2016年4月2日星期六

关于Tor流量隔离问题的讨论

关于Tor流量隔离问题的讨论

文章目录

  1. 写在前面
  2. 预备知识
  3. 如何实现流量隔离?
  4. 一点建议

1. 写在前面

非常高兴二翔子又和大家见面了:)

但也要和各位同学说声对不起,因为二翔子没能兑现自己“每自然月一篇博文”的诺言:(

二翔子上一篇博文和大家聊了自我审查的问题,里面提到自我审查在很大程度上是源于内心的不安全感。除了已经介绍过的各种克服恐惧的方法,二翔子认为,在数字活动中,对技术的了解同样可以让你获得安全感如果你清楚的知道你的某种网络行为会给你带来怎样的后果或者清楚的知道其不会给你带来怎样的后果,那么你在做这种行为的时候就会更加胸有成竹。于是乎,二翔子今天想和大家探讨一下在Tor使用中会遇到的一点问题:)

2. 预备知识

由于本篇介绍的内容涉及到许多专有名词,所以先由二翔子给不太了解的同学做一个简单的介绍:)

2.1 匿名与假名(Anonymity&Pseudonym)

我们在探讨匿名性时常常看到这样的划分:把“彻彻底底的隐匿”称作匿名;把较弱的匿名性成为假名。那么何种行为能够被看成是“彻彻底底的隐匿”呢?二翔子认为至少要具备以下两点:

  1. 除你之外,其他人不能把这个行为与你的真实身份联系起来;
  2. 除你之外,其他人不能把这个行为与你的其他行为联系起来。

估计看到这很多同学都没明白二翔子在说什么,不过没关系,相信稍后一涉及到具体例子,大家一下子就会明白的:)

2.2 Tor化(Torify)

Torify,中文译作“Tor化”,Tor Wiki上的介绍在这里。通俗的来讲,将某软件Tor化,就是让某软件与Tor配合,以达到匿名地使用该软件的目的。这个事儿听上去好像非常容易,只需要简单的配置下该软件的代理设置就好了。但实际上,Tor化是一件非常非常困难的事情,由于每个软件的使用目的、设计协议等有着巨大差异,草率不当的配置将使你获得的是假名而非匿名。Tor化到底有多难呢?TBB就是将Mozilla Firefox”Tor化”的尝试,而我们看到,即便优秀的开发者们已经投入了如此多的时间和精力,TBB仍在不断的改进和完善之中。

咱们今天重点要聊的流量隔离正是Tor化过程中不可避免的一个大问题。

2.3 身份关联攻击(Identity Correlation)

二翔子在这篇博文中提到过,凡是经同一条链路到达Tor出口节点的流量,都可以被Tor出口节点知道这些流量来自同一个人。而恶意的出口节点可以把这些流量做成一个短快照(short snapshots of user profiles),从这个短快照中,别有用心的人就可以了解到你的一些行为(比如可能了解到你先访问了Google
、又访问了Tor主页、同时还在使用BT软件)。

而此时,虽然“彻彻底底的隐匿”的条件1还是满足的,但条件2已经被破坏了(恶意出口节点将你访问Google的行为和你使用BT软件的行为关联上了)。当然这样的行为被关联起来似乎无关紧要,但一方面,我们应该让出口节点能了解到的我们的信息越少越好,另一方面,如果一些有关你真实身份的行为被不小心也记录进来,那么你的匿名身份就会遭到破坏。

2.4 流量隔离(Stream Isolation)

为了避免上述的身份关联攻击,我们应该尽量做到让某一出口节点仅能了解到你的某一种行为。一种理想的办法就是在有多个应用程序需要Tor化时,采用一些手段来尽量确保每个程序所使用一条独立的Tor链路(如下图的绿线),这也就是我们要讨论的流量隔离,Whonix Wiki上的条目在这里。顺便说一句,流量隔离的英文学名叫“Stream Isolation”,由于没有正式的中文翻译,所以也可以译作“流量分离”、“流径分离”、“流径隔离”等等。

3. 如何实现流量隔离?

