現在、Torの回線は3つのノードを経由しているが、悪意のある攻撃者が両端のノードをコントロールできた場合、匿名性が破られてしまう[12]。そのため、Torは2、3ヶ月の間最初のノードを使い続けることで、攻撃のコストを上げており、このノードはエントリーガードと呼ばれる[13]。
問題点
DNS漏洩

ほとんどのソフトウェアは、UDPを用いてDNSを参照するため、TCP専用であるTorネットワークを経由せず直接参照してしまい、匿名性が不完全になる可能性がある。

DNS規格自体はUDPとTCPの両方をサポート (.mw-parser-output cite.citation{font-style:inherit;word-wrap:break-word}.mw-parser-output .citation q{quotes:"\"""\"""'""'"}.mw-parser-output .citation.cs-ja1 q,.mw-parser-output .citation.cs-ja2 q{quotes:"「""」""『""』"}.mw-parser-output .citation:target{background-color:rgba(0,127,255,0.133)}.mw-parser-output .id-lock-free a,.mw-parser-output .citation .cs1-lock-free a{background:url("//upload.wikimedia.org/wikipedia/commons/6/65/Lock-green.svg")right 0.1em center/9px no-repeat}.mw-parser-output .id-lock-limited a,.mw-parser-output .id-lock-registration a,.mw-parser-output .citation .cs1-lock-limited a,.mw-parser-output .citation .cs1-lock-registration a{background:url("//upload.wikimedia.org/wikipedia/commons/d/d6/Lock-gray-alt-2.svg")right 0.1em center/9px no-repeat}.mw-parser-output .id-lock-subscription a,.mw-parser-output .citation .cs1-lock-subscription a{background:url("//upload.wikimedia.org/wikipedia/commons/a/aa/Lock-red-alt-2.svg")right 0.1em center/9px no-repeat}.mw-parser-output .cs1-ws-icon a{background:url("//upload.wikimedia.org/wikipedia/commons/4/4c/Wikisource-logo.svg")right 0.1em center/12px no-repeat}.mw-parser-output .cs1-code{color:inherit;background:inherit;border:none;padding:inherit}.mw-parser-output .cs1-hidden-error{display:none;color:#d33}.mw-parser-output .cs1-visible-error{color:#d33}.mw-parser-output .cs1-maint{display:none;color:#3a3;margin-left:0.3em}.mw-parser-output .cs1-format{font-size:95%}.mw-parser-output .cs1-kern-left{padding-left:0.2em}.mw-parser-output .cs1-kern-right{padding-right:0.2em}.mw-parser-output .citation .mw-selflink{font-weight:inherit}RFC 2136) しており、多くのDNSサーバー実装も両対応となっているが、DNSを参照する多くのソフトウェアではUDPを用いるのが一般的であるという事が問題の根底にある。TCPを用いたDNS参照をサポートしているソフトウェアであれば、この問題の影響を受けることはない。

以上のことより、古いバージョンのTorでは、HTTP通信を行う場合に、TCPを用いたDNS参照をサポートしているPrivoxy（localhost、ポート番号8118）をWebブラウザとTorの間に設置し、併用することが推奨されていた。

バージョン0.2.0.1-alpha以降のTorは、DNS参照をTorネットワーク経由で行うDNSリゾルバが搭載された。これを使用するには、ユーザはシステム（localhost）上の任意のDNSリクエストを、指定したポート（TCP:9053）で動作するTorのDNSリゾルバ経由で処理させるよう、リダイレクトする必要がある (iptables 等を用いて)。こうすることでDNS漏洩問題は解決され、SOCKSに非対応のアプリケーションでも安全にTor経由の通信を行うことができるようになるが、少々設定が複雑で、パケットがリークする可能性があるため、安易に使うべきではない[14]。

代替案として、公式のFAQでは、以下のSOCKSベースの解決策が挙げられている[15]:

SOCKS 4a （ホスト名を使う）を用いる

SOCKS ベースのポートフォワーダ（socat 等）を用いて、SOCKS 経由で通信させる

tor-resolve を用いて、Tor経由でホスト名を解決。その後、アプリケーションに解決されたIPアドレスを渡す

通信傍受

2007年8月30日、スウェーデンのセキュリティー研究者、ダン・エガースタッド (Dan Egerstad) は、「世界中の大使館や人権擁護団体の電子メールを傍受することに成功した」と発表した[16]。

