為什麼 Tor 出口政策封鎖的是 IP 位址而非網域名稱

假使能夠讓中繼節點維護者直接在出口政策裡做像是 reject www.slashdot.org 的設定（或是封鎖其他網站的 IP 位址），完全不需要去查詢該網域中使用了哪些 IP 位址的話，那當然是最好不過的事了。

然而，這樣會有兩個問題。 第一個是，使用者仍然是可以繞過這些封鎖。 例如說，他們的 Tor 網路連線，可以直接針對 IP 位址來發送請求而非主機名稱。 這表示節點維護者還是必須查出該網域中的所有 IP 位址。

第二個問題是，這樣的設計會讓針對特定網站的審查過濾攻擊變成可能。 例如當洋蔥路由節點管理員針對 www1.slashdot.org 進行封鎖時，那如果有攻擊者去篡改洋蔥路由中繼節點的 DNS，或者將該網域名稱解析出的 IP 位址置換成某個主流新聞網站，此時該洋蔥路由中繼節點就會變成是在封鎖該新聞網站了。