很好,這就是為什麼我們會實作出口節點政策的功能。
每個洋蔥路由中繼節點都可以設定自己的出口政策規則,用來指定要接受或者拒絕什麼樣的外接連線。
這個出口政策規則會跟隨著目錄清冊一起被派送到每個洋蔥路由客戶端程式裡,因此客戶端程式在建立迴路時,會自動避免將不願意作為出口節點的中繼節點串接在迴路末端。
因此每個中繼節點的架設者都能夠依據自身的狀況進行評估,以便決定自己的主機要允許什麼樣的連線服務以及連接上什麼樣的主機。
若您要使用預設的出口節點政策的話,請參閱可能遭遇的問題,並且也建議您參閱由Mike Perry撰寫的將架設出口節點所可能遭遇的騷擾最小化。
預設的出口節點政策會允許通往大多數熱門的網路服務的連線(例如普通網頁瀏覽),但是會限制某些可能被濫用的情況(例如電子郵件),或者是可能會讓洋蔥路由網路超載的連線(例如封鎖檔案分享協定的預設埠號)。
您可以藉由編輯torrc設定檔來改變您的出口節點政策,
如果您想要盡可能的避免被濫用的機會,可以將它設定為「reject *:*」。
這個設定值的意思是,您的中繼節點只會被用來轉送洋蔥路由網路內的連線,不會被用來轉接至外部的普通網站或網路服務。
如果您想要允許通往外部的網路連線的話,請確定您主機的域名解析功能正常(亦即可以正常轉譯網路位址)。
如果有某些網路資源是您的主機無法連接上的(例如您所在的網路防火牆會過濾阻擋),那麻煩請在您的出口節點政策裡,將它明確標注為拒絕,否則洋蔥路由的使用者將會連帶受到影響。
犯罪者原本就有能力進行非法活動。
因為他們有意要違反法律規定,因此他們原本就已經擁有許多比 Tor 更為隱密性的工具。
例如他們可以使用竊取的電話,用完後隨即丟棄;
或者是入侵位於韓國或者巴西的電腦,再用作跳板機去進行非法活動;
他們也能夠利用間諜軟體、病毒程式或其他技巧,去操控散佈於世界各地數以百萬計的Windows系統主機。
Tor 主要宗旨,是在保護一般守法守紀的公民。
不然的話就只有犯罪者才有能力擁有隱私是很不公平的,這是我們企圖要做的改變。
有些匿名權的倡議者會說這是一種取捨問題-若要保護好人也會需要同時容納壞人-但是實際上並不完全是如此。
犯罪者或惡意人士都擁有很強烈的動機去學習如何保持匿名狀態,有很多甚至還願意花大錢來達成此目的。
對於有能力去竊取並再利用無辜受害者身份(身份竊盜)的人,這目標就又更容易達成了。
從另一方面來說,普通人都不會有足夠的時間或金錢來學習如何在網路上保護自身隱私。
這就是目前最糟糕的現實。
所以話說回來,犯罪者當然是也可以使用洋蔥路由,但是他們其實早就有其他更好的選擇了,因此今天即使沒有洋蔥路由,他們還是會繼續進行非法活動。
於此同時,洋蔥路由以及其他類似的隱私保護措施還能夠防堵身份竊盜或是跟監追蹤等犯罪活動。
分散式阻斷服務攻擊(DDoS)的原理,是仰賴著操控網路上數千臺電腦,同時針對受害者主機發動網路連線。
由於其目標是要癱瘓受害者的網路通訊,因此大多數情況下都會使用UDP封包,因為這種連線不需要執行交握程序或雙邊協調。
但是洋蔥路由並不會接受所有的IP封包,而是只接受資料結構正確的標準TCP資料封包,所以您是無法透過洋蔥路由發送UDP網路封包的。
(您也無法利用像是SYN等特製封包來發動阻斷服務攻擊。)
因此您是沒辦法透過洋蔥路由發動一般常見的分散式阻斷服務攻擊的,洋蔥路由不會允許對外部網站發動頻寬放大型攻擊:
洋蔥路由所轉送的每個位元組資料,都必須是由您的主機親自送出的。
