近日，Tor项目发布Tor 0.4.8版本，正式推出了针对洋葱服务的工作量防御机制Proof-of-Work Defense，旨在优先处理经过验证的网络流量，以阻止拒绝服务（DoS）攻击。 Tor的工作量证明（PoW）防御机制是一种动态的反应机制，在正常使用条件下保持休眠状态。但当洋葱服务受到DoS攻击的压力时，该机制会提示传入的客户端连接执行一系列连续的更复杂操作。然后，洋葱服务将根据客户端表现出的工作量水平对这些连接进行优先级排序。 此举旨在将DoS攻击的成本增加到难以维持的水平，同时优先考虑合法流量，抑制攻击流量。引入工作量证明机制将使大规模攻击成本高昂且不切实际，从而抑制攻击者。因此Tor项目鼓励用户将洋葱服务升级到0.4.8版本。 如果攻击者向onion服务发送大量连接请求，PoW防御会启动增加访问.onion网站所需的计算量。增加的计算量对绝大部分设备是可控的，所耗费时间从5毫秒到30毫秒。攻击流量增加，工作量就会增加，最多需要1分钟的工作量。整个过程对用户是不可见的。 为什么需要更新？ 洋葱服务通过混淆IP地址来优先考虑用户隐私，这种固有设计使其容易受到DoS攻击，而传统的基于IP的速率限制在这些情况下并不能起到很好的保护作用。为了找到替代解决方案，Tor项目设计了一种涉及客户端难题的工作量证明机制，以在不损害用户隐私的情况下阻止DoS攻击。 它是如何工作的？ 工作量证明就像一个票据系统，默认情况下关闭，但通过创建一个优先级队列来适应网络压力。在访问洋葱服务之前，必须解决一个小难题，证明客户端已经完成了一些“工作”。谜题越难，证明用户所做的工作越多，从而证明用户是真实的，而不是试图充斥洋葱服务的僵尸。最终，工作量证明机制阻止了攻击者，同时为真实用户提供了到达目的地的机会。 这对于攻击者和用户意味着什么？ 如果攻击者试图向洋葱服务发送大量请求，并淹没洋葱服务，PoW防御就会启动，并增加访问.onion站点所需的计算量。这种票据系统旨在使大量尝试连接洋葱服务的攻击者处于不利地位。维持此类攻击将需要大量的计算工作，而随着计算力的增加，回报也会越来越少。 然而，对于倾向于一次只提交几个请求的日常用户来说，解决难题所增加的计算量对于大多数设备来说是可以承受的，对于速度较快与稍慢的计算机来说，每次解决的初始时间范围从5毫秒到30毫秒不等。如果攻击流量增加，工作量就会增加，最多大约需要1分钟的工作量。虽然这个过程对用户来说是不可见的，并且使得等待工作量证明解决方案与等待慢速网络连接相当，但它具有明显的优势，那就是通过证明自己的非机器属性，即使在Tor网络面临压力的情况下，也能为用户提供访问Tor网络的机会。 在过去的一年里，Tor项目投入了大量的工作来减轻对Tor网络的攻击并增强对洋葱服务的防御。Tor的PoW防御的引入不仅使洋葱服务成为少数具有内置DoS保护的通信协议之一，而且一旦被各大网站采用，还将有望降低定向攻击对网络速度的负面影响。该系统的动态特性有助于在流量突然激增时平衡负载，确保对洋葱服务的访问更加稳定可靠。...

上周，Tor项目向众多Tor中继运营商宣布，正式推出”WebTunnel" 。WebTunnel是一种适用于Tor生态系统的新型桥接式可插拔传输（PT），它是一个抗审查的代理，试图模仿HTTPS流量，基于HTTPT 21研究。Tor项目目前正在对WebTunnel进行试运行，并鼓励网桥运营商建立WebTunnel网桥，以发现这个新的可插拔传输的实施中的问题。 WebTunnel是如何工作的 连接到WebTunnel Bridge时，客户端通过加密连接向负载均衡器发送http 1.1升级请求，就像WebSocket的工作方式一样。因此，从观察者的角度来看，这个过程看起来就像是与真实网站的真实Websocket连接。如果有人尝试连接到前置网站，那么将呈现的将是该前置网站。如果没有完整的URL路径，就很难通过探测HTTPS端口来判断一个网站是否承载了WebTunnel。 技术要求 要设置WebTunnel桥接，用户需要一个自我托管的网站，一个能自主控制的域名，一个可配置的负载平衡器，静态IPv4，以及设置Tor Bridge的环境来建立一个WebTunnel桥接。建议使用Docker或其他容器运行时来简化设置过程，但这不是必需的。 设置指南可在此处获取：https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel#docker-setup 如何测试和报告问题 用户可以通过使用Tor浏览器最新的Alpha 3版本来测试WebTunnel桥接。目前，WebTunnel只通过HTTPS分发（torrc设置：’BridgeDistribution https’）。 用户可以在Tor项目的GitLab上报告问题：https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel 鉴于这个新的PT目前仅在Tor浏览器的Alpha版本上可用，中继运营商目前不应期望有大量的使用或大量的用户。 Tor项目称，如果用户在设置WebTunnel时遇到任何困难，请及时反馈给Tor项目。Tor项目感谢大家对Tor生态系统的贡献。...

