Tor zaobilazno blokiranje. Transparentna zaobilaznica za blokiranje i pristup Tor mreži. Što Državna duma i Roskomnadzor žele postići
Mnogi uredi već duže vrijeme blokiraju društvene mreže, video usluge, dijeljenje datoteka i stranice za zabavu. Neki čak blokiraju popularne anonimne servise. Na ovaj način poslodavci nastoje natjerati zaposlenike da obavljaju svoje neposredne obveze, a ne da radno vrijeme troše na zabavu. U ovom ću vam članku korak po korak reći kako mi, obični korisnici, možemo zaobići ovo blokiranje i uživati u neograničenom pristupu internetu.
Zapravo, sve je već izmišljeno za nas i koristit ćemo se gotovim rješenjem.
Upoznajte Tor.
Tor je sustav koji vam omogućuje uspostavljanje anonimne mrežne veze, koja organizira prijenos podataka u šifriranom obliku. Pomoću Tor korisnici mogu ostati anonimni kada posjećuju web stranice, objavljuju sadržaj, šalju poruke i koriste druge aplikacije koje koriste TCP protokol. Tehnologija Tor također pruža zaštitu od mehanizama analize prometa koji ugrožavaju ne samo anonimnost korisnika, već i povjerljivost podataka.
Sustav Tor stvoren je u istraživačkom laboratoriju američke mornarice prema federalnom nalogu. Godine 2002. odlučili su deklasificirati ovaj razvoj, a izvorni kodovi su prebačeni neovisnim programerima koji su kreirali klijentski softver i objavili izvorni kod pod besplatnom licencom kako bi svi mogli provjeriti ima li bugova i backdoora.
Završimo s teorijom i prijeđimo na instalaciju i konfiguraciju sustava.
Idemo na stranicu za preuzimanje sustava Tor, gdje odabiremo opciju s ruskim sučeljem i preuzimamo instalacijsku datoteku. Veličina datoteke je oko 25 megabajta.
Pokrenite preuzetu datoteku, odaberite mjesto instalacije i kliknite gumb Ekstrakt
Nakon što je instalacija završena, na radnoj površini nam se neće pojaviti novi prečaci, pa otvorimo direktorij u koji smo instalirali sustav i iz njega pokrenemo datoteku Start Tor Browser.exe
Otvorit će se prozor programa u kojem će se prikazati proces povezivanja
Ako vaša mreža pristupa internetu putem proxy poslužitelja, tada će se proces povezivanja zaustaviti u fazi stvaranja šifrirane veze
Pritisnite gumb Postavke
U prozoru koji se pojavi idite na karticu Mreža
Konfiguriramo sve kao što je prikazano na slici, navodeći vašu proxy adresu i port
Kliknite na gumb Izlaz
Ponovno pokrenite Start Tor Browser.exe
Čekamo spajanje na Tor sustav
Nakon toga otvorit ćete preglednik Firefox ugrađen u sustav, putem kojeg možete anonimno posjećivati bilo koje stranice
Zašto vam treba VPN
Koristeći VPN usluge, možete zaobići blokiranje web stranica koje ne rade u Rusiji (na primjer, Spotify). Ali to nije jedini razlog zašto su potrebni. Radnici na daljinu i zaposlenici u podružnicama povezuju se putem VPN-a s korporativnim uslugama, čime ne ugrožavaju podatke tvrtke. Ljudi koji pristupaju internetu na javnoj Wi-Fi mreži i boje se da će njihovi podaci biti presretnuti također koriste VPN kako bi se zaštitili od uljeza.
Kako radi? Ako se vaše računalo obično spaja na internet preko ISP poslužitelja, tada VPN usluga postavlja tunel između vašeg računala i udaljenog poslužitelja. Dakle, Internetu pristupate zaobilaznim putem. Svi podaci unutar tunela su šifrirani, tako da provajder i hakeri ne znaju gdje idete ispod VPN veze i što radite na internetu. U isto vrijeme, stranice ne vide pravu IP adresu vašeg računala, jer radite pod tuđom adresom. VPN (Virtual Private Network) stvara sigurnu privatnu mrežu unutar nezaštićenog interneta.
