上周对 Silk Road 2.0 的取缔并非 Tor 项目匿名路由器网络隐藏的执法打击“暗网”非法网站的唯一行动。作为Operation Onymous的一部分，至少27 个不同站点上的 410 个.onion 页面被关闭，其中一些出售从毒品到雇佣杀人刺客等各种物品，这是 Europol 的 16 个成员国、FBI 和美国移民与海关执法局之间的联合行动。
尽管进行了 17 次逮捕，但被全球扫荡关闭的一些站点的运营商仍在逃。其中之一——Doxbin的共同运营商，该站点允许其他人发布经常用于恐吓、身份盗窃或其他恶意目的的个人身份信息，已与 Tor 开发者分享了其站点被取缔的细节，希望他们能找到保护网络其他用户的方法。对 Doxbin 的一次明显的分布式拒绝服务 (DDoS) 攻击可能已被用于揭露其实际位置，并且相同的方法可能已被用于暴露执法部门扣押的其他暗网服务器。
自称 nachash 的 Doxbin 所有者共享的日志文件表明，站点可能已使用故意设计的 Web 请求来打破Tor 的隐藏服务协议而“暴露”。也有可能他的站点是由糟糕的 PHP 代码泄露的。在一系列题为“是的，你好，互联网超级反派在这里”的电子邮件中，nachash 表示，他的服务器——运行德国托管服务Hetzner的虚拟专用服务器——在 8 月最初受到他认为是拒绝服务攻击的影响。
更新：Doxbin 的运营商在周日晚上向 Tor 开发者发送了更新，称他早些时候报告的至少部分拒绝服务攻击实际上是有人在爬取他的网站。然而，爬虫并未参与后来发送的畸形流量。
从 8 月 21 日到 8 月 28 日，日志显示一波请求，其中包括以%5C%22 开头的文本——在 PHP 请求中，PHP 代码会将其解析为引号。在“转义”引号之后，请求包括似乎是 Twitter 和 Hack Forums 等网站的 URL。然而，这些网站实际上加载了“/old/code/fail”等假子目录：
显示通过 Tor 进行畸形请求的 Doxbin 日志文件片段，可能用于“暴露”服务器。
显示通过 Tor 进行畸形请求的 Doxbin 日志文件片段，可能用于“暴露”服务器。
这些请求将 8 月的服务流量推高至约 170 万页面请求——几乎是该站点正常流量负载的三倍。一个月后，同样的模式再次开始，nachash 表示他开始将这些请求重定向到另一个 Tor 隐藏服务站点（Hidden Wiki 的“硬糖”页面，一个儿童色情网站目录）。“我还添加了一个 grip -v”——GNU grep命令的“反转匹配”功能，用于从输出中排除特定模式——“到我的日志报告脚本中，以过滤掉噪声，”nachash 写道。“[这可能是个错误，但我们都跟踪了日志并注意到类似不同攻击风格的东西，而 DDoS 被用来掩盖，却从未注意到任何东西。”最终，请求从每秒 5 次的峰值下降到每 3 到 6 秒一次。最终，请求完全停止。
Doxbin 流量信用：@loldoxbin
“创建 Doxbin 的孩子”向 nachash 提出的理论是，该攻击是试图迫使连接到该站点的各种.onion 地址遵循通过执法部门设置的 Tor 网络节点的路径。通过填满通过安全 Tor 网络节点的“电路”，执法人员可能已经能够仅通过他们控制的 Tor 路由服务器连接到这些服务——使他们能够看到托管它们的服务器的真实互联网协议地址。
Doxbin 于 11 月 6 日下线，也就是 Silk Road 2.0 被扣押的同一天。在 UTC 时间 1 点或之前，nachash 写道：

“我检查了最新的 Doxbin onion，并在大约最初 24 小时内每隔几个小时尝试通过 ssh 连接到该盒子，直到一位朋友指出其中一个旧的 Doxbin onion 正在提供 Silk Road 2.0 扣押页面。当时，主 onion 正在提供一些 404 页面（我预计最终会指向某种蜜罐，但警察真的让我失望了），而其他 onion 没有响应。第二天情况发生了变化，Doxbin 盒子的所有 onion 都指向了扣押页面。推测是警察一次添加一个 onion，我的个人经验支持这一点。致力于扣押和控制隐藏服务的警察仍在努力有效地管理 torrc 文件[Tor 服务配置文件]。想想吧。
虽然对于 Silk Road 2.0 和 Doxbin 等站点可能不会有眼泪，但对其他隐藏服务——以及对 Tor 网络的一般用户——的影响令人不安。如果政府行为者能够使用拒绝服务攻击迫使 Tor 流量通过他们拥有和运营的连接，这可能会给举报人、政治活动家、异见人士、记者和其他试图避免压迫政权目光的人使用的匿名站点带来隐私问题。