· 12 мин. на чтение.

Tor - полный разбор: от военной лаборатории до вашего браузера

Tor - полный разбор: от военной лаборатории до вашего браузера

Вашингтон, округ Колумбия. 1995 год.

В подвальных этажах Исследовательской лаборатории Военно-морских сил США трое математиков думают над задачей, которая звучит почти философски: можно ли передавать информацию по интернету так, чтобы никто - даже тот, кто контролирует сеть - не понял, кто с кем разговаривает?

US-Naval-Research-Lab

Дэвид Голдшлаг, Майкл Рид и Пол Сиверсон работают не над браузером для анонимности. Не над инструментом для обхода блокировок. Они работают над задачей национальной безопасности: как американские агенты за рубежом могут выходить на связь, не выдавая ни своей личности, ни того, что они вообще работают на американскую разведку?

Ответ, который они найдут, изменит интернет навсегда.

Его назовут луковой маршрутизацией. А через семь лет оно превратится в Tor.

Откуда взялась идея: холодная война и проблема слежки

Чтобы понять, зачем военным понадобился Tor, нужно понять контекст.

К середине 1990-х интернет перестал быть академической игрушкой - он стал реальной инфраструктурой. По нему шли данные корпораций, правительств, спецслужб. И у него была фундаментальная проблема: каждый пакет данных содержал адрес отправителя и получателя. Это всё равно что писать на конверте не только адрес, но и своё имя, должность и место работы.

Если спецслужба другой страны контролировала интернет-узлы на пути - а именно так и работает разведка - она видела: вот агент Смит из ЦРУ подключился к серверу в Берлине. Содержимое может быть зашифровано. Но сам факт подключения - уже информация. Иногда достаточная для провала.

Голдшлаг, Рид и Сиверсон придумали решение, которое разрывало эту связь. Их идея: пустить данные не напрямую, а через цепочку случайных промежуточных компьютеров. Причём каждый промежуточный узел будет знать только своих соседей - но не весь маршрут.

Как луковица. Слой за слоем.

onion_routing

Технология получила название onion routing - луковая маршрутизация.
В 1998 году её запатентовали. Номер патента - US 6266704, выдан Военно-морским силам США.

2002 год: рождение Tor

Прошло семь лет. Роджер Динглдайн только что окончил MIT - Массачусетский технологический институт. Ему 25 лет, и он получает необычное предложение: поработать в Военно-морской лаборатории над проектом луковой маршрутизации.

Пол Сиверсон - один из создателей оригинальной технологии - всё ещё там. Вместе они берутся за следующий шаг: превратить академическую концепцию в рабочую сеть.

К проекту присоединяется Ник Мэтьюсон - однокурсник Динглдайна по MIT.

В октябре 2002 года сеть запущена. Код открыт под свободной лицензией - любой может изучить его, проверить и внести правки. Динглдайн настаивал на этом принципе с самого начала. Его аргумент был парадоксален, но убедителен: чтобы агент мог по-настоящему раствориться в сети, нужно, чтобы через неё ходили миллионы обычных людей. Если Tor используют только разведчики - каждый пользователь Tor автоматически становится подозреваемым. Значит, технология должна быть доступна всем.

Проект назвали Tor - The Onion Router.

К концу 2003 года в сети было около десяти добровольных узлов в США и один в Германии.

Как работает луковая маршрутизация - объясняем без боли

Обычный интернет работает как почта с открытыми конвертами. Ваш провайдер видит: вы отправили запрос на такой-то адрес. Сайт видит: запрос пришёл с такого-то IP. Вся цепочка прозрачна.

Tor работает иначе. Полностью.

Когда вы нажимаете Enter в адресной строке Tor Browser, происходит вот что.

Браузер заранее скачал список известных узлов сети - тысячи компьютеров по всему миру, которые добровольцы держат включёнными ради этого. Из них браузер выбирает трёх: входной узел (guard), промежуточный и выходной (exit).

Дальше начинается сборка луковицы.

Ваш браузер шифрует данные три раза - отдельным ключом для каждого узла. Внешний слой может расшифровать только входной узел. Следующий - только промежуточный. Внутренний - только выходной.

how-tor-is-works

Данные уходят на входной узел. Он снимает свой слой, видит: передай это дальше вот туда. Он не знает, что внутри. Он не знает, откуда изначально пришёл запрос - только от предыдущего звена.