Kako će se blokirati?
Sargis Darbinyan: “Postoji mnogo načina koje osoba može koristiti: proučiti problem i jednostavno postaviti vlastiti VPN, koristiti druga rješenja kao što su Psiphon, Tor, turbo načini rada preglednika, dodatke, kupiti drugu VPN uslugu koja brine o korisnicima i poduzima brzu akciju ”.
Do čega će dovesti blokiranje?
Artem Kozljuk: “Praktički cijeli posao vezan je uz VPN. Virtualne privatne mreže bilo kojeg poduzeća, od malih do velikih, ugrožene su. Kvarovi VPN-a mogu se dogoditi u bilo kojem trenutku zbog netočne provedbe novog zakona. Vidimo beskonačan broj puta kako Roskomnadzor provodi te zakone. Prvo, nepismeno su napisani s tehničke strane, a drugo, u procesu provedbe zakona, Roskomnadzor povećava tu tehničku nepismenost do novih razmjera.”
Markus Saar: “Još nije jasno kako će se odvijati provjera i kontrola. VPN je, za razliku od oblika anonimiziranja, zatvorena mreža, a za pristup je potrebno kupiti plaćenu pretplatu i instalirati softver. Štoviše, neke usluge nemaju vlastiti softver i morate ručno konfigurirati vezu pomoću konfiguracijskih datoteka, ključeva i certifikata. Drugo je pitanje koliko je racionalno “udariti” na tehnički potkovane korisnike koji su počeli koristiti VPN, Tor i druge alate. Uostalom, ako su jednom smogli snage i želje da zaobiđu cenzuru, činit će to opet i opet.
Sargis Darbinyan: “Blokiranje VPN prometa od strane telekom operatera jasno znači ogromnu štetu cijelom korporativnom sektoru, digitalnoj ekonomiji zemlje i smanjenje sigurnosti ruskih građana u globalnom digitalnom okruženju pred stranim obavještajnim službama, korporacijama i uljezima koji koristiti ranjivosti za nadzor i krađu podataka. Nitko još nije uspio 100% zatvoriti mogućnost prijenosa i primanja informacija putem VPN-a, čak ni u azijskim i muslimanskim zemljama s represivnim režimima. Pružatelji usluga imaju popise IP adresa najpopularnijih VPN-ova koje često ažuriraju i blokiraju. No VPN promet se također naučio kamuflirati. VPN pružatelj može kreirati nove IP adrese barem svake minute (plus beskrajni IPv6), tako da će to postajati sve teže i skuplje.
Ruske vlasti zabranjuju usluge za zaobilaženje blokada. Utječe na preglednik Tor, koji koristi lažiranje više IP adresa, ali nije tako lako prevladati. Tor pruža zaštitu od blokiranja pomoću takozvanih "mostova".
Kako zaobići Tor blokadu:
1. Pokrenite Tor Browser i idite na bridges.torproject.org.
2. Kliknite Get bridges i unesite znakove sa slike (najvjerojatnije neće uspjeti prvi put).
3. Kopirajte popis izdanih mostova.
4. Kliknite ikonu Tor lijevo od adresne trake i odaberite "Tor Network Settings".
5. Odaberite "Moj davatelj internetskih usluga (ISP) blokira veze s Tor mrežom"
6. Pritisnite "Unesi prilagođene mostove".
7. Zalijepite mostove koje ste ranije kopirali i kliknite OK.
8. Ponovno pokrenite Tor preglednik. Sada možete posjećivati stranice koje je vaš ISP blokirao za Tor.
Ako ne možete pristupiti bridges.torproject.org, pošaljite e-poštu s bilo kojim sadržajem na
Što ako želite ići na mrežu bez nategnutih ograničenja, ali ne želite mijenjati proxy svaki put u pregledniku? Što ako želite posjećivati i zabranjene i obične stranice, a da pritom ne trpi brzina otvaranja običnih stranica? Što ako vas zanima što se događa u udaljenim dijelovima globalne mreže?
