Сейчас сам попробую, без чужой статьи, где про TTL, весь маршрут следования пакетов разложить по цепочке.
При переходе через шлюз у пакета отсекается канальный и физический уровень. Пакет продолжает следовать до следующего старшего провайдера Gateway, c новым адресом сетевого оборудования MAC - уже вашего провайдера.
На шлюзе провайдера, точно весит сниффер. Сниф ловит пакеты выборочно, по задумке главного СисАдмина и правилам безопасности.
Информации о ARP(MAC – адресе владельца данного пакета) остается только на самом узле провайдера, если пакеты отловлены ПОЛНОСТЬЮ в файловое хранилище. С финансовой (реальной) точки зрения, провайдер может себе позволить записать все пакеты в их полноценном виде – НУ МАКСИМУМ НА СУТКИ. А именно если брать все уровни: физический, канальный, сетевой, транспортный, прикладной. Это только в том случае, если заведомо закупил под это дело огромный файловый сервер. То есть - простыми словами, зашифрованный пакет “TOR”, перейдя за шлюз, меняет его владельца на физическом и канальном уровне(MAC адрес). Для следующего узла им становится сам провайдер, который передает этот пакет дальше.
По оперативному реагированию и запросу третьих лиц, если этот пакет не сохранился к моменту, когда стали искать его истинного владельца , вычислить, откуда он пришел, будет уже точно не реально!
Получается старший провайдер, ТОЖЕ ДОЛЖЕН ПОЛНОЦЕННО СНИФИРИТЬ именно эти пакеты. Сейчас объясню почему. Tor не скрывает принцип, как реализована подача информации до конечной точки. Пакет шифруется и прежде чем дойти до владельца, каждый раз хаотичным методом пролетает минимум через три сервера. (Сейчас я понял, как это они грамотно придумали, что именно через 3). Если я сервер, то через меня пролетает куча пакетов, которые не выходят в открытом виде из моего ИП, т.к я посредник. ОЧЕНЬ затруднит работу сниффера направленного на ТОР.
Чтобы вычислить истинного владельца, кто запросил данную информацию, есть несколько вариантов.
1)Все узлы интернета должны быть в едином сговоре против TOR системы. Все должны иметь сниффер, который отлавливает пакеты именно этой сети. Это чтобы по “ MAC” смене в пакете на пути следования через все узлы, понять откуда он пришел.
Надо еще на каждом узле капаться во всех отловленных пакетах, через, чур трудоемко.
НЕ РЕАЛЬНО.
2)Третьи лица или Системный администратор должны уметь раскриптографировать данную систему ТОР. Этого будет не достаточно! Опять же напоминаю про ТРИ точки до конечного компа . ))) Проще чем первый вариант. Имея декриптор, нужно поймать пакет ,в двух местах: a) В своей стране b) За рубежом.
Это между ТРЕМЯ точками.
НЕ РЕАЛЬНО – это какой должен быть Ферзь с горы, чтобы службы так оперативно сработали???
3) Должен быть центральный сервер, который отлавливает все пакеты проходящие через эту сеть и хранит всю информацию на файловом сервере.
НЕ РЕАЛЬНО. Между тремя точками, его ИП адрес специалисты просекли бы точно! И какой там должен быть толстый канал и как он должен бесперебойно работать ? Это же надо выдержать арду машин данной сети.
Думаю, если бы данный сервер существовал, то за столь продолжительный период времени разработки данной сети информация точно бы ушла в сеть.
Да сами разработчики программного обеспечения ТОР продукта, не скрывают, что принцип работы такой же, как у системы Торрент. Только там вместо клиента и сервера, три точки плюс шифрование на 443 и 9030 порту.

Конечный вывод: Это что такое нужно сделать, чтобы поднять столько серьезных личностей, дабы выяснить истинного владельца?
С ТЕХНИЧЕСКОЙ ТОЧКИ ЗРЕНИЯ - НЕ РЕАЛЬНО!
Если это воровство денег, то только через банковскую систему, куда проще вычислить перевод. Если что-то другое, то только логикой и оперативными приемами в реальной жизни.
Если просто взломан сайт на без какой либо логической связи в реальной жизни , вычислить НЕ РЕАЛЬНО.


После своих рассуждений, я понимаю, что VPN + TOR(клиент + сервер) – это самый безопасный серфинг по web , smtp , pop3, IRC стандартам. Будет запрос третьих лиц на ваш VPN сервер, на сервере VPN ,там сразу дадут понять, что вычислить, кто фокусничал с тех. стороны не реально. Технари отделов поймут друг друга. Скажут, ищите в реале ))))




P.S.
Да все эта схема работает , если спохватятся после после произошедшего. Начнут искать спустя даже минуту , как чел ушел , то все, пиши - пропал. Во время онлайна можно отсечь, конечный ИП, но это умеют делать мало кто и нужно время 20 мин, информацию вывели в свет в 2008 году.
http://www.linux.org.ru/view-message.jsp?msgid=2788906

Ну также, если человек не грамотно пользуется данным сервисом, не на должном уровне, то вариант поймать тоже есть, даже спустя время.
Хотите, чтобы Tor на самом деле обеспечивал защиту?
http://www.torproject.org/download.html.ru#Warning
Да еще многие заблуждаются , что нельзя выбрать определенные быстрые сервера и ходить только через них, это ошибочное мнение.