在Tor网络中，隐藏服务（以“.onion”结尾的网站）的设计初衷是保护服务器真实IP地址不被发现。然而，由于管理员在配置SSL证书时的错误操作，这一匿名性可能会被打破。这种IP暴露漏洞的核心原因在于Web服务器的监听配置不当。

正确的配置与致命的错误
按照安全规范，一个仅托管Tor隐藏服务的服务器，其Web服务器（如Apache或Nginx）应当只监听本地环回地址（127.0.0.1），这意味着外部网络无法直接访问该服务器。然而，如果管理员错误地将Web服务器配置为监听所有网络接口（如设置为0.0.0.0或*），且未启用严格的防火墙，该服务器就会绕过Tor网络，直接与外部公共网络建立连接。

SSL证书如何成为“泄密者”
当攻击者或研究人员在互联网上扫描到一个开放了443端口的公共IP时，他们会向该IP发送ClientHello消息以尝试建立SSL连接。此时，配置错误的服务器会返回ServerHello响应，其中包含了用于该连接的SSL证书。由于该证书是为Tor隐藏服务申请的，证书的公共名称（CN）字段中会明确包含该匿名服务的“.onion”域名。

攻击者的利用步骤
通过这种机制，攻击者只需执行以下简单的步骤，就能将公共IP与暗网域名关联起来：
通过端口443向特定的IP范围发送连接请求（ClientHello消息）。
提取服务器响应（ServerHello消息）中SSL证书的公共名称（CN）。
将提取到的“.onion”域名与该公共IP地址进行匹配。

通过反复执行这一过程，攻击者能够批量识别出配置错误的Tor隐藏服务及其底层服务器的真实公共IP地址。这充分说明，即使使用了Tor这样的安全工具，任何细微的配置疏忽都可能导致严重的隐私泄露。