Na temelju ovih razmatranja, moramo:
- Normalne stranice otvorene su kao i obično
- Zabranjene stranice otvorene kroz Tor bez postavki
- Sve stranice u zoni .onion također se otvaraju bez postavki
S jedne strane, zahtjevi su kontradiktorni. S druge strane, što ne možete učiniti za udobnost!
Moglo bi se prisjetiti raznih načina i sredstava za zaobilaženje DPI-ja, ali ako ne želite razmišljati o nečem takvom, nego želite to čak postaviti i zaboraviti, onda nema analoga Tor-u za rješavanje zadatka u uvjeti lakog pristupa blokiranim stranicama.
Nećete postići potpunu anonimnost samo slijedeći ove upute. Anonimnost bez OPSEC mjera nije moguća. Upute podrazumijevaju samo zaobilaženje ograničenja.
Što nam treba?
Za početak, trebamo usmjerivač ili poslužitelj koji djeluje kao transparentni most koji propušta sav promet kroz sebe. To može biti postojeći poslužitelj, može biti Raspberry Pi box. Obični kompaktni ruteri s Linuxom također mogu raditi, ako u principu možete staviti potrebne pakete na njih.
Ako već imate odgovarajući usmjerivač, tada ne morate posebno konfigurirati most i možete.
Ako instalacija Tor-a na vaš usmjerivač predstavlja problem, trebat će vam bilo koje računalo s dva mrežna sučelja i Debian Linuxom. Na kraju ćete ga spojiti na mrežni jaz između usmjerivača, koji gleda u vanjski svijet, i vaše lokalne mreže.
Ako ne na poslužitelje i rutere, onda možda.
Postavimo most
Postavljanje mosta na Debianu nije problem. Trebat će vam program brctl koji se nalazi u paketu bridge-utils:
apt instalirati bridge-utils
Stalna konfiguracija za most postavljena je u /etc/network/interfaces. Ako pravite most od sučelja eth0 i eth1 , tada će konfiguracija izgledati ovako:
# Označi sučelja kao ručno konfigurabilna iface eth0 inet manual iface eth1 inet manual # Bridge se pojavljuje automatski nakon automatskog ponovnog pokretanja br0 # Most s DHCP IP akvizicijom iface br0 inet dhcp bridge_ports eth0 eth1 # Most sa statičkim IP-om iface br0 inet static bridge_ports eth0 eth1 adresa 192.168 .1.2 mrežna maska 255.255.255.0 pristupnik 192.168.1.1
Morate odabrati jednu konfiguraciju za most: s dinamičkim IP-om ili statičkim.
Imajte na umu da u ovoj fazi nije potrebno uključiti poslužitelj u prekid mreže. Možete proći s jednim povezanim sučeljem.
Zamolimo sustav da primijeni nove postavke:
ponovno učitavanje mrežnog servisa
Sada možete provjeriti postojanje mosta pomoću naredbe brctl show:
# brctl prikaži naziv mosta ID mosta STP omogućena sučelja br0 8000.0011cc4433ff no eth0 eth1
Možete vidjeti izdanu IP adresu i općenito provjeriti da li je IP izdan preko DHCP-a ili statički, koristeći naredbu ip:
# ip --family inet addr show dev br0 scope global 4: br0:
Ako je sve u redu s IP adresama, tada već možete pokušati uključiti poslužitelj u prekid mreže...
