TorPCAP：Tor网络取证分析技术

发往Tor网络的未加密网络流量，会通过运行Tor客户端计算机（如Tor浏览器）上的localhost TCP sockets来传送流量。在本文中，我将向大家展示如何将具有localhost流量的PCAP文件，加载到NetworkMiner【https://www.netresec.com/?page=Networkminer】中并可视化匿名的Tor浏览。我们称这种技术为TorPCAP。

Tor是一个安全的平台，使用户能够匿名浏览网页。Tor项目网站【https://www.torproject.org/】上对该工具描述为：

“Tor是一款免费的软件并且是一个开放式的网络，可帮助你防止流量分析”

你也可以使用Tor在Dark Web上托管匿名的“洋葱服务”【https://www.torproject.org/docs/onion-services.html.en】：

“Tor使用户可以在提供各种服务时隐藏他们的位置，例如web发布或即时消息服务器。使用汇合点（rendezvous point），其他Tor用户可以连接到这些洋葱服务（以前称之为隐藏服务），且互相都不知道对方的网络身份。“

在加密之前捕获Tor流量

Tor会在localhost（127.0.0.1）的TCP 9150 端口上创建一个SOCKS代理侦听。Tor浏览器【https://www.torproject.org/projects/torbrowser.html.en】会通过该SOCKS代理将其流量加密并转发到Tor网络。这意味着通过嗅探本地主机上的流量，实际上我们可以创建一个固定的取证路径，追踪PC发送到Tor网络和从Tor网络发送的所有流量。

在macos或linux中，你可以使用tcpdump在运行Tails OS 【https://tails.boum.org/】或 Tor 浏览器【https://www.torproject.org/projects/torbrowser.html.en】的PC上捕获本地主机流量。如果你是在Windows中运行Tor浏览器，那么我们建议你使用RawCap【https://www.netresec.com/?page=RawCap】来嗅探本地主机流量（RawCap是一个不需要WinPcap或NDIS驱动就能工作的网络嗅探工具）。

为了理解捕获的流量，你需要有一个能够解析SOCKS协议的工具（RFC 1928）【https://www.ietf.org/rfc/rfc1928.txt】。NetworkMiner中包含了一个SOCKS解析器【https://netresec.com/?b=17124C4】，可用于提取和重组来自Tor网络的数据。

Demo：分析 TorPCAP 网络流量

假设有一个名为“Eldon”的用户，在2018年11月30日使用Tor进入了暗网并浏览了部分页面。Eldon在Windows PC上使用Tor浏览器，而RawCap【https://www.netresec.com/?page=RawCap】则用于从Eldon的计算机捕获本地主机网络流量。Eldon PC捕获数据包的PCAP文件可以在此处获取到【https://www.netresec.com/files/rawcap-localhost-tor.pcap】。

File : rawcap-localhost-tor.pcap【https://www.netresec.com/files/rawcap-localhost-tor.pcap】

Size : 1.47 MB

SHA256 : 9134FA542B388498C2A58A2E1424FCD4AF466CE7117DBE9AAFD0A031CC8209B8

NetworkMiner中的“Files”选项卡为我们列出了已分析PCAP文件重组的所有文件。从该文件列表我们可以看到Eldon使用“not Evil”这个搜索引擎（hss3uro2hsxfogfq[.]onion）搜索了关键字“buy fake passports（购买假护照）”。

来自not Evil的搜索结果页面已被NetworkMiner重组并保存在了名为“index.php.CB66877E.html”的文件中。我们可以在浏览器中打开该HTML文档，查看Eldon获取的搜索结果（打开该html文档不需要Internet连接）。

NetworkMiner Professional中的“Browsers”选项卡显示，Eldon在其搜索结果（购买假护照[...]）中点击了第二条结果，并引导他访问了“fakeimz[...].onion”这个网站。

接着Eldon列出了可用的护照（详见1837帧重组文件“novelty_fake_id_samples.shtml”）并选择了英国护照（“pp-uk-open-big.jpg”）。

随着Eldon的进一步操作，他得到了该网站提供的假护照的价目表（“novelty_fake_id_pricing.shtml”），但我们并没有看到任何证据表明他实际完成了假英国护照的购买。

如果我们回到NetworkMiner中的Images选项卡再向下滚动，我们会看到一张枪的图片。让我们看看它来自哪里。

事实证明，Eldon还搜索了“buy guns for bitcoin UK”。你可以在“Parameters”选项卡中使用参数名“q”列出所有搜索引擎查询关键字。该方法适用于“not Evil”以及大多数clearnet搜索引擎，如Google，Bing，Yahoo！和DuckDuckGo。

Browsers选项卡显示Eldon点击了“UK Guns and Ammo Store”（tuu66[...].onion）。

该网站也已被NetworkMiner被动重组，并且你可以在浏览器中离线打开它（详见“index[2].html”）。

NetworkMiner中的Credentials选项卡显示了Eldon用于登录网站的用户名和密码：

Web Trackers 和 Tor

使用网络跟踪（如Google Analytics）等服务来跟踪访问洋葱服务的用户被认为是非常不好的做法【https://labs.detectify.com/2016/04/05/tips-for-running-an-onion/】。然而，我们注意到假护照网站使用了Google Analytics脚本，跟踪ID为“UA-19359933-1”。

通过谷歌搜索这个ID，我们找到了一个非常相似的网站：hxxp://www.buypassportsfake[.]cc

*参考来源：

https://www.netresec.com/?page=Blog&month=2018-12&post=TorPCAP---Tor-Network-Forensics

FB小编secist编译，转载请注明来自FreeBuf.COM