Tor - Neue Identität per Code und neue ID verhindern

**BlackMatrix** · 22. 01. 2012, 22:21

Hi.

Ich bin mir sicher, dass die Frage schon irgendwo beantwortet ist oder in irgendwelchen Faqs hinterlegt ist, aber ich habe einfach keine Antwort finden können.

Ich möchte gerne, dass meine Tor Instanz solange die IP beibehält, bis ich per Code selber eine neue Identität/IP anfordere.

Wie mache ich das? Zurzeit nutze ich noch Tor + Polipo + Vidalia. Später werde ich aber nur auf die Tor.exe umsteigen, daher wäre es gut zu wissen, wie man das nur mit Tor konfiguriert und per Code anfordert.

MfG

**Kugelfisch23** · 22. 01. 2012, 23:26

Zitat von BlackMatrix

Ich möchte gerne, dass meine Tor Instanz solange die IP beibehält, bis ich per Code selber eine neue Identität/IP anfordere.

Dazu liesse sich in aktuellen Tor-Versionen die TrackHostExits-Direktive nutzen, siehe https://www.torproject.org/docs/tor-manual.html.en:

For each value in the comma separated list, Tor will track recent connections to hosts that match this value and attempt to reuse the same exit node for each. If the value is prepended with a '.', it is treated as matching an entire domain. If one of the values is just a '.', it means match everything. This option is useful if you frequently connect to sites that will expire all your authentication cookies (i.e. log you out) if your IP address changes.

Wie lange die Zuordnung aufrecht erhalten wird, kann über die TrackHostExitsExpire-Direktive festgelegt werden (Standardwert: 30 Minuten).

Zitat von BlackMatrix

daher wäre es gut zu wissen, wie man das nur mit Tor konfiguriert und per Code anfordert.

Die torrc-Konfigurationsdatei wird direkt von Tor (unabhängig von Vidalia) verarbeitet. Ohne Vidalia musst du dort ggf. zusätzlich die Einstellungen für den Kontroll-Port und die Authentifizierung hinterlegen (ControlPort, HashedControlPassword, ...) und kannst dann über TC und das NEWNYM-Signal eine neue Identität anfordern (vgl. http://board.gulli.com/thread/12203...2#post12772482).

**BlackMatrix** · 22. 01. 2012, 23:36

Stimmt, mir war das doch geläufig, dass das irgendwo in meinen Threads stand, aber daran hatte ich nicht gedacht.

Wie peinlich. Ich hab das sogar schon mal gemacht

Ich danke dir recht herzlich.

Aber einwas kann ich noch beisteuern. Der neue Link zum Tor Control Protokoll ist hier zu finden:

https://svn.torproject.org/svn/tor/t...ntrol-spec.txt

**BlackMatrix** · 23. 01. 2012, 01:25

Ich steuere noch bisschen Code nach (Vidalia muss auf Authentifikation "keine" umgestellt werden):

PHP-Code:


        public void NewIP()

        {

            using (TcpClient client = new TcpClient())

            {

                client.Connect("127.0.0.1", 9051);

                using (StreamWriter writer = new StreamWriter(client.GetStream()))

                {

                    writer.Write("AUTHENTICATE\r\n");

                    writer.Flush();

                    writer.Write("SIGNAL NEWNYM\r\n");

                    writer.Flush();

                }

            }

        }

Wenn es einem nun nicht auf die Geschwindigkeit, sondern auf die verwendete IP ankommt, was könnte ich tun, damit Tor beim IP Wechsel nicht wieder den Endpoint auswählt, den er beim vorletzten Mal schon gewählt hat?

**Kugelfisch23** · 23. 01. 2012, 18:16

Das ist meines Wissens nicht ohne Weiteres möglich.

Du könntest allerdings die zu nutzende Exit-Node explizit spezifizieren und eine Liste mit Exit-Nodes sequentiell abarbeiten - wenn deine Anwendung selbst die Verbindungen aufbaut wäre die wohl einfachste Lösung das Aktivieren von AllowDotExit und die Nutzung von Hostnamen der Form foo.example.com.NICKNAME.exit, wobei NICKNAME durch den Namen der zu nutzenden Exit-Node zu ersetzen ist.
Baust du die Verbindungen nicht selbst auf, könntest du entweder nach Auslösen des NEWNYM-Signals und dem Aufbauen der Verbindung über TC-GETINFO-Aufrufe überprüfen, welcher Circuit benutzt wurde, und (sofern die Exit-Node bereits verwendet wurde) erneut NEWNYM senden und die Anfrage wiederholen. Alternativ könntest du __LeaveStreamsUnattached setzen und allfällige Streams über TC explizit an (ggf. durch eine gewünschte Exit-Node ergänzte) Circuits binden.

**BlackMatrix** · 23. 01. 2012, 18:55

Ich möchte die erste Variante bevorzugen.

Also das TC bietet mir keine Möglichkeit die Verbindung zu einem bestimmten Exit Node aufzubauen? Das funktioniert nur direkt über Tor mit der torrc oder Prozess Startparametern?

Die Liste der in Frage kommenden Exit Nodes kann ich aber nur über diverse Seiten wie
http://torstatus.blutmagie.de/
herausfinden, oder gibt es da noch andere Möglichkeiten direkt die Liste der Exit Nodes (mit Filtermöglichkeit) durchzugehen?

MfG BlackMatrix

Edit: Ich lese nochmal den anderen Thread vollständig...

Ah genau ExtendCircuit

**Kugelfisch23** · 23. 01. 2012, 19:17

Zitat von BlackMatrix

Also das TC bietet mir keine Möglichkeit die Verbindung zu einem bestimmten Exit Node aufzubauen? Das funktioniert nur direkt über Tor mit der torrc oder Prozess Startparametern?

Du kannst natürlich Circuits mit einer bestimmten Exit-Node erzeugen (über das EXTENDCIRCUIT-Kommando), jedoch hast du keine direkte Kontrolle darüber, ob Tor einen bestimmten Stream daran bindet, d.h. diesen Circuit für eine bestimmte Verbindung nutzt, sofern du nicht das automatische Binden von Streams an Circuits deaktivierst und diese selbst über TC an den gewünschten Circuit bindest.

Unabhängig davon kannst du Konfigurationsdirektiven (wie z.B. AllowDotExit) über das SETCONF-Kommando auch per TC setzen. Wenn du den .exit-FQDN-Ansatz nutzt, musst zu zudem zwingend darauf achten, dass deine Anwendung DNS-Abfragen über Tor durchführt (das solltest du jedoch ohnehin tun, andernfalls tritt ein DNS-Leak auf).

Zitat von BlackMatrix

oder gibt es da noch andere Möglichkeiten direkt die Liste der Exit Nodes (mit Filtermöglichkeit) durchzugehen?

Eine (wohl besser maschinenlesbare) Liste aller deinem Tor-Client aus dem Directory bekannten Nodes kannst du per TC über

Code: