----
Para identificar algum IP externo ou proxy externo, a informática forense utiliza-se pelo seguinte método: O último relay do circuito de rede, é chamado de nó de saída, é aquele que estabelece a conexão com o servidor de destino. Como o Tor não criptografa o tráfego entre um nó de saída e o servidor de destino (e nem poderia por questões de projeto), qualquer nó de saída está numa posição na qual pode capturar qualquer tráfego passando por ele.
Por exemplo, em 2007 um pesquisador de segurança interceptou milhares de mensagens de e-mail enviadas por embaixadas estrangeiras e grupos de direitos humanos ao redor do mundo através da espionagem das conexões que saíam de um nó de saída que ele estava rodando.
----
Desta forma que intercepta geralmente o IP de usuário aí é só pedir o mandato judicial para quebra de sigilo.