流量隔离同样是一个非常复杂棘手的事情,即便是Whonix项目的核心开发者Patrick也承认:如果这(流量隔离)是件容易事,那么Whonix项目就显得不那么必要了。

二翔子之所以写这篇博文,不是为了给大家提供一个完美的流量隔离解决方案,而是想和大家交流学习一些有关流量隔离的问题和解决方法。因此如果二翔子有哪里说得不对、不准确,又或者你有什么更好的解决方法或建议,都请告诉二翔子,二翔子不胜感激:)

3.1 使用Tor化的应用程序或扩展

目前一些非常重要的软件,已经有了较成熟的Tor化程序或插件,比如Tor化的Mozilla FirefoxTor Browser Bundle,可以将Mozilla Thunderbird Tor化的扩展TorBirdy,对于这些软件,我们最好的做法是去接受和使用它,而不是去重复造轮子。很多同学喜欢用自己修改过的浏览器配合Tor代理使用,但二翔子真的不认为大多数人有足够的时间、精力和技术,能造出一个比TBB匿名性更好的浏览器出来。

3.2 使用多个SocksPort

很多同学习惯将多个不同的应用程序的代理都设为Tor默认开启的那个SocksPort(也就是9150或者9050),但这样做会造成不同的网络行为或网络身份共用了同一条Tor链路,增大了被身份关联攻击的风险。

目前的Tor被设计为给不同的Socks端口分配一条不同的Tor链路。因此,如果我们能做到尽量让一个应用程序用一个单独的Socks端口,那么就可以保证Tor出口节点只能了解到非常少的信息。

3.2.1 如何添加多个SocksPort?

以windows为例来说,在如下路径中:

\Tor Browser\Browser\TorBrowser\Data\Tor 

我们可以找到torrc文件,这是Tor的一个配置文件,我们用记事本工具打开它,然后在最下方加入这样几行(这里只是举个例子,大家自由发挥):

#BitTorrent Sync
SocksPort 9114
#Privoxy1
SocksPort 9115
#Privoxy2
SocksPort 9116

第2、4、6行是说,让Tor开启9114、9115、9116这三个监听端口;第1、3、5行前面的“#”表示此行是注释,你可以记录下将要使用该端口的程序的名字,以便自己的管理。

3.2.2 对于内置Socks代理设置的应用

监听端口开启好后,我们就可以对应用程序进行代理设置了。一些软件提供了Socks代理设置,比如我们可以将BitTorrent Sync的代理设置配置成:

Socks5 127.0.0.1:9114

3.2.3 对于仅有HTTP代理设置的应用

由于Tor不直接提供HTTP监听端口,因此我们需要用Privoxy来转发应用程序的代理请求到Tor,具体的配置方法可以见编程随想的这篇博文。

需要注意,如果你需要使用多个“仅有HTTP代理设置”的应用程序,为了做到流量分离,需要设置他们全部使用Privoxy的监听端口,并在Privoxy的配置文件中加入如下(此处同样是举个例子):

forward-socks5t target_pattern1 127.0.0.1:9115 .
forward-socks5t target_pattern2 127.0.0.1:9116 .

这里假设Privoxy和Tor安装在同一虚拟机中,所以写127.0.0.1,你可以根据自己的实际情况进行相应修改。

其中的“target_pattern1”和“target_pattern2”应该对应两个不同的应用程序可能会用到的域名。当然,你还应该加上一行:

forward-socks5t / 127.0.0.1:9117 .

用来表示,如果应用程序请求的域名不在上述的“target_pattern1”或“target_pattern2”中,则一律走9117端口所对应的链路。

3.2.4 对于提供没有代理设置的应用

如果你使用的是windows系统的话,对于没有提供代理设置的应用,应该考虑其是否使用的是IE代理,如果是的话,应将IE代理也填写为Privoxy的监听端口,之后的步骤就是模仿上一小节。当然,你也可以使用sockscap这样的“包裹代理软件”,将你的应用程序“裹”起来再连接到Socks端口。

3.3 修改torrc配置文件

细心的同学可能已经发现,3.2.3小节介绍的流量分离的方法需要你知道你所使用的应用程序的“target_pattern”,但有时候这是很难做到的。于是乎二翔子再来介绍一种方法以辅助实现可能更好的流量隔离。但需要事先声明,这种方法的可靠性如何二翔子也不能保证:(

Tor官方手册上介绍了SOCKSPort的用法如下:

SOCKSPort [address:]port|unix:path|auto [flags] [isolation flags] 

其中在[isolation flags] 项中可以选择:

IsolateDestPort 

这个选项代表,通过这个Socks端口的连接会被根据访问目标端口号的不同而被分在不同的链路上。

IsolateDestAddr

这个选项代表,通过这个Socks端口的连接会被根据访问的目标地址的不同而被分在不同的链路上。

这两个选项中Tor的默认设置中都为“不开启”,原因是“对大多数应用程序来讲这样做是错误的”,前者有时并不能起到分离不同协议的作用,而后者的开销是非常昂贵的(试想一下仅仅为了打开一个网页就要花掉多条Tor链路去加载其上面的内容)。

总之,如果你觉得自己可以处理好上述问题,或者想试验一把,那么可以在你的torrc文件中加入这么两行:

#Privoxy3
SocksPort 9117 IsolateDestAddr

再在privoxy配置文件中加入这么一行:

forward-socks5t / 127.0.0.1:9117 .