Промежуточный узел снимает свой слой. Видит: передай на выходной. Он не знает ни первоначального отправителя, ни конечного получателя.

Выходной узел снимает последний слой и отправляет ваш запрос на реальный сайт - будь то обычная страница или .onion-адрес. Для сайта запрос выглядит как пришедший с IP выходного узла. Ваш реальный IP сайт не видит.

Ответ идёт обратно по той же цепочке, каждый раз добавляя новый слой шифрования.

Каждый узел видит только двух своих соседей. Никто не знает полную картину.

Это и есть луковица: слои шифрования, каждый из которых снимается только нужным узлом.

Три узла: кто что видит

Чтобы понять, почему Tor работает - и где его пределы - разберём каждый узел отдельно.

Входной узел (guard node) - первая точка входа в сеть. Видит ваш реальный IP-адрес. Знает, что вы подключились к Tor. Но не знает, какой сайт вы хотите открыть и что будет дальше по цепочке.

Tor специально делает так, чтобы входной узел не менялся слишком часто. Логика такая: если каждый раз выбирать новый входной узел, рано или поздно попадёшь на узел, который ведёт наблюдение. Лучше один раз выбрать проверенный - и держаться его.

Промежуточный узел - прослойка между входом и выходом. Не знает ни вашего IP, ни конечного сайта. Просто передаёт зашифрованный пакет дальше. Это самая "спокойная" позиция в цепочке - именно поэтому большинство добровольцев запускают промежуточные узлы, а не выходные.

Выходной узел (exit node) - самое горячее место. Этот компьютер отправляет ваш запрос в открытый интернет. Для сайта он выглядит источником трафика. Если сайт обычный и без HTTPS - выходной узел технически может читать содержимое. Если HTTPS - нет, там уже другой слой шифрования. Но ваш реальный IP выходной узел не знает.

Именно поэтому операторы выходных узлов иногда получают жалобы от сайтов и провайдеров - от их имени в сеть уходит чужой трафик. Запустить выходной узел - это акт принципиальной гражданской позиции. Мало кто решается.

Tor Browser - это не просто браузер

Здесь важно разделить два понятия, которые часто путают.

Сеть Tor - это инфраструктура. Тысячи узлов по всему миру, добровольцы, серверы. Она существует отдельно.

Tor Browser - это программа, через которую большинство людей получают доступ к этой сети. По сути это Firefox, но сильно переработанный командой Tor Project.

Зачем переделывать браузер? Потому что обычный Firefox - дырявый с точки зрения анонимности. Он передаёт сайтам массу дополнительной информации: разрешение экрана, список шрифтов, тип видеокарты, часовой пояс, язык, версию браузера, установленные плагины. Из этого набора складывается уникальный "отпечаток" - fingerprint. Два разных человека с одинаковым IP через Tor всё равно будут различимы по отпечатку.

Tor Browser намеренно делает всех пользователей одинаковыми. Одинаковое разрешение, одинаковые шрифты, одинаковое всё. Вы не выделяетесь из толпы - потому что вся толпа выглядит одинаково.

Именно поэтому в Tor Browser нельзя менять размер окна как попало, нельзя устанавливать расширения, нельзя входить в личные аккаунты без понимания последствий.

Безопасность там - результат стандартизации. Любое отклонение от стандарта - это след.

Мосты: когда сам Tor заблокирован

Провайдер видит, что вы подключились к Tor. Список входных узлов сети публичен - любой желающий, включая Роскомнадзор, может его скачать и заблокировать.

Именно это и произошло в России. По данным NetBlocks на июнь 2025 года, более 80% прямых попыток подключения к Tor из России заканчиваются ошибкой.

Ответ Tor Project - мосты (bridges).

Мост - это входной узел, которого нет в публичном списке. Его адрес не публикуется открыто - его нужно запросить отдельно, через bridges.torproject.org или прямо в настройках браузера. Заблокировать то, чего нет в списке, гораздо сложнее.

tor-bridge

Но и это не конец истории. Системы глубокой инспекции пакетов (DPI) умеют распознавать Tor-трафик даже без знания адресов - по характерным признакам в самих данных.

Тогда появились инструменты обфускации - способы замаскировать трафик Tor под что-то другое.

obfs4 - старый и всё ещё рабочий протокол обфускации. Делает трафик похожим на случайный шум. Роскомнадзор частично научился его распознавать.

