Что такое Onion-зеркало?
Скрытый сервис Tor
Onion-зеркало — это веб-сайт, доступный исключительно через сеть Tor. Он имеет специальный адрес в формате .onion, который не разрешается обычными DNS-серверами.
Двусторонняя анонимность
В отличие от обычного прокси, Onion-сервис скрывает как пользователя, так и сам сервер. Никто из посредников не знает полного маршрута соединения.
Зеркало обычного сайта
Крупные сервисы (новостные редакции, мессенджеры) создают .onion-копии своих сайтов для пользователей в странах с интернет-цензурой, обеспечивая им безопасный доступ.
Важно: Onion-адрес — это не домен в привычном смысле. Это криптографический хэш публичного ключа сервера. Браузер Tor самостоятельно строит зашифрованный туннель непосредственно до этого сервера, без участия DNS.
Как работает маршрутизация
Запрос к Directory Server
Tor Browser загружает актуальный список ретрансляторов с доверенных Directory Servers. Из списка выбираются три узла для построения цепи.
Поиск точки рандеву
Клиент случайно выбирает один из узлов Tor как «точку встречи» (Rendezvous Point) и отправляет ей одноразовый cookie-токен через трёхузловую цепь.
Введение через Introduction Point
Клиент обращается к «точкам представления» (Introduction Points), заранее зарегистрированным сервером в распределённой хэш-таблице (DHT). Туда отправляется зашифрованное сообщение с адресом точки рандеву.
Сервер строит встречную цепь
Onion-сервер, получив сообщение, строит собственную трёхузловую цепь до точки рандеву и отправляет ей подтверждение с соответствующим cookie.
Сквозное соединение установлено
Точка рандеву соединяет две цепи в одну. Клиент и сервер теперь обмениваются данными через цепь из шести узлов, не зная IP-адресов друг друга.
Многослойное шифрование
Название «луковичная маршрутизация» (Onion Routing) происходит от принципа послойного шифрования — как слои у луковицы. Каждый узел снимает ровно один слой.
Отправка данных
Клиент оборачивает сообщение в три слоя шифрования подряд: сначала ключом Exit-узла, затем Middle, затем Guard. Получается «луковица» из трёх слоёв.
Прохождение через узлы
Guard-узел расшифровывает внешний слой и видит только следующий адрес. Middle снимает второй слой. Exit-узел снимает последний и видит зашифрованные данные для сервера.
Принцип «знай только соседей»
Ни один узел не знает одновременно и источник, и назначение трафика. Guard знает клиента, но не сервер. Exit знает сервер, но не клиента.
Структура зашифрованного пакета
Каждый узел снимает один слой и передаёт «луковицу» дальше
Для .onion-сервисов соединение сквозное TLS-шифрование работает поверх Tor, то есть данные зашифрованы не только на уровне Tor, но и дополнительно с помощью ключа самого сервера. Итого — шесть слоёв шифрования.
Анатомия .onion-адреса
v2 (устарел)
16 символов в base32. Генерировался из первых 10 байт SHA-1 хэша публичного ключа RSA-1024. Официально отключён в 2021 году.
Небезопасенv3 (текущий стандарт)
56 символов в base32. Содержит полный публичный ключ Ed25519 (256 бит), версию и контрольную сумму. Обеспечивает криптографическую верификацию сервера.
АктуаленСтруктура v3-адреса
[публичный ключ 32 байта]
[контрольная сумма 2 байта]
[версия 1 байт]
= 35 байт → base32 → 56 символов
Сравнение с другими технологиями
| Характеристика | Onion-зеркало | VPN | Обычный HTTPS |
|---|---|---|---|
| Анонимность клиента | Высокая | Средняя | Низкая |
| Анонимность сервера | Полная | Нет | Нет |
| Слоёв шифрования | 6 (3 Tor + TLS) | 1–2 (VPN + TLS) | 1 (TLS) |
| DNS-утечки | Исключены | Возможны | Есть |
| Доверие к провайдеру | Не требуется | Обязательно | Не требуется |
| Скорость соединения | Низкая | Высокая | Высокая |
| Доступность без цензуры | Да | Частично | Нет |
| Требует доп. ПО | Tor Browser | VPN-клиент | Любой браузер |
Как найти актуальную ссылку на сайт
.onion-адреса не индексируются обычными поисковиками и могут меняться. Ниже — надёжные способы найти актуальную ссылку.
