Tor项目制造了一个允许任何人匿名上网的浏览器。Tor代表"洋葱路由器"，它描述了服务的工作原理。流量通过互联网上运行的多个中继路由，每个中继只知道下一跳（因为每个跳都封装在一个加密信封中），而不是最终目的地，直到流量到达连接到网站的最终出口节点——就像剥洋葱皮一样。CC BY 2.0图像作者：Ben Salter把它想象成一个黑匣子：流量进入这个盒子，在一组随机的中继之间跳跃，最终出来连接到请求的站点。匿名性是有保证的，因为任何监控网络的人都很难将发出请求的个人与进入黑盒子的个人联系起来。匿名的重要性和挑战我们CloudFlare相信，在线匿名非常重要。例如，Tor有助于确保生活在压制性政权中的个人能够获得可能被封锁或非法的信息。我们认为这一点非常重要，因此我们通过伽利略计划免费提供服务，以保护政治和艺术上重要的组织和记者不受攻击，否则会审查他们的工作。另一方面，匿名性也为在线攻击者提供了价值。根据CloudFlare网络上的数据，我们在Tor网络上看到的94%的请求本身都是恶意的。这并不意味着他们正在访问有争议的内容，而是他们是自动请求，旨在伤害我们的客户。大量的评论垃圾邮件、漏洞扫描、广告点击欺诈、内容抓取和登录扫描都是通过Tor网络进行的。给你点感觉，根据"蜜罐计划"的数据，全球18%的垃圾邮件，或者每年约6.5万亿条不需要的邮件，都是从一个自动机器人通过Tor网络收集电子邮件地址开始的。来自Tor项目的CC BY 3.0徽标在CloudFlare，我们并没有明确地对待来自Tor的流量有任何区别，但是Tor浏览器的用户更容易受到CAPTCHAs或其他限制的干扰。这是因为，像所有连接到我们网络的IP地址一样，我们检查他们发出的请求，并给IP分配一个威胁分数。不幸的是，由于来自Tor网络的请求的比例如此之高，Tor出口节点的IP通常具有非常高的威胁分数。对于大多数浏览器，我们可以利用浏览器在网络上发出的其他请求的信誉来覆盖连接到我们网络的IP地址的坏名声。例如，如果你访问一家只供黑客使用的咖啡店，咖啡店WiFi的IP可能会有坏名声。但是，如果我们看到你的浏览器在互联网上的其他地方表现得像一个普通的网络冲浪者而不是黑客，那么我们可以利用你浏览器的良好声誉来掩盖黑客咖啡店IP的坏名声。Tor浏览器的设计故意使个人浏览器的声誉难以建立。这是件好事。Tor的承诺是匿名。跨请求跟踪浏览器的行为会牺牲匿名性。所以，虽然我们可以使用超级cookie或其他技术来绕过Tor的匿名保护，但我们认为这会令人毛骨悚然，并选择不这样做，因为我们相信匿名在线很重要。不幸的是，这意味着当一个请求连接到我们的网络时，我们所能依赖的就是IP的信誉和请求本身的内容。安全性，匿名性，方便性：随便选两个这种情况让我想起了你在餐车上看到的标志："快、好、便宜（随便选两个）。"在我们的例子中，三个相互竞争的利益是安全性、匿名性和便利性。不幸的是，你不能提供所有三个，所以问题是：你牺牲了什么？我们不能牺牲客户的在线安全性。我们还认为匿名是至关重要的，亲眼目睹了压制性政权如何利用对网络的控制来限制对内容的访问。这样一来，Tor浏览器的用户就失去了一些便利。验证码从根本上说，我们面临的挑战是如何识别合法用户通过Tor发送的自动恶意流量。为了做到这一点，当一个访问者来自一个名声不好的Tor出口节点时，我们通常会使用某种验证码。CAPTCHA代表"完全自动化的公共图灵测试来区分计算机和人类"——这正是我们要做的。验证码已经以你在一个盒子里输入的曲折字母而闻名，但它们可能是任何对真实人类来说相对容易，但对自动化系统来说却很难的东西。构建验证码是一个极其困难的计算机科学问题，因为人类比机器更擅长的东西越来越少。我们目前使用谷歌的reCAPTCHA，最近从旧版的"squiggly letters"版本切换到最新版本，以使人类的生活更轻松，机器人的生活更艰难。