如何优雅地用Tor

更新了一下Windows版的单文件Tor,直接tor_start.bat启动,同时开启新插件snowflake和obfs4网桥连接,内置几十个可用网桥,首次连接需要等待几分钟。

如何优雅地用Tor_上篇

原文链接:https://111111.online/posts/tor_obfs4_proxy.html

Tor这篇教程拖了好久,今天,讲讲Windows和Linux上怎么流畅地用Tor,并摆脱臃肿的自带浏览器?Linux下怎么编译Tor和obfs4proxy?另外Tor广播的Bridge时常处于不可用状态,那么怎么在自己的VPS上搭建Tor的Bridge来自用?废话不多讲,开搞。

服务端搭建Tor Bridge

这一步是非必须的,你也可以自己找网桥使用,当然自己搭建的速度可能更好,具体怎么寻找和使用网桥请看俺的下一篇博文。

vps上安装tor和obfs4proxy:

apt install tor

apt install obfs4proxy

tor和obfs4都安装成功了,那么编辑tor的配置文件torrc:

vi /etc/tor/torrc

填入下面内容:

Log notice file /var/log/tor/notices.log
RunAsDaemon 1
ORPort auto
Exitpolicy reject *:*
BridgeRelay 1
ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy #这个是obfs4路径
ServerTransportListenAddr obfs4 [::]:41563 #这个是自定义obfs4端口
ExtORPort auto
PublishServerDescriptor 0 #如果想分享你的obfs4网桥给其它人用,请删除这一行或者把0改成bridge,你的中继将发布到网桥授权机构

保存,然后重启tor:

systemctl restart tor

执行无错后查看tor的日志文件

cat /var/log/tor/notices.log

会出现下图这样的输入:

Tor notices log

记下图片上部的server's identity key

server's identity key 8975AAF1A5317E04600F30AD3ED43083820FF516

然后找到obfs4网桥的cert

cat /var/lib/tor/pt_state/obfs4_bridgeline.txt

会看到下面内容:

Bridge obfs4 <IP ADDRESS>:<PORT> <FINGERPRINT> cert=6LMNcXh6MIfApbZiMksnS4Kj+2sffZ5pybSqtcOO5YoHgfrMpkBJqvLxhuR2Ppau0L2seg iatmode=0

把上面IP ADDRESS换成自己的IP,PORT换成自定义的obfs4端口,FINGERPRINT换成你上面记下的key,就是一个完整的obfs4网桥了。下面是一个完整的网桥例子:

Bridge obfs4 66.42.73.78:41563 8975AAF1A5317E04600F30AD3ED43083820FF516 cert=6LMNcXh6MIfApbZiMksnS4Kj+2sffZ5pybSqtcOO5YoHgfrMpkBJqvLxhuR2Ppau0L2seg iatmode=0

接下来就可以使用自己的网桥进行连接了。当然你也可以从官方获取网桥进行桥接,下面是免费获取网桥页面:

https://bridges.torproject.org/options

下面,讲讲在Windows和Linux客户端下怎么用?

Tor Bridge video

Windows上Tor的使用

由于对Windows不是很熟悉,也就没有专门去编译tor和obfs4的exe单文件,直接去官方选择Windows下载:

https://www.torproject.org/zh-CN/download/tor/

下载解压后,把tor里面的文件按照下面的文件格式组装一下:

+---Data
| geoip
| geoip6
|
+---PluggableTransports
| obfs4proxy.exe
|
| libcrypto-1_1.dll
| libevent-2-1-6.dll
| libevent_core-2-1-6.dll
| libevent_extra-2-1-6.dll
| libgcc_s_sjlj-1.dll
| libssp-0.dll
| libssl-1_1.dll
| libwinpthread-1.dll
| tor.exe
| torrc
| zlib1.dll
\ tor_start.bat

上面看不懂的可看下图:

Files and folders

Windows下的obfs4proxy.exe文件比较麻烦,单文件没找到,直接去tor浏览器Tor Browser\Browser\TorBrowser\Tor\PluggableTransports文件夹提取一下。

然后用文本编辑器或记事本新建一个名为torrc文件,不需要后缀,填入下面内容:

