滥用常见问题

很好,这正是我们实施出口政策的原因。

每个 Tor 中继都具有出口政策,用于指定该中继允许或拒绝什么样的出站连接。 出口政策经由目录传播到 Tor 客户端,客户端将自动避开某些出口中继,因为其出口政策拒绝用户访问目标站点。 通过这种方式,每个中继可根据滥用可能性及其自身状况,决定允许连接到的服务、主机网络。 如果使用默认的出口政策,请参阅可能遇到问题,然后阅读 Mike Perry 的博文出口节点骚扰最小化小提示

默认出口政策允许访问许多热门服务(如网页浏览),但限制一些可能存在滥用的服务(如电子邮件),还有一些服务因 Tor 网络无法处理其负载而受到限制(如默认文件共享端口)。 可通过编辑你的 torrc 文件来更改出口政策。 如果想避免大部分而不是全部滥用的可能性, 把它设置为“reject *:*”。 该设置表示,中继只用于在 Tor 网络内转发流量,而不用于连接至外部网站或其他服务的流量。

如果想要允许任何出口连接,请确保域名解析正常(即:你的电脑能正确解析网络地址)。 如果你的计算机存在无法访问的资源(比如,你的网络有限制性防火墙或内容过滤器),请在出口节点政策中明确标记为拒绝,否则其他 Tor 的用户也将受影响。

Tor 的使命是通过免费开源技术促进人权,使用户能够抵御大规模监视和互联网审查。 我们讨厌有人将 Tor 用于邪恶目的,我们谴责滥用和利用我们的技术进行犯罪活动。

重要的是要理解,犯罪意图在于个人,而不在于他们使用的工具。 就像其他广泛使用的技术一样,Tor 可能被有犯罪意图的个人使用。 而且由于他们可以使用其他选择,将 Tor 从世界上移除似乎不太可能阻止他们从事犯罪活动。 同时,Tor 和其他隐私措施可以打击身份盗用、跟踪等人身犯罪,并可供执法部门用来调查犯罪并帮助支持幸存者。

通常,分布式拒绝服务 (DDoS) 攻击需要数千台计算机同时发送大量数据至受害者。 由于其目标是控制受害者的带宽,他们通常发送 UDP 数据包,因为这些数据包不需要握手或协调。

不过,Tor 只传输正确格式的 TCP 流,而不是所有 IP 数据包,所以你不能通过 Tor 发送 UDP 数据包。 (也无法使用此类攻击的特殊形态,如 SYN flooding。) 因此,常见 DDoS 攻击不可能通过 Tor 网络实现。另外,Tor 不允许对外部站点进行带宽放大攻击: 对于 Tor 发送到目的地的每个字节,你也需要发送一个字节。 总之,如果控制了足够带宽的攻击者,可发起有效 DDoS 攻击,那不用 Tor 也可以攻击。

首先,默认的 Tor 出口策略拒绝所有传出端口 25 (SMTP) 的流量。 因此在默认情况下,通过 Tor 发送垃圾邮件是行不通的。 一些中继运营者可能在特定出口节点启用端口 25 。在这种情况下,该计算机将允许发出邮件。但是,那个人可以直接建立开放的邮件中继,完全无需使用 Tor。 简而言之,Tor 对发送垃圾邮件没有用处,因为几乎所有的 Tor 中继都拒绝投递邮件。

当然,这并非全是关于发送垃圾邮件。 垃圾邮件发送者可以通过 Tor 连接到开放的 HTTP 代理(并从那里连接到 SMTP 服务器);连接到蹩脚的邮件发送 CGI 脚本;控制他们的僵尸网络。这就是说,秘密地与被控制的计算机大军进行通信来发送垃圾邮件。

很遗憾出现这种情况,但是要注意,即使没有 Tor,垃圾邮件也已经很多了。 还有要注意,许多更微妙的通信机制(如伪造的 UDP 数据包)不能在 Tor 上使用,因为 Tor 只传输正确格式的 TCP 连接。