Na kraju, svi uređaji na vašoj mreži, uključeni preko poslužitelja, trebali bi imati puni pristup globalnoj mreži kao da između njih i vanjskog usmjerivača nema poslužitelja. Isto vrijedi i za rad DHCP-a i ostalih stvari. Sve ih vrijedi provjeriti prije nego prijeđete na postavljanje Tor-a.
Ako nešto ne radi kao prije, ili uopće ne radi, prvo treba riješiti probleme, pa tek onda prijeći na postavljanje samog Tor-a.
Postavite Tor demon
Instalacija Tor-a obavlja se normalno. Instalirajmo i bazu podataka vezanih za državu:
apt instalirati tor tor-geoipdb
Na kraju /etc/tor/torrc konfiguracijske datoteke morate dodati direktive za omogućavanje funkcije proxy poslužitelja:
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300
Ponovno pokrenimo Tor i provjerimo radi li DNS u našoj konfiguraciji na nekom poznatom mjestu:
# servis za ponovno pokretanje # dig +kratko facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
Zadnja naredba trebala bi ispisati IP iz podmreže 10.0.0.0/8.
Prilikom ponovnog pokretanja, Tor se kune u korištenje javnog IP-a za TransPort i DNSPort, kojima zapravo mogu pristupiti autsajderi. Ispravimo ovaj nesporazum dopuštanjem samo veza s lokalne mreže (u mom slučaju to je 192.168.1.0/24):
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 9040 -j ACCEPT -dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP
Zadnja dva pravila mogu se preskočiti ako imate zadano pravilo DROP za lanac INPUT.
Postavite pristup za cijelu lokalnu mrežu
Kako bi svi uređaji na mreži mogli pristupiti stranicama u Toru, moramo proslijediti sve zahtjeve namjenskoj mreži 10.0.0.0/8 na port ugrađenog Tor proxy poslužitelja:
iptables -t nat -A PRERUIRIRANJE -p tcp -d 10.0.0.0/8 -j PREUSMJERI --na-port 9040 iptables -t nat -A IZLAZ -p tcp -d 10.0.0.0/8 -j PREUSMJERI --na- port 9040
Dodali smo dva pravila za PREROUTING i OUTPUT lance tako da shema radi ne samo s uređaja na mreži, već i sa samog poslužitelja. Ako ova shema ne mora raditi sa samog poslužitelja, tada se dodavanje pravila u OUTPUT lanac može preskočiti.
Prosljeđivanje DNS upita u .onion zonu
Ovaj se problem može riješiti ili zamjenom DNS poslužitelja vlastitim u DHCP odgovorima klijentima ili, ako nije uobičajeno koristiti lokalni DNS poslužitelj na vašoj mreži, presretanjem cjelokupnog DNS prometa. U drugom slučaju nećete morati ništa konfigurirati, ali će svi vaši klijenti, uključujući i vas, izgubiti mogućnost upućivanja proizvoljnih zahtjeva proizvoljnim poslužiteljima. Ovo je očita neugodnost.
Samo ćemo DNS zahtjeve koji spominju domenu.onion proslijediti na port ugrađenog DNS poslužitelja, ostavljajući sve ostale zahtjeve na miru:
iptables -t nat -A PREROUTING -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300 iptables -t nat -A IZLAZ -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j PREUSMJERI --na-portove 5300
Čarobni niz 056f6e696f6e00 povezan je s osobitostima prosljeđivanja točke u DNS upitima: prenosi se kao duljina retka koji slijedi. Zbog toga naš čarobni niz počinje s 0x05 za pet znakova u riječi luk. Na kraju niza nalazi se nulti bajt 0x00 jer korijenska domena (točka) ima nultu duljinu.
Ovaj pristup omogućuje vašim korisnicima (i vama) korištenje bilo kojeg DNS poslužitelja koji im odgovara, kao i traženje informacija od bilo kojeg DNS poslužitelja bez posrednika. Međutim, nijedan zahtjev u zoni .onion neće doći do otvorenog Interneta.