Mullvad浏览器是非营利组织Tor项目和Mullvad VPN之间的合作的产品，提供了一个反追踪浏览器，旨在与VPN一起使用。 > Today we announced the Mullvad Browser – built by the Tor Project. A browser allowing anyone to take advantage of the privacy protections of Tor Browser without Tor. > ? Learn more here: > > — The Tor Project (@torproject) [April 3, 2023](https://twitter.com/torproject/status/1642830938089594881?ref_src=twsrc%5Etfw) 使用数字匿名服务Tor的最简单方法是通过Tor浏览器。[你下载并像普通浏览器一样使用它](https://www.anwangxia.com/658.html)，它会在您使用时覆盖您的数字足迹，让任何人都很难跟踪您的在线活动。最重要的是，Tor浏览器设计有反监视措施，可以阻止追踪者并阻止设备指纹识别方法。但是您可能不想一直使用Tor浏览器，因为它的页面加载时间相对较慢，而且可能有点麻烦。但今天推出的一款由Tor项目的用户体验和应用程序团队开发的新浏览器提供了相同的隐私重点，该浏览器使用不同的基础架构构建，纳入了VPN支持而不是Tor。 该工具被称为Mullvad浏览器，出自Tor项目和VPN制造商Mullvad之间的合作。这个免费的开源浏览器现在可供下载。VPN领域很拥挤，有一些有问题的参与者，但Mullvad一直是备受推崇和信任的VPN，因为它是开源的，不通过用户数据获利，并对其系统和基础设施提供独立的第三方审计。尽管如此，Mullvad浏览器可以与您信任的任何VPN一起使用，也可以在没有VPN的情况下仅作为一个注重隐私的浏览器使用。 “我们来这里不是为了竞争和赢得浏览器的市场份额；我们来到这里是因为我们的使命是通过技术促进人权，”Tor项目执行董事伊莎贝拉·费尔南德斯（Isabela Fernandez）说，“因此，我们希望为需要隐私和审查制度绕过的人提供替代方案。” Tor网络和虚拟专用网络（VPN）都会加密您的网络流量，并通过一个中介进行隧道传输，但Tor专注于通过一系列“跃点”或特殊服务器发送流量的特定方案所带来的匿名性。相比之下，VPN不会煞费苦心地匿名化您的流量，而是专注于通过创建一个只有您和VPN提供商可以看到您的网络活动的系统来提供隐私保护。因此，VPN的声誉很复杂，因为它们只有在VPN提供商值得信赖时才具有私密性。不过，根据您的使用情况和环境，它们可能是一个有价值的工具。 “Mullvad的使命是让大规模监控变得不切实际，仅靠VPN还不足以实现在线隐私——您还需要一个注重隐私的Web浏览器，”Mullvad首席执行官Jan Jonsson说。“我们希望提供与Tor浏览器一样出色的以隐私为中心的浏览器，专门适用于那些希望通过VPN而不是Tor网络连接到互联网的用户。这次合作的目的是为人们提供更多的隐私选择。” Tor项目和Mullvad都表示，他们被对方在人权和数字隐私倡议方面的记录所吸引而进行合作。Mullvad一直是非营利组织Tor项目的长期财务支持者。 还有其他广受好评的隐私浏览器，如Brave，它们也可以与VPN一起使用，甚至具有内置的VPN功能。但Tor项目说，他们多年来开创反追踪技术的经验，如cookie隔离和其他反监视技术，意味着Mullvad浏览器是以非常高的质量推出的。Tor项目的Fernandez补充说，在开发Mullvad浏览器的过程中，该团队做出了一些发现和改进，这些发现和改进现在已被重新整合到Tor浏览器中。 Fernandez说：“也许这款新浏览器会吸引我们现在无法触及的受众。”“多个替代方案可以共存并相互支持。我们正在与其他组织合作，建立替代方案，因为这是一场大的战斗。我们的对手是大公司，所以我们需要共同努力。” 此外，Mullvad浏览器也具有一些其他的隐私功能。例如，它会自动阻止嵌入式广告和社交媒体跟踪器，还可以通过随机化用户代理标头来增加隐私保护。它还使用一个名为“FingerprintJS”的JavaScript库，该库可以检测设备指纹技术，并模糊化设备指纹信息以防止其被用于跟踪用户。 总的来说，Mullvad浏览器是一个非常注重隐私保护的浏览器，它集成了一些反监视技术和VPN支持，可以提供额外的隐私保护和匿名性。然而，就像使用任何VPN或其他隐私工具一样，使用Mullvad浏览器并不能完全保证您的隐私和匿名性，因为这些技术都不是绝对的。但是，它仍然是一个很好的选择，特别是对于那些担心隐私问题的用户。 Tor项目鼓励您检查Mullvad浏览器及其功能。它可以在没有Mullvad VPN的情况下使用，但建议结合使用。如果您想了解有关此合作伙伴关系的更多信息，可以访问Mullvad.net/browser。...