Tor 实施了出口政策。 每个 Tor 中继都具有出口政策,用于指定该中继允许或拒绝什么样的出站连接。 通过这种方式,每个中继可根据滥用可能性及其自身状况,决定允许连接到的服务、主机网络。 我们还有一个专门的团队,网络健康团队,负责调查不良中继节点的行为并将它们从网络中排除出去。

这一点很重要,需要注意的是,虽然我们可以打击网络中的某些滥用行为,比如不良中继节点,但我们不能看到或管理用户在网络上的活动,这是有意设计的。 这一设计通过尽可能提供人权活动家、记者、家暴幸存者、举报者、执法人员等人尽量多的隐私和匿名性,极大地支持有益的使用情景。 了解更多关于我们的用户和 Tor 的有益用途案例

如果你运行的 Tor 中继允许出口连接(例如默认出口政策),大概可以确定,迟早会有人投诉。 滥用投诉可能有很多形式。比如:

  • 有人连到 Hotmail 服务,给某公司发信勒索。FBI 给你发了一封很礼貌的邮件,你解释你运行了一个 Tor 中继,接着他们说“哦,好吧”,然后就不管你的事了。【80号端口】
  • 有人使用 Tor 连接到 Google 群组,并在 Usenet 上发布垃圾邮件,试图关闭你的中继,然后向你的 ISP 发送一封愤怒的邮件,说你如何摧毁整个世界。[端口80]
  • 有人连上 IRC 网络骚扰他人。你的 ISP 收到邮件说你的计算机被攻击,或者你的计算机被 DDoS 了。[端口 6667]
  • 有人使用 Tor 下载范·迪塞尔的电影,而你的 ISP 会收到 DMCA 删除通知。请参考 EFF 的 Tor DMCA 回复模板,它解释了你的 ISP 为什么可以忽视这些通知而不用负法律责任。[任何端口]

当涉及到 Tor 出口节点时,一些主机供应商相对更为友好。相关列表,请参阅 好坏 ISP 维基页面

如需各种滥用投诉的回复模板,可以参考模板集。 通过参考运行出口节点最少骚扰小技巧 以及简化出口政策,你可以主动减少滥用数量。

你可能也会发现,在访问一些网络站点或服务时, Tor 中继的 IP 被屏蔽了。 无论出口政策如何,这都可能会发生,因为有些组织似乎不知道或不在乎 Tor 的 出口政策。 (如果你有多余且未使用的 IP,可考虑用来运行 Tor 中继。) 总的来说,不建议使用家庭网络的连接架设 Tor 中继。

有时,一些愚顽之人通过 Tor 在 IRC 频道捣乱。 这种滥用导致针对 IP 的临时封禁(IRC 行话称为“klines”),因为网络管理员试图将捣乱者踢出他们的网络。

这种反应突显了 IRC 安全模型的根本缺陷: 他们假设 IP 地址对应一个特定的人,所以禁止 IP 地址就可以禁止这个人。 在现实中,情况并非如此--许多这样的捣乱者经常利用互联网上数以百万计的开放代理和被控制的计算机。 IRC 网络想要阻止所有这些节点的尝试,是一场注定失败的战斗。同时,基于这种有缺陷的安全模式,黑名单和反捣乱的作坊式行业快速兴起(与反病毒行业并无不同)。 Tor 网络只是冰山一角而已。

另一方面,对于 IRC 服务器的管理员来说,安全性并不是全有或全无的事情。 通过快速响应捣乱者或其他社交攻击,有可能降低攻击场景对攻击者的吸引力。 任何特定时间,在任何特定 IRC 网络上,大多数单独的 IP 地址等同于单独的个人。 也有例外,比如 NAT 网关可以作为作为特例来分配访问权限。 虽然禁止使用开放代理的尝试是一场失败的战斗,但一般来说,对一个行为不端的 IRC 用户不断地进行临时封禁,直到该用户感到厌烦而离开,也不算失败。

