Como Funciona o Tor Browser: Roteamento em Camadas, Cadeias, Pontes e Pontos Fracos
Este artigo detalha o funcionamento interno do Tor Browser, explicando o roteamento em camadas, as cadeias de nós, o uso de pontes para contornar a censura e as vulnerabilidades existentes. Ele aborda como o Tor Browser protege a privacidade, mas também destaca as limitações e os riscos associados ao seu uso.
MundiX News·14 de maio de 2026·11 min de leitura·👁 3 views
PetrVasilchenko
Há 49 minutos
Como Funciona o Tor Browser: Roteamento em Camadas, Cadeias, Pontes e Pontos Fracos
Simples
11 min
1.4K
Segurança da Informação
*
Tecnologias de Rede
*
Navegadores
Código Aberto
*
Administração de Sistemas
*
FAQ
Tor é frequentemente descrito de forma simplista: "navegador para anonimato", "entrada na darknet", "ferramenta para contornar bloqueios". Formalmente, tudo isso é verdade, mas tais descrições quase nada explicam.
O que me interessa é outra coisa: o que acontece entre pressionar Enter na barra de endereço e carregar a página. Por que o site não vê meu IP real? Por que o provedor vê o fato de se conectar ao Tor, mas não vê o site? Por que o nó de saída é perigoso para HTTP? Por que não se deve transformar o Tor Browser em um Firefox comum com vinte extensões?
Estou analisando a mecânica.
Tor Browser e Tor - são diferentes camadas de um mesmo sistema
Tor Browser é um navegador baseado no Firefox ESR, configurado para que todo o tráfego da web passe pela rede Tor. Dentro dele, não há apenas um "proxy", mas uma combinação de navegador, cliente Tor, configurações de privacidade, NoScript e um conjunto de patches contra rastreamento. O Tor Project descreve diretamente o Tor Browser como Firefox ESR com modificações para privacidade e segurança.
A rede Tor é uma coisa separada. É uma rede de sobreposição de retransmissores. Alguns nós aceitam a conexão do usuário, outros impulsionam o tráfego dentro da rede, outros o liberam para a internet comum. Em materiais antigos, isso geralmente é desenhado como uma cadeia: cliente → nó de guarda → nó intermediário → nó de saída → site.
Como o tráfego passa pela rede Tor
A essência do Tor é que nenhum nó da cadeia deve saber o quadro completo.
O nó de guarda vê o IP do usuário, mas não sabe qual site ele está acessando. O nó de saída vê o site, mas não sabe o IP do usuário. O nó intermediário é necessário como uma camada intermediária para que a entrada e a saída não estejam próximas na rota.
E aqui começa a parte mais interessante - a cebola.
Por que o roteamento é "em camadas"
Quando o cliente Tor constrói uma cadeia, ele não pega três servidores aleatórios e não envia uma solicitação normal para o site através deles. Primeiro, ele negocia chaves com cada nó da rota. Separadamente com o nó de guarda, separadamente com o nó intermediário, separadamente com o nó de saída.
Depois disso, a solicitação é empacotada em várias camadas de criptografia. Daí o roteamento "em camadas".
Do lado de fora está a camada para o nó de guarda. Ele remove apenas sua camada e vê para onde transferir os dados. A próxima camada só pode ser removida pelo nó intermediário. A última camada é removida pelo nó de saída, após o que a solicitação vai para o site.
Este é um esquema simplificado. Na realidade, o Tor funciona não com "pacotes grandes", mas com células de tamanho fixo. Existem conexões TLS entre os nós, as chaves são acordadas para a cadeia, e o fluxo do aplicativo é dividido em partes. Mas para entender a ideia básica, o modelo de cebola é adequado: cada nó remove apenas sua camada e conhece apenas seus vizinhos.
Daí um pensamento importante. Tor não torna cada nó confiável. Ele faz com que um nó não veja o quadro completo.
Um nó de guarda ruim pode descobrir que o usuário se conectou ao Tor. Desagradável. Mas ele não sabe qual site está aberto no final da cadeia.
Um nó de saída ruim pode ver para onde o tráfego vai depois do Tor. Se for HTTP, ele pode ler o conteúdo. Se for HTTPS, o conteúdo já está protegido pelo TLS. Mas o IP real do usuário, o nó de saída em si não vê.
O problema começa quando o oponente observa ambas as extremidades: a conexão do usuário com o nó de guarda e a conexão do nó de saída com o site. Aqui não se trata mais de quebrar a criptografia, mas de correlação. Tempo, volume de tráfego, atrasos, picos de atividade semelhantes.
Tor reduz esses riscos, mas não cancela a física da rede. Se alguém vê pontos de observação suficientes, ele tem material para análise. Esta é uma parte desagradável do modelo de ameaças, que é frequentemente esquecida em explicações populares.
Como o Tor criptografa o tráfego
Como o Tor escolhe os nós
Após o lançamento, o cliente Tor precisa de um mapa de rede atualizado. Ele não pega os endereços dos nós de uma lista aleatória na internet.
No Tor, há um conjunto de diretórios autoritativos - as autoridades de diretório. Eles votam no estado atual da rede e publicam um consenso geral. Este é um documento com uma lista de retransmissores: quais nós estão disponíveis, quais estão funcionando há muito tempo, quais são adequados para entrada, quais podem ser de saída, a quais nós mais carga pode ser dada.
