การบล็อกบายพาสทอร์ บายพาสการบล็อกที่โปร่งใสและการเข้าถึงเครือข่าย Tor State Duma และ Roskomnadzor ต้องการบรรลุอะไร
สำนักงานหลายแห่งปิดกั้นเครือข่ายโซเชียล บริการวิดีโอ การแชร์ไฟล์ และไซต์ความบันเทิงมาระยะหนึ่งแล้ว บางคนถึงกับบล็อกบริการที่ไม่เปิดเผยชื่อที่เป็นที่นิยม ด้วยวิธีนี้ นายจ้างจึงพยายามบังคับลูกจ้างให้ทำหน้าที่ทันที และไม่ใช้เวลาทำงานเพื่อความบันเทิง ในบทความนี้ ผมจะบอกคุณทีละขั้นตอนว่าเราซึ่งเป็นผู้ใช้ทั่วไปสามารถเลี่ยงการบล็อกนี้และเพลิดเพลินกับการเข้าถึงอินเทอร์เน็ตแบบไม่จำกัดได้อย่างไร
อันที่จริงแล้ว ทุกอย่างถูกประดิษฐ์ขึ้นสำหรับเราแล้ว และเราจะใช้โซลูชันสำเร็จรูป
พบกับ ต.
Tor เป็นระบบที่ให้คุณสร้างการเชื่อมต่อเครือข่ายแบบไม่ระบุชื่อ ซึ่งจัดการการถ่ายโอนข้อมูลในรูปแบบที่เข้ารหัส โดยใช้ ตอผู้ใช้จะไม่เปิดเผยชื่อเมื่อเข้าชมเว็บไซต์ โพสต์เนื้อหา ส่งข้อความ และใช้แอปพลิเคชันอื่นๆ ที่ใช้โปรโตคอล TCP เทคโนโลยี ตอยังให้การป้องกันกลไกการวิเคราะห์ปริมาณการใช้ข้อมูลที่ไม่เพียงแค่การไม่เปิดเผยตัวตนของผู้ใช้เท่านั้น แต่ยังรวมถึงการรักษาความลับของข้อมูลด้วย
ระบบ ตอถูกสร้างขึ้นในห้องปฏิบัติการวิจัยของกองทัพเรือสหรัฐฯ ภายใต้คำสั่งของรัฐบาลกลาง ในปี 2545 พวกเขาตัดสินใจยกเลิกการจัดประเภทการพัฒนานี้ และซอร์สโค้ดถูกโอนไปยังนักพัฒนาอิสระที่สร้างซอฟต์แวร์ไคลเอ็นต์และเผยแพร่ซอร์สโค้ดภายใต้ใบอนุญาตฟรี เพื่อให้ทุกคนสามารถตรวจสอบข้อบกพร่องและแบ็คดอร์ได้
จบด้วยทฤษฎีแล้วไปที่การติดตั้งและกำหนดค่าระบบ
เราไปที่หน้าดาวน์โหลดของระบบ Tor ซึ่งเราเลือกตัวเลือกด้วยอินเทอร์เฟซรัสเซียและดาวน์โหลดไฟล์การติดตั้ง ขนาดไฟล์ประมาณ 25 เมกะไบต์
เรียกใช้ไฟล์ที่ดาวน์โหลด เลือกตำแหน่งการติดตั้งแล้วคลิกปุ่มแตกไฟล์
หลังจากการติดตั้งเสร็จสิ้น ทางลัดใหม่จะไม่ปรากฏบนเดสก์ท็อปของเรา ดังนั้นเราจึงเปิดไดเร็กทอรีที่เราติดตั้งระบบและเรียกใช้ไฟล์ Start Tor Browser.exe จากมัน
หน้าต่างโปรแกรมจะเปิดขึ้นซึ่งกระบวนการเชื่อมต่อจะปรากฏขึ้น
หากเครือข่ายของคุณเข้าถึงอินเทอร์เน็ตผ่านพร็อกซีเซิร์ฟเวอร์ กระบวนการเชื่อมต่อจะหยุดในขั้นตอนของการสร้างการเชื่อมต่อที่เข้ารหัส
คลิกที่ปุ่มการตั้งค่า
ในหน้าต่างที่ปรากฏขึ้น ไปที่แท็บเครือข่าย
เรากำหนดค่าทุกอย่างตามที่แสดงในรูปโดยระบุที่อยู่พร็อกซีและพอร์ตของคุณ
คลิกที่ปุ่มออก
รีสตาร์ท เริ่ม Tor Browser.exe
เรากำลังรอการเชื่อมต่อกับระบบ Tor
หลังจากนั้น คุณจะเปิดเบราว์เซอร์ Firefox ที่มีอยู่ในระบบ ซึ่งคุณสามารถเยี่ยมชมไซต์ใดก็ได้โดยไม่ระบุชื่อ
ทำไมคุณถึงต้องการ VPN
เมื่อใช้บริการ VPN คุณสามารถเลี่ยงการบล็อกไซต์ที่ไม่สามารถใช้งานได้ในรัสเซีย (เช่น Spotify) แต่นั่นไม่ใช่เหตุผลเดียวที่พวกเขาต้องการ พนักงานระยะไกลและพนักงานสาขาเชื่อมต่อผ่าน VPN กับบริการขององค์กร จึงไม่ทำให้ข้อมูลของบริษัทตกอยู่ในความเสี่ยง ผู้ที่เข้าถึงอินเทอร์เน็ตบน Wi-Fi สาธารณะและกลัวว่าข้อมูลของพวกเขาจะถูกดักจับก็ใช้ VPN เพื่อป้องกันตนเองจากผู้บุกรุก
มันทำงานอย่างไร? หากคอมพิวเตอร์ของคุณมักจะเชื่อมต่ออินเทอร์เน็ตผ่านเซิร์ฟเวอร์ ISP บริการ VPN จะตั้งค่าช่องสัญญาณระหว่างคอมพิวเตอร์ของคุณและเซิร์ฟเวอร์ระยะไกล ดังนั้นคุณจึงเข้าถึงอินเทอร์เน็ตได้อย่างอ้อมค้อม ข้อมูลทั้งหมดภายในอุโมงค์ข้อมูลถูกเข้ารหัส ดังนั้นผู้ให้บริการและแฮกเกอร์จึงไม่ทราบว่าคุณไปที่ใดภายใต้การเชื่อมต่อ VPN และสิ่งที่คุณทำบนอินเทอร์เน็ต ในขณะเดียวกัน เว็บไซต์ต่างๆ จะไม่เห็นที่อยู่ IP ที่แท้จริงของคอมพิวเตอร์ของคุณ เนื่องจากคุณกำลังทำงานภายใต้ที่อยู่ของบุคคลอื่น VPN (เครือข่ายส่วนตัวเสมือน) สร้างเครือข่ายส่วนตัวที่ปลอดภัยภายในอินเทอร์เน็ตที่ไม่ปลอดภัย
จะถูกปิดกั้นอย่างไร?