因此總而言之,如果攻擊者所掌控的頻寬,真的多到能夠發動有效的分散式阻斷服務攻擊的話,那他其實也不需要使用洋蔥路由就能執行了。
首先,目前 Tor 的預設出口節點政策,會拒絕所有第25連接埠(SMTP)的網路連線。
所以在預設狀態下,要透過洋蔥路由發送垃圾郵件是行不通的。
某些中繼節點架設者是有可能會在他們的特定出口節點啟用第25連接埠,此時該電腦就會允許外送郵件通過,但是與其要這樣做,不如直接架設普通的開放郵件主機,完全不需要使用洋蔥路由。
所以簡而言之,利用洋蔥路由來發送垃圾郵件其實並不實用,因為幾乎所有的洋蔥路由節點都會拒絕轉送電子郵件。
當然,發送垃圾郵件並不是完全只靠寄送而已。
垃圾郵件發送者可以利用洋蔥路由連線到開放的HTTP代理伺服器(然後再轉接至SMTP伺服器),之後再連上某個有設計瑕疵的郵件發送腳本程式主機,進而用以控制他們的殭屍網路。也就是說,以非常迂迴隱密的方式去操控眾多已被入侵的電腦,並藉由它們來發送垃圾郵件。
這是很可恥的行為,但是那些垃圾郵件發送者其實早就都可以不使用洋蔥路由來完成這樣的任務。
並且請記得,許多較為刁鑽的通訊機制(像是特製UDP封包詐欺)在洋蔥路由裡是無法使用的,因為只有依照正確規格所組建的TCP連線封包才能夠通行。
以整個大局來看,其實並不多。
我們的網路從西元2003年十月份就開始上線營運,截至今日為止所收到的濫用檢舉通報也只有若干次。
當然,就如同目前網路上所有的隱私導向科技,總是難免會吸引到惡意人士的青睞。
洋蔥路由的出口政策機制設計,可以成功的將「願意對網路貢獻」與「願意面對濫用檢舉」兩者分離開來,因此我們期望相較於過往的那些匿名網路系統,我們的網路可以更朝向永續發展的方向邁進。
有鑑於洋蔥路由已經有許多正面的應用實例,因此我們認為目前的作法對於善意與惡意兩者間的平衡拿捏得很妥適。
如果您架設允許出口連線的 Tor 中繼節點(例如使用預設的出口政策),那很有可能遲早會有人主動找上門。
濫用的檢舉投訴可能會有多種不同的態樣,舉例來說:
- 有人透過您的主機連上Hotmail服務,並且寄送了勒索信函給某公司,而聯邦調查局就寄了封很有禮貌的電子郵件給您,此時您只要跟他們解釋說您是洋蔥路由中繼節點的架設者,他們就會說「喔,好吧。」,然後就沒有您的事了。[80埠號]
- 有人會利用洋蔥路由連上谷歌社群並張貼垃圾廣告,並且向您的網路服務供應商寄發檢舉信函,指控說您惡意違反服務條款,企圖想要逼迫您撤除洋蔥路由主機。[80埠號]
- 有些人會連上IRC網路並進行惡意騷擾,您的網路服務供應商則會寄發通告,說您的電腦可能被惡意程式入侵或遭受分散式阻斷服務攻擊。[6667埠號]
- 有人可能透過洋蔥路由下載了馮迪索的電影,而您的網路服務供應商則會收到侵犯智慧財產權的通告,此時可以參考電子前哨基金會提供的洋蔥路由針對侵權通告知回覆範本,其中就有詳細說明,您的網路服務供應商無須理會該些通告也不會有法律責任。[任何埠號]
有些服務供應商對於洋蔥路由出口節點其實是相對較友善的,您可以參閱這篇有關網路服務供應商評價的維基貼文。
若您需要針對各種不同的濫用檢舉信函的覆文範本,可以參考我們的範本集。
若您希望盡可能的減少被濫用的機率,可以參考最不會被騷擾的架設出口節點秘訣以及採用限縮型出口政策。
您也可能會發現,有些網站會封鎖您的 Tor 中繼節點所使用的IP位址。
不論您的中繼節點是採用什麼樣的出口政策,這種情況都有可能會發生,因為有些組織似乎不知道也不在乎洋蔥路由內建的出口政策機制。