Sem esse catálogo, o cliente teria que confiar em endereços IP aleatórios. Má ideia. Um nó pode fingir ser normal, estar sobrecarregado, desaparecer em um minuto ou simplesmente não ser adequado para o papel necessário.
Com o nó de guarda, é uma história separada. Este é o primeiro nó da cadeia, e o Tor o escolhe com cuidado.
À primeira vista, parece que é mais seguro mudar constantemente a entrada na rede. Hoje um guarda, amanhã outro, depois o terceiro. Mais mistura, mais anonimato. A lógica é clara, mas para o Tor é perigoso.
Se você pegar um novo primeiro nó toda vez, a chance de acabar em um nó observador aumenta. Portanto, o Tor se apega a um conjunto limitado de nós de guarda. Menos entradas diferentes - menos tentativas de pegar o usuário em uma entrada ruim.
O nó de saída é selecionado por outra lógica. Ele deve ser adequado para a conexão necessária e sua política de saída. O operador do nó de saída define por conta própria para onde está pronto para liberar o tráfego. Um permite as portas 80 e 443, outro fecha o SMTP, o terceiro não funciona como saída.
Os nós de saída recebem mais reclamações, porque para o site externo eles parecem ser a fonte da conexão. O usuário está sentado atrás da cadeia Tor, e o site vê o IP do nó de saída. É por isso que nem todo operador quer assumir esse papel.
Como o Tor escolhe os nós
O que o provedor, o site e os nós Tor veem
O erro mais comum é pensar que o Tor torna o usuário invisível para todos.
Não. Ele simplesmente divide as informações entre os diferentes participantes da cadeia.
Se o usuário se conecta ao Tor da maneira usual, o provedor geralmente vê o próprio fato da conexão. Ele pode ver o IP do nó de guarda, o tempo de conexão, o volume de tráfego e os sinais de rede. Com pontes e obfs4, tudo é menos direto, mas ainda não há mágica: o provedor vê a conexão, apenas é mais difícil para ele entender o que está acontecendo.
O site específico dentro da cadeia o provedor não deve ver.
Um site comum na internet vê o IP do nó de saída. Não o IP real do usuário. Para o site, a solicitação parece ter vindo da saída Tor, e é por isso que alguns sites cortam o Tor, jogam CAPTCHAs ou tratam esse tráfego com suspeita.
O nó de guarda vê o usuário. Ele sabe quem entrou no Tor. Mas ele não conhece o site final.
O nó intermediário vê apenas os vizinhos na cadeia. Para ele, é apenas uma transferência.
O nó de saída vê para onde o tráfego vai do Tor. Se for HTTP, tudo é ruim: a saída pode ler e alterar o conteúdo. Logins, formulários, páginas, respostas do servidor - tudo passa sem proteção TLS.
Se for HTTPS, a situação é diferente. A saída ainda vê que a conexão está indo para algum lugar. Dependendo do DNS, SNI, ECH e do esquema específico, ele pode ver parte dos metadados. Mas ele não deve ler o conteúdo das solicitações e respostas HTTP. Ele é fechado pelo TLS.
Daí uma conclusão simples: Tor Browser não substitui HTTPS.
Tor esconde a rota. HTTPS protege o conteúdo. Estas são tarefas diferentes.
E há ainda um nível acima - o próprio navegador e o comportamento do usuário. O IP real pode vazar não porque "o Tor quebrou", mas por causa de um aplicativo externo, documento, extensão, configuração estranha ou autorização em uma conta pessoal. A rota da rede pode ser perfeitamente oculta, mas se o usuário entrar em seu perfil principal, o anonimato termina no nível do aplicativo.
Quem vê o que no Tor
Como a cadeia é construída
O cliente Tor abre uma conexão com o primeiro nó e gradualmente expande a cadeia. Ele não passa para o nó de guarda uma lista pronta de toda a rota em formato aberto. O cliente diz à entrada: "conecte-me ao próximo nó", então, através da seção já criada, negocia com o segundo nó, depois, através de duas seções, negocia com o terceiro.
Isso é semelhante à montagem de um túnel por dentro. Cada nova seção é adicionada para que os nós anteriores não recebam informações extras.
Em seguida, o navegador passa a solicitação para o cliente Tor através de um proxy SOCKS local. O cliente Tor divide o fluxo em células, as criptografa para a cadeia e as envia pela rota. Na saída, as células são novamente reunidas em um fluxo TCP para o site necessário.
Há um compromisso desagradável aqui: Tor é uma rede de baixa latência. Ele é necessário para a web interativa, onde a página deve abrir agora, e não em meia hora. Portanto, o Tor não pode simplesmente misturar pacotes por horas, como uma rede mix teórica. A velocidade é melhor, e a proteção contra correlação no tempo é pior.
Tor não é um "tubo anônimo" mágico. Ele está constantemente negociando com a realidade: latência, largura de banda, número de usuários, número de nós, resistência a bloqueios, conveniência do navegador.
Como o Tor constrói a cadeia
Por que o Tor Browser luta contra a impressão digital do navegador
Suponha que a camada de rede tenha funcionado. O site vê o IP do nó de saída. Bom.
Mas o site pode tentar descobrir o usuário pelo navegador. O tamanho da janela, a lista de fontes, o idioma, o fuso horário, a tela, o WebGL, as APIs disponíveis, o comportamento do JavaScript, as características de renderização. Isso é chamado de browser fingerprinting. O objetivo de proteger o Tor Browser é tornar os usuários semelhantes uns aos outros, e não dar a cada um um perfil único perfeitamente "mascarado".
