Полное визуальное объяснение анонимной сети Tor, луковой маршрутизации и скрытых сервисов.
Ссылка на сайт.onion — это специальное псевдодоменное имя верхнего уровня, которое работает исключительно внутри сети Tor (The Onion Router). Обычный браузер не откроет такую ссылку — требуется Tor Browser или специально настроенное ПО.
Onion-адреса ведут на скрытые сервисы (Hidden Services / Onion Services) — серверы, расположение которых скрыто даже от самой сети. Ни IP-адрес сервера, ни IP-адрес клиента не раскрываются.
Сервер никогда не узнает реальный IP-адрес пользователя. Трафик проходит через три узла-посредника.
Реальное местоположение сервера остаётся неизвестным. Он тоже не знает, кто его посещает.
Данные шифруются в несколько слоёв. Каждый узел снимает только один слой — как слои у лука.
Сеть Tor состоит из тысяч добровольных узлов по всему миру. Нет единой точки отказа или контроля.
Перед отправкой данных Tor-клиент строит цепочку из трёх случайных узлов. Данные шифруются три раза — по одному слою для каждого узла.
Получает список узлов от Directory Server. Выбирает три случайных реле. Оборачивает пакет в три слоя шифрования. Первый слой адресован входному узлу, второй — среднему, третий — выходному (или rendezvous-точке).
AES-256 + TLS 1.3Знает ваш реальный IP-адрес, но не знает конечный адрес и содержимое запроса. Снимает первый слой шифрования и передаёт пакет среднему узлу.
Знает: кто вы. Не знает: куда и что.Не знает ни отправителя, ни получателя. Видит только предыдущий и следующий узел цепочки. Снимает второй слой шифрования.
Знает: только соседей. Не знает: ничего больше.Для обычных сайтов: снимает последний слой и делает запрос в открытый интернет. Для .onion-сервисов: становится точкой встречи с сервером — оба подключаются к ней анонимно.
Для .onion: никакого выхода в интернет!Сервер сам подключается к сети Tor через свою цепочку узлов и встречается с клиентом в rendezvous-точке. Оба конца соединения полностью анонимны.
Взаимная анонимностьСовременные адреса версии 3 (v3) состоят из 56 символов base32 и содержат криптографическую информацию о самом сервере.
16 символов, SHA-1. Отключён в 2021 году — небезопасен.
56 символов, Ed25519. Используется с 2017 года. Высокая криптостойкость.
Название «луковая маршрутизация» отражает принцип работы: данные оборачиваются в несколько слоёв шифрования, каждый из которых может вскрыть только предназначенный узел.
Ни один промежуточный узел не видит сразу и отправителя, и получателя, и содержимое — только одно из трёх.
Чтобы создать .onion-сервис, сервер выполняет специальную процедуру регистрации в сети Tor без раскрытия своего IP.
Сервер генерирует пару ключей Ed25519. Открытый ключ становится основой .onion-адреса. Никуда не передаётся напрямую.
Сервер устанавливает долгосрочные соединения с несколькими случайными узлами Tor — это Introduction Points. Через них клиенты будут инициировать связь.
Сервер шифрует и публикует «дескриптор» в распределённой хэш-таблице Tor (DHT). Дескриптор содержит адреса intro-точек и открытый ключ сервера.
Клиент скачивает дескриптор, выбирает rendezvous-точку и отправляет на неё одноразовый секрет. Через intro-точку сообщает серверу адрес rendezvous. Сервер подключается к ней — соединение установлено.
| Параметр | Обычный HTTPS | .onion-сервис |
|---|---|---|
| IP клиента виден серверу | Да | Нет |
| IP сервера виден клиенту | Да | Нет |
| Шифрование трафика | TLS (1 слой) | 3 слоя + E2E |
| Нужен центр сертификации (CA) | Да | Нет (криптография) |
| Скорость соединения | Высокая | Низкая (3 прыжка) |
| Доступность без Tor | Да | Только через Tor |
| Анонимность обеих сторон | Нет | Да |
.onion-адреса не индексируются обычными поисковиками и часто меняются. Ниже — проверенные способы найти рабочую ссылку.
Внутри сети Tor работают специальные поисковые системы, которые индексируют .onion-сайты. Самые известные: Ahmia (доступна и в обычном браузере), Torch, Haystak.
Многие сервисы публикуют свои .onion-адреса прямо на обычном сайте — в разделе «Конфиденциальность» или «Скачать». Например, так делают Facebook, ProtonMail, NYT.
Актуальные адреса часто публикуются в тематических сообществах — специализированных форумах, чатах и каналах, где участники верифицируют ссылки коллективно.
Существуют регулярно обновляемые каталоги — «директории» — со списками рабочих .onion-адресов, рассортированных по категориям. Они работают как обычные сайты и доступны через Tor.
Как проверить подлинность ссылки
Подделка .onion-адреса называется фишингом. Признаки поддельного адреса: похожие, но не идентичные символы; переадресация на страницу с вводом данных; отсутствие подтверждения адреса из нескольких независимых источников. Всегда сверяйте адрес с несколькими источниками перед использованием.
Зеркало — это точная копия сайта, работающая под другим адресом. Основная цель — обеспечить доступность ресурса при блокировке или недоступности основного адреса.
Работает по главному .onion-адресу. Владелец периодически генерирует новые ключевые пары и разворачивает дополнительные копии сервиса на других адресах.
Главный адресЗеркало получает данные с основного сервера — либо в реальном времени (live mirror), либо с задержкой (snapshot). Контент идентичен или отличается лишь на время задержки синхронизации.
Копия данныхУ каждого зеркала — свой уникальный .onion-адрес (своя пара ключей). Это не псевдоним и не редирект: технически это самостоятельный скрытый сервис с тем же контентом.
Уникальный адресЕсли основной адрес недоступен — заблокирован, под DDoS-атакой или просто сменился — пользователь переходит на зеркало и получает тот же контент без перерыва в работе.
ОтказоустойчивостьЗачем нужны несколько зеркал
Если один адрес попал в блок-лист или был скомпрометирован, остальные зеркала продолжают работать.
Большой трафик распределяется по нескольким серверам. Ни один узел не перегружается при пиковой посещаемости.
При плановой замене ключей старый адрес остаётся рабочим зеркалом на переходный период, пока пользователи не обновили закладки.
Злоумышленники могут создать «фальшивое зеркало» — визуально идентичный сайт для перехвата данных. Доверяйте только адресам из официальных источников.