Snowflake - использует WebRTC, технологию для видеозвонков в браузере. Трафик Tor маскируется под видеоконференцию. Сложнее заблокировать, потому что WebRTC используется легитимными сервисами.

WebTunnel - самый новый инструмент, представлен в марте 2024 года. Трафик выглядит как обычное HTTPS-соединение с обычным сайтом. Для провайдера - просто кто-то загружает веб-страницу. Ничего подозрительного.

В ноябре 2024 года Tor Project запустил специальную кампанию для России: призвал добровольцев по всему миру поднимать WebTunnel-мосты, чтобы российские пользователи могли подключаться. Добровольцы отозвались.

Это гонка вооружений. Блокировщики становятся умнее - разработчики Tor придумывают новые способы маскировки. Снова и снова.

Тёмная сторона луны: .onion и скрытые сервисы

Большинство людей используют Tor для доступа к обычным сайтам - YouTube, Instagram, заблокированным новостным изданиям. Но у сети есть ещё одна функция, о которой говорят с придыханием: скрытые сервисы.

Адреса .onion - это сайты, которые существуют только внутри сети Tor. У них нет обычного хостинга, нет DNS-записей, нет физического адреса сервера, который можно отследить. Адрес выглядит как случайная строка символов, например: twitter3e4tixl4xyajtrzo62zg5vztmjuricljdp2c5kshju4avyoid.onion - это официальный .onion-адрес Твиттера (Х).

Как это работает технически: сервер, который хочет быть скрытым, сам устанавливает несколько цепочек Tor. Когда клиент хочет подключиться, они встречаются в случайной "точке рандеву" внутри сети, не раскрывая реального местоположения ни друг другу, ни кому-либо ещё.

По данным на 2025 год в .onion-зоне работает более 65 000 адресов. Там есть библиотеки и архивы запрещённых книг, форумы для журналистов и источников, зеркала легальных новостных изданий, инструменты для whistleblower'ов. И да - нелегальные площадки тоже. Это правда, которую не стоит замалчивать.

Tor Project об этом говорит открыто: технология нейтральна. Она защищает и журналиста, публикующего репортаж о коррупции, и человека, который хочет купить запрещённое. Инструмент не несёт ответственности за намерения тех, кто им пользуется - так же, как нож используется и на кухне, и в преступлениях.

Слабые места: что Tor не умеет и где его ловят

Tor не делает вас невидимым. Он делает вас анонимным - при правильном использовании. Разница принципиальная.

Тайминг-атаки - главная угроза для серьёзно мотивированных противников. Идея: если наблюдатель одновременно видит входящий трафик к вашему входному узлу и исходящий трафик с выходного узла - он может попытаться сопоставить их по времени и объёму. Отправили вы 100 килобайт в 14:23:07 - и через секунду с выходного узла ушло 100 килобайт. Совпадение? Нет.

Именно с помощью анализа тайминга в 2025 году немецкая полиция деанонимизировала пользователя Tor. Это первый документально подтверждённый успешный случай такого рода. Детали операции засекречены, но факт признан.

Важная оговорка: для такой атаки нужно одновременно контролировать достаточно много точек наблюдения в сети. Это требует серьёзных ресурсов. Обычный пользователь не находится в такой модели угроз.

Скомпрометированный выходной узел - выходной узел технически видит ваш незашифрованный трафик, если сайт использует HTTP вместо HTTPS. В 2020 году исследователь зафиксировал, что один оператор контролировал более 23% всех выходных узлов Tor одновременно и перехватывал трафик.
Tor Project принял меры, но показательно: доверять выходным узлам нельзя.

Добровольная деанонимизация - самая частая причина провала. Человек заходит в свой личный Google-аккаунт через Tor. Или вводит настоящее имя на форуме. Или скачивает документ с метаданными, которые его идентифицируют. Сеть сделала всё правильно - пользователь сам себя выдал. Tor защищает транспорт. Он не защищает от вас самих.

JavaScript - расширяет поверхность атаки. Через него сайт может собирать дополнительные данные о вашем браузере, пытаться эксплуатировать уязвимости, связывать ваши действия между вкладками. В Tor Browser есть три уровня безопасности: стандартный, безопасный и максимальная защита. Чем выше уровень - тем больше JavaScript ограничивается. На максимальной защите многие сайты не работают нормально - но и отследить вас значительно сложнее.