Portanto, o Tor Browser padroniza e limita parte dos parâmetros. Por exemplo, ele usa letterboxing: adiciona campos ao redor da página para que os tamanhos da janela caiam em cestas mais grosseiras. Isso reduz o valor da impressão digital pela resolução da tela. O Tor Project descreve separadamente essas medidas: limitar a enumeração de fontes, padronizar os tamanhos da janela, reduzir a diversidade das configurações de idioma.
Daí uma conclusão prática: quando o usuário começa a "melhorar" o Tor Browser com extensões, temas, configurações não padrão e modo de tela cheia, ele geralmente se torna mais perceptível. Não porque a extensão seja necessariamente prejudicial. É só que ela adiciona diferenças.
Em um navegador comum, a privacidade é frequentemente construída em torno do bloqueio de rastreadores. No Tor Browser, a ideia é mais grosseira e rigorosa: ser semelhante a outros usuários do Tor Browser.
Como o Tor Browser luta contra o fingerprinting
Por que o JavaScript no Tor é um problema sério
JavaScript é necessário para a web moderna. Sem ele, metade dos sites ou quebra ou se transforma em um museu.
Mas JavaScript expande a superfície de ataque. Através dele, você pode coletar a impressão digital do navegador, verificar as características do ambiente, tentar explorar as vulnerabilidades do mecanismo, vincular ações entre as guias. Portanto, no Tor Browser, existem níveis de segurança. Quanto maior o nível, mais conteúdo ativo é cortado.
Isso não torna o navegador "absolutamente seguro". A história dos navegadores em geral mostra que um mecanismo JS complexo é um alvo gordo. O Tor Browser reduz o risco, mas continua sendo um navegador. Ele analisa HTML, CSS, JS, imagens, fontes, vídeos. Cada analisador é código. O código às vezes quebra.
Pontes: quando o Tor é bloqueado na entrada
Os nós públicos do Tor podem ser baixados em uma lista. Isso é necessário para o funcionamento da rede, mas o censor pode pegar a mesma lista e bloquear a conexão com os nós de guarda. Artigos antigos sobre o Tor geralmente explicam isso através de duas estratégias de bloqueio: bloquear as saídas do Tor do lado dos sites ou bloquear a entrada de usuários na rede Tor. No PDF anexado, esse problema é descrito através da publicidade da lista de nós e da transição para pontes como uma solução para o acesso devido à censura.
As pontes são entradas não públicas na rede Tor. Elas não são publicadas no documento de consenso usual como retransmissores padrão. O usuário recebe várias pontes e se conecta através delas.
Mas apenas um "IP secreto" já é uma proteção fraca. O censor pode procurar tráfego Tor característico através do DPI. Portanto, apareceram pluggable transports - invólucros de transporte substituíveis que alteram a aparência da conexão. O Tor Browser agora usa Lyrebird para esses transportes, incluindo obfs4, meek, Snowflake e WebTunnel.
O significado deles é diferente.
obfs4
tenta tornar o tráfego menos semelhante ao Tor e complicar a varredura ativa das pontes.
Snowflake
usa proxies temporários voluntários e WebRTC. Esta é uma superfície em constante mudança, é mais difícil para o censor simplesmente compilar uma lista de IPs e fechar o assunto.
meek
historicamente usou a ideia de domain fronting, quando o tráfego parecia uma solicitação a uma grande plataforma. Agora é mais difícil, porque os grandes provedores mudaram as regras.
WebTunnel
mascara a conexão como tráfego HTTPS normal para um servidor web. Este já é um jogo de semelhança com a web normal, mas os censores também não ficam parados.
Como o Tor contorna os bloqueios
Serviços Onion: quando o site também se esconde
O cenário normal do Tor é o seguinte: o usuário esconde seu IP do site, mas o site está na internet comum. Ele tem um IP, hospedagem, data center, DNS.
O serviço Onion funciona de forma diferente. O site vive dentro do Tor, seu endereço termina em
.onion
e o IP real do servidor não é revelado ao cliente. Nos serviços onion v3, um esquema com pontos de introdução, descritores de serviço onion, HSDir e ponto de encontro é usado. A especificação oficial do Tor descreve os papéis do diretório de serviço oculto, ponto de introdução e ponto de encontro precisamente para este esquema.
A grosso modo, o processo se parece com isto:
O serviço seleciona com antecedência vários pontos de introdução e publica um descritor assinado em um diretório distribuído. O cliente, conhecendo o
.onion
-endereço, encontra o descritor, seleciona o ponto de encontro e, através do ponto de introdução, passa ao serviço um convite para se encontrar. O serviço constrói sua cadeia para o ponto de encontro. O cliente já tem sua cadeia para o mesmo ponto de encontro.
Como resultado, o cliente e o serviço se comunicam através do ponto de encontro. O ponto de encontro não sabe onde o serviço está fisicamente e não sabe o IP real do cliente. Ele simplesmente retransmite dados criptografados entre duas cadeias Tor. A explicação oficial da Tor Community descreve uma sequência semelhante: o ponto de introdução passa os dados do cliente e o endereço do ponto de encontro para o serviço, após o qual o serviço decide se deve se conectar a esta reunião.
Aqui aparece o preço. O serviço Onion geralmente é mais lento do que um site comum através do Tor, porque a rota é mais longa: a cadeia do cliente mais a cadeia do serviço. Mas o servidor não revela o IP.
