Mein Tor-Exit Relay

Achtung! Dieser Artikel ist älter als ein Jahr. Der Inhalt ist möglicherweise nicht mehr aktuell!

Vorgestern habe ich mich in das Tor-Netzwerk „eingearbeitet“. Bis vor kurzem waren mir solche Netzte im Internet fremd. Das Interesse an diesem Thema stieg aber stetig.

Was ist Tor

Tor ist die Abkürzung für „The Onion Routing“ oder auch sehr gerne als „The Onion Router“ bekannt. Warum Onion, oder, auf Deutsch, „Zwiebel“? Das Netzwerk basiert auf mehrere Schichten (ähnlich wie bei einer Zwiebel). Der Traffic wird – intern wie extern – durch mehrere Relays (Computer) geleitet. Dadurch wird die angepriesene Anonymität gewährleistet.

Das ganze System baut auf diesen Relays auf. Jeder Relay ist ein Computer irgendwo im Internet mit einer öffentlichen IP. Insgesamt gibt es drei verschiedene Relay-Typen:

Traffic, der durch das Netzwerk geht, wird nicht über einen einzigen Router/Computer geleitet, sondern über mehrere. Dieses Verfahren ist logischerweise etwas langsamer als das normale Internet. Allerdings bietet es bei weitem mehr Anonymität als normale VPN- oder Proxy-Dienstleister, solange es eine beträchtliche Anzahl an verschiedenen Relays gibt. Werden zum Beispiel 80% der Relays von der NSA betrieben, so ist es leicht möglich den Traffic zu verfolgen.

Mein Relay

Mein Relay läuft auf dem selben Server wie dieser Blog oder mein Mailserver. Ansprechbar ist das Relay aber absichtlich nur über eine dedizierte IP-Adresse und läuft etwas abgeschottet vom restlichen System.

IP Port RDNS
185.53.163.6 9001  relay.veloc1ty.de
2a02:2fa0:1:1:dead:beef:0:60 9001 relay.veloc1ty.de

Aktuell stelle ich insgesamt 100 MBit/s ohne Kontingent zur Verfügung.

Am Anfang wollte ich eigentlich einen normalen Relay Server betreiben. Gründe dafür waren, dass ich mit meinem vollem Namen hinter dem Server stehe und nicht haftbar gemacht werden wollte für Torrent-Sachen oder ähnliches.

Nun habe ich ein paar Exit-Policies gesetzt, sodass viel unerwünschter Traffic geblockt wird. Seitdem ist der Server ein Exit-Relay und schleust aktuell ca. 2,5 Mbyte/s durch das Netz.

Mehr über mein Relay findet man im Atlas. Das Relay loggt ein paar Systemmeldungen, aber keine einzelnen Verbindungen.

War geht so durch das Netzwerk

Während ich diesen Artikel gestern und heute geschrieben habe ist Wireshark ein bisschen mitgelaufen.

Was mich sehr erstaunt hat: Viel Traffic, der über mein Relay vom Internet in das Netzwerk geht ist unverschlüsselt. Deswegen konnte ich viel Traffic (vorallem HTTP) einfach so mitlesen.

Ich habe nur grob analysiert. Viel Traffic sind normale Webseiten, die man auch ohne „Tor-Schutz“ aufrufen könne. Viele Anfragen gehen aber auch an chinesische Seiten, die wiederrum verschlüsselten Text ausliefern. Hier glaube ich handelt es sich um C&C-Server. Ich überlege mir, ob ich diese Subnetze bannen sollte oder es einfach hinnehme.

Erstaunlicherweise sehr wenig Porno-Traffic, dafür aber Logins in „Hacker“-Foren mit Benutzer-Passwort-Kombinationen im Klartext :-)

Eigentlich sollte man so was veröffentlichen – zum Schutz der Privatsphäre habe ich mich aber dagegen entschieden ein paar Wireshark-Traces hier zu veröffentlichen. Stattdessen habe ich die Account-Eigentümer angeschrieben.

Die Zukunft

Ich habe ebenfalls eine Kategorie Tor hier in meinem Blog erstellt. Darin werde ich ein paar Artikel ablegen zum Thema Administrieren eines Tor-Relays und was nicht klar aus der Dokumentation hervorgeht.

Further Reading


Du hast einen Kommentar, einen Wunsch oder eine Verbeserung? Schreib mir doch eine E-Mail! Die Infos dazu stehen hier.

🖇️ = Link zu anderer Webseite
🔐 = Webseite nutzt HTTPS (verschlüsselter Transportweg)
Zurück