#下面是跨机共享代理,去掉前面#号即可开启
#SocksPort 0.0.0.0:9050
#下面是前置代理,去掉前面#号即可开启
#HTTPSProxy 127.0.0.1:8787
#Socks5Proxy 127.0.0.1:1080
#下面数字改为0,关闭自带网桥连接,开启前置代理
UseBridges 1
DataDirectory ./Data
GeoIPFile ./Data/geoip
GeoIPv6File ./Data/geoip6
#下面日志路径,打开后终端不会显示连接日志
#Log notice file ./Data/tor.log
#StrictNodes 1
AvoidDiskWrites 1
#下面是排除邪恶国家节点,去掉前面#号即可开启
#ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}
#ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}

ClientTransportPlugin obfs4 exec ./PluggableTransports/obfs4proxy managed
#普通网桥格式
Bridge 66.42.73.78:40367 8975AAF1A5317E04600F30AD3ED43083820FF516
#obfs4网桥按下面这样填写,注意:自己网桥请严格按下面格式填写,否则会报错!
Bridge obfs4 66.42.73.78:41563 8975AAF1A5317E04600F30AD3ED43083820FF516 cert=6LMNcXh6MIfApbZiMksnS4Kj+2sffZ5pybSqtcOO5YoHgfrMpkBJqvLxhuR2Ppau0L2seg iatmode=0
#tor默认的重建链路的时间是30s,可以适当延长时间保证速度
NewCircuitPeriod 900

默认是使用网桥连接,如果你没有搭建网桥或者获取的网桥连接不上,你也可以开启前置代理使用。

开启前置代理方法:去掉 Socks5Proxy 127.0.0.1:1080 前面的#号,当然也可以改为你前置客户端使用的其它端口,tor支持socks5和https前置。然后把 UseBridges 1 改为 0 就可以使用前置了。

torrc文件放在上面主目录,参照上面文件结构。完成后,还需要新建一个bat启动脚本,记事本或编辑器新建tor_start.bat文件,填入下面内容即可:

tor -f torrc
cmd/k

本来只需要tor -f torrc就可以了,如果闪退,就添加下面cmd/ktor_start.bat文件放入主目录,参照上面文件结构。

完成后,点击tor_start.bat启动就好了。Tor的端口 Socks5 127.0.0.1:9050 可以配合浏览器插件SwitchyOmega,或者其它方式使用。

Linux下编译使用Tor

其实Tor和obfs4proxy安装很简单,因为软件库里都有,直接下面两条命令即可安装完成,但碰上俺这种有洁癖的,就是喜欢自己编译。

apt安装

apt install tor

apt install obfs4proxy

经推友提醒,这里讲下apt安装后的运行路径

apt安装后tor和obfs4proxy二进制文件分别在/usr/bin/里面,这里需要修改一下torrc文件,一起启动obfs4proxy.

vi /etc/tor/torrc

添加ClientTransportPlugin路径为

ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy managed

当然,网桥和前置什么的都可以在这里面设置。

保存后就可以直接tor运行了。

编译Tor

由于系统不一,编译时缺什么依赖的话,自己按错误提示添加。

git clone https://github.com/torproject/tor.git

cd tor

sh autogen.sh && ./configure --disable-asciidoc && make && make install

Tor二进制文件在/src/app/里面。

编译obfs4

go的版本号必须是1.11.0或更高版本,go get需要挂代理。

git clone https://github.com/Yawning/obfs4.git

cd obfs4

go get -d ...

go build -o obfs4proxy/obfs4proxy ./obfs4proxy

obf4proxy二进制文件在/obfs4/obfs4proxy/里面。

上面apt安装和手工编译二选一,然后,就是编写torrc文件了:

#SocksPort 0.0.0.0:9050

#HTTPSProxy 127.0.0.1:8787
#Socks5Proxy 127.0.0.1:1080

UseBridges 1
#Log notice file ./tor.log
AvoidDiskWrites 1

#StrictNodes 1
#ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}
#ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}

ClientTransportPlugin obfs4 exec ./obfs4proxy managed
#下面是apt安装路径
#ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy managed

