Официальные зеркала KRAKEN
Выбирайте любое KRAKEN зеркало.
Onion ресурсы
Начнем с классики. Я думаю, что на Хабре почти все использовали Tor в виде бандла Tor-browser. Меня это сильно выручало, когда в процессе охоты за Telegram вдруг начали резко рвать связность с крупнейшими хостерами в самых неожиданных местах. В этом режиме Tor использует классическое луковое шифрование, послойно заворачивая данные таким образом, чтобы было невозможно установить источник и конечную цель пакета. Тем не менее конечной точкой маршрута все равно является обычный интернет, куда мы в итоге попадаем через Exit-ноды.У этого решения есть несколько проблем:К владельцу Exit-ноды могут прийти недоброжелательно настроенные люди и начать утверждать, что владелец закоренелый преступник, ругающийся нехорошими словами на представителей власти. Есть ненулевой риск, что ваши объяснения про то, что вы только выходной узел, мало кто будет слушать.Использование сети tor как прокси к обычным ресурсам анонимизирует клиента, но никак не поможет от разделегирования домена и претензий к владельцу сервиса.
Готовим контент и обычный веб-сервер
Поэтому будем поднимать onion-ресурс непосредственно внутри сети, без выхода в обычный интернет. Например, как дополнительную резервную точку входа на свой ресурс. Предположим, что у вас уже есть веб-сервер с некоторым контентом, который отдает nginx. Для начала, если вы не хотите светиться в общедоступном интернете, не поленитесь зайти в iptables и настроить firewall. У вас должен быть заблокирован доступ в вашему веб-серверу отовсюду, кроме localhost. В результате вы получили сайт, доступный локально по адресу localhost:8080/. Дополнительное прикручивание https тут будет избыточным, так как транспорт tor возьмет на себя эту задачу.Разворачиваем TOR
Я буду рассматривать установку на примере Ubuntu, но с другими дистрибутивами принципиальных отличий не будет. Для начала определимся с репозиторием. Официальная документация не рекомендует использовать пакеты, которые мейнтейнятся самим дистрибутивом, так как они могут содержать критические уязвимости, уже исправленные разработчиками в апстриме. Более того, разработчики рекомендуют использовать механизм автоматических обновлений unattended-upgrades, для того чтобы гарантировать их своевременную доставку.Создаем файл для дополнительного репозитория:# nano /etc/apt/sources.list.d/tor.list
И добавляем в него нужные адреса:deb https://deb.torproject.org/torproject.org bionic maindeb-src https://deb.torproject.org/torproject.org bionic main
Теперь надо позаботиться о gpg ключе, без которого сервер совершенно разумно не будет доверять новым пакетам.# curl https://deb.torproject.org/torproject.org A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --import# gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -
Теперь можно установить основной пакет из апстрима и связку ключей для автоматического обновления подписи.# apt update# apt install tor deb.torproject.org-keyring
Настраиваем проксирование
В /etc/tor/torrc вы найдете конфигурационный файл демона. После его обновления не забудьте выполнить его рестарт.
Сразу хочу предупредить особо любопытных пользователей. Не включайте relay-режим на домашней машине! Особенно в режиме exit-ноды. Могут постучаться. На VPS я бы тоже не стал конфигурировать ноду как relay, так как это создаст довольно ощутимую нагрузку как на процессор, так и на траффик. На широком канале вы легко выйдете за 2-3 терабайта в месяц.Найдите в torrc секцию следующего вида:############### This section is just for location-hidden services ###
Сюда необходимо прописать ваш локалхостный веб-ресурс. Примерно так:HiddenServiceDir /Library/Tor/var/lib/tor/hidden_service/HiddenServicePort 80 127.0.0.1:8080
Или вы можете использовать unix-сокеты:HiddenServiceDir /Library/Tor/var/lib/tor/hidden_service/HiddenServicePort 80 unix:/path/to/socket
Получаем адрес
Все, теперь рестартуем демон tor через systemctl и смотрим в HiddenServiceDir. Там будет лежать несколько файлов — приватный ключ и ваш «луковый» hostname. Он представляет собой случайный идентификатор из 16 символов. Например, gjobqjj7wyczbqie.onion — адрес поискового ресурса Candle. Адрес полностью случаен, но при достаточно длительном переборе можно сгенерировать человекочитаемую пару из адреса и приватного ключа. Конечно, не на все 16 символов — на это ушло бы миллиарды лет. Например, у всем известного каталога книг обход Флибусты есть зеркало flibustahezeous3.onion, а Facebook потратил кучу ресурсов на то, чтобы выбрать из сгенерированных вариантов наиболее благозвучный: facebookcorewwwi.onion.Все, через какое-то время ваш ресурс будет проанонсирован и станет глобально доступен. Обратите внимание, что проксировать можно не только http-протокол, но и любой другой.Чеснок
Второй вариант задумывался как еще более параноидальный по своей сути. Проект i2p изначально не задумывался как средство для проксирования трафика в обычный интернет и по архитектуре является полностью закрытой оверлейной сетью. Отдельные гейты в обе стороны существуют, но это скорее исключение. Причем потенциально небезопасное.
