TorPCAP：Tor网络取证分析技术

发往Tor网络的未加密网络流量，会通过运行Tor客户端计算机（如Tor浏览器）上的localhost TCP sockets来传送流量。在本文中，我将向大家展示如何将具有localhost流量的PCAP文件，加载到 NetworkMiner 中并可视化匿名的Tor浏览。我们称这种技术为TorPCAP。

Tor是一个安全的平台，使用户能够匿名浏览网页。 Tor项目网站上对该工具描述为：

“Tor是一款免费的软件并且是一个开放式的网络，可帮助你防止流量分析”

你也可以使用Tor在Dark Web上托管 匿名的“洋葱服务”：

“Tor使用户可以在提供各种服务时隐藏他们的位置，例如web发布或即时消息服务器。使用汇合点（rendezvous point），其他Tor用户可以连接到这些洋葱服务（以前称之为隐藏服务），且互相都不知道对方的网络身份。“

在加密之前捕获Tor流量

Tor会在localhost（127.0.0.1）的TCP 9150 端口上创建一个SOCKS代理侦听。 Tor浏览器会通过该SOCKS代理将其流量加密并转发到Tor网络。这意味着通过嗅探本地主机上的流量，实际上我们可以创建一个固定的取证路径，追踪PC发送到Tor网络和从Tor网络发送的所有流量。

在macos或linux中，你可以使用tcpdump在运行 Tails OS 或  Tor 浏览器的PC上捕获本地主机流量。如果你是在Windows中运行Tor浏览器，那么我们建议你使用 RawCap来嗅探本地主机流量（RawCap是一个不需要WinPcap或NDIS驱动就能工作的网络嗅探工具）。

为了理解捕获的流量，你需要有一个能够解析SOCKS协议的工具（ RFC 1928）。NetworkMiner中包含了一个 SOCKS解析器，可用于提取和重组来自Tor网络的数据。

Demo：分析 TorPCAP 网络流量

假设有一个名为“Eldon”的用户，在2018年11月30日使用Tor进入了暗网并浏览了部分页面。Eldon在Windows PC上使用Tor浏览器，而 RawCap则用于从Eldon的计算机捕获本地主机网络流量。Eldon PC捕获数据包的PCAP文件可以 在此处获取到。

File   :  rawcap-localhost-tor.pcap

Size   : 1.47 MB

SHA256 : 9134FA542B388498C2A58A2E1424FCD4AF466CE7117DBE9AAFD0A031CC8209B8

NetworkMiner中的“Files”选项卡为我们列出了已分析PCAP文件重组的所有文件。从该文件列表我们可以看到Eldon使用“not Evil”这个搜索引擎（hss3uro2hsxfogfq[.]onion）搜索了关键字“buy fake passports（购买假护照）”。

来自not Evil的搜索结果页面已被NetworkMiner重组并保存在了名为“index.php.CB66877E.html”的文件中。我们可以在浏览器中打开该HTML文档，查看Eldon获取的搜索结果（打开该html文档不需要Internet连接）。

NetworkMiner Professional中的“Browsers”选项卡显示，Eldon在其搜索结果（购买假护照[...]）中点击了第二条结果，并引导他访问了“fakeimz[...].onion”这个网站。

接着Eldon列出了可用的护照（详见1837帧重组文件“novelty_fake_id_samples.shtml”）并选择了英国护照（“pp-uk-open-big.jpg”）。

随着Eldon的进一步操作，他得到了该网站提供的假护照的价目表（“novelty_fake_id_pricing.shtml”），但我们并没有看到任何证据表明他实际完成了假英国护照的购买。

如果我们回到NetworkMiner中的Images选项卡再向下滚动，我们会看到一张枪的图片。让我们看看它来自哪里。

事实证明，Eldon还搜索了“buy guns for bitcoin UK”。你可以在“Parameters”选项卡中使用参数名“q”列出所有搜索引擎查询关键字。该方法适用于“not Evil”以及大多数clearnet搜索引擎，如Google，Bing，Yahoo！和DuckDuckGo。

Browsers选项卡显示Eldon点击了“UK Guns and Ammo Store”（tuu66[...].onion）。

该网站也已被NetworkMiner被动重组，并且你可以在浏览器中离线打开它（详见“index[2].html”）。

NetworkMiner中的Credentials选项卡显示了Eldon用于登录网站的用户名和密码：

登陆该账户后可以看到，有两件商品被Eldon加入到了购物车中（详见“cart.php[1].html”），但点击“Continue to Checkout（继续结帐）”后会收到一条消息显示“Not enough balance for this order（该订单余额不足）”。看起来Eldon在暗网武器商店的帐户中，并没有充值任何的比特币（详见“wallet.php.html”）。

Web Trackers 和 Tor

使用网络跟踪（如Google Analytics）等服务来跟踪访问洋葱服务的用户被认为 是非常不好的做法。然而，我们注意到假护照网站使用了Google Analytics脚本，跟踪ID为“UA-19359933-1”。

通过谷歌搜索这个ID，我们找到了一个非常相似的网站：hxxp:// www.buypassportsfake[.]cc

*参考来源： netresec，FB小编secist编译，转载请注明来自FreeBuf.COM