4. 一点建议

评论区2楼的匿名同学写到:

感谢分享!但跟whonix的整体方案比起来,自己折腾的这些还是不够成熟,所以文末还是建议用whonix吧

而这正是二翔子写这篇博文的另一个用意,也就是想让一些同学意识到:保持真正的在线匿名是一件复杂的事,一方面我们应该在不断的折腾中不断学习,但另一方面,也应该在技术不那么炉火纯青的时候,选择一款较为成熟的“现成儿的”工具来保护自己。而像WhonixTails这样的操作系统也许可以成为现阶段想要获得最好匿名性的你的不二之选:)


版权声明

知识共享许可协议
本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

36 条评论:

  1. 哎呀,翔子桑终于更新了呀。站个沙发。诶,抱歉这段时间没有写当初承诺有关自我审查的探讨文章……

    回复删除
    回复
    1. 音业同学好!
      真的非常感谢你一直等着二翔子更新:)
      二翔子也一直在关注你的博文,感觉你最近很活跃嘛:)

      删除
  2. 并长在Privoxy的配置文件中加入如下
    并长?笔误?
    2.2.3小节介绍的流量分离的方法
    2.2.3?
    感谢分享!但跟whonix的整体方案比起来,自己折腾的这些还是不够成熟,所以文末还是建议用whonix吧

    回复删除
    回复
    1. To 匿名
      非常感谢你的建议和指出二翔子的笔误:)

      你的建议其实正是二翔子写这篇博文的另一个用意,现在二翔子已经在博文里又加入了一个小节“4. 一点建议”,请过目:)

      删除
  3. 任何离开应用去谈安全都是耍流氓。你搞这么多安全手段,为的是什么?有没有认真思索一下这个问题?如果你是贩毒的吧,我说你这么做绝对应该,但你们不过是小打小闹,翻翻墙,匿个名,上个网有必要搞那么复杂吗?

    Tor是公益人士和组织免费提供的服务,但支那人呢,我觉得应该懂得感恩,不要无限制地滥用带宽,那样只能让Tor的服务越来越差,带宽越来越窄,最后节点越来越少,大家都没得玩了。支那人受到支共影响,凡做任何事都有贪婪的本性,这个很不好,要改!你说你上个bittorrent你都要用Tor,搞什么呢?BT上面动不动就是几个G的大文件,但一般是电影,并非敏感文件,而你要走Tor线路,是非常自私的。

    你说人家可能设节点去关联你,你不妨先问问别人为什么要这么做,换作是你你会么?我承认是有蜜罐节点,但比例非常之少,你恐怕很难遇上。架设Tor的人士都是公益人,帮助大家对抗网络封锁,那些服务器每个月都是要付费的,且价格昂贵,这点希望你们好好想一想。

    说白了就是一句,网络流量那么多,谁会对你上网看什么感兴趣,庸人自扰罢了。

    回复删除
    回复
    1. To 匿名
      非常感谢你分享你的观点和批评意见:)

      二翔子现尝试对你的问题和批评回答如下:
      你提到说:“你搞这么多安全手段,为的是什么?有没有认真思索一下这个问题?如果你是贩毒的吧,我说你这么做绝对应该,但你们不过是小打小闹,翻翻墙,匿个名,上个网有必要搞那么复杂吗?”

      你问的这个问题非常好!二翔子确实对我们为什么需要隐私、为什么需要匿名有一点点自己的想法。因为这个话题非常值得一聊,所以二翔子之后会单独写一篇博文来和大家讨论,这里仅简单说一下。
      使用Tor可以尽量保护我们的隐私。这样做的意义不仅在于我们一下子就能想到的,远离政府的监控和商业公司的追踪;更积极的意义在于,Tor为网民提供了一个相对安全的网络环境,在这个相对安全的环境之中,人们可以有效地避免有意识或潜意识的自我审查行为,一个人只有在免于自我审查的安全环境中才可能会进行自由的思考和发言(这一点二翔子的这篇博文中有所涉及,感兴趣的话可以读一下:https://2xiangzi.blogspot.com/2016/01/self-censorship.html),而这一切对于网络舆论空间乃至整个自由民主的社会都是至关重要的,这也是为什么有人把隐私权称为“言论自由、结社自由和集会自由的基础”;



      你提到说“说白了就是一句,网络流量那么多,谁会对你上网看什么感兴趣,庸人自扰罢了。”

      第一,“网络流量多”不是政府不去监控你的原因,事实是,各国政府都正在或已经建立一个又一个的数据中心,用以储存海量的监控数据,然后利用检索技术去利用这些数据;
      第二,使用Tor绝非“庸人自扰”。许多“大人物”都是从“庸人”,普通人发展起来的。如果一开始的匿名工作没有做好,那么就扼杀了其成为大人物的可能。举个例子,编程随想当初并没有因为自己所写的博文内容不涉及敏感信息就放弃使用Tor,而这也为其今后直接利用人气博客进行反党宣传提供了可能性。



      你还提到说“Tor是公益人士和组织免费提供的服务,但支那人呢,我觉得应该懂得感恩,不要无限制地滥用带宽,那样只能让Tor的服务越来越差,带宽越来越窄,最后节点越来越少,大家都没得玩了。”

      二翔子非常同意你说的“应该懂得感恩,不要无限制地滥用带宽”,那么作为一个普通网民我们又能如何回馈Tor网络呢?我认为我们至少可以从以下几方面入手:
      1. 向Tor贡献代码,做审计工作,进行Tor相关的安全研究;
      2. 运行Tor节点;
      3. 向Tor Project或运行Tor出口节点的公益组织捐款;
      4. 将Tor或Tor文档翻译成你熟悉的语言;
      5. 向周围人宣传Tor的存在和价值,鼓励更多人参与进来;
      6. 使用Tor。
      对于一般网友来说,以上做法的难度应该是从难到易的。值得一说的是第6点,为什么仅仅使用Tor也是在对Tor网络做贡献呢?因为使用Tor的人的网络行为越不相同(俗称多样性越丰富),那么每个使用Tor网络的人的匿名性、安全性都会得到加强。举个例子,如果使用Tor网络的人群高度单一化,比如你所说的,只有毒贩才使用Tor,那么各国政府只需要盯着谁连接了Tor的入口节点,就可以直接对那个人进行怀疑、调查。



      你还提到说“支那人受到支共影响,凡做任何事都有贪婪的本性,这个很不好,要改!你说你上个bittorrent你都要用Tor,搞什么呢?BT上面动不动就是几个G的大文件,但一般是电影,并非敏感文件,而你要走Tor线路,是非常自私的。”

      首先,二翔子同意你说的,透过Tor使用BT下载会大幅加重Tor网络的负担——毕竟一部高清电影的流量用量相当于几个小时的web冲浪,而这样做可能会造成滥用一事,二翔子这博文里也进行了告知,请看原文:https://2xiangzi.blogspot.com/2015/09/bittorrent-over-tor-problem-and-solution.html;
      其次,二翔子之所以会介绍BT Sync over Tor是因为,编程随想用其当网盘,分享了一些政治敏感的电子书,一些大陆网友有安全方面的担心,于是二翔子就介绍了比较安全的使用这个网盘的方法,你说的“但一般是电影,并非敏感文件,而你要走Tor线路”属于误会二翔子了;
      另外,非常感谢你提到了Tor的滥用问题,二翔子今后的一些博文可能也会帮助大家避免这个问题(比如:如何避免Tor over Tor),敬请期待;
      最后,你的发言中提到了“支那人”,方不方便谈一谈你对“支那人”的定义?因为二翔子不认为“Tor滥用是某一特定人种的专利”。



      最后你提到说“你说人家可能设节点去关联你,你不妨先问问别人为什么要这么做,换作是你你会么?我承认是有蜜罐节点,但比例非常之少,你恐怕很难遇上。架设Tor的人士都是公益人,帮助大家对抗网络封锁,那些服务器每个月都是要付费的,且价格昂贵,这点希望你们好好想一想。”

      首先,二翔子不能同意你说的“架设Tor的人士【都是】公益人”,由于任何人都可以架设Tor出口节点,因此Tor出口节点的拥有者除了可能是互联网活动人士,还至少可能是经济类罪犯、各国政府、安全研究人员等等。如果你对Tor出口节点的安全性究竟如何感兴趣,可以看一看这篇报道:
      https://nakedsecurity.sophos.com/2015/06/25/can-you-trust-tors-exit-nodes/;
      其次,即便目前没有一个Tor出口节点是恶意的,也不代表我们不应该考虑和防范这方面的安全威胁;
      最后,本篇介绍的流量隔离的做法能够有效的避免单点故障的出现:如果把全部流量都交给一个节点,那么如果这个节点是恶意的,你就会受到非常大的安全威胁;但如果你将自己的流量分散给多个节点,那么即便其中一个是恶意的,其对你构成的威胁也会降到最低;

      希望二翔子的回答能帮助到你:)

      删除
    2. 翔子君回复的真仔細呢。w。

      删除
    3. To 音业
      因为这些问题都很有代表性,所以二翔子就多回答了一些,不过还是不够全面,有些问题需要再写博文来仔细讨论,敬请期待:)

      删除
    4. 如何避免Tor over Tor

      这句话翻译成中文怎么讲?

