Tor — децентрализованная оверлейная сеть для анонимизации интернет-трафика. Данные шифруются в три слоя (как луковица) и последовательно проходят через три узла: входной (Guard), промежуточный (Middle) и выходной (Exit). Ни один узел не знает одновременно источник, содержимое и получателя трафика.
Как работает
Клиент Tor получает список узлов от Directory Authority серверов. Строит цепочку (circuit): Guard-узел знает IP клиента, но не получателя. Exit-узел знает получателя, но не IP клиента. Middle-узел не знает ни того, ни другого.
Шифрование луковичное: клиент шифрует пакет три раза — ключами Exit, Middle, Guard. Guard снимает внешний слой, перенаправляет Middle, тот снимает следующий, Exit расшифровывает последний и отправляет исходному сайту. Каждый узел видит только соседей в цепочке.
.onion-сервисы (Tor Hidden Services) работают полностью внутри сети Tor: адрес вида xxx.onion не имеет выходного узла, трафик не покидает сеть. Скрытый сервис сам инициирует соединение через Rendezvous-точку.
История
Луковичная маршрутизация разработана Дэвидом Голдшлагом, Майклом Ридом и Полом Сивертсоном из военно-морской лаборатории США (DARPA) в 1995-1997 годах. Открытый исходный код опубликован в 2002 году Роджером Дингледайном и Ником Мэтьюсоном. Tor Project — некоммерческая организация с 2006 года. В 2019 году: 2+ млн активных пользователей ежедневно.
Применение
- Анонимный браузинг (Tor Browser).
- Защита журналистов и активистов в странах с цензурой.
- .onion-сервисы для защищённых платформ (SecureDrop для утечек).
- Тестирование безопасности и исследования.
Связь с хостингом
Tor exit-узлы часто блокируются хостерами и сайтами из-за злоупотреблений. Запуск Tor exit-узла на VPS нарушает ToS большинства провайдеров. Guard и Middle-узлы — менее проблематичны. WireGuard VPN — альтернатива для скрытия IP без анонимности Tor-уровня, но с несравнимо лучшей скоростью.
Ключевые отличия от похожих терминов
VPN скрывает трафик от провайдера, но VPN-провайдер видит всё. Tor не требует доверия ни одному узлу — ни один не знает полной картины. VPN быстрее (десятки мс latency); Tor медленнее (200-600 мс из-за цепочки узлов).
Техническая архитектура Tor
Tor (The Onion Router): 3 hop-цепочка Relay → Guard → Exit. Каждый узел знает только предыдущий и следующий. Onion-шифрование: 3 слоя асимметричного шифрования. Directory Servers хранят список ~7000 relay-узлов. Скорость: 1–10 Мбит/с из-за многократного шифрования.
Скрытые сервисы (.onion)
Hidden Services работают через Rendezvous Points — без раскрытия IP-адреса сервера. Адрес .onion — хэш публичного ключа. Tor Browser — единственный официальный клиент. Вебсайт .onion: конфигурируется в Nginx как виртуальный хост с прослушиванием через Tor (SocksPort).
Tor в контексте хостинга
Tor Exit Node можно поднять на VPS, но большинство хостеров запрещает это в ToS. Non-exit relay — безопаснее с точки зрения ответственности. Для анонимного доступа к серверам администраторами — Tor over SSH. Обфускация Tor-трафика: pluggable transports (obfs4) против DPI-блокировок.
Tor и Onion Services в хостинге
Onion Service конфиг в torrc: HiddenServiceDir /var/lib/tor/my_site
HiddenServicePort 80 127.0.0.1:80. Адрес .onion генерируется автоматически. Для Vanity-адреса (заданный префикс): mkp224o вычисляет ключи перебором (трудоёмко). DarkFail.net — агрегатор .onion-сервисов.
Tor обеспечивает анонимность поверх обычных IP-адресов. Onion-сервисы скрывают реальный IP VPS. В связке с Nginx: обработка .onion-запросов через Tor SOCKS. SSL для .onion не обязателен — Tor шифрует сам. Альтернативы: VPN быстрее, анонимайзеры проще.