Como os serviços onion funcionam no Tor
Onde o Tor é realmente forte
Tor resolve bem várias tarefas.
Esconde o IP real do usuário do site.
Impede que o provedor veja os sites específicos que o usuário abre.
Ajuda a contornar a censura da rede, especialmente com pontes e transportes.
Fornece infraestrutura para serviços onion, onde não apenas o cliente, mas também o servidor se esconde.
Reduz a conectividade entre as sessões devido às configurações do Tor Browser, isolamento e combate ao fingerprinting.
Para jornalistas, pesquisadores, ativistas, usuários comuns em redes rígidas, esta é uma coisa séria. Não porque você precisa da "darknet", mas porque o acesso à informação às vezes se torna uma tarefa técnica em si.
A DW em um material de 2024
escreve sobre as contínuas disputas em torno da segurança do Tor e a pressão sobre a infraestrutura da darknet, embora o próprio Tor continue sendo uma das principais ferramentas de acesso anônimo.
Onde o Tor é fraco
Tor não salva da desanonimização voluntária. Se você entrar em uma conta pessoal, escrever seu número de telefone, carregar um documento com metadados ou abrir um link de seu e-mail pessoal, a rede já não ajudará muito.
Tor não garante proteção contra um observador global. Se o oponente vê o tráfego de entrada do usuário e o tráfego de saída do nó de saída, ele pode tentar correlacionar eventos. Estudos sobre website fingerprinting mostraram que mesmo o tráfego Tor criptografado pode ser classificado por tempo e volume de pacotes, embora a aplicabilidade prática dependa do modelo do atacante e das condições do experimento.
Tor não protege o conteúdo HTTP do nó de saída. Aqui você precisa de HTTPS.
Tor não gosta de BitTorrent. Os torrents são barulhentos, criam carga, geralmente revelam o IP através de DHT, UDP, rastreadores e recursos do cliente. Em materiais antigos populares, você pode encontrar a frase de que os aplicativos P2P podem ser configurados no Tor, mas para privacidade real, esta é uma má ideia: muitos caminhos para vazamentos, muito tráfego, muito pouco benefício para a rede.
Tor Browser não deve ser transformado em uma combinação pessoal. Extensões, configurações não padrão, logins em contas pessoais, documentos baixados, abertos fora do ambiente isolado - tudo isso quebra o modelo de "ser semelhante aos outros".
O que acontece quando você muda de identidade
No Tor Browser, há uma Nova Identidade. O usuário clica no botão, o navegador fecha as guias, limpa o estado, redefine as cadeias. A ideia é simples: a nova atividade não deve ser conectada à antiga.
Mas aqui está a sutileza. A cadeia de rede é apenas parte do estado. Existem cookies, cache, localStorage, IndexedDB, HSTS, o estado das extensões, os processos do navegador, a impressão digital do ambiente. O Tor Browser corta essas conexões há anos, mas o navegador é um programa enorme. Vulnerabilidades nos mecanismos de isolamento às vezes aparecem mesmo em projetos que são construídos em torno da privacidade. Portanto, a disciplina do usuário continua sendo parte do modelo de segurança.
Eu formularia assim: o Tor Browser torna o comportamento seguro mais fácil, mas não torna o comportamento perigoso seguro.
Por que o Tor é mais lento que um navegador comum
Porque a solicitação não vai diretamente.
Um navegador comum constrói uma conexão com o site ou CDN próximo ao usuário. Tor impulsiona o tráfego através de vários nós voluntários, muitas vezes em diferentes países. Cada seção adiciona um atraso. A largura de banda é limitada pelo ponto mais fraco da cadeia. Os nós de saída estão sobrecarregados mais fortemente, porque há menos deles e há mais pressão legal sobre eles.
Há criptografia, mas não é o principal freio. O principal preço é a rota, atrasos, filas, infraestrutura voluntária.
Portanto, o Tor não é adequado para o consumo pesado de mídia, grandes downloads e tráfego em segundo plano constante. Ele é projetado para acesso privado à web, e não para substituir um canal doméstico gigabit.
Conclusão
Tor Browser não é um "navegador com um IP diferente". É um sistema cuidadosamente montado de anonimato de rede, configurações do navegador, proteção contra impressões digitais, isolamento de estado, pontes e transportes para contornar a censura.
O roteamento em camadas resolve a principal tarefa: divide o conhecimento entre os nós. A entrada conhece o usuário, a saída conhece o site, o meio quebra a conexão direta. O Tor Browser adiciona a isso uma camada aplicada: torna os usuários semelhantes uns aos outros e corta os mecanismos de rastreamento da web.
Os pontos fracos não desaparecem. Os nós de saída são perigosos para HTTP. O fingerprinting permanece uma corrida. A correlação de tráfego é possível para um observador forte. O comportamento do usuário às vezes desanonimiza mais rápido do que qualquer ataque.
Mas a própria arquitetura do Tor ainda é bonita. Ela é honesta: não dá garantias, mas divide a confiança em pedaços. E é por isso que funciona há muitos anos.
Muito obrigado a todos por lerem o artigo até o fim! Ficarei feliz em vê-lo em meu
Canal do Telegram
, lá continuo a analisar tópicos relacionados à segurança cibernética: higiene digital, privacidade, desanonimização, antifraude, OSINT, esquemas de ataque reais e tudo o que ajuda a entender melhor as ameaças ao seu redor.