(如果您有多餘未使用的IP位址,或許可以考慮將它用來架設洋蔥路由中繼節點。)
總而言之,建議您不要使用自己家裡的網路連線服務來架設洋蔥路由中繼節點。
您可以參閱這裡所收錄的範本,都是專門用於回覆網路服務供應商的通告。
有時候惡意人士會利用 Tor 在IRC頻道中搗亂。
這樣的結果會導致特定IP位址被暫時封鎖(在IRC裡的術語稱為「klines」),因為網路管理員正試圖將搗亂者踢出網路。
這樣的結果也突顯出了IRC系統在設計上的先天性缺陷:
因為他們預設認為每個IP位址都會對應到一個特定人士,所以封鎖該IP位址就可以封鎖那個人。
而實際上的情況並非如此-許多惡意搗亂者會輪流使用成千上萬的開放代理伺服器來連線,有時還會用被入侵的電腦作為跳板。
因此整個IRC網路系統在這個節點封鎖戰役中正節節敗退,基於這種先天設計上的安全性缺陷,導致於這種家庭代工式的反濫用策略如雨後春筍般的發展(這與防毒軟體市場有異曲同工之妙)。
而洋蔥路由網路只不過是這場戰役中的冰山一角而已。
從另一方面而言,對於IRC伺服器的管理員來說,安全性其實並非是全有或全無的二元抉擇。
要是能夠快速的反制任何惡意搗亂行為,仍然有可能讓惡意攻擊者因為成功機率降低而打退堂鼓。
況且對於絕大多數的IP位址來說,在某個特定的時間點連上IRC網路時也確實是代表了某個特定人士。
但是也有特別的例外,像是NAT網路閘道即是。
儘管說封鎖開放式代理伺服器的策略是一場節節敗退的戰役,但是若針對特定的惡意擾亂者進行足夠長時間的封鎖,也還是能夠讓他因為失去興趣而停止騷擾行為。
但是真正根本性的解決方案,還是要在應用程式層級設置認證系統,以使正常的使用者可以進入使用服務,而惡意擾亂者則會被拒於門外。
這個方案會需要一些人為因素(例如正常使用者才知悉的密碼),並非單靠分析網路傳輸的封包資料就能達成。
當然,並不是所有的IRC網路都會封鎖 Tor。
畢竟還是有少數的普通IRC使用者會透過洋蔥路由連上線,通常是為了不讓自己在真實世界裡的身份被揭露。
因此IRC網路的管理員必須要去衡量,為了防堵惡意擾亂者而去封鎖掉數以百萬計的IP位址所失去的,是否比得上善意的洋蔥路由用者所能帶來的貢獻。
若您發現被封鎖的話,請聯繫其網路管理員並解釋您的情況。
他們有可能根本還不知道有洋蔥路由這種科技,或者是沒有發現他們封鎖的其實是洋蔥路由的出口節點。
若您跟他們解釋過後,他們依然堅持認為 Tor 應該被封鎖的話,那您可以考慮改換另一個言論自由較開放的網路空間。
或許也可以邀請他們來irc.oftc.net上的#tor頻道聊聊,他們對於我們的負面刻板印象可能會有所改變。
最後,如果您發現某個IRC網路有封鎖洋蔥路由,或是封鎖某個洋蔥路由的出口節點,麻煩請協助將它補充至洋蔥路由之IRC封鎖追蹤器,以讓大家可以交流資訊。
至少有個IRC網路會查詢該頁面,以便將不經意封鎖的出口節點解封。
儘管說洋蔥路由不易用於發送垃圾郵件,但是仍有些過度熱情的黑名單收集者會認為,像洋蔥路由這種開放式網路都是危機四伏,時常有人會企圖跨越網路服務的安全政策或繞徑,以對被害人進行勒索。
若您的伺服器管理員決定要使用這些黑名單並以阻擋內收郵件的話,您可以試著跟他們解釋洋蔥路由以及其出口節點政策的設計與原理。
我們很遺憾您做了這樣的決定。
在有些情況下,網路服務封鎖匿名使用者確實是有其道理。
但是在很多情況下,除了禁止使用者以較安全的方式存取服務外,其實還有更簡單的方式可以解決您的問題。