我们对reCAPTCHA不是特别满意，但我们还没有找到一个更好的替代品，可以在我们的规模下运作。为了确保我们的团队了解CAPTCHA可能带来的痛苦，我封锁了Cloudflare办公室中使用的所有IP地址，以便我们的员工每次访问我们客户的站点时都需要通过验证码。这种狗狗式的体验使我们做出了一些改变，使CAPTCHAs更加方便，包括说服Google允许我们使用他们的新版reCAPTCHA。这是更好的，但仍然不如使用非Tor浏览器方便。我们还根据自己必须通过验证码（CAPTCHA）的经验进行了更改，该验证码将所有Tor出口IP视为集群的一部分，因此，如果您为某个IP通过了验证码，那么如果您的电路发生了更改，则无需再次通过验证码。在过去的12个月里，我们已经逐步实现了我们的目标，即找到一种方法来提供一种能够区分自动和人工流量的验证码，而不会给人类带来太大不便——但我们还没有做到这一点。由于Tor出口节点的列表是公开的，我们已经公开了用于检查出口节点声誉和寿命的工具。torhoney匹配torexit节点和projecthoneypot中的信息，以查看哪些节点被最误用，torexit可用于确定tore出口节点的寿命。我们用它来调整Tor出口节点列表的下载，以确保我们是最新的。使用torhoney，我们制作了下面的图表，显示了去年被HoneyPot项目列为评论垃圾邮件发送者的TorExit节点的百分比。正如你所看到的，这个比例正在稳步上升。使用torexit，我们生成了以下图表。每列代表一个单独的Tor出口节点，每行间隔15分钟。白色表示在15分钟的时间间隔内，退出节点不在退出节点列表中。如您所见，大多数出口节点都是稳定的，并且连续工作。右边是在某个时刻消失的节点，左边倾斜的节点块出现24小时，然后消失（可能是因为DHCP租约）。我们目前的执行存在一些问题，我们对此并不满意。一是谷歌自己发现了来自Tor的大量恶意流量，因此他们对Tor用户提出的reCAPTCHA挑战是最困难的。我们正在和谷歌讨论如何克服这个问题。另一个问题是，你必须为你访问的每个站点传递一个验证码。不幸的是，要解决这个问题，我们需要跨站点跟踪Tor用户，这会牺牲Tor的匿名性，所以我们认为这是不可接受的。不完全解那么潜在的解决方案是什么呢？一个建议是，我们对待静态内容的GET请求与对待POSTs等风险更大的请求不同。事实上，我们已经将更危险的请求与风险较小的请求区别对待。问题是Tor出口节点通常会因为它们发送的所有恶意请求而名声很差，而仅仅使用GET就可能造成很大的危害。内容抓取、广告点击欺诈和漏洞扫描都是我们的客户要求我们保护他们免受的威胁，而且都只接受GET请求。另一个建议是，我们允许客户允许Tor退出节点。我们抵制了一段时间，但也许不是因为你所期望的原因。如果我们通过应用一个允许网络IP的规则来提供一种区别对待Tor的方法，我们就无法想出一个合理的理由不同时提供一种阻止网络的方法。而且，虽然Tor用户认为站点允许他们的流量是一个无需考虑的问题，但是如果你真的和网站所有者交谈，大多数人会倾向于完全阻止Tor的流量。事实上，当我们查看我们的客户群时，我们发现手动进入Tor出口节点IP来阻止它们的数量远远多于允许它们的数量。我们不想让区块列表变得更容易，因为我们再次相信Tor提供的匿名网络冲浪是有价值的。几周前，我们让步了，允许我们的客户指定适用于Tor网络流量的规则，但我们想出了一个折衷方案，以防止由于完全封锁而造成的损害。我们现在允许我们的客户像对待来自某个国家的流量一样对待Tor（具体国家代码为"T1"）。就像国家一样，任何人都可以允许流量，但我们不允许自助服务客户完全阻塞流量。用户可以强制流量查看验证码，但不能完全阻止流量。然而，如何处理Tor的选择权现在掌握在各个网站所有者手中。长期解决方案长期解决方案必须是允许自动的、恶意的流量与通过