Tags:
Tor
Tor Browser
roteamento em camadas
onion routing
anonimato
privacidade
nó de guarda
nó de saída
pontes Tor
browser fingerprinting
Hubs:
Segurança da Informação
Tecnologias de Rede
Navegadores
Código Aberto
Administração de Sistemas
PetrVasilchenko
Há 49 minutos
Como Funciona o Tor Browser: Roteamento em Camadas, Cadeias, Pontes e Pontos Fracos
Simples
11 min
1.4K
Segurança da Informação
*
Tecnologias de Rede
*
Navegadores
Código Aberto
*
Administração de Sistemas
*
FAQ
Tor é frequentemente descrito de forma simplista: "navegador para anonimato", "entrada na darknet", "ferramenta para contornar bloqueios". Formalmente, tudo isso é verdade, mas tais descrições quase nada explicam.
O que me interessa é outra coisa: o que acontece entre pressionar Enter na barra de endereço e carregar a página. Por que o site não vê meu IP real? Por que o provedor vê o fato de se conectar ao Tor, mas não vê o site? Por que o nó de saída é perigoso para HTTP? Por que não se deve transformar o Tor Browser em um Firefox comum com vinte extensões?
Estou analisando a mecânica.
Tor Browser e Tor - são diferentes camadas de um mesmo sistema
Tor Browser é um navegador baseado no Firefox ESR, configurado para que todo o tráfego da web passe pela rede Tor. Dentro dele, não há apenas um "proxy", mas uma combinação de navegador, cliente Tor, configurações de privacidade, NoScript e um conjunto de patches contra rastreamento. O Tor Project descreve diretamente o Tor Browser como Firefox ESR com modificações para privacidade e segurança.
A rede Tor é uma coisa separada. É uma rede de sobreposição de retransmissores. Alguns nós aceitam a conexão do usuário, outros impulsionam o tráfego dentro da rede, outros o liberam para a internet comum. Em materiais antigos, isso geralmente é desenhado como uma cadeia: cliente → nó de guarda → nó intermediário → nó de saída → site.
Como o tráfego passa pela rede Tor
A essência do Tor é que nenhum nó da cadeia deve saber o quadro completo.
O nó de guarda vê o IP do usuário, mas não sabe qual site ele está acessando. O nó de saída vê o site, mas não sabe o IP do usuário. O nó intermediário é necessário como uma camada intermediária para que a entrada e a saída não estejam próximas na rota.
E aqui começa a parte mais interessante - a cebola.
Por que o roteamento é "em camadas"
Quando o cliente Tor constrói uma cadeia, ele não pega três servidores aleatórios e não envia uma solicitação normal para o site através deles. Primeiro, ele negocia chaves com cada nó da rota. Separadamente com o nó de guarda, separadamente com o nó intermediário, separadamente com o nó de saída.
Depois disso, a solicitação é empacotada em várias camadas de criptografia. Daí o roteamento "em camadas".
Do lado de fora está a camada para o nó de guarda. Ele remove apenas sua camada e vê para onde transferir os dados. A próxima camada só pode ser removida pelo nó intermediário. A última camada é removida pelo nó de saída, após o que a solicitação vai para o site.
Este é um esquema simplificado. Na realidade, o Tor funciona não com "pacotes grandes", mas com células de tamanho fixo. Existem conexões TLS entre os nós, as chaves são acordadas para a cadeia, e o fluxo do aplicativo é dividido em partes. Mas para entender a ideia básica, o modelo de cebola é adequado: cada nó remove apenas sua camada e conhece apenas seus vizinhos.
Daí um pensamento importante. Tor não torna cada nó confiável. Ele faz com que um nó não veja o quadro completo.
Um nó de guarda ruim pode descobrir que o usuário se conectou ao Tor. Desagradável. Mas ele não sabe qual site está aberto no final da cadeia.
Um nó de saída ruim pode ver para onde o tráfego vai depois do Tor. Se for HTTP, ele pode ler o conteúdo. Se for HTTPS, o conteúdo já está protegido pelo TLS. Mas o IP real do usuário, o nó de saída em si não vê.
O problema começa quando o oponente observa ambas as extremidades: a conexão do usuário com o nó de guarda e a conexão do nó de saída com o site. Aqui não se trata mais de quebrar a criptografia, mas de correlação. Tempo, volume de tráfego, atrasos, picos de atividade semelhantes.
Tor reduz esses riscos, mas não cancela a física da rede. Se alguém vê pontos de observação suficientes, ele tem material para análise. Esta é uma parte desagradável do modelo de ameaças, que é frequentemente esquecida em explicações populares.
Como o Tor criptografa o tráfego
Como o Tor escolhe os nós
Após o lançamento, o cliente Tor precisa de um mapa de rede atualizado. Ele não pega os endereços dos nós de uma lista aleatória na internet.
No Tor, há um conjunto de diretórios autoritativos - as autoridades de diretório. Eles votam no estado atual da rede e publicam um consenso geral. Este é um documento com uma lista de retransmissores: quais nós estão disponíveis, quais estão funcionando há muito tempo, quais são adequados para entrada, quais podem ser de saída, a quais nós mais carga pode ser dada.
Sem esse catálogo, o cliente teria que confiar em endereços IP aleatórios. Má ideia. Um nó pode fingir ser normal, estar sobrecarregado, desaparecer em um minuto ou simplesmente não ser adequado para o papel necessário.
Com o nó de guarda, é uma história separada. Este é o primeiro nó da cadeia, e o Tor o escolhe com cuidado.