      删除
    5. To 匿名
      “Tor1 over Tor2”就是把Tor2客户端的前置代理配置成Tor1客户端打开的那个监听端口。
      这种情况经常发生在:使用Tor1作为透明代理或隔离代理的情况下,又在工作虚拟机中运行了TBB。
      此时你的网络流量是这样走的(假设Tor1也使用了前置代理来绕过GFW):
      应用程序(如浏览器)——>Tor2客户端——>Tor1客户端——>前置代理(如赛风3)——>Tor1选择的3个节点——>Tor2选择的3个节点——>目标网站
      理论上,使用Tor over Tor你会获得6个Tor节点,似乎匿名性会更好一些,但实际上你不能保证这6个随机选择的节点是不同的,这就会造成一些未知的问题和风险(此处的未知是指目前没有针对这个问题的相关研究);有些同学会采用让两个Tor客户端采用不同国籍的入口和出口节点的做法来避免上述问题,但你只有把选择链路的工作交给Tor客户端,才会获得最佳的匿名性。目前得出的结论是“非常不推荐”Tor over Tor。
      如果你对这个问题感兴趣,可以看一看这里:
      https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO#ToroverTor
      https://www.whonix.org/wiki/DoNot#Prevent_Tor_over_Tor_scenarios.

      删除
  4. it党来给个支持,博主加油

    回复删除
    回复
    1. To 匿名
      感谢你的支持,二翔子会更努力些的:)

      删除
  5. >>自我审查在很大程度上是源于内心的不安全感。除了已经介绍过的各种克服恐惧的方法,二翔子认为,在数字活动中,对技术的了解同样可以让你获得安全感。

    下面用法律学家张雪忠先生的作品《新常识》中的一段话来点出这个关键问题。

    对于一心想要维护专制统治的主权篡夺者来说,即使是非政治性的社团都是非常危险的。
    因为,人们如果在非政治领域里,养成了结社的习惯,并掌握了运作和发展社团的能力,那么,在受到政治压迫时,就自然会想到通过共同行动和互相制约来反抗压迫。专制统治这位了避免出现这种局面,往往对人们的非政治性结社也要严加控制,甚至不惜全面剥夺人民的结社自由。

    内心的这种恐惧感除了与 自我审查 有很大关系外,还与当今天朝许多人(包括屁民和权力比较小的官员)的另一个普遍存在的心理现象【习得性无助】有很大的关系。这种无助往往就是中共每一点一滴都压制着个人权利开始的。

    有【习得性无助】心理现象的人在面对社会事件和问题时,认为自己完全施加不了什么影响,完全帮不上什么忙。

    我也同样感受到 对技术的了解可以让人获得安全感。有位朋友虽然很关系政治,知道赵家政权很烂,但那时候还不太翻墙,所以觉得赵家人非常的牛逼,啥都能管得着。 自我审查 的习惯在他墙外的发言里十分严重(比如不敢点习呆呆等裆中央掌权者的名等等)。

    随着对翻墙技术的灵巧运用,比较常翻墙后。他发现原来赵家人还有管不到的网络,【正是因为赵家人根本拿互联网上的言论自由根本毫无办法所以才设立了GFW挡一下】,才开始对东亚大陆的民主变革有了点自信。

    所以翔子君你讲到了一个很关键的问题,那就是【恐惧感】。如果说对于【民主变革能否成功】要在战略上乐观,战术上悲观。那么对于赵家的信息监控与封锁,以及其随便侵犯个人的恐惧。则更类似于在荒野求生时自己掌握了多少野营技能一样,如果我懂的技能比较多那么面对危险时我也能做出相应的应对。同时在学习安全技能时,也能找到许多志同道合的伙伴一同学习思考。

    回复删除
    回复
    1. To 音业
      真的非常感谢音业同学发表长篇评论,对二翔子的博文进行总结和补充:)

      二翔子非常同意你的分析:习得性无助让一部分同学【以为】自己没有力量保护自己,于是只能转而进行自我审查。二翔子自己还有一点补充想法,有的时候无力感是来源于习得性无助,但也有一部分无力感是真的目前自己的力量不能对赵家政权构成威胁。对于前者,要从心理学的角度理性认知,想办法战胜之;对于后者,要学习和思考一定的方法,让自己变得更有力量些,比如,可以学习政治学的基本常识以保证自己不被赵家的宣传所忽悠,或者学习信息安全的知识,保护自己在自由发言的同时,不被查水表。