Bridge 66.42.73.78:40367 8975AAF1A5317E04600F30AD3ED43083820FF516

Bridge obfs4 66.42.73.78:41563 8975AAF1A5317E04600F30AD3ED43083820FF516 cert=6LMNcXh6MIfApbZiMksnS4Kj+2sffZ5pybSqtcOO5YoHgfrMpkBJqvLxhuR2Ppau0L2seg iatmode=0

NewCircuitPeriod 900

Linux下把编译好的tor obfs4proxytorrc 放在同一个文件夹下,给文件夹755权限,cd到文件夹,运行下面命令即可:

./tor -f torrc

到此,教程也就写的差不多了。最后Tor的端口 Socks5 127.0.0.1:9050 可以配合浏览器插件SwitchyOmega,或者其它方式使用。

下面页面有俺用最新源码编译的Linux_amd64,Tor和obfs4proxy,当然Windows版本也有,里面内置几十个可用网桥,当然你也可以开启前置使用。下载页面:

https://111111.online/cloud/docs/

其它

下面就聊聊关于安全的问题,本教程不为安全负责,只是写出一种轻量便携的方法,其后的浏览器加固,可以看俺下一篇博文。

关于匿名并不是你想象的这么简单,技术方面讲,无非就是前置,网桥,虚拟机,浏览器加固等等,这其中有几项争议比较大:

1:到底是用前置更安全还是使用网桥安全?

2:邪恶国家节点需不需要排除?

3:Tor流量特征是不是很明显?在现有的用户基数下这些特征够不够得上威胁?

以上问题,有些人会说,这些问题太简单了。呵呵,你认为俺会提简单问题?大家可以Google多看看,算是增长一些匿名知识。有些问题的答案并非你想象的那样子,俺这里就不给出答案了,需要你自己去探索。

然后说的是,技术以外的部分,匿名时的环境隔离和互动频率,这其实是很重要的部分,是不是彻底与内网隔离?包括身份,付款方式,行为特征,互动规律等等,这一部分建议大家看看编程随想的博客,他讲的比较详细,俺也就是献献丑。

参考:

如何优雅地用Tor_下篇

原文链接:https://111111.online/posts/tor_bridges_proxy.html

为了庆祝三胖去见马克思,特写下tor教程第二篇,上一篇博文已经详细说过Windows和Linux下怎么快捷地用tor,这一篇主要讲tor网桥直连,怎么寻找普通网桥和obfs4网桥?怎么灵活配置torrc文件?以及怎么设置浏览器插件和安全加固?

获取tor网桥

tor网桥洋文叫“Tor Bridge”,用于桥接洋葱网络,而俺们要找的网桥是入口节点,用于直接连接tor,下面讲讲怎么找这个入口节点并测试节点可用性以及速度快慢。

1:首先可以去官方页面获取,此页面点击上面“直接给我网桥”获取的是普通网桥,点击下面“获取网桥”获取的是obfs4网桥,也就是你每次可以获取6个网桥,如果是用tor连接此页面的话,因为tor的IP总是在变的,于是你隔过几分钟就可以再次获取一次,这样的话,你可以短时间内获取大量网桥。下面是获取页面:

https://bridges.torproject.org/options

2:然后是邮件获取,gmail发送邮件至bridges@torproject.org,稍后就会收到torproject给你发来的网桥,如果没收到,那肯定是在垃圾邮件内。

邮件主题: get bridges

邮件内容: get transport obfs4

3:最后是Telegram订阅,订阅地址:

https://t.me/tor_bridges

上面各种渠道获取后,相信你已找到大量的网桥了。当然,这些网桥在天朝不是个个都能用的,下面就来测试节点的可用性。

测试入口节点可用性

Bridge obfs4 212.83.188.151:9822 0F2A94473B79300F9AF0D52C756F64B9D93D5C7B cert=U09xY9yyqQbtHBiW7fTJgnty7L3s9S5GztGJcMTciVYQK0cRiPUYdaIbEfpZUptbYx2CeQ iat-mode=0

上面是一个完整的obfs4网桥地址,Windows打开CMD窗口,ping一下前面的数字IP

ping 212.83.188.151

留下能ping通的,建议延时500ms以内,丢包不超过25%,不通的直接就可以扔掉了。ping通的网桥,俺们可以到下面页面测试一下速率。

https://metrics.torproject.org/rs.html

输入IP后面的40位ID进行测试,以上面网桥例,也就是:

