По состоянию на январь 2014 года сеть Tor состояла из 5000 ретрансляторов, из которых примерно 1000 работала как ретрансляторы на выход трафика (exit relays). Именно эти машины являются пограничным звеном. Они связывают анонимную сеть маршрутизации и открытый интернет. Поэтому именно на этом этапе наиболее вероятны злоупотребления. Большинство из тысячи упомянутых узлов — добросовестные активисты, которые работают ради блага человечества. Но есть исключения. В прошлом неоднократно документировались случаи, когда вредоносные ретрансляторы перехватывали и анализировали трафик. Речь идет об атаках типа MiTM и [Только зарегистрированные могут видеть это. ].

Чтобы избавиться от постоянной паранойи и прояснить ситуацию с ретрансляторами Tor, шведские специалисты из компании PriSec провели [Только зарегистрированные могут видеть это. ] всех исходящих узлов Tor. Для этого был разработан специализированный сканер, который работал с сентября 2013 года и смог обнаружить некоторое количество действительно зловредных исходящих ретрансляторов. Эти узлы умышленно осуществляют мониторинг трафика, перехватывая конфиденциальную информацию пользователей.

Полный список вредоносных ретрансляторов см. [Только зарегистрированные могут видеть это. ].
Подробный анализ приведен в [Только зарегистрированные могут видеть это. ].

Отпечаток IP-адрес Страна Тип атаки Полоса Начала работу Обнаружена
F8FD29D0† 176.99.12.246 HTTPS MitM 7.16 MB/s 2013-06-24 2013-07-13
8F9121BF† 64.22.111.168/29 HTTPS MitM 7.16 MB/s 2013-06-11 2013-07-13
93213A1F† 176.99.9.114 HTTPS MitM 290 KB/s 2013-07-23 2013-09-19
05AD06E2† 92.63.102.68 HTTPS MitM 5.55 MB/s 2013-08-01 2013-09-19
45C55E46† 46.254.19.140 SSH & HTTPS MitM 1.54 MB/s 2013-08-09 2013-09-23
CA1BA219† 176.99.9.111 HTTPS MitM 334 KB/s 2013-09-26 2013-10-01
1D70CDED† 46.38.50.54 HTTPS MitM 929 KB/s 2013-09-27 2013-10-14
EE215500† 31.41.45.235 HTTPS MitM 2.96 MB/s 2013-09-26 2013-10-15
12459837† 195.2.252.117 HTTPS MitM 3.45 MB/s 2013-09-26 2013-10-16
B5906553† 83.172.8.4 HTTPS MitM 850 KB/s 2013-08-12 2013-10-16
EFF1D805† 188.120.228.103 HTTPS MitM 287 KB/s 2013-10-23 2013-10-23
229C3722 121.54.175.51 SSL stripping 106 KB/s 2013-06-05 2013-10-31
4E8401D7† 176.99.11.182 HTTPS MitM 1.54 MB/s 2013-11-08 2013-11-09
27FB6BB0† 195.2.253.159 HTTPS MitM 721 KB/s 2013-11-08 2013-11-09
0ABB31BD† 195.88.208.137 SSH & HTTPS MitM 2.3 MB/s 2013-10-31 2013-11-21
CADA00B9† 5.63.154.230 HTTPS MitM 187 KB/s 2013-11-26 2013-11-26
C1C0EDAD† 93.170.130.194 HTTPS MitM 838 KB/s 2013-11-26 2013-11-27
5A2A51D4 111.240.0.0/12 HTML injection 182 KB/s 2013-11-23 2013-11-27
EBF7172E† 37.143.11.220 SSH MitM 4.34 MB/s 2013-11-15 2013-11-27
68E682DF† 46.17.46.108 SSH & HTTPS MitM 60 KB/s 2013-12-02 2013-12-02
533FDE2F† 62.109.22.20 SSH & HTTPS MitM 896 KB/s 2013-12-06 2013-12-08
E455A115 89.128.56.73 SSL stripping 54 KB/s 2013-12-17 2013-12-18
02013F48 117.18.118.136 DNS censorship 538 KB/s 2013-12-22 2014-01-01
2F5B07B2 178.211.39 DNS censorship 204 KB/s 2013-12-28 2014-01-06
4E2692FE 24.84.118.132 OpenDNS blocking 52 KB/s 2013-12-21 2014-01-06

Исключить конкретные ретрансляторы из списка используемых можно следующей командой:
Код:
ExcludeExitNodes <node>, <node>, <node> ..
Как вариант, можно разрешить работу только через надежные узлы:
Код:
ExitNodes <node>, <node>, <node> ..
Например, можно разрешить работу только через американские узлы (ни одного американца не было в списке вредоносных релеев):
Код:
ExitNodes {us},

xakep.ru