Al tener un archivo PCAP con tráfico TOR, ¿hay alguna manera lo suficientemente rápida para reconocer si alguno de los paquetes forma parte del tráfico / sesiones TOR?
Algunas herramientas hablan sobre la "identificación de protocolo a través de análisis estadístico", pero me pregunto si hay detalles técnicos o atributos de paquetes para identificar el tráfico de TOR.
El tráfico de TOR entrante es fácil de reconocer porque todos los nodos de salida de TOR se conocen públicamente. Eso significa que puedes buscar por IP de nodos de salida. Pero este tráfico en realidad no se considera tráfico TOR ya que ya salió de la red TOR. Es solo el tráfico que viene de TOR. Puede que ni siquiera esté encriptado.
El tráfico de TOR saliente es mucho más difícil, si no imposible, de reconocer porque no todos los nodos de entrada se conocen públicamente. Puede buscar por IP algunos de los nodos de entrada de los cuales conoce la IP, pero eso no cubriría todo el tráfico TOR. Creo que China es el mejor ejemplo para reconocer / filtrar el tráfico de TOR saliente. Por lo que sé, son el único país que bloquea con éxito (o, al menos en parte, con éxito) el uso de análisis de protocolo. Debido a eso, TOR creó algoritmos especiales para ofuscar el tráfico de TOR para pasar a través del gran cortafuegos de China. Pero es un juego del gato y el ratón. El tráfico confuso también se reconoce y bloquea después de algún tiempo, y luego se desarrollan nuevos algoritmos de ofuscación. Por eso es tan difícil bloquear el tráfico de TOR saliente.
No conozco muchos detalles sobre cómo funciona el análisis de tráfico de China. Tal vez, nadie aquí lo sepa con certeza, pero tal vez alguien pueda adivinar, aunque probablemente no sea un procedimiento simple.
Tor está diseñado para parecer HTTPS normal. Una sesión Tor se parece exactamente a una sesión HTTPS normal cuando usa Wireshark o herramientas similares porque tales herramientas se basan en la inspección del número de puerto o la validación de la especificación del protocolo y esa es la razón principal por la que los sistemas de detección de intrusos y la inspección profunda de paquetes fallan al identificar el tráfico Tor.
Pero todavía hay muy pocas herramientas que pueden reconocer el tráfico de Tor a medida que Tor implementa RFC 2246 .
Encontrará aquí una descripción completa sobre cómo usar sus archivos PCAP en CapLoader .
Hablando sobre los métodos, hay varios de ellos disponibles en la literatura. Puede interesarle leer, por ejemplo, este método algorítmico SPID :
Muchos de los esquemas de identificación de protocolo de capa de aplicación utilizados hoy en día dependen en firmas o patrones que usualmente ocurren en protocolos, por ej. "Protocolo de BitTorrent", "SSH" o "GET / HTTP / 1.1".
Un problema con la búsqueda de tales patrones estáticos es que la las huellas digitales deben crearse manualmente, lo que significa que la red Las especificaciones de tráfico y protocolo deben ser estudiadas y resumidas. para crear un patrón de identificación fiable
Lea otras preguntas en las etiquetas tor