0F2A94473B79300F9AF0D52C756F64B9D93D5C7B

建议留下带宽512 KiB/s及以上的网桥,当然带宽是越大越好,取决于你手上有多少网桥了。好了,下面讲讲这些网桥怎么用。

torrc文件详解

torrc文件也就是tor的配置文件,上面找好的网桥,添加到torrc里就可以使用了。下面详细讲讲torrc怎么配置,当然具体用法你得结合上一篇博文使用:

#下面是跨机共享代理,去掉前面#号即可开启
#SocksPort 0.0.0.0:9050
#下面是前置代理,去掉前面#号即可开启
#HTTPSProxy 127.0.0.1:8787
#Socks5Proxy 127.0.0.1:1080
#下面数字改为0,关闭自带网桥连接,开启前置代理
UseBridges 1

DataDirectory ./Data
#下面是geoip文件路径,geoip的作用也就是判定节点地理位置,配合节点排除或指定节点国家使用,另外作用是显示洋葱浏览器上的国旗、地区。
GeoIPFile ./Data/geoip
GeoIPv6File ./Data/geoip6
#下面日志路径,打开后终端不会显示连接日志
#Log notice file ./Data/tor.log

#较少对硬盘的读写
AvoidDiskWrites 1

#下面是排除邪恶国家节点,去掉前面#号即可开启
#ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}
#ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu}
#下面是强制排除邪恶国家节点,即使Tor找不到可用的线路,也不会去尝试这些国家的节点,去掉前面#号开启
#StrictNodes 1

#下面是指定国家出口节点,比如德国,法国,荷兰
ExitNodes {de},{fr},{nl}
#下面是指定出口IP,和上面指定出口国家不可同时开启,二选一
#ExitNodes 185.248.160.65,54.37.16.241,46.182.106.190
#StrictExitNodes的意思是需要按照ExitNodes指定节点作为出口
StrictExitNodes 1

#这个是obfs4proxy的路径
ClientTransportPlugin obfs4 exec ./PluggableTransports/obfs4proxy managed

#下面是普通网桥写法:
Bridge 66.42.73.78:40367 8975AAF1A5317E04600F30AD3ED43083820FF516
#下面是obfs4网桥,可以多填,一行一个,按下面格式填写:
Bridge obfs4 66.42.73.78:41563 8975AAF1A5317E04600F30AD3ED43083820FF516 cert=6LMNcXh6MIfApbZiMksnS4Kj+2sffZ5pybSqtcOO5YoHgfrMpkBJqvLxhuR2Ppau0L2seg iatmode=0

#tor默认的重建链路的时间是30s,可以适当延长时间保证速度
NewCircuitPeriod 900

torrc配置文件尽量简洁,可用网桥不要填太多,建议10个左右,太多的话不利于排错,而且会拖慢整体速度。

指定出口节点

上面影响tor速度的是入口节点,也就是俺们找的网桥,另一个是出口节点,中间节点不可控所以不做考虑。简单点讲也就是控制好入口和出口的带宽,也就相应能提升速度。

入口刚才已经讲过了,那么讲讲出口节点,出口节点可以在YouTube上观察各个地区的速率,然后根据快慢设置出口国家,俺这边测试欧洲国家节点比较友好。具体设置出口国家方法看上面torrc文件注释。附上:国家地区代码

另外还有一种方法,会影响tor的匿名性,可相应稳定tor的速度。就是指定出口IP,怎么指定出口IP呢?下面给出方法:

首先,打开Tor官方所有实时出口节点列表:

https://check.torproject.org/exit-addresses

然后,复制出口IP的40位identity key到测速页面测试,选择带宽大于20MiB/s并且支持80和443端口的节点。

最后,在torrc文件里配置如下,即可指定出口节点。注:这样配置虽然能稳定tor的速度,但会影响tor的匿名性,本人是不建议采用的,大家酌情配置!

#建议填3,5个大带宽、支持80和443端口的IP,然后IP不要填错了,填写测速页面Exit Addresses下面的IP
StrictExitNodes 1
ExitNodes 185.248.160.65,54.37.16.241,46.182.106.190

另,本人建议:注重安全的用户尽量不要折腾出口节点,包括指定出口国家,保持默认就好。因为更改节点会导致指纹增加,详情见下文。

浏览器加固

首先是打上Privacy Badger和HTTPS Everywhere插件,来自大名鼎鼎的 EFF 也就是电子前哨基金会。

1:Privacy Badger中文名隐私獾,主要是限制各类商业trackers,此插件还能关闭WebRTC,插件安装后,点击设置标志然后勾选“阻止 WebRTC 泄露本地 IP 地址”即可。插件下载页面:

https://privacybadger.org/

2:使用HTTPS Everywhere插件强制https连接,tor上可以防止蜜罐窥探到访问内容:

https://www.eff.org/https-everywhere

3:Neat URL此插件能清除URL内的parameters,防止类似Google Analytics的分析流量,项目地址:

https://github.com/Smile4ever/Neat-URL

4:还有一个很野蛮的加固浏览器方法,此方法会严重影响浏览器易用性,严重警告,大家酌情添加,下面是项目地址:

https://github.com/pyllyukko/user.js

简单点讲就是下载user.js文件放入火狐 [firefox directory]\Data\profile\ 文件夹里,重启即可。

浏览器加固就先讲这么多,其它还有阻止部分Javascript APIs生成指纹乃至直接禁用JS脚本,删除不安全的根证书,启用DNS Over HTTPS等老生常谈的话题就不展开了。

5:最后,推荐一下SwitchyOmega插件,tor的端口是:Socks5 127.0.0.1:9050 下面是SwitchyOmega插件用法:

https://yuan.ga/switchyomega-tutorial/

回答几个问题

下面是回答上一篇博文的几个问题。

1:到底是用前置更安全还是使用网桥安全?

回答这个问题之前,先普及一个安全概念:“使用服务越多,中间环节越长,越会增大攻击面。”前置也不例外,比如前置VPS商,如果是TLS前置的话,那中间环节就更多了比如域名商,DNS解析商等等。一次意外的拖库将导致你的整个互联网身份全部暴露。洋文比较好的可以看看下面这篇文章的详细论述:

https://matt.traudt.xyz/p/mRikAa4h.html

所以对于前置,大家也不要过度解读,以为前置会比裸tor安全,别忘了tor还有个obfs4proxy混淆,这个下一个问题会详细解答。

2:Tor流量特征是不是很明显?

既然讲到流量特征,那么就得先讲讲tor内置的obfs4proxy,下面是obfs4网桥工作路径:

tor client ----> obfs4proxy client ----> censor ----> obfs4proxy server ----> tor bridge

可以看到,tor客户端发送数据到obfs4proxy,obfs4proxy会对数据包进行拆分或填充模糊其网络指纹,再转发给tor网桥。obfs4proxy主要进行以下工作:

1:obfs4通过填充数据(包括在握手数据包中添加填充数据)来加密tor流量并混淆数据包大小特征。

2:通过IAT模式拆分较大的obfs4数据包,以模糊其网络指纹。

以上,可以知道obfs4proxy就是用来模糊tor的流量特征的。再加上tor的用户基数是不小的,即使有特征,在现有用户基数下也够不上威胁。下面是全球Tor用户使用人数的统计:

https://metrics.torproject.org/userstats-bridge-country.html

3:邪恶国家节点需不需要排除?

关于tor节点排除和出口更改,官方是明确不建议这么做的:

https://2019.www.torproject.org/docs/faq#ChooseEntryExit

更改节点会导致指纹增加:

https://2019.www.torproject.org/docs/faq#ChoosePathCountries

网桥这一块并不能成为tor安全环境的重点环节,因现在的网站基本都是SSL加密,网桥是无日志的,即使是蜜罐也不能拿你怎么办;靠蜜罐抓人相当于守株待兔,收益与成本明显不成正比;再说,人家设置蜜罐节点干嘛不去自由国家,就非得傻愣愣地在你们知道的几个专制国家设置蜜罐?

最后,下面页面有俺用最新源码编译的Linux_amd64,Tor和obfs4proxy,当然Windows版本也有,内置几十个可用网桥。运行后,浏览器设置端口 Socks5 127.0.0.1:9050 即可过墙,下载页面:

https://111111.online/cloud/docs/

具体用法见上一篇博文。