Издержки tor-relay

О том, что будет, если держать на своём IP адресе промежуточную Тор-ноду и как долго потом от неё «отмываться».

С тех пор как заботливый РКН стал ограждать нас от неугодной ему информации использовал различные средства обхода «заботы». В первую очередь Tor-браузер, но для посещения трекеров это несколько неудобно — каждый раз нужно вводить пароль, в первую очередь, во вторую запускать его и ждать пока он подключится, да и вообще лишние действия.

Ввиду того, что домашнаяя файлопомойка-торрентокачалка на FreeBSD была всегда, как только интернет перестал быть диалапным, было реализовано решение с автоматической раздачей адреса прокси-сервера по DHCP, сам Squid+Privoxy+Tor.

Tor был настроен релеем с запретом быть Exit-node. Всё работает прекрасно.

Были некоторые странности:

  • jd.ru не открывается, пока unbound не начнёт делать все запросы не напрямую к корневым серверам и дальше по цепочке, а, скажем к 8.8.8.8. Думал что-то не так с настройкой, хотя пару раз садился за гугл и ничего не мой найти, что не так.
  • Регулярно не работал сбербанк, ни приложение, ни сайт, и соответственно, браузерный интернет-банк. IP адрес был динамический, мало ли какой клиент что накосипорил, или сам провайдер.
  • На отзовик.ру чаще всего попасть не удавалось, жаловался на неправильную активность с моего адреса.

Если проблема с jd остро не стояла вообще, то со сбербанком решалась передёргиванием сессии с другим адресом. У Ростелекома хоть и opt82, но новый адрес легко получался сменой мака на мак+1 у сетевой карты в ifconfig. Или же проблема решалась переходом на мобильный интернет.

А потом я сменил провайдера, который абонентам выдаёт адреса и белые и серые, а ввиду того, что белый нужен, и стоит статический всего 50 рублей — его и взял. И тут вопрос со сбербанком встал — он снова перестал работать. Дёргание техподдержки провайдера вылилось в новый адрес. Сбер поработал и снова умер. На банки.ру есть отзыв, который мою догадку подтвердил. Сбер без разбора блокирует все адреса, засветившиеся в Tor, даже если это промежуточная нода.

Ради смеха попробовал прямо с Tor-браузера ещё десяток банков — все работали, паранойя только у Сбера. Но опять же, мобильные операторы выручали, хоть и было какое-то неудобство.

Письмо на почту в отзовик осталось без ответа, о том, что там за активность такая с моего адреса. Так же как и письмо на адрес Emex.

Вот Emex и стал причиной перевода ноды в непубличную сторону, с мобилы сидеть выверять поставщиков автозапчастей, сравнивать цены с конкурентами да ещё когда куча аналогов есть с телефона уже вообще неудобно до крайности.

Ломать схему с прозрачным проксированием неугодных сайтов не хотелось совсем. Непубличность вылилась в сильное падение трафика через неё (смотреть на середину Июля):

image

Быстрее всех ожил отзовик, за jd не следил, сбер где-то через месяц, а emex почти через полтора после исчезновения адреса со все tor списков, хотя он-то и был нужнее всех.

P.S.: скрыть ноду со всех списков Tor= стать Bridge
В конфиге один бит: BridgeRelay 1
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 43

    +2

    Не знать что это за подозрительная активность в 2019 году… Парсят их! все кому не лень, вот и агрятся они на адреса TOR, digital ocean, и тд такая же проблема с drive2 и множеством российских сайтов.
    А вообще конечно это странное кроилово — использовать тор (с непредсказуемой скоростью и последствиями), вместо простого хостинга за бугром баксов за пять.

      0
      Да у меня уж год как есть за евро у Арубы, только это же надо садиться, перенастраивать.
      Да и откуда мне было знать, что присутствие IP адреса в неком списке, а не реальные действия с него — подозрительная активность? Это такая же разница как между обещать и делать. Да и об этом как-то догадаться надо. Первый звонок с неоткрывающимся jd — когда ресолв делает свой DNS вообще ни разу не понятно было.

      С drive2 никаких проблем не было и нет. Открывался и открывается, через тор-браузер тоже.

      Со скоростью проблем тоже не вижу, чаще всего открывается всё быстро. Про последствия о чём речь? О промежуточной ноде? Она, в конце-концов не выходная.
        +2
        aruba, do, amazon и прочие на особом контроле. НЕЛЬЗЯ там ставить прокси. ищите мелкие провайдеры или договаривайтесь с друзьями за бугром чтобы прокачивать через них трафик.
          +1
          Почему нельзя?
            +1
            «нельзя» наверное стоило бы мне взять в кавычки. но суть в том что многие компании, особенно крупные сильно ограничивают пользователей из этих сетей.