      二翔子还同意你说的:"如果我懂的技能比较多那么面对危险时我也能做出相应的应对。同时在学习安全技能时,也能找到许多志同道合的伙伴一同学习思考。"

      愿咱们可以一起学习、思考、进步:)

      删除
  6. 后排围观,汝还是有两把刷子的嘛😄

    回复删除
    回复
    1. To ヨイツの賢狼ホロ
      多谢对二翔子的鼓励:)
      二翔子自知学疏才浅,还是必须要多“学习一个”才行:)

      删除
  7. 我就是想问问大陆怎么用whoinx-gateway。本人不熟悉Linux,试着下了一个但是总是开启失败。必须在物理机开lantern才能用whonix。但是物理机因为某些原因只能使用Windows,怕不安全

    回复删除
    回复
    1. 你这个问题非常典型,也是在Tor受到审查地区使用Whonix的用户要解决的第一个问题。二翔子尝试回答如下:
      1. 在virtualbox中,新建一个Windows虚拟机,添加两块虚拟网卡;
      2. 第一块网卡连接方式选择NAT,第二块选择内部网络:whonix;
      3. 打开这个虚拟机,将第一块网卡这样配置,IPv4:10.0.2.x;子网掩码:255.255.255.0,默认网关:10.0.2.2;
      4. 将第二块网卡这样配置,IPv4:10.152.152.y,子网掩码:255.255.255.0;
      5. 在这个虚拟机中安装翻墙软件,此处以lantern为例,lantern默认绑定在127.0.0.0:8787端口;
      6. 在这个虚拟机中安装Privoxy,并在Prixovy的配置文件中加入这样两行:
      Listen-address 0.0.0.0:8118
      Forward / 127.0.0.1:1234
      7. 打开Whonix-Gateway虚拟机,打开其中的torrc文件(在桌面上就有链接图标,初始密码:changeme),在torrc文件中加入这样一行:
      HTTPSProxy 10.152.152.y:8118

      需要注意:文中的x 和 y 应该(二翔子有点不确定)可以为2-255之间的任何数,但y在不同地方出现两次,需要是同一个数。

      另外,二翔子之后应该会针对这个问题写篇博文,如果二翔子哪里没有说清楚,非常欢迎你继续提出来,这样会帮助二翔子把之后的博文写的更加清楚明白。

      至于上述做法的安全性如何,二翔子曾在Whonix论坛寻求帮助,但没有得到答复,链接在这里:https://forums.whonix.org/t/thats-how-i-circumvent-tor-sensorship-in-china/2312

      希望能帮助到你:)

      删除
    2. 网卡怎么 设置啊 我打开虚拟机打开一块网卡 里面没有配置这一项

      删除
    3. 而且我的电脑是使用 SS做代理的

      删除
    4. To 匿名
      非常抱歉时隔这么久才回复你:(
      另外,刚才检查才发现上次回复你的内容中有一个地方写错了:
      “Forward / 127.0.0.1:1234”应改为“Forward / 127.0.0.1:8787”
      再次说声抱歉:(

      一,关于网卡配置:
      如果你的宿主系统是Windows,那么建议你用Virtualbox(以下简称Vbox)作为虚拟机软件,这是因为Whonix官方明确表示(https://www.whonix.org/wiki/Download)在Windows平台下只支持Vbox,而不支持VMware等其他虚拟化软件。

      运行翻墙软件的虚拟机(以下称为翻墙网关机)的网卡配置应该如下:
      1. 打开Vbox;
      2. 选中翻墙网关机--点击“设置”(也就是那个齿轮按钮)--点击“网络”;
      3. 在网卡1的“连接方式”中,选择“网络地址转换(NAT)”;
      4. 切换到网卡2,在“连接方式”中,选择“内部网络”;
      5. 如果你之前已经导入了Whonix虚拟机,那么此时的“界面名称”中应该有一个“Wwhonix”的选项,选则它。
      6. 点击“确定”,完成两块虚拟网卡的配置。

      接下来的工作就是从我上次的回复的“步骤3”开始。


      二,关于翻墙软件
      无论你是用的是什么翻墙软件,都要知道其监听端口号和协议。
      1. Shadowsocks的监听端口就在软件的配置界面中就有写(具体是多少要看你自己填的是多少);
      2. 比如你你填写的监听端口号是5679,那么你就把我上述的步骤中的所有的“8787”换成"5678"即可。


      二翔子会尽快写一篇博文详细的,配上图的说明这个问题,敬请期待。

      删除
  8. 还有就是想请教一下,你们的翻译结果连接tor可以看吗?