但是,真正的办法是实施应用层认证系统,欢迎行为良好的用户进入,并拒绝行为恶劣的用户。 这需要基于某些人为属性(比如他知道密码),而不是基于数据包传输方式的某些属性。

当然,并不是所有的 IRC 网络都禁止 Tor 节点。 毕竟,相当多的人私密地使用 Tor 连接 IRC,是为了进行正常的沟通,同时不关联其现实身份。 每个 IRC 网络都需要衡量,屏蔽坏人可用的数百万的 IP,而失去行为良好 Tor 用户的贡献,这样是否值得。

如果你被屏蔽了,可以联系网络管理员并向其做出解释。 他们可能根本就不知道 Tor,或者不知道临时禁止的主机名是 Tor 出口节点。 如果你对相关问题进行了解释,他们仍然认为应该屏蔽 Tor,那么你可以考虑转移到一个言论自由更开放的网络。 也许邀请他们来 irc.oftc.net 的 #tor 频道聊聊,有助于让他们知道我们并不是坏人。

最后,如果你发现 IRC 网络屏蔽了 Tor 或者单个 Tor 出口节点,请把这些信息补充到 Tor 浏览器 IRC 屏蔽跟踪器,以便大家可以分享交流。 至少有一个 IRC 网络会查询该页面,以 解除不经意间被屏蔽的出口节点。

尽管,Tor 对垃圾邮件发送并没用处,但一些过分热心的封杀者似乎认为,所有类似 Tor 这样的开放网络都是邪恶的。他们试图在政策、服务和路由问题上对网络管理员施加压力,然后向受害者索取费用。

如果服务器管理员通过黑名单拒收邮件,你应与他们沟通,解释 Tor 以及 Tor 的出口政策。

听到你想要禁用 Tor,我们感到非常遗憾。 某些情况下,屏蔽匿名用户访问互联网服务是合理的。 不过,在很多情况下,可以采取更简单的方法来解决问题,同时允许用户安全地访问你的网站。

首先,思考是否可从应用层来区分正常用户和恶意捣乱者。 例如,只有已注册用户可访问某些网站内容或获取某些权限(如发布内容)。 你可以很容易建立最新的 Tor IP 地址的列表,并允许它们连接你的服务器,这样你可以只针对 Tor 用户进行区分。 如此一来,你可以实现分层访问而无需全站屏蔽。

例如,Freenode IRC 网络曾面对一群恶意捣乱的人,他们加入频道巧妙地主导了对话;当他们将所有来自 Tor 节点的用户标记为“匿名”用户时,捣乱者无法再滥竽充数,于是这些人又转回使用公开代理和僵尸网络。

其次,每天成千上万的用户仅仅因数据安全而选择 Tor,例如,在进行日常活动的同时,避免数据被广告公司收集。 还有其他人使用 Tor,因为这是唯一突破本地防火墙的方式。 此时此刻,可能某些 Tor 用户正在使用你的服务,进行正常的活动。 禁用 Tor 网络之后,你的服务将失去这些用户以及未来潜在的合法用户。你需要权衡这样做是否值得。 (通常,没有人去留意有多少优秀的 Tor 用户在使用他们的服务,直到出现一个粗鲁的用户,否则你永远不会注意到他们。)

此时,你应该问你自己,对于少数 IP 地址背后聚集大量用户的其他服务,你将如何处理。 从这个角度来看,Tor 与 AOL 并没有多少差别。

最后,请记得 Tor 中继具有单独的出口政策 。 很多 Tor 中继根本不允许出口连接。 许多允许出口连接的中继,可能已经禁止连接你的服务。 当想要禁止节点时,你应该先分析出口政策,并只阻止允许这些连接的节点;需注意,出口政策(以及网络中节点的总列表)是可以改变的。

如果真的想要禁用 Tor 用户,我们提供 Tor 浏览器出口中继清单可查询的基于 DNS 的清单

(出于官方政策或某些滥用模式的原因,有些系统管理员屏蔽整个区段的 IP 地址,但也有管理咨询如何允许 Tor 出口中继,因为想要只允许通过 Tor 访问他们的系统。 这些脚本也可用于白名单。)

