Tráfico estándar de Tor
Los nodos de entrada Tor predeterminados se enumeran públicamente. Entonces, para bloquear una conexión Tor estándar, su ISP solo necesita verificar las IP a las que se está conectando con una lista de nodos conocidos (llamada " guardias de entrada ").
Por ejemplo, mi navegador Tor eligió aleatoriamente 62.210.92.11
como punto de entrada de una lista de nodos públicos. Ahora, un intruso podría simplemente buscar la IP en Atlas (puede filtrar nodos de protección con flag:Guard
) para concluir que soy un usuario Tor.
Con puentes
Bridges son relés Tor no listados y, por lo tanto, no se pueden bloquear tan fácilmente. Pero la investigación sugiere que los puentes pueden identificarse analizando su tráfico entrante y saliente (como se encuentra en la respuesta de @ user169339).
Otra opción para un intruso es emplear DPI para inspeccionar su protocolo de enlace inicial TLS cuando se conecta a la red Tor. Por ejemplo, los autores del artículo Detectar y bloquear el tráfico del enrutador de cebolla utilizando una inspección profunda de paquetes observaron algunas características que se pueden implementar fácilmente como Reglas de firewall, entre ellas:
-
Las suites de cifrado que ofrece el cliente Tor son siempre las mismas.
-
En el mensaje ClientHello
, el server_name
indicado es siempre un nombre de dominio aleatorio en forma de www.[a-z0-9].[com|net]
.
-
El sujeto y el emisor del certificado presentado durante el protocolo de enlace también tienen este dominio aleatorio configurado en el campo commonName
que debería ser fácil de distinguir de los certificados legítimos.
En una prueba rápida, pude detectar algunos pseudo dominios de un saludo Tor TLS:
www.65nrpfd6bt7h.com
www.dgb2ozu32a6mjxhrijwa5gtp5.com
www.arqnns3y6lowbr3ses67cb.com
(Incluso los dominios aleatorios solos, aunque es posible que no pueda filtrarlos de manera confiable, sin duda podría atraer la atención de su administrador de sistemas local).
Transportes conectables
Transportes conectables son el intento del proyecto Tor de superar el bloqueo basado en DPI al proporcionar un API para intercambiar tráfico Tor a través de protocolos arbitrarios (ocultos) que son más difíciles de detectar por los cortafuegos:
Los transportes conectables te ayudan a evitar la censura contra Tor.
Los transportes conectables (PT) transforman el flujo de tráfico Tor entre el cliente y el puente. De esta manera, los censores que supervisan el tráfico entre el cliente y el puente verán un tráfico transformado de aspecto inocente en lugar del tráfico Tor actual. Los programas externos pueden comunicarse con los clientes de Tor y los puentes de Tor utilizando la API de transporte conectable , para hacer Es más fácil construir programas interoperables.