Tor被用来规避审查！

不，不是直接的。Tor 是关于匿名性的，而不是关于可用性的。Tor 本身并不能帮助其用户访问被阻止的内容。Tor 通过使客户难以与站点访问联系起来提供帮助，这样人们就可以在不被识别的情况下发布或阅读内容。它是用来避免与被禁内容有关的被抓，而不是直接传播被禁内容。

控制该国 ISP 的所有网络设备的政府可以决定允许居民访问哪些网站和服务，并且可以知道谁在访问什么。如果有人在使用 Tor，他们的计算机会连接到提供 Tor 服务（Tor 中继）的主机。ISP 级别的过滤器可以检测连接的目标是否是 Tor 中继，如果是则拒绝。

直接帮助规避审查的工具是VPN。ISP 级别的过滤器可以阻止与 VPN 的连接，但前提是它知道该服务是 VPN。Tor 中继大部分是公共的，并且必须是重型基础设施的一部分（它们必须从其他已知的 Tor 中得知）。相反，VPN 独立运行，因此很容易创建新的：完全阻止 VPN 几乎是不可能的（阻止所有加密协议确实会阻止大多数常见的 VPN，但仍然可以使用隐写术创建低带宽 VPN如果没有别的）。

VPN 和 Tor 当然可以结合（并且经常结合）。ISP 可以阻止直接使用 Tor，但不能阻止通过 VPN 使用 Tor。甚至还有专门使用 Tor 的类似 VPN 的服务：Tor bridges。这里有一场军备竞赛，ISP/政府可以在发现 Tor 网桥时阻止它们，但新的网桥很容易弹出。

法国将禁止 Tor

不，这不是原始文章所说的，也不是 THN 文章所说的。最初的文章说，警察局（而不是政府）要求采取一系列不同现实主义的措施，包括禁止 Tor。甚至您引用的文章也声称该请求是一项立法提案（目前还没有），而不是即将生效的法律。

为了阻止 Tor，所要做的就是拥有当前的 Tor 节点列表，可以在以下链接中找到：

http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv

然后通过路由器或防火墙双向阻止它们。

也就是说，围绕这种努力有很多方法，人们仍然可以使用 VPN 在给定区域之外进行连接，然后从另一个位置运行 Tor 流量或通过隧道传输流量，但这将有效地阻止许多技术水平较低的人进入访问 Tor。

同样，以下 Tor 出口节点列表可用于阻止 Tor 流量连接到任何给定网站： https ://check.torproject.org/exit-addresses

我想说让 Tor 难以使用很容易，但很难让它无法使用。

请记住，拥有大量财政资源的政府可以在启动后几分钟内花钱运行ZMAP.io等工具来寻找潜在的 Tor 服务器，包括 Tor Bridges。连续扫描整个 IPv4 地址空间对于那些预算很少的人来说已经变得微不足道，因此寻找和阻止 Tor 节点的活动很容易非常有效，但它永远不会是绝对的。

最后，请记住，一旦确定了 Tor 用户，政府可能会监控该用户未来的连接，以定位新的 Tor 网桥或类似连接。

注意：扫描 IPv4 的任务已经变得微不足道，但扫描所有公共 IPv6 地址空间的过程由于规模太大而根本无法管理。也就是说，需要一个大型政府项目来关联其他类型的数据，例如 Netflow、某种类型的流量签名或某种其他形式的识别，以识别和阻止 IPv6 网络上的 Tor 流量。

同样，政府可以使 Tor 难以使用，但要使其无法使用却非常困难。

应该进一步指出，政府还利用其他策略来识别匿名用户。为了保护最终用户免受与 cookie 或其他签名相关的风险，这些风险可能会泄露有关 Tor 用户的其他信息，使用匿名 live CD 可能是明智之举，例如：

https://www.whonix.org/

https://tails.boum.org/

Torflow 可视化也可能很有趣：

https://torflow.uncharted.software

相关文章：通过分析路由器信息可以轻松揭开 81% 的 Tor 用户的面纱

http://thehackernews.com/2014/11/81-of-tor-users-can-be-easily-unmasked_18.html

另一篇有关更危险但相关问题的相关文章：Tor Browser Exposed

https://hackernoon.com/tor-browser-exposed-anti-privacy-implantation-at-mass-scale-bd68e9eb1e95

由于Tor 桥接，Tor 实际上很难被阻止：

桥接中继（或简称“桥接”）是未在 Tor 主目录中列出的 Tor 中继。由于没有完整的公开列表，即使您的 ISP 正在过滤与所有已知 Tor 中继的连接，它们也可能无法阻止所有网桥。

要完全禁止 Tor，法国将需要执行深度数据包检查（类似于中国防火墙），但即使这样的措施也可能被Obfsproxy等专门工具所击败。有效地阻止中国人使用 Tor 是监禁的威胁。我希望法国不要走这条路。