ซาร์กิส ดาร์บินยาน: “มีหลายวิธีที่บุคคลสามารถใช้ได้: ศึกษาปัญหาและตั้งค่า VPN ของตนเองอย่างง่ายดาย, ใช้โซลูชันอื่นๆ เช่น Psiphon, Tor, โหมดเบราว์เซอร์เทอร์โบ, ปลั๊กอิน, ซื้อบริการ VPN อื่นที่ใส่ใจผู้ใช้และดำเนินการทันที ” .
การปิดกั้นจะนำไปสู่อะไร?
Artem Kozlyuk: “ในทางปฏิบัติ ธุรกิจทั้งหมดเชื่อมโยงกับ VPN เครือข่ายส่วนตัวเสมือนขององค์กรใดๆ ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ กำลังถูกคุกคาม ความล้มเหลวของ VPN สามารถเกิดขึ้นได้ตลอดเวลาเนื่องจากการบังคับใช้กฎหมายใหม่อย่างไม่ถูกต้อง เราเห็นหลายครั้งนับไม่ถ้วนที่ Roskomnadzor บังคับใช้กฎหมายเหล่านี้ ประการแรก พวกเขาเขียนขึ้นอย่างไม่รู้หนังสือจากด้านเทคนิค และประการที่สอง ในกระบวนการบังคับใช้กฎหมาย Roskomnadzor กำลังเพิ่มการไม่รู้หนังสือทางเทคนิคนี้เป็นสัดส่วนใหม่”
มาร์คุส ซาร์: “ยังไม่ชัดเจนว่าการตรวจสอบและการควบคุมจะเกิดขึ้นได้อย่างไร VPN ต่างจากแบบฟอร์ม anonymizer ตรงที่เป็นเครือข่ายปิด และในการเข้าถึง คุณจะต้องซื้อการสมัครรับข้อมูลแบบชำระเงินและติดตั้งซอฟต์แวร์ นอกจากนี้ บริการบางอย่างไม่มีซอฟต์แวร์ของตัวเอง และคุณต้องกำหนดค่าการเชื่อมต่อด้วยตนเองโดยใช้ไฟล์การกำหนดค่า คีย์ และใบรับรอง คำถามที่สองคือเหตุผลในการ "โจมตี" ผู้ใช้ที่เชี่ยวชาญด้านเทคโนโลยีที่มาใช้งาน VPN, Tor และเครื่องมืออื่นๆ อย่างมีเหตุมีผล ท้ายที่สุด หากพวกเขาเคยพบจุดแข็งและความปรารถนาที่จะหลีกเลี่ยงการเซ็นเซอร์ พวกเขาจะทำการเซ็นเซอร์ครั้งแล้วครั้งเล่า
ซาร์กิส ดาร์บินยาน: “การบล็อกการรับส่งข้อมูล VPN โดยผู้ให้บริการโทรคมนาคมอย่างชัดเจนหมายถึงความเสียหายอย่างใหญ่หลวงต่อภาคส่วนองค์กรทั้งหมด เศรษฐกิจดิจิทัลของประเทศ และความปลอดภัยของพลเมืองรัสเซียที่ลดลงในสภาพแวดล้อมดิจิทัลทั่วโลกเมื่อเผชิญกับหน่วยข่าวกรองต่างประเทศ บริษัท และผู้บุกรุกที่ ใช้ช่องโหว่สำหรับการเฝ้าระวังและการโจรกรรมข้อมูล ยังไม่มีใครสามารถปิดความสามารถในการส่งและรับข้อมูลผ่าน VPN ได้ 100% แม้แต่ในประเทศในเอเชียและมุสลิมที่มีระบอบการปกครองแบบกดขี่ ผู้ให้บริการมีรายการที่อยู่ IP ของ VPN ยอดนิยม ซึ่งอัปเดตและบล็อกด้วยความถี่บางอย่าง แต่ทราฟฟิก VPN ก็เรียนรู้ที่จะอำพรางตัวเองเช่นกัน ผู้ให้บริการ VPN สามารถสร้างที่อยู่ IP ใหม่ได้อย่างน้อยทุก ๆ นาที (รวมถึง IPv6 ที่ไม่มีที่สิ้นสุด) ดังนั้นการทำเช่นนี้จะยากขึ้นและมีราคาแพงขึ้น