Fingerprinting поверх Tor - некоторые сайты могут пытаться идентифицировать вас через WebGL, Canvas, аудио-API и другие браузерные API, которые дают чуть больше уникальной информации, чем хотелось бы. Tor Browser блокирует или нормализует большинство из них - но это постоянная работа, а не решённая задача.

NSA против Tor: что известно из документов Сноудена

2013 год. Эдвард Сноуден передаёт журналистам массив секретных документов АНБ - Агентства национальной безопасности США.

Среди них - презентация с говорящим названием: "Tor воняет". Документ описывает попытки АНБ деанонимизировать пользователей Tor.

Вывод в документе неожиданный: в целом Tor работает. АНБ признаёт, что не может взломать шифрование и массово деанонимизировать пользователей. Отдельные случаи деанонимизации были связаны не со взломом самого Tor, а с уязвимостями в браузере Firefox или ошибками пользователей.

Для Tor Project это было неожиданным подтверждением. Не лучшим способом - но подтверждением, что технология работает так, как задумано.

Сноуден, кстати, использовал Tor для первоначального выхода на журналистов. Это тоже задокументировано.

Операция RapTor 2025: даркнет отступает

В мае 2025 года правоохранительные органы десяти стран провели скоординированную операцию под кодовым названием RapTor.

270 арестов. Изъятие крупных сумм наличных и криптовалюты. Закрытие нескольких крупных даркнет-площадок.

Ни одна из этих площадок не была взломана через сам Tor. Силовики использовали другие методы: внедрение агентов, анализ криптовалютных транзакций, ошибки операторов, которые оставляли следы вне сети.

Это важное уточнение: правоохранительные операции против даркнета не означают, что Tor взломан. Они означают, что люди, которые им пользовались, совершали ошибки вне самой сети.

Tor в России: война с блокировками

Отношения Tor и России - отдельная история.

В 2021 году Роскомнадзор заблокировал сайт torproject.org и потребовал от Google удалить Tor Browser из Play Store. Tor Project подал в суд. В июле 2022 года суд отменил запрет - и сайт разблокировали, хотя РКН тянул с этим несколько недель.

Сам браузер продолжили блокировать на уровне узлов сети.

По данным метрик Tor Project, число российских пользователей в последние годы менялось dramatically. На пике - более 100 тысяч человек в день. После волны блокировок - упало до 48 тысяч. Часть аудитории перешла на VPN, часть - на Telegram-каналы с ключами.

Прямое подключение к Tor из России в 2025 году практически не работает.

Кто запускает узлы и почему

В середине 2025 года в сети Tor работало около 8 000 активных ретрансляторов. Из них примерно 5 300 - входные узлы, 2 500 - выходные.

Кто их держит? Добровольцы. Университеты. Некоммерческие организации. Технически грамотные энтузиасты, которые считают анонимность в интернете ценностью, а не инструментом для незаконной деятельности.

Оператор узла не знает, чей именно трафик через него проходит. Он видит зашифрованные пакеты данных - и передаёт их дальше. Это принципиально: оператор не несёт ответственности за содержимое, потому что у него нет к нему доступа.

Запустить промежуточный узел технически несложно: нужен компьютер с нормальным каналом и желание держать его включённым. Выходной узел - требует большей осознанности и иногда объяснений своему интернет-провайдеру.

Каждый раз, когда кто-то запускает узел - сеть становится чуть надёжнее и чуть труднее поддаётся анализу. Чем больше узлов - тем сложнее противнику найти достаточно точек наблюдения для тайминг-атаки.

Философия: почему код открыт и кто платит

С самого начала Tor проектировался как открытый. Любой может скачать исходный код, изучить алгоритмы шифрования, проверить, нет ли скрытых "закладок".

Это не случайность - это принцип. Закрытый код нельзя проверить. Если военные создали Tor в закрытом виде - как убедиться, что они не оставили себе бэкдор? Открытый код - единственный способ завоевать доверие аудитории, у которой есть основания никому не доверять.

С финансированием история сложнее. В разные годы Tor получал деньги от: Electronic Frontier Foundation (правозащитная организация), Государственного департамента США, Министерства обороны США, Национального научного фонда США, различных европейских фондов и частных пожертвований.

Это создаёт очевидное противоречие: инструмент для анонимности финансируется теми, кто занимается слежкой.

