Avere un file PCAP con traffico TOR, c'è un modo abbastanza veloce per riconoscere se uno qualsiasi dei pacchetti fa parte del traffico TOR / sessioni?
Alcuni strumenti parlano di "identificazione del protocollo tramite analisi statistica", ma mi chiedo se ci sono dettagli tecnici o attributi di pacchetti per identificare il traffico TOR.
Il traffico TOR in entrata è facile da riconoscere perché tutti i nodi di uscita TOR sono pubblicamente noti. Ciò significa che puoi cercare per IP dei nodi di uscita. Ma questo traffico non è realmente considerato come traffico TOR perché ha già lasciato la rete TOR. È solo il traffico che viene da TOR. Potrebbe non essere nemmeno crittografato.
Il traffico TOR in uscita è molto più difficile, se non impossibile da riconoscere perché non tutti i nodi di accesso sono noti pubblicamente. È possibile cercare per IP di alcuni nodi di accesso di cui si conosce l'IP, ma ciò non coprirebbe tutto il traffico TOR. Penso che la Cina sia l'esempio migliore per riconoscere / filtrare il traffico TOR in uscita. Per quanto ne so, sono l'unico paese che con successo (o almeno in parte con successo) blocca TOR utilizzando l'analisi del protocollo. Per questo motivo, TOR ha creato algoritmi speciali per offuscare il traffico TOR al fine di farlo passare attraverso il grande firewall cinese. Ma è un gioco di gatti e topo. Anche il traffico offuscato viene riconosciuto e bloccato dopo un po 'di tempo, quindi vengono sviluppati nuovi algoritmi di offuscamento. Ecco perché è così difficile bloccare il traffico TOR in uscita.
Non conosco molti dettagli su come funziona l'analisi del traffico della Cina. Forse, nessuno qui lo sa per certo, ma forse qualcuno potrebbe indovinare, anche se probabilmente non è una procedura semplice.
Tor è progettato per assomigliare al normale HTTPS. Una sessione Tor appare esattamente come una normale sessione HTTPS quando si utilizza Wireshark o strumenti simili perché tali strumenti si basano sull'ispezione del numero di porta o sulla convalida delle specifiche del protocollo e questo è il motivo principale per cui i sistemi di rilevamento delle intrusioni e l'ispezione deep packet falliscono nell'identificare il traffico Tor.
Ma ci sono ancora pochissimi strumenti in grado di riconoscere il traffico Tor quando Tor implementa RFC 2246 .
Qui troverai una descrizione completa su come utilizzare i tuoi file PCAP in CapLoader .
Parlando dei metodi, ce ne sono diversi disponibili in letteratura. Potresti essere interessato alla lettura di questo algoritmico metodo SPID :
Many application layer protocol identification schemes used today rely on signatures or patterns that usually occur in protocols, e.g. ’BitTorrent protocol’, ’SSH-’ or ’GET / HTTP/1.1’.
A problem with looking for such static patterns is that the fingerprints need to be manually created, which means that network traffic and protocol specifications need to be studied and abstracted in order to create a reliable identification pattern
Leggi altre domande sui tag tor