ทางการรัสเซียสั่งห้ามบริการเลี่ยงการบล็อก มีผลกับเบราว์เซอร์ของ Tor ซึ่งใช้การปลอมแปลงที่อยู่ IP หลายรายการ แต่ก็ไม่ง่ายนักที่จะเอาชนะ Tor ให้การป้องกันการบล็อกโดยใช้สิ่งที่เรียกว่า "สะพาน"
วิธีเลี่ยงการบล็อก Tor:
1. เปิด Tor Browser และไปที่ bridges.torproject.org
2. คลิก รับสะพาน และป้อนอักขระจากภาพ (ส่วนใหญ่จะไม่ทำงานในครั้งแรก)
3. คัดลอกรายชื่อสะพานที่ออก
4. คลิกที่ไอคอน Tor ทางด้านซ้ายของแถบที่อยู่และเลือก "การตั้งค่าเครือข่าย Tor"
5. เลือก "ผู้ให้บริการอินเทอร์เน็ตของฉัน (ISP) บล็อกการเชื่อมต่อกับเครือข่าย Tor"
6. คลิก "ป้อนบริดจ์ที่กำหนดเอง"
7. วางสะพานที่คุณคัดลอกไว้ก่อนหน้านี้แล้วคลิกตกลง
8. รีสตาร์ทเบราว์เซอร์ของ Tor ตอนนี้คุณสามารถเยี่ยมชมไซต์ที่ถูกบล็อกจาก Tor โดย ISP ของคุณ
หากคุณไม่สามารถเข้าถึง bridges.torproject.org โปรดส่งอีเมลพร้อมเนื้อหาใดๆ ไปที่
จะเป็นอย่างไรถ้าคุณต้องการไปยังเครือข่ายโดยไม่มีข้อจำกัดที่ไกลออกไป แต่ไม่ต้องการเปลี่ยนพร็อกซีทุกครั้งในเบราว์เซอร์ จะเป็นอย่างไรถ้าคุณต้องการเยี่ยมชมทั้งไซต์ที่ถูกแบนและไซต์ปกติ และในขณะเดียวกัน ความเร็วที่ไซต์ปกติเปิดไม่ได้รับผลกระทบ ถ้าคุณสนใจที่จะรู้ว่าเกิดอะไรขึ้นในส่วนที่ห่างไกลของเครือข่ายทั่วโลก
จากการพิจารณาเหล่านี้ เราจำเป็นต้อง:
- ไซต์ปกติเปิดตามปกติ
- ไซต์ต้องห้ามเปิดผ่าน Tor โดยไม่มีการตั้งค่า
- ไซต์ทั้งหมดในโซน .onion ยังเปิดโดยไม่มีการตั้งค่า
ด้านหนึ่งข้อกำหนดนั้นขัดแย้งกัน ในทางกลับกันสิ่งที่คุณทำไม่ได้เพื่อความสะดวก!
เราสามารถจำวิธีและวิธีต่างๆ ในการเลี่ยงผ่าน DPI ได้ แต่ถ้าคุณไม่อยากคิดอะไรแบบนั้น แต่คุณยังต้องการตั้งค่ามันและลืมมันไป ก็ไม่มีความคล้ายคลึงกันของ Tor สำหรับการแก้ปัญหาใน เงื่อนไขการเข้าถึงไซต์ที่ถูกบล็อกได้ง่าย
คุณจะไม่ได้รับการเปิดเผยตัวตนโดยสมบูรณ์โดยทำตามคำแนะนำเหล่านี้เพียงอย่างเดียว การไม่เปิดเผยชื่อโดยไม่มีมาตรการ OPSEC เป็นไปไม่ได้ คำแนะนำบ่งบอกถึงการหลีกเลี่ยงข้อจำกัดเท่านั้น
เราต้องการอะไร?
ในการเริ่มต้น เราต้องการเราเตอร์หรือเซิร์ฟเวอร์ที่ทำหน้าที่เป็นสะพานโปร่งใสที่ส่งผ่านการรับส่งข้อมูลทั้งหมดผ่านตัวมันเอง อาจเป็นเซิร์ฟเวอร์ที่มีอยู่ อาจเป็นกล่อง Raspberry Pi เราเตอร์ขนาดกะทัดรัดทั่วไปที่มี Linux ก็สามารถทำงานได้เช่นกันหากโดยหลักการแล้วคุณสามารถใส่แพ็คเกจที่จำเป็นลงไปได้
หากคุณมีเราเตอร์ที่เหมาะสมอยู่แล้ว คุณไม่จำเป็นต้องกำหนดค่าบริดจ์แยกต่างหาก คุณก็ทำได้
หากการติดตั้ง Tor บนเราเตอร์ของคุณเป็นปัญหา คุณจะต้องใช้คอมพิวเตอร์เครื่องใดก็ได้ที่มีอินเทอร์เฟซเครือข่ายสองอินเทอร์เฟซและ Debian Linux บนเครื่อง ในที่สุดคุณจะเชื่อมต่อกับช่องว่างเครือข่ายระหว่างเราเตอร์ซึ่งมองไปยังโลกภายนอกและเครือข่ายท้องถิ่นของคุณ
ถ้าไม่ใช่เซิร์ฟเวอร์และเราเตอร์ก็อาจจะ
มาตั้งสะพานกันเถอะ
การตั้งค่าบริดจ์บน Debian ไม่ใช่ปัญหา คุณจะต้องใช้โปรแกรม brctl ซึ่งอยู่ในแพ็คเกจ bridge-utils:
apt ติดตั้ง bridge-utils
การกำหนดค่าถาวรสำหรับบริดจ์ถูกตั้งค่าใน /etc/network/interfaces หากคุณกำลังสร้างบริดจ์จากอินเตอร์เฟส eth0 และ eth1 การกำหนดค่าจะมีลักษณะดังนี้:
# ทำเครื่องหมายอินเทอร์เฟซว่ากำหนดค่าได้ด้วยตนเอง iface eth0 inet manual iface eth1 inet manual # Bridge ปรากฏขึ้นโดยอัตโนมัติหลังจากรีบูตอัตโนมัติ br0 # สะพานที่มี DHCP IP การเข้าซื้อกิจการ iface br0 inet dhcp bridge_ports eth0 eth1 # สะพานที่มี IP แบบคงที่ iface br0 inet คงที่ bridge_ports eth0 eth1 ที่อยู่ 192.168 .1.2 netmask 255.255.255.0 เกตเวย์ 192.168.1.1
คุณต้องเลือกการกำหนดค่าหนึ่งรายการสำหรับบริดจ์: ด้วย IP แบบไดนามิกหรือแบบคงที่
โปรดทราบว่าในขั้นตอนนี้ ไม่จำเป็นต้องรวมเซิร์ฟเวอร์ไว้ในตัวแบ่งเครือข่าย คุณสามารถใช้อินเทอร์เฟซที่เชื่อมต่อได้เพียงอินเทอร์เฟซเดียว
ขอให้ระบบใช้การตั้งค่าใหม่:
โหลดเครือข่ายบริการใหม่
ตอนนี้คุณสามารถตรวจสอบการมีอยู่ของบริดจ์ด้วยคำสั่ง brctl show:
# brctl แสดงชื่อสะพาน รหัสบริดจ์ STP เปิดใช้งานอินเทอร์เฟซ br0 8000.0011cc4433ff ไม่มี eth0 eth1
คุณสามารถดูที่อยู่ IP ที่ออก และโดยทั่วไปตรวจสอบข้อเท็จจริงที่ว่า IP นั้นออกผ่าน DHCP หรือแบบคงที่ โดยใช้คำสั่ง ip:
# ip --family inet addr แสดงขอบเขต dev br0 global 4: br0:
หากทุกอย่างเป็นไปตามที่อยู่ IP คุณสามารถลองรวมเซิร์ฟเวอร์ในการทำลายเครือข่ายได้...
ในท้ายที่สุด อุปกรณ์ทั้งหมดในเครือข่ายของคุณซึ่งรวมอยู่ในเซิร์ฟเวอร์ควรมีสิทธิ์เข้าถึงเครือข่ายทั่วโลกอย่างเต็มรูปแบบราวกับว่าไม่มีเซิร์ฟเวอร์ระหว่างอุปกรณ์เหล่านี้กับเราเตอร์ภายนอก เช่นเดียวกับการทำงานของ DHCP และสิ่งอื่น ๆ สิ่งเหล่านี้ควรค่าแก่การตรวจสอบก่อนที่จะดำเนินการตั้งค่า Tor
หากบางอย่างใช้งานไม่ได้เหมือนเมื่อก่อน หรือไม่ทำงานเลย คุณควรแก้ปัญหาก่อน จากนั้นค่อยไปตั้งค่า Tor เอง
ตั้งค่า Tor daemon
การติดตั้ง Tor ทำได้ตามปกติ มาติดตั้งฐานข้อมูลการผูกประเทศด้วย:
apt ติดตั้ง tor tor-geoipdb
ที่ส่วนท้ายของไฟล์คอนฟิกูเรชัน /etc/tor/torrc คุณต้องเพิ่มคำสั่งเพื่อเปิดใช้งานฟังก์ชันพร็อกซีเซิร์ฟเวอร์:
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300
มาเริ่มต้น Tor ใหม่และตรวจสอบว่า DNS ในการกำหนดค่าของเราทำงานบนไซต์ที่รู้จักบางไซต์:
# บริการเริ่มต้นใหม่ # ขุด + สั้น facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
คำสั่งสุดท้ายควรส่งออก IP จากซับเน็ต 10.0.0.0/8
