Il faut bien voir que la publication de la liste est une donnée de base du fonctionnement du réseau, pas un choix arbitraire ou un accident.

Autant que la publicité des transactions dans Bitcoin est constitutif du système Bitcoin.

Voici la liste pour OVH via un site public:

https://compass.torproject.org/#?exit_filter=all_relays&links&sort=cw&sort_reverse&country=&exits_only=false&top=-1&guards_only=false&ases=AS16276

Les 449 serveurs TOR de clients chez OVH representent donc 14.7756% du reseau TOR, 17.3828% en guard, 15.2588% en middle node et 10.0220% en exit.

Pour la France on trouve 701 noeud (avec un bon nombre chez Online aussi) pour 25.1535% du reseau (en poids ajuster par consensu), 33.0661% en guard,  25.2978% en middle et 12.7602% en exit.

Il y a une liste des IP de tous les relais de sortie Tor ?

La liste des informations relatives aux nœuds de sortie Tor est, par nature, entièrement publique, et le projet Tor a fait le choix de fournir un ensemble d'outils permettant d'obtenir simplement ces données. En voici quelques uns :

• Pour exporter la liste des nœuds de sortie facilement : https://check.torproject.org/cgi-bin/TorBulkExitList.py
• Pour vérifier l'appartenance d'une adresse IP au réseau via les DNS : https://www.torproject.org/projects/tordnsel.html.en
• Une API REST permettant de récupérer toutes les données publiques relatives à l'état actuel du réseau : https://onionoo.torproject.org/
• Même si rien de tout cela n'existait, ces données sont récupérées au lancement du client Tor afin de lui permettre d'établir un circuit et de sélectionner les nœuds. La spécification des différents protocoles afférents est disponible ici : https://gitweb.torproject.org/torspec.git/tree/ (les directory servers étant accessibles soit dans un lien chiffré, par l'intermédiaire du protocole Tor, soit directement en HTTP sur un port différent).

Comment identifier un trafic Tor ?

Ça dépend ce que l'on entend par « trafic Tor ». De base, le protocole Tor fonctionne par-dessous TLS avec un certifiant utilisant notamment un nom d'hôte généré aléatoirement, et peut éventuellement présenter certains motifs reconnaissables. Mais des travaux ont été réalisés pour tenter de complexifier la censure du protocole, qui peut être un problème dans certains pays, et un système de nœuds d'entrée non-publics, appelés ˘ponts” (“bridges”), a été mis en place, utilisable en saisissant des lignes de configuration indiquant adresse IP, port et signature.

Ces lignes de configuration peuvent être obtenues au compte-gouttes via une interface web spécifique avec captcha, ou alors via une interface alternative passant par l'e-mail. L'autre caractéristique est que ce trafic peut être obfusqué de nombreuses manières, via un système nommé “transports enfichables” (“pluggable transports”), qui supporte divers protocoles dont de nouveaux sont développés continuellement, notamment à travers un projet nommé obfsproxy. Le détenteur d'un nœud d'entrée peut choisir d'en faire un relais public ou un pont.

De nombreux hébergeurs voient les nœuds de sortie comme des agresseurs DOS potentiels et bloquent ou mettent des CAPTCHA.

Il faut tordre le coup a cette réputation qui voudrait que TOR == DDOS. La réalité c'est que TOR n'est pas bien adapté pour conduire ce type d'attaque. Et cela pour des raisons très simples. TOR agit comme un proxy Socks tu ne peut pas envoyer de paquet SYN seul et encore moins de paquet SYN en spoofant la source. Donc pas de SYN Flood pour faire plier les serveurs. Autre point et de taille, TOR ne fait que du TCP pas de UDP, donc pas de possibilité d'attaque par amplification, ou d'envois de gros paquets UDP pour saturer la BP. Ce sont de gros inconvénients qui restreignent considérablement les possibilités dans ce domaine. Il ne reste plus gère comme possibilité a l'agresseur que les attaques DOS de niveau applicatives.

Ah oui et le fait d'avoir à gérer un CAPTCHA et le bypass qui s'ensuit doit rajouter du traitement coté serveur!

Ça rajoute surtout du traitement a celui qui est entre la chaise et le clavier.

...Quant au niveau d'exécution inférieur, celui des navigateurs, la recherche ne cesse d'avancer, et les niveaux de virtualisation et de vérification internes à ces grandes machines continuent d'évoluer régulièrement, avec la montée en puissance du matériel informatique, alors que la meilleures avancées en matière de stabilité sont très certainement à venir....

D'autant plus que Mozilla semble vouloir s'y mettre.