Sada pokušajte doći do neke popularne stranice na Tor mreži s bilo kojeg uređaja na lokalnoj mreži. Na primjer, ovako:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Premješteno za stalno Lokacija: https://facebookcorewwwi.onion/
Otklanjanje pogrešaka i rješavanje problema
Ako želite biti sigurni da niti jedan DNS zahtjev za .onion ne ide izvan poslužitelja, tada se njihov nedostatak može provjeriti ovako:
ngrep -q -d br0 -q -W byline luk udp port 53
Normalno, ova naredba, izvršena na poslužitelju, ne bi trebala prikazivati nikakve pakete - to jest, ne bi trebala ispisati ništa što vi ne želite.
Ako Firefox ne vidi .onion
Ako vam to smeta, a ne smeta vam mogućnost slučajne deanonimizacije (jer više ne dopuštamo DNS upite za .onion na otvorenom Internetu), možete onemogućiti ovu postavku u about:config pomoću ključa network.dns.blockDotOnion .
Mobilni Safari i .onion
iOS aplikacije, uključujući Safari i Chrome, u osnovi ignoriraju .onion kada se koriste na ovaj način. Ne znam kako riješiti ovaj problem u okviru takve sheme.
Davatelj zamjenjuje IP u DNS-u
Neki pružatelji usluga, iz ekonomskih razloga, umjesto blokiranja stranica putem IP-a ili putem DPI-ja, samo zamjenjuju IP za DNS zahtjeve prema popisu zabranjenih stranica.
Najjednostavnije rješenje ovog problema bilo bi prebacivanje na Googleove javne DNS poslužitelje. Ako to ne pomogne, što znači da vaš pružatelj općenito preusmjerava sav DNS promet na svoj poslužitelj, tada se možete prebaciti na korištenje Tor DNS-a, zauzvrat preusmjeravajući sav promet na njega:
iptables -t nat -A PRERUIRANJE -p udp --dport 53 -j PREUSMJERI --na-portove 5300 iptables -t nat -A IZLAZ -p udp --dport 53 -j PREUSMJERI --na-portove 5300
Moja mreža koristi IP od 10.0.0.0/8
Nema problema! U svim gore navedenim direktivama koristite neku drugu podmrežu od onih predviđenih za to, isključujući one rezervirane. Ozbiljno, obratite pozornost na rezervirane.
Osim toga, nije potrebno koristiti cijeli raspon odjednom - možete se ograničiti na podmrežu. Na primjer, 10.192.0.0/10 će poslužiti.
Zaobići blokiranje kroz Tor
Da biste pristupili blokiranim stranicama putem Tor-a, prvo morate biti sigurni da ne mijenjate iglu za sapun, koristeći izlazne čvorove koji podliježu istim ograničenjima kao i vi zbog geografskog položaja. To se može učiniti navođenjem u torrc izlaznih čvorova u kojima se zemlje ne mogu koristiti.
Isključi izlazne čvorove (RU), (UA), (BY)
Ažuriranje registra
Registar ne miruje i popis blokiranih stranica se nadopunjuje. Stoga morate s vremena na vrijeme preuzeti stvarni popis IP adresa i dodati ga u ipset. Najbolji način da to učinite nije da svaki put preuzimate cijeli popis, već da preuzimate samo promjene, na primjer, odavde na GitHubu.
#!/bin/bash set -e mkdir -p /var/local/blacklist cd /var/local/blacklist git pull -q || git klon https://github.com/zapret-info/z-i.git. ipset ispiranje crne liste rep +2 dump.csv | rez -f1 -d \; | grep-Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/blacklist/blacklist.txt | xargs -n1 ipset dodaj crnu listu
Moguće je ukloniti i dodati samo IP adrese koje su se promijenile na popisu, za što vam je možda potreban git whatchanged .