เมื่อรีสตาร์ท Tor ในกรณีนี้สาบานว่าจะใช้ IP สาธารณะสำหรับ TransPort และ DNSPort ซึ่งจริงๆ แล้วบุคคลภายนอกสามารถเข้าถึงได้ มาแก้ไขความเข้าใจผิดนี้โดยอนุญาตเฉพาะการเชื่อมต่อจากเครือข่ายท้องถิ่น (ในกรณีของฉันคือ 192.168.1.0/24):
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 9040 -j ACCEPT -dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP
คุณสามารถข้ามกฎสองข้อสุดท้ายได้หากคุณมีกฎ DROP เริ่มต้นสำหรับห่วงโซ่ INPUT
ตั้งค่าการเข้าถึงสำหรับเครือข่ายท้องถิ่นทั้งหมด
เพื่อให้อุปกรณ์ทั้งหมดในเครือข่ายสามารถเข้าถึงไซต์ใน Tor ได้ เราจำเป็นต้องส่งต่อคำขอทั้งหมดไปยังเครือข่ายเฉพาะ 10.0.0.0/8 ไปยังพอร์ตของพร็อกซีเซิร์ฟเวอร์ Tor ในตัว:
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.0/8 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p tcp -d 10.0.0.0/8 -j REDIRECT --to- พอร์ต 9040
เราเพิ่มกฎสองข้อสำหรับเครือข่าย PREROUTING และ OUTPUT เพื่อให้โครงร่างทำงานได้ไม่เฉพาะจากอุปกรณ์ในเครือข่ายเท่านั้น แต่ยังรวมถึงจากเซิร์ฟเวอร์ด้วย หากโครงร่างนี้ไม่จำเป็นต้องทำงานจากเซิร์ฟเวอร์เอง คุณสามารถเพิ่มกฎไปยังเชน OUTPUT ได้
การส่งต่อการสืบค้น DNS ไปยัง .onion zone
ปัญหานี้สามารถแก้ไขได้โดยแทนที่เซิร์ฟเวอร์ DNS ด้วยของคุณเองในการตอบสนอง DHCP ไปยังไคลเอนต์ หรือหากไม่ใช่เรื่องปกติที่จะใช้เซิร์ฟเวอร์ DNS ในเครือข่ายของคุณ โดยการสกัดกั้นการรับส่งข้อมูล DNS ทั้งหมด ในกรณีที่สอง คุณไม่จำเป็นต้องกำหนดค่าใดๆ เลย แต่ลูกค้าทั้งหมดของคุณ รวมทั้งตัวคุณเอง จะไม่สามารถส่งคำขอตามอำเภอใจไปยังเซิร์ฟเวอร์ที่กำหนดเองได้ นี่เป็นความไม่สะดวกที่ชัดเจน
เราจะส่งต่อเฉพาะคำขอ DNS ที่กล่าวถึงโดเมน the.onion ไปยังพอร์ตเซิร์ฟเวอร์ DNS ในตัว โดยปล่อยให้คำขออื่นๆ ทั้งหมดอยู่ตามลำพัง:
iptables -t nat -A PREROUTING -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j เปลี่ยนเส้นทาง --to-ports 5300
สตริงเวทย์มนตร์ 056f6e696f6e00 เกี่ยวข้องกับลักษณะเฉพาะของการส่งจุดในการสืบค้น DNS: จะถูกส่งไปตามความยาวของบรรทัดที่ตามมา นี่คือเหตุผลที่สตริงเวทย์มนตร์ของเราเริ่มต้นด้วย 0x05 สำหรับอักขระห้าตัวในคำว่า onion ที่ส่วนท้ายของสตริงคือไบต์ว่าง 0x00 เนื่องจากโดเมนราก (จุด) มีความยาวเป็นศูนย์
วิธีนี้ทำให้ผู้ใช้ของคุณ (และตัวคุณเอง) ใช้เซิร์ฟเวอร์ DNS ใดก็ได้ที่สะดวกสำหรับพวกเขา รวมทั้งขอข้อมูลจากเซิร์ฟเวอร์ DNS ที่ไม่มีตัวกลาง อย่างไรก็ตาม ไม่มีคำขอใดในโซน .onion ที่จะเข้าถึงอินเทอร์เน็ตแบบเปิด
ตอนนี้พยายามเข้าถึงไซต์ยอดนิยมบนเครือข่าย Tor จากอุปกรณ์ใด ๆ ในเครือข่ายท้องถิ่น ตัวอย่างเช่นเช่นนี้:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 ย้ายที่อยู่ถาวร: https://facebookcorewwwi.onion/
การดีบักและการแก้ไขปัญหา
หากคุณต้องการตรวจสอบให้แน่ใจว่าไม่มีคำขอ DNS ใด ๆ ที่ส่งไปยัง .onion เกินกว่าเซิร์ฟเวอร์ คุณสามารถตรวจสอบการขาดงานได้ดังนี้:
ngrep -q -d br0 -q -W สายย่อย onion udp พอร์ต 53
โดยปกติ คำสั่งนี้ซึ่งทำงานบนเซิร์ฟเวอร์ ไม่ควรแสดงแพ็คเกจใด ๆ เลย นั่นคือไม่มีเอาต์พุตที่คุณไม่ทำ
หาก Firefox ไม่เห็น .onion
