2 узла тор в связке с vpn?

Больше связок!

На самом деле нет. На сайте не рекомендуют использовать тор поверх тора. Так-как увеличивается риск пропускания трафика 2 раза через 1 ноду.

А если обе конечные ноды свои?

Вообще, на сайте ТОРа написано так:

When using a transparent proxy, it is possible to start a Tor session from the client as well as from the transparent proxy, creating a «Tor over Tor» scenario. Doing so produces undefined and potentially unsafe behavior. In theory, however, you can get six hops instead of three, but it is not guaranteed that you'll get three different hops - you could end up with the same hops, maybe in reverse or mixed order. It is not clear if this is safe. It has never been discussed.

You can ​choose an entry/exit point, but you get the best security that Tor can provide when you leave the route selection to Tor; overriding the entry / exit nodes can mess up your anonymity in ways we don't understand. Therefore Tor over Tor usage is highly discouraged.

Правильно ли я понимаю, что используя свою конечную ноду в ТОР1, и любые другие в ТОР2 я повышаю свою анонимность?

Не зная точных последствий своих действий в криптографии самое разумное это придерживаться значений по умолчанию. Их выставили не абы как, а люди, которые спроектировали саму вещь. Просто налепливать разные комбинации туннелирования это шаманство.

По умолчанию Tor - самодостаточен. Все остальные изменения стоят рассматривать после оценки своей модели угроз.

Правильно ли я понимаю, что используя свою конечную ноду в ТОР1, и любые другие в ТОР2 я повышаю свою анонимность?

Нет, ты становишься заметен, потому что твой Tor клиент выбирает маршруты не так как все остальные и ты выделяешься из толпы. Используй настройки по умолчанию.

В данном случае, 1 VPN - что-бы провайдер не знал самого факта использования Tor. Хотя, это, скорее всего, делают bridges. А VPN на выходе, что-бы скрыть факт использования Tor от конечного сайта. Это нужно использовать виртуалку.

В данном случае, 1 VPN - что-бы провайдер не знал самого факта использования Tor. Хотя, это, скорее всего, делают bridges. А VPN на выходе, что-бы скрыть факт использования Tor от конечного сайта. Это нужно использовать виртуалку.

Да, bridges для скрытия факта использования Tor от провайдера. А вместо VPN логичнее тогда socks proxy в виде hidden service на какой-нибудь VPS. user -> tor bridge -> tor network -> hidden service proxy -> destination.

VPN становится необходим только если нужно ещё DNS спрятать, но можно поставить рекурсивный DNS на VPS с socks proxy.

DNS можно публичный прописать, в настройках сети. Можно просто приватный прокси. Будет и дешевле и гарантия что с этого IP только ты 1.

Да, но рекурсивный DNS будет общаться только с корневыми DNS и непосредственными DNS-серверами, на которые делегированы домены. Поднять его не сложно с помощью того же Unbound.

Но я так и не понял модель угроз. От кого прячется топикстартер? От прослушки трафика? Для обхода блокировок? От провайдера? От ФСБ? Или для аппроксимации к максимальной «анонимности»?

Насчет рекурсивного DNS не совсем распарсил. К примеру, прописываешь гугловский DNS, в настройках сети. Создаешь цепочку tor+proxy. При проверке показывает DNS гугла.

8.8.8.8 и 8.8.4.4 это рекурсивные DNS-серверы, которые под контролем Google. Из-за этого у них есть возможность проводить анализ запросов, которые к ним приходят - с какого IP адреса запрос каких DNS-записей был.

Если человек не хочет учавствовать в таком анализе он может поднять свой рекурсивный DNS-сервер для себя, который будет самостоятельно обслуживать его DNS-запросы.

А запросы к этим серверам идут через цепочку прокси?

Сама по себе цепочка прокси не появится. Если поставить свой рекурсивный DNS-сервер за цепочку прокси то да. Но зачем прятаться от своего DNS-сервера?

Как работает DNS:

1) рекурсивный сервер получается запрос на А-запись домена example.com, допустим в кеше его нет
2) он обращается к корневому DNS о том, какой DNS-сервер ответственнен за зону .com
3) получив ответ обращается к этому серверу и спрашивает его какой DNS-сервер ответственнен за домен example.com
4) получив ответ на этот вопрос спрашивает у сервера, который отвечает за example.com, что же находится в А-записи example.com
5) получив ответ отдаёт его клиенту и записывает в свой кеш

Общение DNS-серверов происходит без прокси.

От своего DNS-сервера прятаться не нужно. А к примеру, от DNS-сервера гугла - можно. Обращение клиента, то-есть меня, к DNS-серверу гугла, происходит через цепочку прокси или нет?

При использовании Tor на DNS-запросы Tor-клиента отвечает Tor-exit. Если на нём настроено использовать Google DNS то он будет у него спрашивать.

И таки большая часть Tor-exit релеев имеют Google DNS или Cloudflare DNS как резолверы, что не очень хорошо. Поэтому Tor-exit операторам крайне рекомендуется настраивать локальные кеширующие/рекурсивные DNS-резолверы.

Если же речь идёт о той схеме когда подключение идёт через socks-proxy в виде hidden service, то при использовании Sockv5 протокола можно передавать DNS-запросы на прокси сервер, чтобы он на них отвечал. Иначе они пойдут в тот DNS-резолвер, что настроен в локальной операционной системе.

От прослушки трафика спецслужбами.

Для этого достаточно HTTPS и VPN.

То-есть, по умолчанию, если на локальной машине настроен DNS-сервис гугла. А трафик идет по цепочке tor-proxy. То DNS запросы идут в DNS-сервис гугла в обход цепочки? Или я просто не распарсил как вообще работает DNS и как к нему подключаются и нужно читать маны?

Смотря что за приложение использует Tor. Если это Tor Browser то в нём уже это предусмотрено и на DNS-запросы отвечает exit-node конкретного circuit.

Если же это какая-то программа, которая просто подключается к socks-порту Tor-клиента и не использует torsocks то она вполне может резолвить DNS локально.

Если в цепочке tor+proxy, то там же по любому в конце используется обычный браузер. А не Tor Browser.

В каком конце? Tor принимает в себя TCP-соединения по протоколу socks и пропускает их через 3 случайно выбранных узла. Решение о том, какие узлы выбрать, принимает Tor-клиент. Раз в 10 минут выбираются новые 3 случайных узла для новых соединений, старые соединения продолжают идти через ту цепочку, в которой были начаты.

На Tor exit узле нет никаких браузеров. Это просто Tor relay, который помечен в консенсусе как подходящий в качестве последнего в цепочке.

Когда пользователь запускает Tor Browser, то Tor Browser запускает свой экземпляр Tor-клиента и через него подключается к Tor-сети.

В конце цепочки tor-proxy. Созданной например через proxychains.

Proxychains просто подменяет системные вызовы для работы с TCP на свои обёртки, как torsocks. Следовательно соединения идут через Tor и никакие браузеры в этом не участвуют. На DNS-запросы отвечает tor-exit цепочки.

Если под «tor-proxy» имеется ввиду:
client -> Tor -> socks proxy

то DNS-запрос на подключение к хосту с socks proxy будет обслужен tor-exit в цепочке, последующие DNS-запросы для соединений к socks proxy будут обслужены согласно настройкам его локальной операционной системы хоста с socks proxy.

Спасибо.