维护Tor匿名网络和相关浏览器的组织Tor Project正在继续将其基础设施从以前由Team Cymru提供的基础设施转移出去，Team Cymru是一家互联网监测公司，它捐赠了硬件和其他资源。该组织在一份声明中告诉Motherboard，Tor项目现在预计迁移工作将在春季完成。 在Motherboard报道称Team Cymru向美国军方的多个分支机构出售了一种名为“Augury”的互联网监控工具后，Tor项目于10月宣布了这一举措。Augury部分基于互联网服务提供商提供的数据，并声称覆盖了全球90%的互联网流量。一名举报人还声称，隶属于海军的民事执法机构NCIS参与了未经授权的使用和购买这些数据。 Tor项目的通信主管Pavel Zoneff告诉Motherboard，该组织已经“取得了很大进展，包括进行重大投资以扩展我们自己的服务器基础设施。我们已经迁移了最关键的功能，目前正在跟踪今年春季结束前的完成情况。一旦过渡完成，我们将分享更新信息。” 在Tor项目10月的公告中，Tor项目执行董事Isabela Fernandes提到Team Cymru多年来向Tor捐赠了“硬件和大量带宽。这些主要是网络镜像，用于构建和模拟机器等内部项目。”Fernandes写道，Tor社区对Tor项目使用Team Cymru的基础设施表示担忧。 鉴于Tor项目与Team Cymru的任务之间存在冲突，“继续接受Team Cymru的基础设施捐赠是不可行的，”Fernandes写道，并补充说，自2022年初以来，Tor项目一直在计划搬出一些东西。在Motherboard的报道之后，这些努力似乎更加认真地进行了。 Team Cymru的首席执行官Rob Thomas也是Tor项目的董事会成员，Motherboard在其报告中指出了这一点。他于2022年8月4日离开。在10月的博客文章中，Fernandes解释说，Tor项目的工作人员和志愿者在2021年底对Thomas的董事会职位表示担忧。这引发了内部讨论。“在这些谈话中，很明显，尽管Cymru团队可能提供与Tor使命背道而驰的服务，但没有迹象表明Rob Thomas在提供这些服务方面的作用对Tor用户造成了任何直接风险，这是我们最关心的问题。”Fernandes写道。 “但当然，不积极危害我们的用户是一个低标准，”Fernandes继续说道。“对Team Cymru的商业模式和Tor的使命之间的内在脱节提出质疑是合理的，Tor的使命包括为所有人提供私人和匿名的互联网访问。Rob Thomas选择从董事会辞职的原因是他自己的，但自从我们最初的谈话以来的几个月里，Team Cymru的工作如何与Tor项目的使命相抵触，已经变得越来越清楚。” 互联网监控平台Augury 互联网监控平台Augury由网络安全公司Team Cymru开发，捆绑了大量数据，并作为付费服务提供给政府和企业客户。在私营行业，网络安全分析师使用它来跟踪黑客的活动或确定网络攻击的原因。在政府领域，分析师也可以做同样的事情，但处理刑事调查的机构也购买了这种能力。军事机构没有描述他们对该工具的使用情况。然而，该工具的销售仍然突出了Team Cymru如何获得这种有争议的数据，然后作为一项业务出售，这一点让网络安全行业的多个来源感到震惊。 “网络数据包括来自全球550多个收集点的数据，包括欧洲、中东、北美/南美、非洲和亚洲的收集点，并且每天至少有1000亿条新记录的更新。”Motherboard审查的一份美国政府采购记录中对Augury平台的描述是这样的。它补充说，Augury提供对“PB级”的当前和历史数据的访问。 Motherboard发现，美国海军、陆军、网络司令部以及国防反情报和安全局总共支付了至少350万美元来访问Augury。这使得军方可以使用数量惊人的敏感信息来跟踪互联网的使用情况。Motherboard已经广泛报道了美国机构如何通过简单地购买私营公司的商业数据来获得在某些情况下需要搜查令或其他法律机制的数据。最常见的情况是，这些销售围绕着从智能手机上获取的位置数据。Augury的购买行为表明，这种购买数据的方式也延伸到了与互联网使用更直接相关的信息。 Team Cymru在其网站上表示，其解决方案提供了“对互联网上绝大多数活动的访问权限”。“Augury是93%的互联网流量的可见性，”另一个描述该工具的网站写道。根据Team Cymru的网站，一些客户可以使用不同品牌名称Pure Signal RECON来访问该平台。 Augury平台有哪些数据 根据在线采购记录，Augury平台为其用户提供了大量不同类型的互联网数据。这些类型的数据包括与电子邮件、远程桌面和文件共享协议有关的包捕获数据（PCAP）。 PCAP通常指的是完整的数据捕获，包含了非常详细的网络活动信息。PCAP数据包括从一个服务器发送到另一个服务器的请求，以及该服务器的响应。Augury的数据还可以包括网络浏览器活动，例如访问的URL和Cookie等详细信息。...