TorPCAP：Tor網路取證分析技術

新聞 01-16

發往Tor網路的未加密網路流量，會通過運行Tor客戶端計算機（如Tor瀏覽器）上的localhost TCP sockets來傳送流量。在本文中，我將向大家展示如何將具有localhost流量的PCAP文件，載入到

NetworkMiner

中並可視化匿名的Tor瀏覽。我們稱這種技術為TorPCAP。

Tor是一個安全的平台，使用戶能夠匿名瀏覽網頁。Tor項目網站上對該工具描述為：

「Tor是一款免費的軟體並且是一個開放式的網路，可幫助你防止流量分析」

你也可以使用Tor在Dark Web上託管匿名的「洋蔥服務」：

「Tor使用戶可以在提供各種服務時隱藏他們的位置，例如web發布或即時消息伺服器。使用匯合點（rendezvous point），其他Tor用戶可以連接到這些洋蔥服務（以前稱之為隱藏服務），且互相都不知道對方的網路身份。「

在加密之前捕獲Tor流量

Tor會在localhost（127.0.0.1）的TCP 9150 埠上創建一個SOCKS代理偵聽。Tor瀏覽器會通過該SOCKS代理將其流量加密並轉發到Tor網路。這意味著通過嗅探本地主機上的流量，實際上我們可以創建一個固定的取證路徑，追蹤PC發送到Tor網路和從Tor網路發送的所有流量。

在macos或linux中，你可以使用tcpdump在運行Tails OS 或 Tor 瀏覽器的PC上捕獲本地主機流量。如果你是在Windows中運行Tor瀏覽器，那麼我們建議你使用RawCap來嗅探本地主機流量（RawCap是一個不需要WinPcap或NDIS驅動就能工作的網路嗅探工具）。

為了理解捕獲的流量，你需要有一個能夠解析SOCKS協議的工具（RFC 1928）。NetworkMiner中包含了一個SOCKS解析器，可用於提取和重組來自Tor網路的數據。

Demo：分析 TorPCAP 網路流量

假設有一個名為「Eldon」的用戶，在2018年11月30日使用Tor進入了暗網並瀏覽了部分頁面。Eldon在Windows PC上使用Tor瀏覽器，而RawCap則用於從Eldon的計算機捕獲本地主機網路流量。Eldon PC捕獲數據包的PCAP文件可以在此處獲取到。

File : rawcap-localhost-tor.pcap

Size : 1.47 MB

SHA256 : 9134FA542B388498C2A58A2E1424FCD4AF466CE7117DBE9AAFD0A031CC8209B8

NetworkMiner中的「Files」選項卡為我們列出了已分析PCAP文件重組的所有文件。從該文件列表我們可以看到Eldon使用「not Evil」這個搜索引擎（hss3uro2hsxfogfq[.]onion）搜索了關鍵字「buy fake passports（購買假護照）」。

來自not Evil的搜索結果頁面已被NetworkMiner重組並保存在了名為「index.php.CB66877E.html」的文件中。我們可以在瀏覽器中打開該HTML文檔，查看Eldon獲取的搜索結果（打開該html文檔不需要Internet連接）。

NetworkMiner Professional中的「Browsers」選項卡顯示，Eldon在其搜索結果（購買假護照[...]）中點擊了第二條結果，並引導他訪問了「fakeimz[...].onion」這個網站。

接著Eldon列出了可用的護照（詳見1837幀重組文件「noveltyfakeid_samples.shtml」）並選擇了英國護照（「pp-uk-open-big.jpg」）。

隨著Eldon的進一步操作，他得到了該網站提供的假護照的價目表（「noveltyfakeid_pricing.shtml」），但我們並沒有看到任何證據表明他實際完成了假英國護照的購買。

如果我們回到NetworkMiner中的Images選項卡再向下滾動，我們會看到一張槍的圖片。讓我們看看它來自哪裡。

事實證明，Eldon還搜索了「buy guns for bitcoin UK」。你可以在「Parameters」選項卡中使用參數名「q」列出所有搜索引擎查詢關鍵字。該方法適用於「not Evil」以及大多數clearnet搜索引擎，如Google，Bing，Yahoo！和DuckDuckGo。

Browsers選項卡顯示Eldon點擊了「UK Guns and Ammo Store」（tuu66[...].onion）。

該網站也已被NetworkMiner被動重組，並且你可以在瀏覽器中離線打開它（詳見「index[2].html」）。

NetworkMiner中的Credentials選項卡顯示了Eldon用於登錄網站的用戶名和密碼：

登陸該賬戶後可以看到，有兩件商品被Eldon加入到了購物車中（詳見「cart.php[1].html」），但點擊「Continue to Checkout（繼續結帳）」後會收到一條消息顯示「Not enough balance for this order（該訂單餘額不足）」。看起來Eldon在暗網武器商店的帳戶中，並沒有充值任何的比特幣（詳見「wallet.php.html」）。