À primeira vista, parece que é mais seguro mudar constantemente a entrada na rede. Hoje um guarda, amanhã outro, depois o terceiro. Mais mistura, mais anonimato. A lógica é clara, mas para o Tor é perigoso.
Se você pegar um novo primeiro nó toda vez, a chance de acabar em um nó observador aumenta. Portanto, o Tor se apega a um conjunto limitado de nós de guarda. Menos entradas diferentes - menos tentativas de pegar o usuário em uma entrada ruim.
O nó de saída é selecionado por outra lógica. Ele deve ser adequado para a conexão necessária e sua política de saída. O operador do nó de saída define por conta própria para onde está pronto para liberar o tráfego. Um permite as portas 80 e 443, outro fecha o SMTP, o terceiro não funciona como saída.
Os nós de saída recebem mais reclamações, porque para o site externo eles parecem ser a fonte da conexão. O usuário está sentado atrás da cadeia Tor, e o site vê o IP do nó de saída. É por isso que nem todo operador quer assumir esse papel.
Como o Tor escolhe os nós
O que o provedor, o site e os nós Tor veem
O erro mais comum é pensar que o Tor torna o usuário invisível para todos.
Não. Ele simplesmente divide as informações entre os diferentes participantes da cadeia.
Se o usuário se conecta ao Tor da maneira usual, o provedor geralmente vê o próprio fato da conexão. Ele pode ver o IP do nó de guarda, o tempo de conexão, o volume de tráfego e os sinais de rede. Com pontes e obfs4, tudo é menos direto, mas ainda não há mágica: o provedor vê a conexão, apenas é mais difícil para ele entender o que está acontecendo.
O site específico dentro da cadeia o provedor não deve ver.
Um site comum na internet vê o IP do nó de saída. Não o IP real do usuário. Para o site, a solicitação parece ter vindo da saída Tor, e é por isso que alguns sites cortam o Tor, jogam CAPTCHAs ou tratam esse tráfego com suspeita.
O nó de guarda vê o usuário. Ele sabe quem entrou no Tor. Mas ele não conhece o site final.
O nó intermediário vê apenas os vizinhos na cadeia. Para ele, é apenas uma transferência.
O nó de saída vê para onde o tráfego vai do Tor. Se for HTTP, tudo é ruim: a saída pode ler e alterar o conteúdo. Logins, formulários, páginas, respostas do servidor - tudo passa sem proteção TLS.
Se for HTTPS, a situação é diferente. A saída ainda vê que a conexão está indo para algum lugar. Dependendo do DNS, SNI, ECH e do esquema específico, ele pode ver parte dos metadados. Mas ele não deve ler o conteúdo das solicitações e respostas HTTP. Ele é fechado pelo TLS.
Daí uma conclusão simples: Tor Browser não substitui HTTPS.
Tor esconde a rota. HTTPS protege o conteúdo. Estas são tarefas diferentes.
E há ainda um nível acima - o próprio navegador e o comportamento do usuário. O IP real pode vazar não porque "o Tor quebrou", mas por causa de um aplicativo externo, documento, extensão, configuração estranha ou autorização em uma conta pessoal. A rota da rede pode ser perfeitamente oculta, mas se o usuário entrar em seu perfil principal, o anonimato termina no nível do aplicativo.
Quem vê o que no Tor
Como a cadeia é construída
O cliente Tor abre uma conexão com o primeiro nó e gradualmente expande a cadeia. Ele não passa para o nó de guarda uma lista pronta de toda a rota em formato aberto. O cliente diz à entrada: "conecte-me ao próximo nó", então, através da seção já criada, negocia com o segundo nó, depois, através de duas seções, negocia com o terceiro.
Isso é semelhante à montagem de um túnel por dentro. Cada nova seção é adicionada para que os nós anteriores não recebam informações extras.
Em seguida, o navegador passa a solicitação para o cliente Tor através de um proxy SOCKS local. O cliente Tor divide o fluxo em células, as criptografa para a cadeia e as envia pela rota. Na saída, as células são novamente reunidas em um fluxo TCP para o site necessário.
Há um compromisso desagradável aqui: Tor é uma rede de baixa latência. Ele é necessário para a web interativa, onde a página deve abrir agora, e não em meia hora. Portanto, o Tor não pode simplesmente misturar pacotes por horas, como uma rede mix teórica. A velocidade é melhor, e a proteção contra correlação no tempo é pior.
Tor não é um "tubo anônimo" mágico. Ele está constantemente negociando com a realidade: latência, largura de banda, número de usuários, número de nós, resistência a bloqueios, conveniência do navegador.
Como o Tor constrói a cadeia
Por que o Tor Browser luta contra a impressão digital do navegador
Suponha que a camada de rede tenha funcionado. O site vê o IP do nó de saída. Bom.
Mas o site pode tentar descobrir o usuário pelo navegador. O tamanho da janela, a lista de fontes, o idioma, o fuso horário, a tela, o WebGL, as APIs disponíveis, o comportamento do JavaScript, as características de renderização. Isso é chamado de browser fingerprinting. O objetivo de proteger o Tor Browser é tornar os usuários semelhantes uns aos outros, e não dar a cada um um perfil único perfeitamente "mascarado".
