A menudo leo que tu ISP puede saber si estás usando Tor. Suponiendo que utiliza un puente, la única forma de hacerlo parece ser el análisis estadístico de una captura de paquetes. ¿Exactamente cómo se hace esto dado que la conexión inicial se realiza a través de TLS y puedes evitarlo?
Los nodos de entrada Tor predeterminados se enumeran públicamente. Entonces, para bloquear una conexión Tor estándar, su ISP solo necesita verificar las IP a las que se está conectando con una lista de nodos conocidos (llamada " guardias de entrada ").
Por ejemplo, mi navegador Tor eligió aleatoriamente 62.210.92.11 como punto de entrada de una lista de nodos públicos. Ahora, un intruso podría simplemente buscar la IP en Atlas (puede filtrar nodos de protección con flag:Guard ) para concluir que soy un usuario Tor.
Bridges son relés Tor no listados y, por lo tanto, no se pueden bloquear tan fácilmente. Pero la investigación sugiere que los puentes pueden identificarse analizando su tráfico entrante y saliente (como se encuentra en la respuesta de @ user169339).
Otra opción para un intruso es emplear DPI para inspeccionar su protocolo de enlace inicial TLS cuando se conecta a la red Tor. Por ejemplo, los autores del artículo Detectar y bloquear el tráfico del enrutador de cebolla utilizando una inspección profunda de paquetes observaron algunas características que se pueden implementar fácilmente como Reglas de firewall, entre ellas:
Las suites de cifrado que ofrece el cliente Tor son siempre las mismas.
En el mensaje ClientHello , el server_name indicado es siempre un nombre de dominio aleatorio en forma de www.[a-z0-9].[com|net] .
El sujeto y el emisor del certificado presentado durante el protocolo de enlace también tienen este dominio aleatorio configurado en el campo commonName que debería ser fácil de distinguir de los certificados legítimos.
En una prueba rápida, pude detectar algunos pseudo dominios de un saludo Tor TLS:
www.65nrpfd6bt7h.com
www.dgb2ozu32a6mjxhrijwa5gtp5.com
www.arqnns3y6lowbr3ses67cb.com
(Incluso los dominios aleatorios solos, aunque es posible que no pueda filtrarlos de manera confiable, sin duda podría atraer la atención de su administrador de sistemas local).
Transportes conectables son el intento del proyecto Tor de superar el bloqueo basado en DPI al proporcionar un API para intercambiar tráfico Tor a través de protocolos arbitrarios (ocultos) que son más difíciles de detectar por los cortafuegos:
Los transportes conectables te ayudan a evitar la censura contra Tor.
Los transportes conectables (PT) transforman el flujo de tráfico Tor entre el cliente y el puente. De esta manera, los censores que supervisan el tráfico entre el cliente y el puente verán un tráfico transformado de aspecto inocente en lugar del tráfico Tor actual. Los programas externos pueden comunicarse con los clientes de Tor y los puentes de Tor utilizando la API de transporte conectable , para hacer Es más fácil construir programas interoperables.
Eres parcialmente correcto. El análisis estadístico es la ruta a seguir, pero son los metadatos del paquete y no la carga lo que permitirá al ISP detectar Tor. En el siguiente enlace, hablan sobre un 86.7% de tasa de detección en línea y su método de detección. Tengo un colega que puede hacerlo al ~ 97% utilizando la sincronización entre paquetes, tamaños de paquetes, etc. Dicho esto, no conozco ningún producto comercial que esté actualmente bloqueando los puentes de Tor, por lo que si los ISP son realmente detectables / bloqueándolos, supongo que está hecho con soluciones internas. ¿Quizás DarkTrace ?
Lea otras preguntas en las etiquetas tor