Ako vam gornja skripta odgovara, onda bi trebala biti u /etc/cron.daily/blacklist-update. Ne zaboravite ovoj datoteci dati dopuštenja za izvođenje.
chmod +x /etc/cron.daily/blacklist-update
Spremi postavke
apt instalacija iptables-persistent
dpkg-reconfigure iptables-persistent
Nažalost, još ne postoji takav praktični paket za ipset, ali ovaj problem rješava skripta /etc/network/if-pre-up.d/ipset:
#!/bin/sh ipset -exist kreiraj crnu listu hash :ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist crna lista
Obavezno dajte ovoj skripti pravo na izvršenje:
chmod +x /etc/network/if-pre-up.d/ipset
Prilikom sljedećeg ponovnog pokretanja, ova skripta će se izvršiti i vratiti popis blokiranih IP adresa.
Ako zaboravite na servere...
U redu, recite mi, što ako želim dobiti isti praktičan pristup .onionu, ali bez poslužitelja - lokalno, na istom računalu?
Nema problema! U ovom slučaju, sve je još jednostavnije. Prestanite dodavati ova tri retka u torrc:
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300
Zatim ova dva pravila za iptables:
iptables -t nat -A IZLAZ -p tcp -d 127.192.0.0/10 -j REDIRECT --to-port 9040 iptables -t nat -A IZLAZ -p udp --dport 53 -m string \ --hex-string " |056f6e696f6e00|" --algo bm -j PREUSMJERI --na-portove 5300
I možete provjeriti. Pristup blokiranim stranicama konfiguriran je prema gornjim uputama.
Žlica katrana
Unatoč svojoj jednostavnosti i praktičnosti, ovaj pristup nasljeđuje neke od nedostataka Tor mreže.
Pristupate zabranjenim stranicama na mreži u ime izlazni čvorovi, koji administratorima izlaznih čvorova daje temeljnu mogućnost promatranja vašeg prometa i vaših zaporki ako ciljna stranica nije šifrirana (mora biti https na početku adrese ili zeleni lokot 🔒 u adresnoj traci).
Čovjek bi se nadao da vas administratori takvih stranica neće pratiti zbog vlastitog dobrog sna, ali...
Ako web-mjestu pristupite putem nesigurne veze, bilo izravno putem Tor-a, uvijek trebate imati na umu da su vaša prijava i lozinke u osnovi može završiti u fasciklu s pismima na stolu osobe u uniformi.
To je sve!
Još nešto nije jasno? Trebate li nešto popraviti ili vam se nešto posebno svidjelo? Napišite ispod u komentarima.
Uz ovakvu inicijativu besplatni internet je sve manji pred našim očima. U isto vrijeme, većina korisnika je sigurna da Tor i VPN ne mogu biti ograničeni ni na koji način. Za savjet o tome upitali smo Mikhaila Lisnyaka, tvorca Zenrusa, meditativnog servisa za praćenje valutnih kotacija i cijena nafte, te nastavnika u Moskovskoj školi kodiranja, za čiji je tečaj danas počela prijava.
VPN – ukratko – je stvaranje virtualne mreže povrh druge mreže, kao što je naš Internet. Odnosno, između korisnika i VPN poslužitelja stvara se kriptirani kanal preko kojeg se korisnik spaja na drugu mrežu i ispada da osoba iz Moskve pristupa internetu kao da je iz, primjerice, Amsterdama. Sada razmatramo jednu od opcija VPN-a, koja se odnosi na izbijanje vijesti, općenito postoji mnogo više različitih vrsta i aplikacija, ali principi njihovog rada su apsolutno isti.
