Если речь о hidden-сервисе, то хостер не видит ничего, кроме множества разных открытых зашифрованных TLS-соединений, которые не может идентифицировать или связать непосредственно с тором. Внешне, это постоянно сменяющиеся коннекты с разным объёмом трафика от разных адресов (внутренних мостов), через которые пользователи посещают сайт.
В трафике к hidden-сервисам, tor exit ноды не участвуют. Все соединения остаются в пределах сети тор.
Единственное, что может видеть хостер, это сам факт первичного подключения сервера к тору, т.к. клиенты тор совершают хэндшейк по общему паттерну. Этого можно избежать при использовании pluggable transports и обфускации, но в этом случае хостер будет видеть постоянный нестандартный трафик, хотя сам по себе этот факт обычно не нарушает ничей ToS.
В теории, в серьёзных расследованиях место размещения может быть выявлено через косвенную информацию: сотрудничество с хостерами, общесетевой DPI на территории размещения, косвенные данные о трафике, человеческие ошибки операторов ресурса.
