Tor 在攻击者可以知晓其通信通道的两端时就会失效(与目前所有实用的低延迟匿名设计一样)。 例如,假如攻击者控制或监视了你选择进入网络的 Tor 中继,同时也控制或监视了你访问的网站。 在这种情况下,研究界并不知道有什么实用的低延迟设计可以可靠地阻止攻击者将两端的流量和时间信息进行关联。

那么,我们应该怎么做? 假设攻击者控制或能监视到 C 个中继。 并同时假设总共有 N 个中继。 如果你每次使用网络时都选择新的入口和出口中继,攻击者将能够以(c/n)2左右的概率对你发送的所有流量进行关联。 但是,对大多数用户来说,被剖析就和一直被追踪一样糟糕:他们想经常做一些事情而不被攻击者注意到,而被攻击者注意到一次和被攻击者注意到更多次都是一样糟糕的。 因此,选择许多随机的入口和出口会使用户无法逃脱这种来自攻击者的剖析。

解决的方法是 "入口守卫":每个 Tor 客户端随机选择几个中继作为入口点,并只使用这些中继作为他们的第一跳转。 如果这些中继没有被控制或监视,攻击者就不可能赢,永远不可能,而用户将是安全的。 如果这些中继被攻击者监视或控制,攻击者将会看到更多的用户流量——但用户仍然没有比以前更多的特征。 因此,用户仍然有一定的机会(在(n-c)/n的数量级上)避免被剖析,不使用 Tor 则完全没有规避的可能。

你可以在An Analysis of Degradation of Anonymous ProtocolsDefending Anonymous Communication Against Passive Logging Attacks,特别是Locating Hidden Servers阅读更多信息。

限制您的入口节点也可能有助于对付那些想运行几个 Tor 节点并轻松列举所有 Tor 用户 IP 地址的攻击者。 (尽管他们不能了解用户在与哪些目的地交流,但他们仍然可能仅凭一份用户名单就能做坏事。) 不过,在我们使用"目录保护"设计之前,这一功能并没有什么实际作用。