Официальный сайт сервиса
Самый надёжный источник. Большинство крупных сервисов публикуют свой .onion-адрес прямо на главной странице или в разделе «Безопасность» / «Конфиденциальность». Проверьте официальный сайт через обычный браузер, прежде чем переходить по любой другой ссылке.
Официальные социальные сети и блоги
Верифицированные аккаунты в Telegram, Twitter/X, Reddit или официальные блоги сервиса регулярно публикуют актуальные зеркала при смене адреса. Подписка на официальный канал — простой способ всегда иметь свежую ссылку.
Каталоги .onion-сервисов
Существуют кураторские списки проверенных .onion-адресов: The Hidden Wiki, ahmia.fi (доступен через обычный браузер), dark.fail. Используйте только авторитетные каталоги с хорошей репутацией и всегда сверяйте адрес с официальным источником.
Поиск через Tor Browser
DuckDuckGo, Ahmia и другие поисковики, доступные внутри Tor, индексируют часть .onion-сайтов. Поиск по названию сервиса + «.onion» или «onion mirror» может помочь найти адрес, однако всегда проверяйте результаты по официальным источникам.
Осторожно: фишинговые зеркала. Злоумышленники создают поддельные .onion-сайты с похожими адресами. Никогда не вводите логины, пароли или платёжные данные на зеркале, адрес которого вы не сверили с официальным источником. Помните: один неверный символ в адресе — уже другой сайт.
Чеклист проверки ссылки
.onion — никаких .onion.ws, .onion.to и подобных
.onion (стандарт v3)
Законные применения
Журналистика
SecureDrop и аналогичные платформы позволяют источникам анонимно передавать документы журналистам в обход слежки.
Обход цензуры
Доступ к заблокированным ресурсам — новостным СМИ, Wikipedia, социальным сетям — в странах с интернет-ограничениями.
Конфиденциальность
Защита персональных данных, общение с правозащитными организациями и доступ к медицинским ресурсам без слежки со стороны провайдеров.
Исследования в области ИБ
Изучение сетевых протоколов, тестирование безопасности сервисов и анализ угроз без раскрытия личности исследователя.
Защита активистов
Правозащитники и политические активисты в авторитарных режимах используют Onion-сервисы для координации без угрозы деанонимизации.
Зеркала легальных сервисов
NYT, BBC, Facebook, DuckDuckGo и другие крупные компании имеют официальные .onion-адреса для обеспечения доступа своей аудитории.
Технические особенности
Нет точки выхода
В отличие от обычного использования Tor, соединение с .onion-сервисом не проходит через Exit Node. Трафик остаётся внутри сети Tor на всём пути от клиента до сервера.
Аутентификация по ключу
Адрес v3 является одновременно идентификатором и криптографическим публичным ключом. Браузер автоматически верифицирует, что подключился к нужному серверу.
Распределённая директория
Адреса точек представления хранятся в Distributed Hash Table (DHT) самой сети Tor. Нет централизованного регистратора и нет единой точки отказа.
Tor2Web и мосты
Существуют шлюзы Tor2Web для доступа к .onion без Tor Browser (с потерей анонимности клиента) и мосты (bridges) для обхода блокировки самого Tor.
Нагрузка на сеть
Каждое соединение с .onion занимает шесть узлов (три цепи клиента + три цепи сервера), что даёт большую задержку, но максимальную анонимность.
Client auth
Сервис может включить аутентификацию клиента (Client Authorization), при которой доступ к .onion возможен только при наличии заранее выданного ключа X25519.