Официальный сайт Кракен

KRAKEN
onion-ссылка

Многоуровневое шифрование, анонимная маршрутизация и скрытые сервисы — разбираем принцип луковой сети.

Основы

Что такое Onion-ссылка?

Onion-адрес — это специальный псевдо-доменный адрес, который работает исключительно внутри сети Tor. Он не привязан к реальному IP-адресу и недоступен из обычного браузера.

Обычный URL (clearnet)
https://example.com/page
Onion v2 — устаревший устарел
http://duskgytldkxiuqc6.onion/
Onion v3 — текущий стандарт актуален
http://kraken2tr7eohw6acwwp2apxtgqtoy67gzggozvuzmglc7yq35ysboad.onion/

Onion v3 использует 56-символьный адрес, закодированный в base32. Это не просто название — в адресе зашита публичная часть ED25519-ключа сервера, контрольная сумма и версия. Это делает адреса криптографически верифицируемыми.

🔑

Криптографический адрес

Адрес .onion — это хеш публичного ключа сервера. Подделать адрес невозможно без приватного ключа.

🌐

Только в сети Tor

Обычные DNS-серверы не знают о .onion-адресах. Они резолвятся исключительно внутри Tor-сети.

👁️

Анонимность обеих сторон

Ни клиент не знает реального IP сервера, ни сервер не знает IP клиента. Полная двусторонняя анонимность.

🚫

Нет выходного узла

Трафик к .onion-сайту не покидает сеть Tor, поэтому нет точки утечки через Exit Node.

Принцип работы

Луковая маршрутизация

Название «луковая» происходит от способа шифрования: данные оборачиваются в несколько слоёв, как слои лука. Каждый узел снимает один слой, не видя остального.

📦
Шифрование узла 1 (Вход)
Шифрование узла 2 (Реле)
Шифрование узла 3 (Выход)
Оригинальные данные

Слои шифрования

Перед отправкой Tor-клиент получает публичные ключи трёх узлов и последовательно шифрует данные тремя ключами — снаружи внутрь.

  • Внешний слой — Входной узел (Guard/Entry) Знает ваш IP, но не видит содержимое и конечный адрес
  • Средний слой — Реле (Middle Relay) Не знает ни вас, ни адресата. Только следующий шаг
  • Внутренний слой — Выходной узел (Exit Node) Видит конечный адрес, но не знает, кто отправитель
  • Ядро — оригинальные данные Достигают получателя в исходном виде
Маршрут пакета

Путь запроса через Tor

От нажатия Enter в браузере до получения ответа — что происходит на каждом шаге.

💻
Вы
Tor Browser
🛡️
Входной узел
Guard Node
🔀
Реле
Middle Node
📡
Выходной узел
Exit Node
🖥️
Сервер
.onion / сайт
1

Получение списка узлов

Tor-клиент обращается к Directory Servers — доверенным серверам-каталогам, которые хранят список всех активных узлов сети. Клиент скачивает консенсус — подписанный список с публичными ключами узлов.

Таких директорий несколько (около 9), чтобы исключить единую точку отказа.
2

Построение цепочки (Circuit)

Клиент случайно выбирает три узла: Guard (входной), Middle (реле), Exit (выходной). С каждым из них устанавливается отдельный зашифрованный сеанс через протокол Diffie-Hellman — без раскрытия ключей другим узлам.

3

Тройное шифрование пакета

Данные шифруются сначала ключом Exit-узла, затем реле, затем входного узла. Получается три вложенных слоя шифрования — как луковица.

4

Передача по цепочке

Зашифрованный пакет идёт от вас к Guard-узлу. Guard снимает первый слой и передаёт дальше. Middle снимает второй слой. Exit снимает третий — и видит только конечный адрес.

Каждый узел видит лишь «предыдущего» и «следующего» — не весь маршрут.
5

Для .onion — рандеву-протокол

При обращении к .onion-сайту Exit Node не нужен. Вместо этого клиент и сервер независимо строят цепочки к общей «точке встречи» (Rendezvous Point), и соединяются через неё. Ни IP клиента, ни IP сервера не раскрывается.

6

Ответ приходит обратным путём

Ответ сервера проходит обратный путь по той же цепочке. Tor автоматически меняет цепочки каждые 10 минут для дополнительной защиты.

Шифрование

Как оборачиваются слои

Визуализация того, как пакет данных выглядит на каждом этапе путешествия по сети.

У вас (клиент)
Enc(Guard)
Enc(Middle)
Enc(Exit)
Данные + адрес
↓ Guard снимает слой
У Guard-узла
Enc(Middle)
Enc(Exit)
Данные + адрес
↓ Middle снимает слой
У Middle-узла
Enc(Exit)
Данные + адрес
↓ Exit снимает последний слой
У Exit-узла
Данные + адрес (открыто)

Для .onion-сайтов Exit Node вообще не задействован. Встреча происходит на Rendezvous Point — промежуточном узле, который видит только зашифрованный трафик и не знает, кто и с кем общается.

Зеркала

Что такое зеркало сайта?

Зеркало — это точная копия сайта, доступная по другому адресу. Для .onion-ресурсов зеркала особенно важны: один адрес может стать недоступным, а зеркала продолжают работать.

🖥️
Оригинальный сервер
Основные данные и контент
📡
abc123...xyz.onion
Основной
📡
def456...uvw.onion
Зеркало 1
📡
ghi789...rst.onion
Зеркало 2

Горячее зеркало

Работает в режиме реального времени. Данные синхронизируются немедленно — при изменении на основном сервере зеркало обновляется автоматически. Одинаково актуально с оригиналом.

Синхронизация: Мгновенная
Нагрузка на сервер: Высокая
🕐

Холодное зеркало

Обновляется по расписанию — раз в час, сутки или неделю. Может незначительно отставать от оригинала. Используется для архивирования и резервного доступа.

Синхронизация: По расписанию
Нагрузка на сервер: Низкая
🔀

Балансировочное зеркало

Несколько серверов с одинаковым содержимым распределяют нагрузку между собой. Пользователь подключается к ближайшему или наименее загруженному — без разницы для него.

Синхронизация: Постоянная
Нагрузка на сервер: Распределена

У .onion-ресурсов каждое зеркало — это отдельный приватный ключ и отдельный адрес. Зеркала технически независимы: если одно закрыто или заблокировано, остальные продолжают работу. Владелец публикует список зеркал на самом сайте или в доверенных каналах.

Сравнение

Tor vs VPN vs Clearnet

Чем отличаются технологии обеспечения приватности.

Критерий Clearnet VPN Tor (.onion)
IP скрыт от сайта Нет Частично Да
IP скрыт от провайдера Нет Да Да
Единая точка доверия ISP / DNS VPN-провайдер Нет
Анонимность сервера Нет Нет Да (для .onion)
Скорость соединения Высокая Средняя Низкая
Необходим доп. ПО Нет VPN-клиент Tor Browser / Tor
Шифрование слоёв TLS (1 слой) 1 уровень (туннель) 3 слоя
Вопросы и ответы

Часто задаваемые вопросы

Tor (The Onion Router) — изначально разработан в 1990-х годах в лаборатории военно-морских исследований США (USNRL). В 2002–2004 годах исходный код был открыт. Сегодня развитием занимается некоммерческая организация The Tor Project. Сеть работает на добровольных узлах по всему миру — тысячи серверов поддерживаются волонтёрами.
Технически это крайне сложно. Атака «анализ трафика» (traffic correlation) теоретически возможна, если злоумышленник контролирует одновременно и входной, и выходной узел. На практике деанонимизация происходила не через взлом протокола, а через ошибки пользователей: авторизацию в личных аккаунтах, JavaScript-эксплойты, или использование скомпрометированного ПО.
Onion v2 использовал 16-символьный адрес на основе RSA-1024, который к 2020-м годам перестал считаться надёжным. Onion v3 перешёл на ED25519 (эллиптическая криптография), 56-символьный адрес, улучшенное обнаружение скрытых сервисов и устранение уязвимостей в протоколе рандеву. С 2021 года v2 официально выведен из поддержки.
Запрос проходит через минимум 6 узлов (3 на стороне клиента + 3 на стороне сервера при .onion-доступе), каждый из которых добавляет задержку. Кроме того, пропускная способность узлов ограничена, а трафик шифруется и расшифровывается несколько раз. Это принципиальный компромисс между анонимностью и скоростью.
Да. Стандартный браузер не умеет резолвить .onion-адреса, так как они не существуют в публичном DNS. Нужен Tor Browser (официальный, основан на Firefox) или браузер с встроенной поддержкой Tor. Также можно настроить системный Tor-демон и проксировать через него любой SOCKS5-совместимый браузер.
Добровольцы по всему миру: университеты, некоммерческие организации, журналисты, активисты и просто технически грамотные пользователи. По состоянию на 2024 год в сети действует более 7000 ретрансляторов. Любой желающий может запустить собственный узел, скачав пакет Tor и настроив torrc-конфигурацию.