หากสิ่งนี้รบกวนจิตใจคุณ และโอกาสของการไม่เปิดเผยชื่อโดยไม่ได้ตั้งใจจะไม่รบกวนคุณ (เพราะเราไม่อนุญาตให้มีการสืบค้น DNS ไปยัง .onion บนอินเทอร์เน็ตแบบเปิดอีกต่อไป) คุณสามารถปิดใช้งานการตั้งค่านี้ใน about:config โดยใช้คีย์ network.dns.blockDotOnion
Mobile Safari และ .onion
แอป iOS รวมถึง Safari และ Chrome โดยทั่วไปจะไม่สนใจ .onion เมื่อใช้วิธีนี้ ฉันไม่ทราบวิธีแก้ไขปัญหานี้ภายในกรอบของโครงการดังกล่าว
ผู้ให้บริการแทนที่ IP ใน DNS
ผู้ให้บริการบางราย แทนที่จะบล็อกไซต์ด้วย IP หรือผ่าน DPI ผู้ให้บริการบางรายจึงแทนที่ IP สำหรับคำขอ DNS ตามรายชื่อไซต์ที่ถูกแบนเท่านั้น
วิธีแก้ปัญหาที่ง่ายที่สุดคือเปลี่ยนไปใช้เซิร์ฟเวอร์ DNS สาธารณะของ Google หากวิธีนี้ไม่ได้ผล ซึ่งหมายความว่าผู้ให้บริการของคุณเปลี่ยนเส้นทางการรับส่งข้อมูล DNS ทั้งหมดไปยังเซิร์ฟเวอร์ของตนโดยทั่วไป คุณสามารถเปลี่ยนไปใช้ Tor DNS ในทางกลับกัน เปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดไปที่เซิร์ฟเวอร์:
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 5300
เครือข่ายของฉันใช้ IP ตั้งแต่ 10.0.0.0/8
ไม่มีปัญหา! ในคำสั่งทั้งหมดข้างต้น ให้ใช้ซับเน็ตอื่นจากคำสั่งที่ให้ไว้ ยกเว้นซับเน็ตที่สงวนไว้ อย่างจริงจังให้ความสนใจกับสิ่งที่สงวนไว้
นอกจากนี้ ไม่จำเป็นต้องใช้ทั้งช่วงพร้อมกัน - คุณสามารถจำกัดตัวเองให้อยู่ที่ซับเน็ตได้ ตัวอย่างเช่น 10.192.0.0/10 จะทำ
การบล็อกบายพาสผ่าน Tor
ในการเข้าถึงไซต์ที่ถูกบล็อกผ่าน Tor ก่อนอื่นคุณต้องแน่ใจว่าคุณไม่ได้เปลี่ยนเข็มสำหรับสบู่ โดยใช้โหนดทางออกที่อยู่ภายใต้ข้อจำกัดเดียวกันกับคุณเนื่องจากที่ตั้งทางภูมิศาสตร์ สามารถทำได้โดยระบุโหนดเอาต์พุตใน torrc ที่ประเทศไม่สามารถใช้งานได้
ExcludeExitNodes (RU), (UA), (BY)
กำลังอัปเดตรีจิสทรี
รีจิสทรีไม่หยุดนิ่งและรายการไซต์ที่ถูกบล็อกถูกเติมเต็ม ดังนั้น คุณต้องดาวน์โหลดรายการ IP จริงเป็นครั้งคราว และเพิ่มลงใน ipset วิธีที่ดีที่สุดคือไม่ต้องดาวน์โหลดรายการทั้งหมดในแต่ละครั้ง แต่ให้ดาวน์โหลดเฉพาะการเปลี่ยนแปลง เช่น จากที่นี่บน GitHub
#!/bin/bash set -e mkdir -p /var/local/blacklist cd /var/local/blacklist git pull -q || โคลน git https://github.com/zapret-info/z-i.git ipset flush บัญชีดำ tail +2 dump.csv | ตัด -f1 -d \; | grep-Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | ที /var/local/blacklist/blacklist.txt | xargs -n1 ipset เพิ่มบัญชีดำ
เป็นไปได้ที่จะลบและเพิ่มเฉพาะ IP ที่มีการเปลี่ยนแปลงในรายการ ซึ่งคุณอาจต้องใช้ git whatchanged
หากสคริปต์ข้างต้นเหมาะกับคุณ ก็ควรอยู่ใน /etc/cron.daily/blacklist-update อย่าลืมให้สิทธิ์ในการดำเนินการกับไฟล์นี้
chmod +x /etc/cron.daily/blacklist-update
บันทึกการตั้งค่า
apt ติดตั้ง iptables-persistent
dpkg-reconfigure iptables-persistent
น่าเสียดายที่ยังไม่มีแพ็คเกจที่สะดวกสำหรับ ipset แต่ปัญหานี้แก้ไขได้ด้วยสคริปต์ /etc/network/if-pre-up.d/ipset:
#!/bin/sh ipset -exist สร้างแฮชบัญชีดำ :ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset เพิ่ม -exist blacklist
อย่าลืมให้สิทธิ์สคริปต์นี้ในการดำเนินการ:
chmod +x /etc/network/if-pre-up.d/ipset
ในการรีบูตครั้งถัดไป สคริปต์นี้จะถูกดำเนินการและกู้คืนรายการ IP ที่ถูกบล็อก
หากคุณลืมเกี่ยวกับเซิร์ฟเวอร์...