    回复删除
    回复
    1. To 求教
      非常抱歉,二翔子没明白你说的翻译结果指什么。如果是指Whonix Wiki上的翻译的话,你不必担心,所有有中文翻译的页面的上方都会有“中文”二字,你只需点一下,就可以看中文版的Wiki了:)

      删除
  9. 用自由门+TOR的安全性很高,但上网速度很慢,我想牺牲一点安全性来提高上网速度,例如不要流量隔离。TOR的默认设置是浏览不同网站建立不同连接线路,我不需要这个流量隔离,也就是一个连接线路可以同时浏览多个网站。请教应该选择什么参数命令来进行设置,从而可以取消这个流量隔离。谢谢。

    回复删除
    回复
    1. To 匿名
      你好:)
      你提到“用自由门+TOR的安全性很高,但上网速度很慢,我想牺牲一点安全性来提高上网速度,例如不要流量隔离。”
      首先流量隔离基本不会影响你的上网速度,如果有影响也会是让你的网速更快,因为流量隔离相当于把你的带宽分配给了多个Tor节点。

      “TOR的默认设置是浏览不同网站建立不同连接线路,我不需要这个流量隔离,也就是一个连接线路可以同时浏览多个网站。”
      “裸Tor”默认把经过同一个SockPort的流量都走一条链路,不存在你说的“默认设置是浏览不同网站建立不同连接线路”的情况。
      二翔子猜测你想说的是使用Tor Browser Bundle(建成TBB)上网时,TBB会“浏览不同网站建立不同连接线路”,以二翔子的知识看,这样做是百利而无害的,因此不建议你修改TBB的设置,如果你非要这么做,不妨尝试:
      1. 卸载TBB上的Tor-button(严重不推荐);
      2. 或者改用火狐浏览器(严重不推荐);
      3. 把TBB改成TB+裸Tor(严重不推荐,具体做法之后的博文可能会涉及到);

      希望二翔子的回答能帮助到你:)

      删除
  10. 翔子君,请问GPG是如何使用的?

    回复删除
    回复
    1. To 音业
      介绍GPG加密的文章可谓浩如烟海呀:)
      二翔子找到其中的一篇在这里:http://www.ruanyifeng.com/blog/2013/07/gpg.html
      当然,如果觉得这篇不合自己胃口,还可以在搜索引擎上以“GPG 使用”之类的话作为关键词,找到自己喜欢的教程:)

      删除
  11. 你在https://2xiangzi.blogspot.com/2015/08/disconnect-search.html 里提到了单纯的HTTP明文传输任何人都可以看到,比如:你代理软件的提供者、你的ISP等。
    我想问就算只是用了一重代理,如果代理软件是安全的,即使访问的是http网站,经过代理加密的流量,isp也应该看不见吧?Isp应该只能看见我连接的翻墙代理的ip和端口,至于要访问什么网站应该是只有代理软件才能知道的吧?
    平时多用lantern一重代理浏览网站,会在X-FORWARDED-FOR暴露ip给网站,最近发生了因为观看暴恐视频被抓的案子,所以担心用lantern访问http网站会不会被TG知道内容

    回复删除
    回复
    1. To 匿名
      你提问说 “我想问就算只是用了一重代理,如果代理软件是安全的,即使访问的是http网站,经过代理加密的流量,isp也应该看不见吧?Isp应该只能看见我连接的翻墙代理的ip和端口,至于要访问什么网站应该是只有代理软件才能知道的吧?”

      如果是你提到的以上条件都满足,你的ISP应该只能看到加密后的流量。

      但需要注意,翻墙软件的功能在于绕过互联网审查,而非保护使用者的匿名性或隐私等等。所以对于想要浏览一些敏感信息的同学,二翔子强烈建议使用“翻墙软件+Tor Browser Bundle”(请注意,此处推荐的是TBB,而非简单的Tor+其他浏览器)。


      补充一句,二翔子非常欣赏你对待监控问题的态度:
      并没有因为听到“有人被抓”就吓得开始进行自我审查,放弃自己自由浏览信息的权利;而是努力了解更多的相关知识,学习用技术的力量保护自己。

      希望能帮助到你:)

      删除
    2. 1不用多重代理是因为我有看视频的需求,更何况多重代理速度那么慢,要浏览很多网页确实很浪费时间。我想问你们用的软件是不是也就是编程随想介绍的几款?有没有遇到过软件失灵,不好翻墙,速度很慢难以正常浏览的情况?