            уж не говоря о том что наш любимый РКН их банит направо и налево.

            Так вот «нельзя» — потому что рано или поздно вам отрубят доступ. вопрос времени.

            Если ползать по аккаунтам и провайдерам выш выбор — не вопрос. но так-то лучше сразу найти что-нить нормальное, пусть и за бОльшие деньги.

            конечно каждый решает сам что ему важнее — спокойствие или деньги.
              0
              так вот «нельзя» — потому что рано или поздно вам отрубят доступ. вопрос времени.

              кто отрубит то? на каком уровне?
              0
              Был один раз случай. Получилось так, что случайно через сервак в ДО прокачал торрент. Один фильм. Почти сразу прилетело письмо на почту с инфой что я качал, откуда, какие я права нарушил и все в таком духе.
                0
                Это у них автоматом, боты и у ДО и у правообладателей, письма приходят через несколько минут после начала раздачи популярного контента. Инфу собирают правообладатели-пиры на раздаче и сразу шлют ДО, похоже через какое то api, если ip их, а ДО уже знакомит Вас с информацией.
                Можно отключить раздачу в клиенте (раздавать без ДО), не раздаешь — не нарушил, по крайней мере у меня перестали письма приходить, а так уже с десяткок набралось за пару лет, пока без последствий (аккаунт ДО у меня США, не российский).
              0
              У кого на контроле?
              Гонять гигабиты не стоит, но для личной прокси — что не так?
              0

              Долгое время у меня была впска на арубе, никаких проблем с этим не испытывал. Да и не банил РКН никогда её крупными подсетями, IIRC.

                0

                В контексте статьи более важно другое. На арубе довольно много было (и есть) всяких прокси и нод тора, т.е. можно попасть на подозрителельный IP.

            0
            Парсинг — не криминал
              0
              Конечно нет, но владельцы UGC-сайтов очень не любят, тех кто парсит и всячески стараются от них защититься. А парсеры, соответственно, меняют ip (на vps хостингах), и когда вы в следующишй раз пойдете через тор-exit или ip из DO, которые были «замечены» в парсинге — вас заблочат на конретном сайте по ip. Постепенно все «чистые» ip заканчиваются, и заводить нормальный vpn на DO хостинге нормальным пацанам становится невозможно:(
            +1
            Статья про то, как сервисы реагируют на клиента, использующего Tor или именно про релей? Откуда, кстати, Сбербанк знает адреса промежуточных узлов?

            Ради смеха попробовал прямо с Tor-браузера ещё десяток банков — все работали, паранойя только у Сбера.
            Exit-ноды очень многие сервисы не любят, это нормально. «Работали» это достаточно условно, открываться-то они открывались, а вот попытка залогиниться или совершить перевод в личном кабинете уже может быть остановлена антифродом, поскольку клиент внезапно залогинился с IP-адреса, принадлежащего провайдеру с другого конца света.
              +3
              Информация об адресах релеев абсолютно публичная. Например, их список можно получить здесь.
                0
                Статья про то, как сервисы реагируют на запросы с IP адреса, которые совпадают с IP адресами Tor-Relay(которые запросы из сети Tor не шлют).

                Про Exit вопросов нет, drom.ru уже лет 5 как закрыл доступ с Тора, для меня не сюрприз такое поведение сервисов.

                  0

                  Лучше было сразу делать бридж. Но вообще, грамотный админ не стал бы блочить адреса релеев, кмк.

                –13
                Не будьте идиотом, tor — это вспомогательное средство для навигации кораблей ВМФ США, оно из-за этого встроено в каждый дистрибутив линукс и тор релей может держаться у вас и без вашего ведома. (Если только это не полноценная тор-нода, на что вам так-же понадобится довольно мощное железо и если запустится, то под вашу ответственность). Состава преступления в том, чтобы поднять тор-ноду нет.
                  +4
                  tor — это вспомогательное средство для навигации кораблей ВМФ США

                  Вы всё перепутали — Тор это немецкий вспомогательный крейсер времён Второй мировой войны
                    0
                    оно из-за этого встроено в каждый дистрибутив линукс и тор релей может держаться у вас и без вашего ведома.

                    Есть ли у вас пруфы? Ни разу ни в одном дистрибутиве не видел идущий в комплекте Tor (исключение: Tails)
                      +5
                      tor — это вспомогательное средство для навигации кораблей ВМФ США

                      Я хочу то, что вы курите, но в таблетках. Где взять?
                      оно из-за этого встроено в каждый дистрибутив линукс и тор релей может держаться у вас и без вашего ведома.