โอเค บอกฉันที ว่าถ้าฉันต้องการเข้าถึง .onion อย่างสะดวกสบายแบบเดียวกันทั้งหมด จะต้องทำอย่างไร แต่ไม่มีเซิร์ฟเวอร์ - ในเครื่อง บนคอมพิวเตอร์เครื่องเดียวกัน
ไม่มีปัญหา! ในกรณีนี้ ทุกอย่างจะง่ายยิ่งขึ้นไปอีก หยุดเพิ่มสามบรรทัดเหล่านี้ใน torrc:
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300
จากนั้นกฎสองข้อนี้สำหรับ iptables:
iptables -t nat -A OUTPUT -p tcp -d 127.192.0.0/10 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string " |056f6e696f6e00|" --algo bm -j เปลี่ยนเส้นทาง --to-ports 5300
และคุณสามารถตรวจสอบ การเข้าถึงไซต์ที่ถูกบล็อกได้รับการกำหนดค่าตามคำแนะนำด้านบน
ทาร์หนึ่งช้อน
แม้จะมีความเรียบง่ายและสะดวก แต่วิธีการนี้ยังสืบทอดข้อบกพร่องบางประการของเครือข่าย Tor
คุณเข้าถึงไซต์ต้องห้ามบนเครือข่ายในนามของ โหนดทางออกซึ่งช่วยให้ผู้ดูแลระบบ exit node มีความสามารถพื้นฐานในการสังเกตการเข้าชมและรหัสผ่านของคุณ หากไซต์เป้าหมายไม่ได้เข้ารหัส (ต้องเป็น https ที่จุดเริ่มต้นของที่อยู่หรือแม่กุญแจสีเขียว 🔒 ในแถบที่อยู่)
มีคนหวังว่าผู้ดูแลระบบของไซต์ดังกล่าวจะไม่ติดตามคุณเพื่อการนอนหลับฝันดี แต่...
หากคุณเข้าถึงไซต์ผ่านการเชื่อมต่อที่ไม่ปลอดภัย ไม่ว่าจะผ่าน Tor โดยตรง คุณควรจำไว้เสมอว่าข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณ โดยทั่วไปอาจลงเอยในโฟลเดอร์ที่มีตัวอักษรอยู่บนโต๊ะของคนในเครื่องแบบ
นั่นคือทั้งหมด!
ยังมีอะไรไม่ชัดเจนอีกหรือ? มีอะไรที่คุณต้องแก้ไขหรือมีสิ่งที่คุณชอบเป็นพิเศษหรือไม่? เขียนด้านล่างในความคิดเห็น
ด้วยความคิดริเริ่มดังกล่าว อินเทอร์เน็ตฟรีจึงเล็กลงต่อหน้าต่อตาเรา ในขณะเดียวกัน ผู้ใช้ส่วนใหญ่มั่นใจว่า Tor และ VPN นั้นไม่สามารถถูกจำกัดได้ไม่ว่าด้วยวิธีใด เราขอให้ Mikhail Lisnyak ผู้สร้าง Zenrus บริการฝึกสมาธิสำหรับติดตามราคาสกุลเงินและราคาน้ำมัน และครูที่โรงเรียนการเข้ารหัสมอสโก ซึ่งเริ่มลงทะเบียนหลักสูตรในวันนี้ เพื่อขอคำแนะนำในเรื่องนี้
โดยสรุป VPN คือการสร้างเครือข่ายเสมือนบนเครือข่ายอื่น เช่น อินเทอร์เน็ตของเรา นั่นคือช่องสัญญาณที่เข้ารหัสถูกสร้างขึ้นระหว่างผู้ใช้และเซิร์ฟเวอร์ VPN ซึ่งผู้ใช้เชื่อมต่อกับเครือข่ายอื่นและปรากฎว่าบุคคลจากมอสโกเข้าถึงอินเทอร์เน็ตราวกับว่าเขามาจากอัมสเตอร์ดัม ตอนนี้เรากำลังพิจารณาตัวเลือก VPN ตัวใดตัวหนึ่ง ซึ่งหมายถึงตัวแบ่งข่าว โดยทั่วไปแล้วมีประเภทและแอปพลิเคชันอื่น ๆ อีกมากมาย แต่หลักการทำงานของพวกเขาเหมือนกันทุกประการ
Tor เป็นระบบการกำหนดเส้นทางตามการเข้ารหัสและเครือข่ายแบบกระจายของโหนดตัวกลาง (พวกเขาสามารถเป็นผู้ใช้ Tor ปกติได้เช่นกัน) เมื่อเชื่อมต่อกับ Tor ลูกค้าจะรวบรวมรายการโหนดตัวกลางที่พร้อมใช้งาน เลือกโหนดหลายตัว และเข้ารหัสแต่ละแพ็กเก็ตที่ส่งตามลำดับด้วยคีย์ของโหนดที่เลือก นอกจากนี้ แพ็กเก็ตนี้ที่เข้ารหัสด้วยหลายคีย์จะถูกส่งไปยังโหนดตัวกลาง (อินพุต) ตัวแรก โหนดนั้นถอดรหัสคีย์ของมันและส่งแพ็กเก็ตเพิ่มเติม โหนดที่สองจะถอดรหัสของตัวเอง และอื่นๆ ในตอนท้าย โหนดสุดท้ายจะถอดรหัส "เลเยอร์" สุดท้ายและส่งแพ็กเก็ตไปยังอินเทอร์เน็ต คุณสามารถจินตนาการได้ว่าเป็นหัวหอมซึ่งแต่ละโหนดที่ตามมาจะลบเลเยอร์ ที่จริง นี่คือวิธีที่ Tor ย่อมาจาก - The Onion Routing นั่นคือ "onion routing" เนื่องจากเส้นทางเกือบทั้งหมดของแพ็กเก็ตถูกเข้ารหัสและไม่มีใครรู้นอกจากโหนดอินพุตที่รู้จักผู้ส่งแพ็กเก็ต ระบบจึงรับประกันการไม่เปิดเผยตัวตนและความปลอดภัยของการรับส่งข้อมูล