Torノード間の通信は暗号化されているものの、末端（出口）となるTorノードと通常のTCP通信先との間では、その暗号化が解除されるという点を利用したもので、LANアナライザを搭載したTorノードを設置することで、そこからTorネットワークを抜けようとする通信を監視するだけで、簡単に傍受できてしまうというものである。

この問題はTorネットワークに対して送信するデータ自体を、たとえばHTTPSやSMTP over SSLなどを用いて別途暗号化することで、防ぐことができる。
トラフィック分析

2005年5月8日から11日にかけて米国カリフォルニア州オークランドで開催された2005 IEEE Symposium on Security and Privacy で、ケンブリッジ大学の Steven J. MurdochとGeorge Danezis は論文「Low-Cost Traffic Analysis of Tor」を提示した。この論文によると、Torの匿名性を大幅に低下させる手法が存在する。当該論文はDanezis自身のページ[17]ないし IEEE Computer Society digital library などで閲覧可能である。
中継トラフィック解析攻撃「CERT Coordination Center」も参照

2014年7月に「Tor」を管理する非営利団体は、Torのネットワーク上で5か月間にわたり密かにトラフィックに変更を加え、Onion Service (旧Hidden Service)にアクセスしているTorユーザーの身元を探ろうとしていたコンピュータの存在が確認されたとして、Onion Serviceを利用しているTorユーザーの多くが政府が支援する研究者によって身元を特定された可能性があると発表した[18]。
Onion Serviceの問題点

サーバの所在地が秘匿されたダークウェブと呼ばれるウェブの領域も、2000年代後半より、ブラックビジネスの基盤としても利用され始め、違法サービスが多数運営されていることが確認されている。その一例に、ダークネット・マーケットで取り扱うサービスはギャンブル・人身・武器・麻薬・偽造通貨などが挙げられ、特定の違法サイトの摘発と新たな違法サイトの展開といういたちごっこが続いている。

また、攻撃者がTorを使って攻撃を仕掛けた場合、被害者側のログに出口ノードを運営するボランティアとの通信が記録される。そのため、運営するだけで逮捕されかねないようなリスクを負うことになる。公式もこのことを問題視しており、ボランティアはExit Policyを設定することで、出口ノードになるかどうか、出口ノードとしてどのサービスを許可するか、等を制限することができる[19]。
Torの利用Tor利用者数の統計地図

政府機関や軍隊が安全な通信を行うため、内部告発、通信を遮断する独裁国（権威主義国）からの接続あるいは通信の秘密やプライバシーを重視する個人や活動家などがネット検閲回避のため使用する[20]。使用例については、ダークネット#使用の項に詳しい。「en:Tor (anonymity network)#Implementations」および「en:The Tor Project#Tools」も参照
Tor BrowserTor BrowserのロゴDebian（Linux）上で動作するTor Browser 11.0.1。about:torページが表示された起動直後の状態。詳細は「Tor Browser」を参照

Tor Browser[21]は、盗聴防止やプライバシー保護を目的に開発されたウェブブラウザ。Mozilla Firefox ESR（延長サポート版）に、JavaScriptを制御できXSSにも対応可能なNoScriptや、Onion Service以外のHTTP通信で出口ノードからの末端部を暗号（HTTPS）化するHTTPS Everywhere[22][23]など、いくつかの拡張機能と設定済みのTorを組み合わせたものである。
さらに、TailsというOSに搭載されているものには、インターネット広告の遮断などに用いられるuBlock Originも標準で組み込まれている。
そして、USBメモリに入れての利用を想定したゼロインストールパッケージも用意されている。従来から公式サイト[24]や公式アーカイブ[25]にMicrosoft Windows、macOS、Linuxの各環境で動作するものがあり、2019年5月に公開されたバージョン8.5安定版以降、公式アーカイブのほかGoogle Play[26]からAndroid端末向けも入手可能となった。
また、バージョン4.5まではStartpage.com、現在はDuckDuckGoが標準検索エンジンに採用されている。Tor Browserは常時プライベートブラウジングモードで動作し、終了時にはパソコンやAndroid端末内に閲覧履歴やキャッシュおよびcookie等も残さず、このためフィルターバブルの影響を受けない。いまのところ、ウェブトラッキングやキャンバス・フィンガープリンティングなどの対策にも有効である[27]。
TorBirdy

TorBirdy（英語版）は、Microsoft Windows、macOS、Linuxの各環境で動作するインターネット統合ソフト・SeaMonkeyおよび電子メールクライアント・Mozilla Thunderbird用の拡張機能で、公式サイト[28][29]や公式アーカイブ[30]から入手可能。