Tor (podobnie jak wszystkie obecne praktyczne projekty anonimowości o niskim opóźnieniu) zawodzi, gdy atakujący widzi oba końce kanału komunikacyjnego.
Na przykład, przypuśćmy, że atakujący kontroluje lub obserwuje przekaźnik Tor, który wybierasz, aby wejść do sieci, a także kontroluje lub obserwuje stronę, którą odwiedzasz.
W tym wypadku, społeczność badawcza nie zna praktycznych rozwiązań o niskim opóźnieniu, które mogłyby niezawodnie zatrzymać atakującego od powiązania ilości i timingu informacji po dwóch stronach.
Więc co powinniśmy zrobić?
Załóżmy, że atakujący kontroluje lub może obserwować przekaźniki C.
Załóżmy, że jest łącznie N przekaźników.
Jeśli wybierzesz nowe przekaźniki wejścia i wyjścia za każdym razem, gdy korzystasz z sieci, atakujący będzie mógł skorelować cały wysyłany ruch z prawdopodobieństwem około (c/n)2.
Ale profilowanie jest, dla większości użytkowników, równie niepożądane jak bycie śledzonym cały czas: chcą zrobić coś często bez zauważenia tego przez atakującego, a atakujący zauważający to raz, jest równie niepożądany co atakujący zauważający częściej.
Tym sposobem, wybieranie wielu losowych wejść i wyjść nie daje użytkownikowi szansy na ucieczkę od profilowania przez tego typu atakującego.
Rozwiązaniem są "osłony wejścia": każdy klient Tor losowo wybiera z kilku przekaźników do użycia jako punkty wejścia, i używa tylko tych przekaźników dla ich pierwszego skoku.
Jeśli przekaźniki te nie są kontrolowane lub obserwowane, atakujący nie może nigdy wygrać, więc użytkownik będzie bezpieczny.
Jeśli te przekaźniki są obserwowane lub kontrolowane przez atakującego, atakujący widzi większą część ruchu użytkownika - ale mimo to, użytkownik nie jest profilowany bardziej niż poprzednio.
Dlatego, użytkownik ma jakąś szansę (na poziomie (n-c)/n) na uniknięcie profilowania, podczas gdy wcześniej nie miał on żadnej.
Możesz przeczytać więcej w Analizie Degradacji Anonimowych Protokołów, Defending Anonymous Communication Against Passive Logging Attacks, a szczególności Lokalizowanie Ukrytych Serwerów.
Ograniczenie swoich węzłów wejściowych może także pomóc przeciwko atakującym, którzy chcą uruchomić kilka węzłów Tor i z łatwością wymienić każdy z adresów IP użytkownika Tor.
(Nawet pomimo, że nie mogą dowiedzieć się do jakich miejsc docelowych komunikują się użytkownicy, wciąż mogą być w stanie robić niedobre rzeczy nawet z samą listą użytkowników.)
Aczkolwiek, funkcja ta nie stanie się użyteczna dopóki nie przejdziemy również do wzoru "osłony katalogu".