Красный логотип эталонного i2p и пурпурный i2pd-реализацииУ i2p есть несколько вариантов реализации программных узлов-роутеров. Официальная имплементация написана на Java. И она просто чудовищно пожирает все доступные ресурсы как в плане RAM, так и CPU. Тем не менее именно она считается эталонной и проходит регулярный аудит. Я бы порекомендовал вам использовать куда более легковесный вариант — i2pd, написанный на C++. У него есть свои нюансы, из-за которых могут не работать некоторые i2p-приложения, но в целом это отличная альтернативная реализация. Проект активно пилится в настоящее время.Устанавливаем демона
Самое удобное, что авторы предусмотрели множество вариантов развертывания, включая docker и snap. Можно пойти путем классического репозитория.sudo add-apt-repository ppa:purplei2p/i2pdsudo apt-get updatesudo apt-get install i2pd
Но я бы советовал использовать snap. Он не только быстро и удобно развернет демона, но и обеспечит автоматическое обновление прямо из апстрима, в зависимости от выбранного канала распространения[email protected]:~$ snap info i2pdname: i2pdsummary: Distributed anonymous networking frameworkpublisher: Darknet Villain (supervillain)store-url: https://snapcraft.io/i2pdlicense: BSD-3-Clausedescription: | i2pd (I2P Daemon) is a full-featured C++ implementation of I2P client. I2P (Invisible Internet Protocol) is a universal anonymous network layer. All communications over I2P are anonymous and end-to-end encrypted, participants don't reveal their real IP addresses.snap-id: clap1qoxuw4OdjJHVqEeHEqBBgIvwOTvchannels: latest/stable: 2.32.1 2020-06-02 (62) 16MB - latest/candidate: ↑ latest/beta: ↑ latest/edge: 2.32.1 2020-06-02 (62) 16MB -
Установите snap, если вы этого еще не сделали и установите stable вариант по умолчанию:apt install snapdsnap install i2pd
Конфигурируем
У i2pd в отличие от web-gui Java версии нет такого количества настроек, крутилочек и вкладок. Только самое необходимое до аскетичности. Тем не менее проще всего будет настроить его напрямую в конфигурационном файле.Для того чтобы ваш веб-ресурс стал доступен в i2p, его необходимо его проксировать аналогично варианту с onion. Для этого зайдите в файл ~/.i2pd/tunnels.conf и добавьте ваш бэкенд.[anon-website]type = httphost = 127.0.0.1port = 8080keys = anon-website.dat
После рестарта демона вы получите случайный 32-битный адрес. Его можно посмотреть в веб-консоли, которая по умолчанию доступна в 127.0.0.1:7070/?page=i2p_tunnels. Не забудьте разрешить к ней доступ со своего IP-адреса, если необходимо. По умолчанию она доступна только на локальном интерфейсе. Там будет что-то страшноватое вида ukeu3k5oycgaauneqgtnvselmt4yemvoilkln7jpvamvfx7dnkdq.b32.i2p.В i2p-сети есть подобие DNS, но он скорее похож на разрозненный список /etc/hosts. Вы подписываетесь в консоли на конкретные источники, которые говорят вам, как добраться до условной flibusta.i2p. Поэтому имеет смысл добавиться с более или менее красивым именем на крупные ресурсы вроде inr.i2p.Можно ли развернуть i2p и onion у нас?
Сразу хочу предупредить RuVDS не абузоустойчивый хостинг. В случае мотивированной жалобы на нашего клиента мы можем расторгнуть договор и потушить виртуальную машину. Таким же образом поступят большинство хостеров. Впрочем, из-за особенностей архитектуры tor и особенно i2p очень сложно, а часто просто невозможно определить где именно хостится веб-сайт.Тем не менее ничего противозаконного в самом использовании подобных инструментов нет. Поэтому мы не будем возражать, если вы откроете зеркало своего легального веб-ресурса в оверлейных сетях. В любом случае я еще раз настойчиво рекомендую не экспериментировать вслепую с tor на домашней машине. Или IP может попасть в черные списки, или пативен приедет. Лучше арендуйте VPS, это недорого.