Portanto, o Tor Browser padroniza e limita parte dos parâmetros. Por exemplo, ele usa letterboxing: adiciona campos ao redor da página para que os tamanhos da janela caiam em cestas mais grosseiras. Isso reduz o valor da impressão digital pela resolução da tela. O Tor Project descreve separadamente essas medidas: limitar a enumeração de fontes, padronizar os tamanhos da janela, reduzir a diversidade das configurações de idioma.
Daí uma conclusão prática: quando o usuário começa a "melhorar" o Tor Browser com extensões, temas, configurações não padrão e modo de tela cheia, ele geralmente se torna mais perceptível. Não porque a extensão seja necessariamente prejudicial. É só que ela adiciona diferenças.
Em um navegador comum, a privacidade é frequentemente construída em torno do bloqueio de rastreadores. No Tor Browser, a ideia é mais grosseira e rigorosa: ser semelhante a outros usuários do Tor Browser.
Como o Tor Browser luta contra o fingerprinting
Por que o JavaScript no Tor é um problema sério
JavaScript é necessário para a web moderna. Sem ele, metade dos sites ou quebra ou se transforma em um museu.
Mas JavaScript expande a superfície de ataque. Através dele, você pode coletar a impressão digital do navegador, verificar as características do ambiente, tentar explorar as vulnerabilidades do mecanismo, vincular ações entre as guias. Portanto, no Tor Browser, existem níveis de segurança. Quanto maior o nível, mais conteúdo ativo é cortado.
Isso não torna o navegador "absolutamente seguro". A história dos navegadores em geral mostra que um mecanismo JS complexo é um alvo gordo. O Tor Browser reduz o risco, mas continua sendo um navegador. Ele analisa HTML, CSS, JS, imagens, fontes, vídeos. Cada analisador é código. O código às vezes quebra.
Pontes: quando o Tor é bloqueado na entrada
Os nós públicos do Tor podem ser baixados em uma lista. Isso é necessário para o funcionamento da rede, mas o censor pode pegar a mesma lista e bloquear a conexão com os nós de guarda. Artigos antigos sobre o Tor geralmente explicam isso através de duas estratégias de bloqueio: bloquear as saídas do Tor do lado dos sites ou bloquear a entrada de usuários na rede Tor. No PDF anexado, esse problema é descrito através da publicidade da lista de nós e da transição para pontes como uma solução para o acesso devido à censura.
As pontes são entradas não públicas na rede Tor. Elas não são publicadas no documento de consenso usual como retransmissores padrão. O usuário recebe várias pontes e se conecta através delas.
Mas apenas um "IP secreto" já é uma proteção fraca. O censor pode procurar tráfego Tor característico através do DPI. Portanto, apareceram pluggable transports - invólucros de transporte substituíveis que alteram a aparência da conexão. O Tor Browser agora usa Lyrebird para esses transportes, incluindo obfs4, meek, Snowflake e WebTunnel.
O significado deles é diferente.
obfs4
tenta tornar o tráfego menos semelhante ao Tor e complicar a varredura ativa das pontes.
Snowflake
usa proxies temporários voluntários e WebRTC. Esta é uma superfície em constante mudança, é mais difícil para o censor simplesmente compilar uma lista de IPs e fechar o assunto.
meek
historicamente usou a ideia de domain fronting, quando o tráfego parecia uma solicitação a uma grande plataforma. Agora é mais difícil, porque os grandes provedores mudaram as regras.
WebTunnel
mascara a conexão como tráfego HTTPS normal para um servidor web. Este já é um jogo de semelhança com a web normal, mas os censores também não ficam parados.
Como o Tor contorna os bloqueios
Serviços Onion: quando o site também se esconde
O cenário normal do Tor é o seguinte: o usuário esconde seu IP do site, mas o site está na internet comum. Ele tem um IP, hospedagem, data center, DNS.
O serviço Onion funciona de forma diferente. O site vive dentro do Tor, seu endereço termina em
.onion
e o IP real do servidor não é revelado ao cliente. Nos serviços onion v3, um esquema com pontos de introdução, descritores de serviço onion, HSDir e ponto de encontro é usado. A especificação oficial do Tor descreve os papéis do diretório de serviço oculto, ponto de introdução e ponto de encontro precisamente para este esquema.
A grosso modo, o processo se parece com isto:
O serviço seleciona com antecedência vários pontos de introdução e publica um descritor assinado em um diretório distribuído. O cliente, conhecendo o
.onion
-endereço, encontra o descritor, seleciona o ponto de encontro e, através do ponto de introdução, passa ao serviço um convite para se encontrar. O serviço constrói sua cadeia para o ponto de encontro. O cliente já tem sua cadeia para o mesmo ponto de encontro.
Como resultado, o cliente e o serviço se comunicam através do ponto de encontro. O ponto de encontro não sabe onde o serviço está fisicamente e não sabe o IP real do cliente. Ele simplesmente retransmite dados criptografados entre duas cadeias Tor. A explicação oficial da Tor Community descreve uma sequência semelhante: o ponto de introdução passa os dados do cliente e o endereço do ponto de encontro para o serviço, após o qual o serviço decide se deve se conectar a esta reunião.
Aqui aparece o preço. O serviço Onion geralmente é mais lento do que um site comum através do Tor, porque a rota é mais longa: a cadeia do cliente mais a cadeia do serviço. Mas o servidor não revela o IP.
Como os serviços onion funcionam no Tor
Onde o Tor é realmente forte
Tor resolve bem várias tarefas.
Esconde o IP real do usuário do site.
Impede que o provedor veja os sites específicos que o usuário abre.