      2你这么久才更新,工作这么忙是因为国内老板的剥削吗?怎么不考虑先到国外去呢?现在国内既反共又懂IT的人极少,你们又总这么忙,希望有个闲人是最好了

      3问下你的邮箱会回复全部的收件吗?如果会,有些事情就用邮件联系了

      删除
    3. To 匿名
      时隔这么久才回复你,非常抱歉:(

      “1不用多重代理是因为我有看视频的需求,更何况多重代理速度那么慢,要浏览很多网页确实很浪费时间。我想问你们用的软件是不是也就是编程随想介绍的几款?有没有遇到过软件失灵,不好翻墙,速度很慢难以正常浏览的情况?”

      翻墙软件失效/不好使的问题大概每个翻过墙的同学都遇到过,二翔子也不例外:)

      目前编程随想推荐的软件都应该还能用,但具体好用到什么程度和每个人所处网络环境有关。


      “2你这么久才更新,工作这么忙是因为国内老板的剥削吗?怎么不考虑先到国外去呢?现在国内既反共又懂IT的人极少,你们又总这么忙,希望有个闲人是最好了”

      二翔子工作确实比较忙,但必须坦诚的说,更新博文的频率还跟个人的能力、精力等因素直接挂钩,二翔子曾经保证“每自然月更新一篇”,但已经食言,希望之后不会再发生了:)

      请问你想找一个“闲人”,是想从中多学习一些相关知识吗?如果是的话,其实不妨采用自学的方式,毕竟网上现有的资源可以说是非常非常丰富了。


      3问下你的邮箱会回复全部的收件吗?如果会,有些事情就用邮件联系了

      二翔子目前做到了“回复读者的每一封来信”,如果你给二翔子发邮件,二翔子非常欢迎,但如果不涉及到个人隐私的话,不妨就在博客的评论区中说就好了,这样你的问题可以被更多的人看到,既可以帮助到更多的人,也可以被更多的人帮助:)

      删除
  12. 1现在在用SSD硬盘,用VeraCrypt全盘加密了,解密起来也会变快吗?是否有助于暴力破解,影响安全性?

    2假设只有一台电脑,有些软件只能在主机里运行,无法在虚拟机里运行。如果我担心要运行软件的安全,怎么办?可以用VeraCrypt全盘加密,比方说把危险软件甲安装在D盘,敏感操作的多个虚拟机都放在E盘,在运行甲的时候,E盘没有被加载,即使甲扫描硬盘也无法读取到有用信息吧?加载E盘的时候再把甲关闭,只是怎么知道一个软件是真正的关闭了呢?把D盘卸载能真正关闭任何软件吗?

    回复删除
    回复
    1. To 匿名
      “1现在在用SSD硬盘,用VeraCrypt全盘加密了,解密起来也会变快吗?是否有助于暴力破解,影响安全性?”
      是用SSD硬盘,解密起来也会快很多的:)

      二翔子个人认为,你不必担心这样“有助于暴力破解”,因为:
      1. 即使你使用一个读取速度非常慢的硬盘,一旦它落入到坏人手里,坏人也可将加密的数据全部复制到读取速度较快的存储设备之中,再进行暴力破解;
      2. 适当增加密码的位数,或者适当增大PIM值,或者使用密钥文件,就可以显著增大暴力破解的难度,如果你很担心暴力破解的风险,不妨从上面的三个方面入手:)


      “2假设只有一台电脑,有些软件只能在主机里运行,无法在虚拟机里运行。如果我担心要运行软件的安全,怎么办?可以用VeraCrypt全盘加密,比方说把危险软件甲安装在D盘,敏感操作的多个虚拟机都放在E盘,在运行甲的时候,E盘没有被加载,即使甲扫描硬盘也无法读取到有用信息吧?加载E盘的时候再把甲关闭,只是怎么知道一个软件是真正的关闭了呢?把D盘卸载能真正关闭任何软件吗?”

      这样做非常不安全,原因就是你所提到的,我们很难确定“一个软件是真正的关闭了”,否则面对那么多的木马病毒,我们轻轻松松关掉其进程然后卸载掉它们,不就万事大吉了:)

      删除
  13. 用TBB时打开不同的网站会使用不同的线路,假如使用chrome走tor代理,那么打开不同的网站会使用不同的线路吗?多少分钟之后,会变线路吗?

    回复删除
    回复
    1. To 匿名
      这真是一个好问题。
      简单地答案是:使用Chrome加Tor客户端,打开不同网站不会使用不同的线路。因此你的所有网络活动都会被关联到同一个身份,也就是说相比使用Tor浏览器,如此作法损害了你的匿名程度。除此之外,如此作法还有更多的缺点,详情可以看二翔子的这篇博文:https://2xiangzi.blogspot.com/2016/11/tor-browser-user-manual.html

      删除