首先,您可以先從應用程式的層面思考看看,是否有方式可以將正常的使用者與惡意擾亂者區隔開來。
舉例來說,您的網站或許有些類似發表貼文的功能區域,可以僅開放給已註冊登入的使用者存取。
要取得即時更新的洋蔥路由IP位址其實很容易,您可以藉此將連線到您的網站的 Tor 訪客區隔出來。
如此一來,您可以設置多層次的存取控制,而不需要將他們完全封鎖。
舉例來說,在Freenode的IRC網路裡曾經出現過一群惡意搗亂者,時常藉由轉移話題的方式來製造麻煩,但是自從管理人員決定將該服務裡所有的洋蔥路由使用者自動掛上「匿名使用者」的標記後,那群惡意搗亂者因為無法再混入普通使用者群裡作亂,因此只好轉用其他像是開放式代理伺服器或者殭屍網路等方式。
再來,請您也思考一下目前每天都有成千上萬的使用者選擇洋蔥路由來確保自身資料,例如他們想要在日常網路活動過程中,避免瀏覽的相關資料被廣告行銷公司取得。
對於另外有些人而言,使用洋蔥路由則是他們突破區域防火牆封鎖的唯一方式。
有些 Tor 使用者連上您的網路服務,純粹只是想要進行正當合理的活動而已。
因此您必須要斟酌考慮是否要全面封鎖洋蔥路由網路,因為這代表著您也會失去這些使用者以及未來可能的普通使用者,對您的付出與貢獻。
(大部分的人其實平常都沒有注意到,自己的網路服務裡有多少洋蔥路由的使用者,通常都要到有無禮的搗亂者出現時,才會發現到他們的存在。)
此時此刻您也必須要先思考一個問題,那就是對於客戶群龐大的網路服務,也常有大量的使用者透過極少數的幾個IP位址連上您的服務的現象。
從這方面來看,其實洋蔥路由跟AOL網路服務供應商是沒什麼差別的。
最後,也請您別忘了 Tor 的中繼節點都有個別的出口政策。
有許多 Tor 的中繼節點,是完全禁止對外出口連線的。
且可能有許多允許出口連線的中繼節點,也都已經設定拒絕通往您的網路服務的連線。
若您想要封鎖洋蔥路由的節點的話,希望您能先分析各個節點的出口政策,並只封鎖那些仍然允許連上您的服務的節點就好。但您也必須要知道的是,各個節點的出口政策是有可能會變動的(我們網路裡的總節點清單也是)。
若您還是堅持決定要這麼做的話,我們有提供洋蔥路由出口中繼節點清單以及以DNS為基礎的可查詢清單。
(有些系統管理員會依照組織的政策規定或濫用者的行為模式,把整個區段的IP位址都封鎖掉,同時也有些管理員會要求其所有的使用者,都必須要透過洋蔥路由才能使用其服務。
這些腳本程式同樣也可以用來作為白名單。)
洋蔥路由開發人員無法追蹤鎖定任何洋蔥路由的使用者。
用來確保 Tor 匿名性的保護機制,同時也會使我們無法釐清許多事情的真實狀況。
我們有些支持者建議我們重新設計 Tor,以便在裡面加入後門。
這個想法其實會有兩個嚴重的問題。
第一,這種作法本質上會太過弱化整個系統的安全。
擁有一個可以將使用者的活動關聯起來的中央主管機構,會讓各式各樣的攻擊有機可趁,而要能夠妥適的管理這樣的機構所需的制度,其成本太過龐大且也無法做到完美。
其次,反正壞人也不會因此被抓,因為他們將使用其他手段來確保匿名性(盜取身份,破壞電腦並將其作為跳點等)。
意思也就是說,作為網站的擁有者,必須對自身提供的服務進行保護防止被入侵破解,這些惡意行為可能來自任何地方。
這是要使用網際網路所必須做的付出。
您必須要隨時保護自身的網路安全,危險可能會從任何地方出現。
追蹤與強化監控並非不是網路濫用的解決方案。