Ajuda a contornar a censura da rede, especialmente com pontes e transportes.
Fornece infraestrutura para serviços onion, onde não apenas o cliente, mas também o servidor se esconde.
Reduz a conectividade entre as sessões devido às configurações do Tor Browser, isolamento e combate ao fingerprinting.
Para jornalistas, pesquisadores, ativistas, usuários comuns em redes rígidas, esta é uma coisa séria. Não porque você precisa da "darknet", mas porque o acesso à informação às vezes se torna uma tarefa técnica em si.
A DW em um material de 2024
escreve sobre as contínuas disputas em torno da segurança do Tor e a pressão sobre a infraestrutura da darknet, embora o próprio Tor continue sendo uma das principais ferramentas de acesso anônimo.
Onde o Tor é fraco
Tor não salva da desanonimização voluntária. Se você entrar em uma conta pessoal, escrever seu número de telefone, carregar um documento com metadados ou abrir um link de seu e-mail pessoal, a rede já não ajudará muito.
Tor não garante proteção contra um observador global. Se o oponente vê o tráfego de entrada do usuário e o tráfego de saída do nó de saída, ele pode tentar correlacionar eventos. Estudos sobre website fingerprinting mostraram que mesmo o tráfego Tor criptografado pode ser classificado por tempo e volume de pacotes, embora a aplicabilidade prática dependa do modelo do atacante e das condições do experimento.
Tor não protege o conteúdo HTTP do nó de saída. Aqui você precisa de HTTPS.
Tor não gosta de BitTorrent. Os torrents são barulhentos, criam carga, geralmente revelam o IP através de DHT, UDP, rastreadores e recursos do cliente. Em materiais antigos populares, você pode encontrar a frase de que os aplicativos P2P podem ser configurados no Tor, mas para privacidade real, esta é uma má ideia: muitos caminhos para vazamentos, muito tráfego, muito pouco benefício para a rede.
Tor Browser não deve ser transformado em uma combinação pessoal. Extensões, configurações não padrão, logins em contas pessoais, documentos baixados, abertos fora do ambiente isolado - tudo isso quebra o modelo de "ser semelhante aos outros".
O que acontece quando você muda de identidade
No Tor Browser, há uma Nova Identidade. O usuário clica no botão, o navegador fecha as guias, limpa o estado, redefine as cadeias. A ideia é simples: a nova atividade não deve ser conectada à antiga.
Mas aqui está a sutileza. A cadeia de rede é apenas parte do estado. Existem cookies, cache, localStorage, IndexedDB, HSTS, o estado das extensões, os processos do navegador, a impressão digital do ambiente. O Tor Browser corta essas conexões há anos, mas o navegador é um programa enorme. Vulnerabilidades nos mecanismos de isolamento às vezes aparecem mesmo em projetos que são construídos em torno da privacidade. Portanto, a disciplina do usuário continua sendo parte do modelo de segurança.
Eu formularia assim: o Tor Browser torna o comportamento seguro mais fácil, mas não torna o comportamento perigoso seguro.
Por que o Tor é mais lento que um navegador comum
Porque a solicitação não vai diretamente.
Um navegador comum constrói uma conexão com o site ou CDN próximo ao usuário. Tor impulsiona o tráfego através de vários nós voluntários, muitas vezes em diferentes países. Cada seção adiciona um atraso. A largura de banda é limitada pelo ponto mais fraco da cadeia. Os nós de saída estão sobrecarregados mais fortemente, porque há menos deles e há mais pressão legal sobre eles.
Há criptografia, mas não é o principal freio. O principal preço é a rota, atrasos, filas, infraestrutura voluntária.
Portanto, o Tor não é adequado para o consumo pesado de mídia, grandes downloads e tráfego em segundo plano constante. Ele é projetado para acesso privado à web, e não para substituir um canal doméstico gigabit.
Conclusão
Tor Browser não é um "navegador com um IP diferente". É um sistema cuidadosamente montado de anonimato de rede, configurações do navegador, proteção contra impressões digitais, isolamento de estado, pontes e transportes para contornar a censura.
O roteamento em camadas resolve a principal tarefa: divide o conhecimento entre os nós. A entrada conhece o usuário, a saída conhece o site, o meio quebra a conexão direta. O Tor Browser adiciona a isso uma camada aplicada: torna os usuários semelhantes uns aos outros e corta os mecanismos de rastreamento da web.
Os pontos fracos não desaparecem. Os nós de saída são perigosos para HTTP. O fingerprinting permanece uma corrida. A correlação de tráfego é possível para um observador forte. O comportamento do usuário às vezes desanonimiza mais rápido do que qualquer ataque.
Mas a própria arquitetura do Tor ainda é bonita. Ela é honesta: não dá garantias, mas divide a confiança em pedaços. E é por isso que funciona há muitos anos.
Muito obrigado a todos por lerem o artigo até o fim! Ficarei feliz em vê-lo em meu
Canal do Telegram
, lá continuo a analisar tópicos relacionados à segurança cibernética: higiene digital, privacidade, desanonimização, antifraude, OSINT, esquemas de ataque reais e tudo o que ajuda a entender melhor as ameaças ao seu redor.
Tags:
Tor
Tor Browser
roteamento em camadas
onion routing
anonimato
privacidade
nó de guarda
nó de saída
pontes Tor
browser fingerprinting
Hubs:
Segurança da Informação
Tecnologias de Rede
Navegadores
Código Aberto
Administração de Sistemas