Tor je sustav usmjeravanja koji se temelji na enkripciji i distribuiranoj mreži posredničkih čvorova (mogu biti i redovni korisnici Tor-a). Prilikom spajanja na Tor, klijent prikuplja popis dostupnih posredničkih čvorova, odabire nekoliko njih i šifrira svaki poslani paket ključevima odabranih čvorova. Nadalje, ovaj paket šifriran s nekoliko ključeva šalje se prvom (ulaznom) posredničkom čvoru. Taj čvor dekriptira svoj ključ i šalje paket dalje, drugi čvor dekriptira svoj, i tako dalje. Na kraju, posljednji čvor dešifrira zadnji "sloj" i šalje paket na Internet. Možete to zamisliti kao luk, s kojeg svaki sljedeći čvor uklanja sloj. Zapravo, tako je Tor skraćenica za - The Onion Routing, odnosno "onion routing". Budući da je gotovo cijeli put paketa šifriran i nitko osim ulaznog čvora ne zna pošiljatelja paketa, sustav osigurava anonimnost i sigurnost prometa.
Ali možete blokirati rad Tor-a. Prvo, Tor klijent mora nekako dobiti popis ulaznih čvorova. Da bi to učinio, klijent se spaja na korijenski registar ovih čvorova. Ako blokirate pristup ovom korijenskom poslužitelju, klijent neće moći dobiti popis ulaznih čvorova mreže i prirodno se neće moći spojiti na mrežu. Postoji ručni način primanja čvorova (na primjer, putem pošte), ali to, prvo, nije baš zgodno, a drugo, ako nadzorna tijela pronađu adrese tih čvorova, one se još uvijek mogu odmah blokirati.
Osim toga, postoji takav sustav kao što je DPI - sustav za analizu i filtriranje paketa. Sada postupno ovaj sustav u Rusiji uvode pružatelji usluga. Prilično je skup, pa ga ne koriste svi pružatelji usluga. Ali to je za sada. Mislim da će ga u bliskoj budućnosti instalirati svi pružatelji okosnice. Ovaj sustav može analizirati promet na niskoj razini, odrediti vrstu tog prometa (čak i kriptiranog, ali bez primanja samog sadržaja), filtrirati ga i po potrebi blokirati. Sada ti sustavi već mogu detektirati Tor promet prema određenim kriterijima. Tor je kao odgovor osmislio sustav maskiranja prometa (obfsproxy), no postupno ga uče odrediti. A korištenje svega toga prosječnom korisniku postaje sve teže.
Ako nadležni žele, velikoj će većini korisnika sve blokirati. Osobito tvrdoglavi geekovi moći će pronaći rupe u zakonu, no za prosječnog korisnika to nije opcija.
Odnosno, Tor se može zabraniti u cijeloj zemlji koristeći isti DPI. Kad uvedu kaznenu odgovornost za korištenje takvog softvera, brzo će održati nekoliko revijalnih suđenja, i to će biti kraj buke. Još nema razumnih zamjena za Tor. Isti i2p je zabranjen na isti način. Sada blokirati Tor nije jednostavno, skupo je, ali sasvim izvedivo ako država to stvarno želi.
Općenito, sve je već izmišljeno i korišteno, na primjer, u slavnoj Kini. Poznati hostovi se blokiraju, promet se analizira pomoću DPI-ja, a utvrđeni paketi se blokiraju (i podaci o pošiljatelju se šalju na pravo mjesto). Plus, postoji sustav "forward connection", kada se sumnjivi paket "suspendira" na neki poslužitelj na Velikom vatrozidu, a sam vatrozid upućuje isti zahtjev tom poslužitelju i analizira odgovor. I onda se po raznim kriterijima utvrđuje može li se ili ne.
Ako nadležni žele, velikoj će većini korisnika sve blokirati. Naravno, posebno tvrdoglavi geekovi moći će pronaći rupe u zakonu, oni će biti pokriveni, bit će novih rupa u zakonu - to je vječni proces, kao što se događa s virusima i antivirusima. No za prosječnog korisnika to nije opcija. Osim toga, uvijek postoji mogućnost uvođenja popisa dopuštenih ili jednostavno potpunog zatvaranja cijelog vanjskog interneta. Ali nadam se da do toga neće doći.