但您也必須要知道,這並非意謂 Tor 是絕對安全的。
傳統的檢警調單位偵辦手法對於洋蔥路由來說,仍然很有實用性,例如犯案動機與手段調查、嫌疑犯訊問、寫作風格分析、內容技術分析、臥底行動、鍵盤側錄等等實體的偵查行動。
洋蔥路由專案計畫也很樂意與執法單位等機構合作,這包括協助進行相關教育訓練,以便使其人員能夠以安全隱密的方式利用洋蔥路由軟體進行案件偵查,進而能夠在網路上隱藏其偵辦活動。
Tor Project沒有能力去管控或追查某個.onion位址的擁有者或其所在位置。
所謂的.onion位址是某個洋蔥服務的網路位址。
以.onion結尾的名稱其實是一個洋蔥服務的描述符。
它是被自動生成的名稱,可以被架設在網路上任何一個洋蔥路由中繼節點或客戶端程式上。
洋蔥服務的設計是用來防止網站及訪客得知對方的身份或所在位置。
這種洋蔥服務的設計也意味著.onion站台的擁有者與其所在位置是被完全隱藏的,即使是我們也無法得知。
但是請記得這並不代表洋蔥服務是堅不可摧的。
傳統的檢警調單位偵辦手法對於洋蔥服務來說仍然很管用,例如犯案動機與手段調查、嫌疑犯訊問、寫作風格分析、內容技術分析、臥底行動、鍵盤側錄等等實體的偵查行動。
若您是想要通報有兒童受虐的內容,或許可以考慮通報至國家失蹤與受虐兒童中心,該單位主要負責指揮調度全國各地針對兒童色情的調查行動:http://www.missingkids.com/。
我們不會去查閱您所通報的連結。
我們對於濫用者問題向來都很嚴肅的對待。
社運人士以及執法單位都會使用 Tor來偵辦濫用事件,也會用來支援被害的生還者。
我們也都會密切與他們合作,以使他們可以了解如何利用洋蔥路由來協助他們的任務。
有些時候,當有發生技術性錯誤的時候,我們也會幫他們糾正。
因為有些倖存的被害人不一定會受到憐憫同情,反而是會遭受到污名化的傷害,因此若要尋求同樣遭遇者的支持與互助,是需要使用有隱私保護機制的科技才能達成的。
我們之所以會拒絕審查過濾 Tor 或在裡面加入後門,並不是因為我們漠不關心。
我們拒絕這樣做的原因,是因為弱化洋蔥路由的保護機制對於兒童受虐或人口販運等行為的防堵是有害無益的,並且也會讓受害者失去網路上的安全空間。
同時犯罪者依然能夠利用殭屍網路、竊得的行動電話、盜取的帳號、郵遞包裹系統、腐敗的公務人員或任何新興科技,以進行非法交易活動。
他們對於新科技的使用是屬於先鋒者。
有鑑於此,若立法者認為單純仰賴封鎖過濾就足以解決問題的話,會是非常危險的想法。
我們的期許是要為中止兒童受虐盡一份心力,而不是去幫助政客藉由隱藏事實來獲取政績。
貪腐問題對於社會的傷害更是尤其嚴重,請參閱聯合國的這篇貪腐問題在人口販運所扮演的角色報告書。
最後很重要的一點,當成年人以兒童之名通過實施相關法規政策。
若兒童無法以成年人的身份發表自己的意見的話,他們還會感謝我們嗎?
萬一他們正嘗試要揭露某個政府的錯誤,以便保護其他兒童呢?
我們只是開發人員。
我們能夠回答技術性的問題,但是對於法律的問題我們沒有能力給予任何建議或看法。
請參閱洋蔥路由法律問答集以取得更多資訊,若您有任何更深入的法律疑問,請直接聯繫電子前哨基金會。
請您參閱由電子前哨基金會的律師所撰寫的法律問答集,在這份持續增加中的法律扶助機構目錄中,或許可以找到能夠提供您協助的人。
若您需要查詢某個IP位址在過去的某個時間點,是否曾經作為洋蔥路由出口節點使用,您可以利用ExoneraTor搜尋洋蔥路由中繼節點清單的歷史記錄。