cibule . Na konci řetězce je nulový bajt 0x00, protože kořenová doména (bod) má nulovou délku.
Tento přístup umožňuje vašim uživatelům (a vám samotným) používat jakékoli servery DNS, které jsou pro ně vhodné, a také požadovat informace z jakýchkoli serverů DNS bez prostředníků. Žádné požadavky v zóně .onion se však do otevřeného internetu nedostanou.
Nyní se pokuste dostat na nějaký oblíbený web v síti Tor z jakéhokoli zařízení v místní síti. Například takto:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Trvale přesunuto Umístění: https://facebookcorewwwi.onion/
Ladění a odstraňování problémů
Pokud se chcete ujistit, že žádné požadavky DNS na .onion nejdou za server, můžete jejich nepřítomnost zkontrolovat takto:
ngrep -q -d br0 -q -W vedlejší řádek cibule udp port 53
Normálně by tento příkaz spuštěný na serveru neměl ukazovat vůbec žádné balíčky – to znamená, že nevydává nic, co vy ne.
Pokud Firefox nevidí .onion
Pokud vás to obtěžuje a netrápí vás vyhlídka na náhodnou deanonymizaci (protože na otevřeném internetu již nepovolujeme DNS dotazy na .onion), můžete toto nastavení deaktivovat v about:config pomocí klíče network.dns.blockDotOnion .
Mobilní Safari a .onion
Aplikace pro iOS, včetně Safari a Chrome, v podstatě ignorují .onion, když se používají tímto způsobem. Nevím, jak tento problém vyřešit v rámci takového schématu.
Poskytovatel nahradí IP v DNS
Někteří poskytovatelé z ekonomických důvodů namísto blokování stránek pomocí IP nebo prostřednictvím DPI pouze nahrazují IP požadavky DNS podle seznamu zakázaných stránek.
Nejjednodušším řešením tohoto problému by bylo přejít na veřejné servery DNS společnosti Google. Pokud to nepomůže, což znamená, že váš poskytovatel přesměruje veškerý provoz DNS na svůj server obecně, můžete přejít na používání Tor DNS a přesměrovat veškerý provoz na něj:
iptables -t nat -A PŘESMĚROVÁNÍ -p udp --dport 53 -j PŘESMĚROVÁNÍ --na-porty 5300 iptables -t nat -A VÝSTUP -p udp --dport 53 -j PŘESMĚROVÁNÍ --na-porty 5300
Moje síť používá IP od 10.0.0.0/8
Žádný problém! Ve všech výše uvedených direktivách použijte jinou podsíť z těch, které jsou k tomu určeny, s výjimkou vyhrazených. Vážně, věnujte pozornost těm vyhrazeným.
Navíc není nutné využívat celý rozsah najednou – můžete se omezit na podsíť. Postačí například 10.192.0.0/10.
Obejít blokování přes Tor
Chcete-li přistupovat k blokovaným stránkám přes Tor, musíte se nejprve ujistit, že neměníte jehlu za mýdlo, a to pomocí výstupních uzlů, na které se vztahují stejná omezení jako na vás kvůli geografické poloze. To lze provést zadáním výstupních uzlů v torrc, ve kterých nelze země použít.
ExcludeExitNodes (RU), (UA), (BY)
Aktualizace registru
Registr se nezastaví a seznam blokovaných stránek je doplněn. Proto si musíte čas od času stáhnout aktuální seznam IP a přidat jej do ipset . Nejlepší způsob, jak to udělat, je nestahovat pokaždé celý seznam, ale stahovat pouze změny například odtud na GitHubu .
#!/bin/bash set -e mkdir -p /var/local/blacklist cd /var/local/blacklist git pull -q || git klon https://github.com/zapret-info/z-i.git . ipset flush blacklist tail +2 dump.csv | řez -f1 -d \; | grep-Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/blacklist/blacklist.txt | xargs -n1 ipset přidat černou listinu
Je možné odebrat a přidat pouze IP adresy, které se změnily v seznamu, pro které možná budete potřebovat git whatchanged .