                      Держу несколько тачек на линуксе, почему оно туда не встроено? Куда обратиться с претензией на недокомплектацию?
                      понадобится довольно мощное железо

                      Угу, а на VPS-хостинге то и не знают…
                        0
                        Пф-ф-ф, что там линукс с тором… Стоит ли этому гражданину поведать о AMT/PSP?

                        [Демонический смех за кадром]
                          0
                          Поведайте, пусть выкусывает плоскогубцами
                            0
                            Так и компуктер потом сломается.
                          –1
                          Чего ты споришь, если это даже в вики так написано?
                        0
                        Провайдерские DPI сейчас парсят весь, проходящий через них, трафик и рапортуют в РКН. Свежий, пятничный, пример: на своем забугорном хостинге поднял mtproxy для личного пользования. Использовал только с телефона и с рабочего компа… В пятницу IP попал в блок РКН, пришлось покупать новый IP. Это был не публичный прокси, использовался только мной с двух устройств.
                          +2
                          да, у них новая звезда смерти, и все срочно обновляют клиенты и меняют прокси на https
                            +2
                            на своем забугорном хостинге поднял mtproxy для личного пользования

                            hidden mode (префикс dd) или Fake-TLS mode (префикс ee) используете?
                            если нет — так и будете покупать новые адреса.
                              0
                              Если не использовать динамический payload (перед началом ключа символы dd), то банят быстро по размеру пакета.
                              –1
                              Если вам нужно именно ходить через тор — держать для этого релей мордой в инет вовсе необязательно.
                              Берете малинку, прошиваете ее образом, в котором связочка hostapd + tor, малинка поднимает отдельную точку доступа, и заворачивает весь вифи в тор.
                              Подключаете малинку к роутеру, она остается за NAT-ом, и все хорошо.
                                0

                                Чтобы ходить в том вообще не нужен релей, но если никто не будет держать их, то и тором пользоваться станет невозможно. Но все таки, да, лучше даже релей дома не держать. Не потому что "посадят", а из-за того, что в статье описано.


                                Кстати с I2P таких проблем нет, а i2pd прекрасно работает даже на роутерах. Tor — жирный, релей жрёт больше 100 мб ОЗУ.

                                  0
                                  да в общем-то и tor нормально работает на роутерах. а вот у i2pd нет режима прозрачного прокси, что делает грустно его использование в качестве анонимизирующего хостпота.
                                  а релеи можно держать на хостинге.
                                    0
                                    Последний апгрейд роутера этой зимой с Athlon XP + 2GB RAM на Core2Duo+6GB RAM на материнке Kontron KT965(промышленная, когда-то жутко дорогая) обошёлся дешевле малины. Пусть себе гоняет для нужды общества пакеты тора.
                                    0
                                    Настольный комп не имеет беспроводного адаптера. И сейчас всё по списку прозрачно прокситься в тор, а с малиной надо будет переключаться туда-сюда.
                                    Проще было сделать релей бриждом, чтобы пропасть из всех списков, чем городить это всё на малине.
                                    0
                                    Всеми перечисленными сайтами не пользуюсь, но тут вдруг habrastorage перестал отдавать картинки хоть через TOR, хоть через заграничный прокси
                                      0

                                      IPv6 проверьте. У меня помогло отключение.

                                      +2
                                      С блокированием сбербанком доступа с tor relays сам сталкивался. Наблюдал где-то с середины 2017. В итоге отказался от использования tor, игнорирую блокировки другими способами.
                                        +1
                                        А могли бы по-умному отказаться от использования Сбербанка!
                                        0
                                        Со сбером лучше не шутить! Я как-то забыл выключить Тор, и зашел в интернет банк Сбера. Мне полностью заблокировали интернет-банк, и карточка перестала работать в интернете. Добивался разблокировки в течении двух месяцев. В поддержке по телефону отправляли в отделение, в отделении отправляли звонить в поддержку.
                                          0

                                          Ну так если белый IP не нужен по работе, relay у меня отлично уживается с Ростелекомом по gpon. Пока был белый, были такие же проблемы со сбером и т.п.

                                            0
                                            Релей ведь только при белом айпи и может работать.
                                              0
                                              Работает, но страдает Consensus Weight. Периодически появляется Additional Flag — Unmeasured и middle probability падает в ноль.
                                              Но вообще поддержка работы на сером IP заявлена: 2019.www.torproject.org/docs/faq.html.en#IDontHaveAStaticIP
                                              Просто после смены IP какое то время производительность падает, но сравнительно быстро возвращается на прежний уровень и в целом медленно ползет вверх.
                                              С белым IP все на много быстрее-веселее.
                                              Но лучше так, чем никак.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое