heiNavigation: Start -> ErmittlerTutorials -> TOR Onion Router
TOR Onion Router
Das Onion Routing wurde von der US-Navy entwickelt. Aktuell liegt die Weiterentwicklung des Projektes bei Electronic Frontier Foundation. Die Weiterentwicklung wird durch Forschungsprojekte u.a. von deutschen Universitäten und im Rahmen des Google Summer of Code unterstützt.
Das TOR Netzwerk besteht aus ca. 2000 Servern (Nodes), die weltweit verteilt sind. Aus diesem Pool werden jeweils 3 Nodes für eine Route ausgewählt. Die Route wechselt alle 60s. Die zwiebelartige Verschlüsselung sichert die Anonymtät der Kommunikation. Selbst wenn zwei Nodes einer Route kompromittiert wurden, ist eine Beobachtung durch mitlesende Dritte nicht möglich.
Herkömmliche Webdienste sehen nur die IP-Adresse des letzten TOR-Nodes der Kette. Der eigentliche Nutzer ist nicht identifizierbar. Da der Onion Router ein Socks Proxy ist, kann er nicht nur für anonymes Surfen, sondern auch für andere Dienste genutzt werden, beispielsweise Instant Messaging, E-Mails senden und abrufen....
Neben dem Zugriff auf herkömmliche Internetdienste bietet TOR auch sogenannte Hidden Services. Dabei handelt es sich um schwer lokalisierbare, zensurresistente Angebote innerhalb des Onion Netzes. Sie bieten sowohl hohe Anonymität für Nutzer als auch für den Anbieter von Diensten (siehe Darknets).
Missbrauch der Onion Router
Der Missbrauch von TOR liegt nach Schätzungen der German Privacy Foundation bei 0,0001%. Unabhängige Betreiber von TOR-Nodes bestätigen diese Zahlen. Dabei wurde für jede Straftat ein Gesamttraffic von 200 MByte angnommen. Das ist für das Auslösen einer Bestellung bei Amazon oder das Schreiben einer Beleidigung in einem Webforum sicher sehr großzügig.
Erkennung von TOR-Nodes
Die Erkennung von TOR-Nodes ist anhand einiger Statusseiten im Internet möglich. Die folgenden Seiten zeigen den aktuellen Status des gesamten Netzes:
Mit der Suchfunktion der Website oder Browsers kann man eine IP-Adresse suchen. Wenn es sich dabei um einen Server mit fester Adresse handelt, wird man schnell fündig. Eine kurze Liste der IP-Adressen der leistungsfähsten deutschen Exit-TOR-Nodes für den schnellen Check:
- 81.169.137.209
- 81.169.155.246
- 81.169.167.206
- 81.169.183.122
- 85.25.141.60
- 85.25.149.122
- 85.25.151.22
- 85.25.152.185
- 85.31.186.104
- 85.214.58.87
- 85.214.73.63
- 85.214.125.166
- 87.118.101.102
- 87.118.104.26
- 192.251.226.205
- 193.174.33.200
- 212.112.242.89
- 217.114.211.20
Da über DSL angeschlossene, private Nodes die IP-Adresse häufig wechseln, ist man bei diesen Nodes auf das TOR-Status Archiv angewiesen. Hier sind die zum Tatzeitpunkt aktiven Nodes zu finden Xenobite Tor Status Archive (zur Zeit nicht erreichbar) oder als Monatsarchive unter archive.torproject.org
Blockieren von TOR-Nodes
Das Torprojeckt.org bieten zwei Möglichkeiten zur Prüfung, ob die IP-Adresse des Nutzers zu einem Rechner des TOR-Netzes gehört. Abhängig von dem Ergebnis der Prüfung kann der Zurgriff auf das eigene Webangebot gesperrt werden. Die Umsetzung dieser Sperrung liegt beim Anbieter des Webangebotes.
TorDNSEL bietet eine DNSBL, die ähnlich der Spammerblacklisten für E-Mails. Für eine IP-Adresse kann mit einer Anfrage bei TorDNSEL geprüft werden, ob sie zu einem Exit-Server des TOR-Netzes gehört.
http://check.torproject.org bietet unter der folgenden Adresse eine Liste von Exit-Servern des TOR-Netzes, die auf das eigene Webangebot zugreifen können. Diese Liste kann regelmäßig aktualisiert als Blockliste für Teile des Webangebotes genutzt werden, die nicht anonym genutzt werden sollen. (xx.xx.xx.xx ist durch die eigene IP-Adresse zu ersetzen): http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=xx.xx.xx.xx