Tor 开发者没有追踪 Tor 用户的手段。 防止坏人破坏 Tor 匿名性的保护措施,同时也阻碍了我们弄明白发生了什么。

一些支持者建议我们重新设计 Tor,以便在里面加入后门程序 。 这个想法有两个严重的问题。 首先,从技术上来讲,这会大大弱化系统。 对于各种攻击者,通过中心化的方式将用户与其活动进行关联是一个巨大的漏洞。确保正确处理这一责任所需的政策机制是庞大且无解的。 其次,反正坏人也不会因此被抓,因为他们将使用其他手段来确保匿名性(盗取身份,破坏计算机并将其作为跳点等)。

最终这意味着,网站拥有者有责任保护他们不受来自任何地方的威胁和不受安全问题的影响。 这是享受互联网益处所需承受的代价。 不管危险可能来自何方,你必须要随时保护好自身的安全。 跟踪和强化监视并非防止滥用的解决方案。

但是要知道,这并不意味着 Tor 是绝对安全的。 传统的警察技巧对付 Tor 仍然非常有效,比如,侦察方式、动机、机遇、讯问嫌疑人、写作风格分析、内容技巧分析、卧底行动、键盘记录等其他线下侦察方式。 Tor Project 也乐意与任何人合作,包括执法机构,训练他们如何使用 Tor 软件,来安全地进行侦察或在线匿名活动。

Tor Project 未托管与控制这些服务,也没有能力找到 .onion 地址的拥有者或所在位置。 .onion 地址是来自洋葱服务的地址。 以 .onion 结尾的名称是洋葱服务的描述符。 这是自动生成的名称,可以位于互联网上的任何 Tor 中继或客户端上。 洋葱服务旨在通过不让用户和服务供应方发现对方的真实身份和具体位置来保护他们。 根据洋葱服务的设计,.onion 站点的拥有者和位置是隐藏的,即使我们也无法得知。

但请记得,这并不是说洋葱服务无懈可击。 传统的警察技巧对付他们仍然非常有效,比如,侦察方式、动机、机遇、讯问嫌疑人、写作风格分析、内容技巧分析、卧底行动、键盘记录等其他线下侦察方式。

如果想要投诉有关儿童虐待的内容,可向美国失踪和被剥削儿童中心报告,该中心是调查儿童色情制品的国家协调机构:http://www.missingkids.com/。 我们不会查看你提交的链接。

对于滥用,我们的态度是认真严肃的。 活动人士以及执法部门使用 Tor 调查滥用行为,并为幸存者提供支持。 我们与他们一起合作,帮助他们了解如何使用 Tor 来协助他们的工作。 有些情况下,发生了技术错误,我们帮助纠正错误。 由于幸存者社区一些人在意的是耻辱而不是同情心,寻求同路人的支持需要保护隐私的技术。

我们拒绝在 Tor 中建立后门和审查,不是因为不关心。 我们拒绝降低 Tor 的安全和隐私功能,原因在于,实体世界中儿童虐待和人口贩卖的打击活动,将因此而受损,同时这样将移除受害者在网络上的安全空间。 同时,犯罪分子仍然能够获取僵尸网络、被盗的手机、窃取的帐号、邮政系统、快递员、腐败官员以及任何新兴交易技术。 他们是技术的早期使用者。 面对这种情况,政策制定者认为屏蔽或过滤能够解决问题,这是很危险的想法。 我们更感兴趣的是帮助制止和防止虐待儿童,而不是帮助政治人士通过隐瞒虐待儿童的事实来赢得选民的支持。 腐败的危害尤其严重;请查看联合国对腐败在贩卖人口中的作用这一报告。

最后,当成人以儿童的名义制定政策时,儿童将要面对什么样的世界,考虑这一点至关重要。 如果儿童无法像成人一样安全地发表观点,他们会感谢我们吗? 如果他们试图揭露失责政府来保护其他孩子,将会如何?