<div>>>> What can be known is *how* TOR is being used by setting up studies at<br></div><div>>>> exits and seeing what kind of services people are connecting to.<br></div><div><br></div><div>>> Please don't do that, or suggest doing that. Sniffing or inspecting exit<br></div><div>>> traffic may be illegal in some jurisdictions, and will result in the BadExit<br></div><div>>> flag.<br></div><div><br></div><div>> How is this even possible? Surely, sniffing or inspecting traffic is<br></div><div>> inherently passive?<br></div><div><br></div><div><br></div><div>Ignoring the legal implications for a moment, and also the logical issue of how you'd "study" exit traffic and publish your findings without basically admitting to the world you've been intercepting users' traffic...<br></div><div><br></div><div>From the level of the Tor network and its directory authorities, I think it's only feasible to detect sniffing when "sslstrip" style attacks are used. I.e., it's possible to detect man-in-the-middle attacks where SSL is in place. I know this has been used to detect and flag bad exits in the past. I am not aware of trivial methods to detect passive sniffing of unencrypted traffic. <br></div><div><br></div>