Pokud vám výše uvedený skript vyhovuje, měl by být v /etc/cron.daily/blacklist-update . Nezapomeňte tomuto souboru udělit oprávnění ke spuštění.
chmod +x /etc/cron.daily/blacklist-update
Uložit nastavení
apt install iptables-persistent
dpkg-reconfigure iptables-persistent
Bohužel pro ipset zatím žádný takový pohodlný balíček neexistuje, ale tento problém řeší skript /etc/network/if-pre-up.d/ipset:
#!/bin/sh ipset -exist vytvořit hash černé listiny :ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist blacklist
Ujistěte se, že tomuto skriptu dáte oprávnění ke spuštění:
chmod +x /etc/network/if-pre-up.d/ipset
Při příštím restartu se tento skript spustí a obnoví seznam blokovaných IP adres.
Pokud zapomenete na servery...
Dobře, řekněte mi, co když chci mít stejný pohodlný přístup k .onion , ale bez serverů – lokálně, na stejném počítači?
Žádný problém! V tomto případě je vše ještě jednodušší. Přestaňte přidávat tyto tři řádky do torc:
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300
Pak tato dvě pravidla pro iptables:
iptables -t nat -A OUTPUT -p tcp -d 127.192.0.0/10 -j PŘESMĚROVÁNÍ --to-port 9040 iptables -t nat -A VÝSTUP -p udp --dport 53 -m řetězec \ --hex-string " |056f6e696f6e00|" --algo bm -j PŘESMĚROVÁNÍ --na-porty 5300
A můžete zkontrolovat. Přístup k blokovaným stránkám je nakonfigurován podle výše uvedených pokynů.
Lžíce dehtu
Navzdory své jednoduchosti a pohodlí tento přístup zdědí některé nedostatky sítě Tor.
Na zakázané stránky v síti přistupujete jménem uživatele výstupní uzly, což dává administrátorům výstupních uzlů základní možnost sledovat váš provoz a vaše hesla, pokud cílový web není šifrovaný (musí být https na začátku adresy nebo zelený visací zámek 🔒 v adresním řádku).
Člověk by doufal, že vás administrátoři takových stránek nebudou následovat kvůli vlastnímu spánku, ale...
Pokud k webu přistupujete přes nezabezpečené připojení, ať už přímo přes Tor, měli byste vždy mít na paměti, že vaše přihlašovací údaje a hesla v podstatě může skončit ve složce s písmeny na stole osoby v uniformě.
To je vše!
Je stále něco nejasné? Potřebujete něco opravit nebo se vám něco obzvlášť líbilo? Napište níže do komentářů.
S takovou iniciativou se nám bezplatný internet před očima zmenšuje. Většina uživatelů si je přitom jistá, že Tor a VPN nelze nijak omezovat. O radu v této záležitosti jsme požádali Michaila Lisnyaka, tvůrce Zenrus, meditativní služby pro sledování kotací měn a cen ropy, a učitele Moskevské kódovací školy, na jehož kurz dnes začala registrace.
VPN – v kostce – je vytvoření virtuální sítě nad jinou sítí, jako je náš internet. To znamená, že mezi uživatelem a serverem VPN se vytvoří šifrovaný kanál, přes který se uživatel připojí k jiné síti, a ukáže se, že člověk z Moskvy přistupuje k internetu, jako by byl například z Amsterdamu. Nyní zvažujeme jednu z možností VPN, která odkazuje na newsbreak, obecně existuje mnohem více různých typů a aplikací, ale principy jejich práce jsou naprosto stejné.