Tor Project объясняет это так: у разных частей американского правительства разные интересы. Госдеп хочет, чтобы активисты в Иране и Китае могли выходить на связь. АНБ хочет всех отслеживать. Это не противоречие в намерениях финансирования - это противоречие внутри самого государства.

Открытый код при этом остаётся страховкой: если кто-то попытается добавить бэкдор - сообщество заметит.

За всю историю Tor ни одного задокументированного бэкдора найдено не было.

Tor сегодня: цифры

К 2025 году:

  • 2,5 миллиона человек ежедневно подключаются к сети Tor
  • 8 000 активных ретрансляторов по всему миру
  • 65 000+ .onion-адресов
  • Tor Browser доступен для Windows, macOS, Linux, Android и через Guardian Project для iOS
  • Сеть работает непрерывно более 23 лет

За это время попыток взломать сам протокол луковой маршрутизации было множество - успешных среди них нет. Все задокументированные деанонимизации происходили через ошибки пользователей, уязвимости в браузере или внешние методы слежки.

Tor vs VPN: в чём принципиальная разница

Этот вопрос заслуживает отдельной статьи - и она выйдет следующей в нашей серии. Но коротко:

VPN - один промежуточный узел, которому вы доверяете. Провайдер VPN знает, кто вы и что делаете. Ставка на доверие к компании.

Tor - три узла, ни один из которых не видит полной картины. Ставка не на доверие к кому-либо, а на математику: узнать одновременно и отправителя, и получателя - задача, требующая контроля над несколькими точками сети одновременно.

VPN быстрее. Tor анонимнее - при правильном использовании.

Что выбрать - зависит от задачи.

FAQ

Tor - это программа и сеть, которые позволяют выходить в интернет так, чтобы ни провайдер, ни сайты не видели ваш реальный IP-адрес. Данные проходят через цепочку из трёх случайных серверов по всему миру, каждый раз шифруясь заново. Ни один из серверов не знает одновременно, кто отправитель и кто получатель.

Нет. Сеть Tor - это инфраструктура из тысяч серверов по всему миру. Tor Browser - это программа на основе Firefox, которая использует эту сеть и дополнительно защищает от отслеживания через браузер. Можно пользоваться сетью Tor и через другие программы - например, Tails OS или Whonix.

Данные шифруются несколько раз - как слои луковицы. Каждый промежуточный узел снимает только свой слой шифрования и видит только следующий шаг маршрута. Результат: ни один узел не знает одновременно отправителя и конечный сайт.

Нет. Tor значительно затрудняет отслеживание, но не делает вас невидимым полностью. Главные угрозы: тайминг-атаки (анализ времени и объёма трафика), ошибки самого пользователя (вход в личные аккаунты, загрузка файлов с метаданными), скомпрометированные выходные узлы для незашифрованного HTTP-трафика.

Роскомнадзор заблокировал публичные входные узлы сети Tor. По данным NetBlocks, в 2025 году более 80% прямых попыток подключения из России заканчиваются ошибкой.

Сайты с адресом .onion существуют только внутри сети Tor. У них нет обычного хостинга и физического адреса сервера - сам сервер устанавливает анонимное соединение через Tor. Открыть .onion-сайт можно только через Tor Browser. Там есть как легальные ресурсы (зеркала СМИ, библиотеки, инструменты для журналистов), так и нелегальные площадки.

В разное время - Государственный департамент США, Министерство обороны США, Electronic Frontier Foundation, Национальный научный фонд и частные пожертвователи. Этот факт вызывает споры. Tor Project объясняет: разные ведомства имеют разные интересы, а открытый код исключает возможность скрытых бэкдоров - любой может проверить.

По документам Сноудена 2013 года - нет. АНБ признавало, что не может массово деанонимизировать пользователей через взлом протокола. Отдельные деанонимизации происходили через уязвимости в браузере или ошибки пользователей, но не через взлом самой луковой маршрутизации. В 2025 году немецкая полиция провела успешную деанонимизацию через тайминг-анализ - но это требует значительных ресурсов и доступа к нескольким точкам сети.

Использование Tor для обычного пользователя прямо не запрещено. Сайт torproject.org разблокирован после решения суда в 2022 году. Использование Tor для совершения незаконных действий - незаконно, как и совершение этих действий любым другим способом. Сам факт использования Tor не является нарушением закона.