Onion ресурсы - Зерколо на kraken
та попросту не существует. Однако даже если вы не интересуетесь «темной сетью», это не значит, что она уже не заинтересовалась вами.В прошлой статье речь шла о товарах и услугах, продающихся в даркнете. Сегодня мы расскажем, что из себя представляет «темная паутина» а главное — как бизнесу воспользоваться полученным знанием.Попасть на «темную сторону» не так просто. Для этого понадобится специальный браузер – Tor. Он направляет запросы веб-страницы через серию прокси-серверов, которыми управляют тысячи добровольцев по всему миру, делая IP-адрес неидентифицируемым и неотслеживаемым.Этот браузер — яркий пример того, как технологии, созданные для благого дела – обеспечения свободы индивидуума во всемирной паутине, стали применяться отнюдь не в хороших целях.Внешне сайты даркнета практически не отличаются от обычных веб-ресурсов. Однако главный маркер «темной паутины» — разница в структуре доменных имен. Вместо обычных .com или .ru, скрытые от глаз рядового пользователя страницы, заканчиваются на .onion. Согласно Википедии, это специальный суффикс домена верхнего уровня, обозначающий анонимный скрытый сервис, доступный через сеть Tor. Браузеры с соответствующим прокси-сервером могут получить доступ к этим сайтам, а другие — нет.Кроме того, в даркнете принято использовать зашифрованную структуру именования, которая создает сложные URL-адреса. Например, адрес популярного коммерческого сайта Dream Market — eajwlvm3z2lcca76.onion.Атмосфера Dark Web очень напоминает 90-е в странах СНГ. Одни ресурсы, просуществовавшие некоторое время, закрываются, поскольку их основатели решили «кинуть» пользователей и сбежать с деньгами. За другими администраторами приходят представители силовых ведомств. Например, так произошло в 2017 году, когда офицеры киберполиции трех стран успешно закрыли AlphaBay — крупнейший источник контрабанды в даркнете. Третьи «падают» под натиском DDoS-атак, организованных конкурентами.Знание и понимание этого «мира дикого запада» крайне важно для бизнеса по двум причинам.Первая – возможность предиктивной аналитики возможных рисков. Многие западные специалисты по информационной безопасности регулярно изучают даркнет, чтобы быть в курсе актуальных трендов злоумышленников. Например, пришедшийся на коронакризис всплеск активности вирусов-вымогателей еще до начала массовых атак нашел свое отражение в Dark Web. Кроме резкого роста количества специфического вирусного ПО, исследователи зафиксировали появление новых моделей монетизации вредоносов. Так называемые «производители» вирусов в большинстве своем отказались от самостоятельных атак, сконцентрировавшись на разработке и модернизации программного обеспечения. При этом хакерские группы получили возможность воспользоваться самыми совершенными средствами нападения совершенно бесплатно. Единственное условие – в случае успешной атаки они должны перечислить определенный процент «добычи» «вендору».Вторая важная причина анализа даркнета – тактическая. Ни для кого не секрет, что 90% проблем безопасности связанно с «человеческим фактором» — работниками компании. Которые, руководствуясь злым умыслом или исключительно по глупости, подвергают сохранность конфиденциальных данных серьезным рискам.Например, попытка установить браузер Tor на рабочую машину – явный сигнал, свидетельствующий о предстоящем ЧП. Сложно представить стандартную задачу, с которой поможет справиться работнику этот браузер. Попытка скрыть свою активность в сети свидетельствует о том, что сотрудник или перемещается по потенциально опасным сайтам или собирается поделиться конфиденциальной информацией. Итогом такой деятельности может стать как заражение сети вредоносом, так и утечка данных.Не стоит сбрасывать со счетов один из наиболее популярных видов деятельности в даркнете – распространение наркотиков. Дилеры регулярно отправляют в мессенджерах и социальных сетях потенциальным клиентам ссылки на интернет-магазины с товаром. Которые, естественно, представлены в формате «имя плюс домен onion». Используя системы мониторинга и включив подобные конструкции в словари угроз, руководитель сможет выявить случаи употребления нелегальных веществ на рабочем месте.К счастью, наркомания в офисе — скорее исключение, чем правило. Однако это не значит, что апгрейдом словарей стоит пренебречь: любое входящее или исходящее сообщение, содержащее ссылку на один из ресурсов даркнета – явный признак приближающейся беды.