Tor je směrovací systém založený na šifrování a distribuované síti zprostředkujících uzlů (mohou to být i běžní uživatelé Tor). Při připojování k Tor klient shromáždí seznam dostupných zprostředkujících uzlů, vybere několik z nich a zašifruje každý odeslaný paket pomocí klíčů vybraných uzlů. Dále je tento paket zašifrovaný několika klíči odeslán do prvního (vstupního) zprostředkujícího uzlu. Tento uzel dešifruje svůj klíč a pošle paket dále, druhý uzel dešifruje svůj vlastní a tak dále. Na konci poslední uzel dešifruje poslední "vrstvu" a odešle paket do Internetu. Můžete si to představit jako cibuli, ze které každý následující uzel odstraní vrstvu. Ve skutečnosti je to, jak Tor znamená - The Onion Routing, tedy "cibulové směrování". Protože je téměř celá cesta paketu zašifrována a nikdo kromě vstupního uzlu nezná odesílatele paketu, systém zajišťuje anonymitu a bezpečnost provozu.
Ale můžete blokovat Tor v práci. Nejprve musí klient Tor nějakým způsobem získat seznam vstupních uzlů. K tomu se klient připojí ke kořenovému registru těchto uzlů. Pokud zablokujete přístup k tomuto kořenovému serveru, klient nebude moci získat seznam vstupních uzlů sítě a přirozeně se nebude moci připojit k síti. Existuje ruční způsob, jak přijímat uzly (například poštou), ale to za prvé není příliš pohodlné a za druhé, pokud dohledové orgány najdou adresy těchto uzlů, mohou být stále okamžitě zablokovány.
Kromě toho existuje systém jako DPI - systém analýzy a filtrování paketů. Nyní tento systém postupně zavádějí poskytovatelé v Rusku. Je to poměrně drahé, takže ne všichni poskytovatelé to používají. Ale to je zatím. Myslím, že v nejbližší době to nainstalují všichni páteřní poskytovatelé. Tento systém dokáže analyzovat provoz na nízké úrovni, určit typ tohoto provozu (i šifrovaného, ale bez příjmu samotného obsahu), filtrovat jej a v případě potřeby blokovat. Nyní jsou tyto systémy již schopny detekovat provoz Tor podle určitých kritérií. Tor v reakci na to přišel se systémem maskování provozu (obfsproxy), ale postupně se ho učí určovat. A využít toto vše je pro běžného uživatele stále obtížnější.
Pokud úřady chtějí, drtivé většině uživatelů vše zablokují. Obzvláště tvrdohlaví geekové budou schopni najít mezery, ale pro běžného uživatele to není volba.
To znamená, že Tor může být zakázán v celé zemi pomocí stejného DPI. Když zavedou trestní odpovědnost za používání takového softwaru, rychle uspořádají několik předváděcích procesů, a to bude konec většiny. Zatím neexistují žádné rozumné náhrady za Tor. Stejné i2p je zakázáno stejným způsobem. Nyní blokování Tor není snadné, drahé, ale docela proveditelné, pokud to stát opravdu chce.
Všeobecně vše již bylo vynalezeno a použito např. ve slavné Číně. Známí hostitelé jsou blokováni, provoz je analyzován pomocí DPI a určené pakety jsou blokovány (a informace o odesílateli jsou odesílány na správné místo). Navíc existuje systém „dopředného připojení“, kdy je podezřelý paket „pozastaven“ na nějaký server na Velké bráně firewall a firewall sám odešle stejný požadavek tomuto serveru a analyzuje odpověď. A pak se podle různých kritérií zjišťuje, zda je to možné nebo ne.
Pokud úřady chtějí, drtivé většině uživatelů vše zablokují. Samozřejmě, že zejména tvrdohlaví geekové budou schopni najít mezery, budou zakryty, budou zde nové mezery - to je věčný proces, jak se to děje s viry a antiviry. Pro běžného uživatele to ale není možnost. Navíc je tu vždy možnost zavést whitelisty nebo prostě celý externí internet úplně zavřít. Ale doufám, že na to nedojde.
