TorPCAP:Tor网络取证分析技术

标签: 资讯 tor TorPCAP | 发表时间:2019-01-14 15:00 | 作者:secist
出处:https://www.freebuf.com

PcapTor_185x199.png

发往Tor网络的未加密网络流量,会通过运行Tor客户端计算机(如Tor浏览器)上的localhost TCP sockets来传送流量。在本文中,我将向大家展示如何将具有localhost流量的PCAP文件,加载到 NetworkMiner 中并可视化匿名的Tor浏览。我们称这种技术为TorPCAP。

Tor是一个安全的平台,使用户能够匿名浏览网页。 Tor项目网站上对该工具描述为:

“Tor是一款免费的软件并且是一个开放式的网络,可帮助你防止流量分析”

你也可以使用Tor在Dark Web上托管 匿名的“洋葱服务”

“Tor使用户可以在提供各种服务时隐藏他们的位置,例如web发布或即时消息服务器。使用汇合点(rendezvous point),其他Tor用户可以连接到这些洋葱服务(以前称之为隐藏服务),且互相都不知道对方的网络身份。“

在加密之前捕获Tor流量

Tor会在localhost(127.0.0.1)的TCP 9150 端口上创建一个SOCKS代理侦听。 Tor浏览器会通过该SOCKS代理将其流量加密并转发到Tor网络。这意味着通过嗅探本地主机上的流量,实际上我们可以创建一个固定的取证路径,追踪PC发送到Tor网络和从Tor网络发送的所有流量。

Tor-Browser-Diagram

在macos或linux中,你可以使用tcpdump在运行 Tails OS 或  Tor 浏览器的PC上捕获本地主机流量。如果你是在Windows中运行Tor浏览器,那么我们建议你使用 RawCap来嗅探本地主机流量(RawCap是一个不需要WinPcap或NDIS驱动就能工作的网络嗅探工具)。

为了理解捕获的流量,你需要有一个能够解析SOCKS协议的工具( RFC 1928)。NetworkMiner中包含了一个 SOCKS解析器,可用于提取和重组来自Tor网络的数据。

Demo:分析 TorPCAP 网络流量

Eldon-by-kenedgeiscool_200x200.png

假设有一个名为“Eldon”的用户,在2018年11月30日使用Tor进入了暗网并浏览了部分页面。Eldon在Windows PC上使用Tor浏览器,而 RawCap则用于从Eldon的计算机捕获本地主机网络流量。Eldon PC捕获数据包的PCAP文件可以 在此处获取到

File   :  rawcap-localhost-tor.pcap

Size   : 1.47 MB

SHA256 : 9134FA542B388498C2A58A2E1424FCD4AF466CE7117DBE9AAFD0A031CC8209B8

NetworkMiner中的“Files”选项卡为我们列出了已分析PCAP文件重组的所有文件。从该文件列表我们可以看到Eldon使用“not Evil”这个搜索引擎(hss3uro2hsxfogfq[.]onion)搜索了关键字“buy fake passports(购买假护照)”。

TorPCAP:Tor网络取证分析技术

来自not Evil的搜索结果页面已被NetworkMiner重组并保存在了名为“index.php.CB66877E.html”的文件中。我们可以在浏览器中打开该HTML文档,查看Eldon获取的搜索结果(打开该html文档不需要Internet连接)。

TorPCAP:Tor网络取证分析技术

NetworkMiner Professional中的“Browsers”选项卡显示,Eldon在其搜索结果(购买假护照[...])中点击了第二条结果,并引导他访问了“fakeimz[...].onion”这个网站。

TorPCAP:Tor网络取证分析技术

接着Eldon列出了可用的护照(详见1837帧重组文件“novelty_fake_id_samples.shtml”)并选择了英国护照(“pp-uk-open-big.jpg”)。

TorPCAP:Tor网络取证分析技术

TorPCAP:Tor网络取证分析技术

随着Eldon的进一步操作,他得到了该网站提供的假护照的价目表(“novelty_fake_id_pricing.shtml”),但我们并没有看到任何证据表明他实际完成了假英国护照的购买。

TorPCAP:Tor网络取证分析技术

如果我们回到NetworkMiner中的Images选项卡再向下滚动,我们会看到一张枪的图片。让我们看看它来自哪里。

TorPCAP:Tor网络取证分析技术

事实证明,Eldon还搜索了“buy guns for bitcoin UK”。你可以在“Parameters”选项卡中使用参数名“q”列出所有搜索引擎查询关键字。该方法适用于“not Evil”以及大多数clearnet搜索引擎,如Google,Bing,Yahoo!和DuckDuckGo。

TorPCAP:Tor网络取证分析技术

Browsers选项卡显示Eldon点击了“UK Guns and Ammo Store”(tuu66[...].onion)。

TorPCAP:Tor网络取证分析技术

该网站也已被NetworkMiner被动重组,并且你可以在浏览器中离线打开它(详见“index[2].html”)。

TorPCAP:Tor网络取证分析技术

NetworkMiner中的Credentials选项卡显示了Eldon用于登录网站的用户名和密码:

TorPCAP:Tor网络取证分析技术

登陆该账户后可以看到,有两件商品被Eldon加入到了购物车中(详见“cart.php[1].html”),但点击“Continue to Checkout(继续结帐)”后会收到一条消息显示“Not enough balance for this order(该订单余额不足)”。看起来Eldon在暗网武器商店的帐户中,并没有充值任何的比特币(详见“wallet.php.html”)。

TorPCAP:Tor网络取证分析技术 TorPCAP:Tor网络取证分析技术

Web Trackers 和 Tor

使用网络跟踪(如Google Analytics)等服务来跟踪访问洋葱服务的用户被认为 是非常不好的做法。然而,我们注意到假护照网站使用了Google Analytics脚本,跟踪ID为“UA-19359933-1”。

14.png

通过谷歌搜索这个ID,我们找到了一个非常相似的网站:hxxp:// www.buypassportsfake[.]cc

15.png

*参考来源: netresec,FB小编secist编译,转载请注明来自FreeBuf.COM

相关 [torpcap tor 网络] 推荐:

Tor发布Tor Cloud

- August Tan - Solidot
Tor匿名项目发布了Tor Cloud——在亚马逊EC2上创建网桥的软件包,相当于让用户以极少的费用或零费用向Tor网络捐赠带宽. 用户可以使用预装入的服务器镜像迅速完成设置,它将运行在“微实例(micro-instance)”上,已经配置好了带宽使用限额,根据亚马逊目前的价格,Tor Cloud中继的费用估计为每月30美元.

在电视上运行Tor

- 菊福 - Solidot
TorTV是Tor项目维护的能在电视上运行的版本,它可以让家庭用户向Tor网络捐赠带宽. TorTV的开发刚刚起步,目前还是 ALPHA 状态,支持运行 WDLXTV固件的WD TV设备. 如果该项目能得到足够的支持和关注,它将逐渐支持更多的基于MIPS 和ARM的设备.

Tor修复部分安全漏洞

- Yan - Solidot
法国研究人员Eric Filiol声称发现了Tor匿名网络加密系统存在一个严重漏洞,能让攻击者发现网络中隐蔽的节点,甚至利用漏洞控制使用者的计算机. 漏洞与Tor加密实现有关,研究人员没有披露攻击细节. Tor项目基金会发表声明驳斥了 Filiol的部分说法,称他的数据是有缺陷,他的声明有夸大之嫌,同时指出研究人员没有与Tor分享研究数据.

Ricochet:基于Tor的加密即时通信工具

- - Solidot
22岁的John Brooks在13岁时就缀学了,他是一名自学成才的程序员,关心隐私和公民自由. 四年前,他开始开发使用Tor隐藏服务的加密即时通信程序Ricochet. 到完成之日,他有了一个易于使用的完备桌面客户端,提供了匿名性和加密,甚至在公众意识到之前解决了元数据问题. 唯一的问题是程序只有几个人用,也没有几个人知道.

最近自由们系列软件都不太好用,逼不得已,刚学会Tor翻墙,把教程发在这里,希望能帮到大家!

- Sting - 细节的力量
来源:http://forums.internetfreedom.org/index.php?topic=12492.0. 选择简体字版本下载,懒的点下面的连接吧. 下好后是个7z压缩文件,如果安装到7z软件的可以右键打开解压到你想要的目录,可能我比较注意安全,一般不直接双击exe文件. 如果不想要tor自带的浏览器到Tor Browser\Data\Vidalia目录找到vidalia.conf文件,用记事本打开删除下面2行即可.

网络

- 火锅土豆 - 科学松鼠会
本文地址(转载请注明出处): 复制.

网络爬虫

- - 四火的唠叨
文章系本人原创,转载请保持完整性并注明出自 《四火的唠叨》. 最近在写一个程序,去爬热门事件和热门关键词网站上的数据. 网络爬虫也叫做网络蜘蛛,是一种互联网机器人,把需要的网页撷取下来,组织成适当格式存储. 它是搜索引擎的重要组成部分,虽然从技术实现上来说,它的难度往往要小于对于得到的网页信息的处理.

网络安全

- - CSDN博客系统运维推荐文章
1、防止入侵者对主机进行ping探测,可以禁止Linux主机对ICMP包的回应.  iptables 防火墙上禁止ICMP应答.  关闭不必要的端口,时常检查网络端口情况.  nmap  可以扫描端口.  关闭不必要的服务和端口.  为网络服务指定非标准的端口.  开启防火墙,只允许授权用户访问相应的服务端口.

网络珍珠港

- major - 译言-每日精品译文推荐

http网络安全

- - CSDN博客推荐文章
每天都会用到http协议,也听说http协议的安全的重要性,却一直很少真的去模拟攻击. 特意通过一篇博客整理下http可能遇到的安全问题,用脚本语言php去模拟和处理. 1 http为什么会存在安全问题. http是没有状态和加密的协议,如果不使用(ssl)https协议,很多信息都是透明的,传输的数据很容易被捕获.