แต่คุณสามารถบล็อก Tor ไม่ให้ทำงาน ประการแรก ลูกค้า Tor ต้องรับรายการโหนดอินพุต เมื่อต้องการทำเช่นนี้ ไคลเอ็นต์จะเชื่อมต่อกับรีจิสตรีรากของโหนดเหล่านี้ หากคุณบล็อกการเข้าถึงรูทเซิร์ฟเวอร์นี้ ไคลเอ็นต์จะไม่สามารถรับรายการโหนดอินพุตของเครือข่ายได้ และโดยธรรมชาติแล้วจะไม่สามารถเชื่อมต่อกับเครือข่ายได้ มีวิธีรับโหนดด้วยตนเอง (เช่น ทางไปรษณีย์) แต่ประการแรก ไม่สะดวกนัก และประการที่สอง หากเจ้าหน้าที่กำกับดูแลพบที่อยู่ของโหนดเหล่านี้ ก็ยังสามารถบล็อกได้ทันที
นอกจากนี้ยังมีระบบเช่น DPI - ระบบวิเคราะห์และกรองแพ็กเก็ต ตอนนี้ผู้ให้บริการค่อยๆเปิดตัวระบบนี้ในรัสเซีย มันค่อนข้างแพง ผู้ให้บริการบางรายไม่ได้ใช้มัน แต่สำหรับตอนนี้ ฉันคิดว่าในอนาคตอันใกล้นี้ผู้ให้บริการแกนหลักทั้งหมดจะทำการติดตั้งมัน ระบบนี้สามารถวิเคราะห์ทราฟฟิกในระดับต่ำ กำหนดประเภทของทราฟฟิกนี้ (แม้เข้ารหัส แต่ไม่ได้รับเนื้อหาเอง) กรอง และหากจำเป็น ให้ปิดกั้น ตอนนี้ระบบเหล่านี้สามารถตรวจจับทราฟฟิกของ Tor ตามเกณฑ์ที่กำหนดได้แล้ว ในการตอบสนอง Tor ได้คิดค้นระบบปิดบังการรับส่งข้อมูล (obfsproxy) แต่พวกเขาก็ค่อยๆ เรียนรู้ที่จะกำหนดมัน และการใช้งานทั้งหมดนี้ยากขึ้นเรื่อยๆ สำหรับผู้ใช้ทั่วไป
หากทางการต้องการ พวกเขาจะบล็อกทุกอย่างสำหรับผู้ใช้ส่วนใหญ่ โดยเฉพาะพวกคลั่งไคล้ที่ดื้อรั้นจะสามารถหาช่องโหว่ได้ แต่สำหรับผู้ใช้ทั่วไป นี่ไม่ใช่ทางเลือก
นั่นคือ Tor สามารถถูกแบนได้ทั่วประเทศโดยใช้ DPI เดียวกัน เมื่อพวกเขาแนะนำความรับผิดทางอาญาสำหรับการใช้ซอฟต์แวร์ดังกล่าว พวกเขาจะจัดให้มีการทดลองใช้หลายครั้งอย่างรวดเร็ว และนี่จะเป็นจุดสิ้นสุดของกลุ่ม ยังไม่มีสิ่งทดแทนที่สมเหตุสมผลสำหรับ Tor i2p เดียวกันถูกแบนในลักษณะเดียวกัน ตอนนี้การบล็อก Tor ไม่ใช่เรื่องง่าย มีราคาแพง แต่ค่อนข้างเป็นไปได้หากรัฐต้องการจริงๆ
โดยทั่วไปแล้ว ทุกอย่างถูกประดิษฐ์และใช้งานแล้ว ตัวอย่างเช่น ในประเทศจีนอันรุ่งโรจน์ โฮสต์ที่รู้จักถูกบล็อก ทราฟฟิกถูกวิเคราะห์โดย DPI และแพ็กเก็ตที่กำหนดจะถูกบล็อก (และข้อมูลผู้ส่งจะถูกส่งไปยังที่ที่ถูกต้อง) นอกจากนี้ยังมีระบบ "การเชื่อมต่อไปข้างหน้า" เมื่อแพ็กเก็ตที่น่าสงสัยถูก "ระงับ" ไปยังเซิร์ฟเวอร์บางตัวบน Great Firewall และไฟร์วอลล์เองก็ส่งคำขอไปยังเซิร์ฟเวอร์นี้เช่นเดียวกันและวิเคราะห์การตอบสนอง แล้วตามเกณฑ์ต่าง ๆ ก็ตัดสินว่าเป็นไปได้หรือไม่
หากทางการต้องการ พวกเขาจะบล็อกทุกอย่างสำหรับผู้ใช้ส่วนใหญ่ แน่นอน โดยเฉพาะอย่างยิ่งพวกหัวแข็งที่ดื้อรั้นจะสามารถหาช่องโหว่ได้ พวกเขาจะถูกปกปิด จะมีช่องโหว่ใหม่ ๆ - นี่เป็นกระบวนการที่คงอยู่ชั่วนิรันดร์ เมื่อมันเกิดขึ้นกับไวรัสและแอนตี้ไวรัส แต่สำหรับผู้ใช้ทั่วไป นี่ไม่ใช่ตัวเลือก นอกจากนี้ ยังมีโอกาสที่จะแนะนำรายการที่อนุญาตพิเศษหรือเพียงแค่ปิดอินเทอร์เน็ตภายนอกทั้งหมดอย่างสมบูรณ์ แต่ฉันหวังว่ามันจะไม่มาถึงที่