另外，我不太明白禁止 Tor 会对恐怖分子造成怎样的伤害，因为有无数的选择可以让他们保持低调。他们可以愉快地切换到 OwnCloud 或类似的服务，这些服务不能作为一个整体被阻止。或者他们可以通过 GMail 发送加密的 7zip 附件进行通信。等等。

请记住，法国刚刚通过了地区性民意调查，而像这样的公告在选举期间就像夏天雨后的蘑菇一样产生。

审查军备竞赛

审查 Tor 网络的尝试已经在不同的国家发生。迄今为止，中国是最成功的。但是，其他国家/政府也取得了成功。尽管取得了这些成功，审查制度是一场技术军备竞赛，每一方都在继续改进他们的攻击和防御。

与您的问题特别相关的一个极好的资源是 Jacob Appelbaum 和 Roger Dingledine 题为“政府如何试图阻止 Tor ”的演讲。（此演讲也可在YouTube上观看。）作为 Tor 开发人员，他们提供了 Tor 网络的快速概览，然后继续展示针对它的攻击的演变。攻击范围从简单的端口和 DNS 阻塞到现代技术，包括深度数据包检测和主动探测。

在简要介绍可能在这场军备竞赛中使用的未来技术之前，我将在下面总结该演示文稿的材料。

现在发生的攻击

以下是上述演示文稿中讨论的阻塞方法的摘要，以及有关每种方法的局限性的一些附加评论和信息：

• 阻止目录权限： Tor 二进制文件有一个硬编码的 IP 地址列表，它们用于引导（在 Tor 网络上查找其他节点的过程）。通常，Tor 客户端将在启动时连接到这些服务器之一以下载中继列表。阻止此连接将阻止交换发生。限制是网桥可用于通过备用 IP 地址路由目录连接。
• 下载网络目录：也称为网络共识，这是网络上所有中继的列表（不包括网桥）。阻止所有中继的 IP 地址将阻止 Tor 客户端通过它们路由流量。同样，限制是网桥可以绕过这一点，因为它们使用未在一个列表中发布的 IP 地址。
• 阻止网桥：如果您可以获得所有网桥 IP 地址，您也可以阻止与它们的连接。Tor 项目将他们的桥接地址池划分为不同的分配策略，以防止一个人获得所有的桥接地址，即使其中一种分配机制存在弱点。除了这些机制之外，您还可以通过与可能运行自己的未列出网桥的朋友或其他组织交流来获得网桥。
• 深度数据包检测：这种方法也称为 DPI，它依赖于区分 Tor 协议和 Tor 试图模仿的 SSL/TLS 握手之间的细微差别。在演示文稿中，Roger 提到 Tor 项目已经知道有许多协议区分符，而且对于未来的攻击，它们是应该被抢先修复还是留作唾手可得的果实，这是一个悬而未决的问题。
• 阻止 Tor 网站：如果人们无法下载 Tor 软件，他们将无法连接到网络。限制是人们可以通过其他机制获取软件，包括不同的镜像或发送电子邮件至 gettor@torproject.org。
• 主动探测网桥：在中国，当有人连接到 Tor 网桥或 SSH 服务器时，另一个 IP 地址会进行后续连接，尝试使用 Tor 协议……如果此尝试成功，则原始 Tor 连接将被断开。这是军备竞赛的最新一步，有一些可能的方法可以用来解决这个问题。视频中提到的一种方法是密码保护网桥，但这有其自身的权衡。
• 带宽限制：在伊朗，政府减少了分配给加密连接的带宽。随着网站上越来越多地使用加密，这种方法将越来越多地限制对常用网站的访问，包括谷歌、维基百科等。此外，如下所述，协议似乎不需要使用格式转换加密进行加密。

军备竞赛的未来

如前所述，审查技术是一场军备竞赛，并且仍在进行中。这意味着创新将继续发生。

可插拔传输已经投入了大量的开发工作，这本质上是一个协议混淆层，可以应用于 Tor 网桥节点。这使得区分 Tor 流量和非 Tor 流量变得更加困难，并强制阻止与 Tor 无关的其他服务/协议。

选择一些可插入传输的示例：

• Meek： Meek 传输使用一种称为“域前置”的方法来伪造流量的最终目的地。通过更改对 google.com 的请求的 HTTP 标头，可以使 Google 的基础架构将您的数据包重新路由到他们的 App Engine 服务。亚马逊的 CloudFront 和微软的 Azure 平台等也是如此。
• Flashproxy：作为斯坦福大学的一个项目开始，该项目使用 JavaScript 和 Web Sockets 将普通的 Web 浏览器变成 Tor 网桥，允许极端的多样性和难以实时阻止的网桥地址的流失。

最后，我想提一下格式转换加密（FTE）。这种加密技术允许人们操纵数据，使其看起来像 DPI 引擎的另一种协议。在本文中，研究人员将该技术应用于 Tor 网络，以通过 DPI 引擎创建协议错误识别。