在Tor上追踪事件

  • 以及帮您建立最佳的访问路由。

TOR是当今最流行的 “暗网”。它因与非法活动有关而闻名,如销售毒品、武器等的论坛和供应商。然而,TOR也有合法的用途,例如避免基于国家的审查制度,或在有争议的环境中进行匿名交流,以获得重要信息。

虽然大多数学习和访问TOR的人只是直接使用TOR浏览器,并使用搜索引擎、wiki/index或已知的 .onion 地址,但依旧可以通过退一步查看网络本身来了解世界上正在发生的事。幸运的是,TOR的网络细节是公开的,人们可以查看和分析。

TOR网络

先简单介绍一下TOR网络的工作原理。它是由一系列志愿者维护的中继站组成的,将流量传送到目的地并返回。客户端将连接到所谓的 “入口节点”,通过一系列的 “中继”,然后通过所谓的 “出口节点” 。术语在不同的参考文献中可能有所不同,但只要您理解这个概念,就会产生共鸣,为什么它类似于洋葱上的层(因此而得名)。

现在您已经对流量有了基本的了解,下面来看看宏观的网络活动。

网络活动和指标

TOR项目发布了一个网站,让您可以看一下网络的指标。这对于了解网络活动的峰谷波动是很有用的。分析这点的一个关键收获是与地缘政治事件的相关性。当世界上出现内乱或重大事件时,您经常会看到连接到TOR网络的人出现高峰。他们在网络上做什么的确切情况无法通过宏观网络分析查看,但推论对评估还是很有用的。

用户活动

对于将活动高峰与世界各地的突发事件联系起来,第一个有用的指标是关于有多少用户正在访问该服务。点击 “用户” 选项,可以看到有多少人正在连接到TOR,以及来自哪个国家。当世界上有地缘政治事件发生时,请考虑这一点。它可以推断出一个国家内离散的互联网通信和访问的热门程度,以及在一个有争议的环境中是否有渠道或机会可能存在与民众沟通。

使用案例 — 阿富汗2021年

下面分析的是2020年1月至2021年9月的TOR用户活动,以了解TOR活动在阿富汗境内随时间推移的变化。IP位置来自于中继对客户IP的解析,因为他们通过中继提供了一个地理数据库。与VPN连接的客户有可能混淆这一点,但在规模层面上不太可能,所以依旧有能力依靠这些指标进行分析。

如果进一步缩小范围,仅查看 2021 年的活动,我们可以确定活动高峰的关键时期。

那么,2021年4月发生了什么?只需要使用标准的开源情报技能和一些先进的谷歌搜索来关联事件。

使用搜索查询 “Afghanistan” after:2021/04/01 before:2021/05/01,可以扩大搜索范围,找到相关的事件。

【如果您尚未了解 Google dorks 的使用方法,看这里

关键事件是美国正式宣布撤军和阿富汗的未来计划。虽然TOR活动的激增可能有其他潜在的原因,但这可以作为一个例子,说明我们可以在更多的地缘政治背景下分析TOR用户活动。

服务器和客户端

我们可以使用TOR网络分析的另一个有用的方法是确定流量的最快路线。TOR通常比表面上的网络浏览慢很多,所以至少能够挑选出一个最佳的入口和出口节点可能是有用的。此外,虽然您不能控制中继,但有很多关于威胁者控制出口节点的报告,您就可能想把流量输送到一个已知的和可信任的出口,例如您自己设置的出口。

服务器

从下图中可以看到,德国和美国是TOR中继的主要来源。也可以使用下面的图表和TOR项目网站上的其他指标来分析速度。如果您想创建一个最佳的速度路线,可以使用这些指标来确定从您的具体位置出发的最佳路线。接下来将详细介绍如何配置您的客户端以指定入口和出口节点,以便在连接到TOR时进行更多的控制。

另外一个有意义的指标是看所有中继的总可用带宽。通常可以将其与地缘政治事件联系起来,在这些时间内建立额外的中继或节点。此外,如果TOR的运行速度出乎意料地慢或无法连接,可以把它作为一种故障排除机制。

中继

也可以在TOR网络上搜索中继。如果您正在调查IP并查看主机的路由活动,可以使用中继搜索来找到一个潜在的起点或支点。还可以使用这个功能来识别可能想要配置的中继,以便在后文中进一步配置客户端时进行特定的流量路由。

考虑一个场景,您想找到可能与调查有关的中继。如果您有一个电子邮件地址、昵称或别名,可以使用中继搜索作为一个新的支点,在您通常的开源情报工作流程中找到其他线索。下面专门在澳大利亚搜索使用 @gmail.com 作为联系邮箱的中继。这些是否是合法的邮箱并不是本文的一部分,但它是另一个可以搜索的地方。

然后我们可以进入中继,获得更具体的细节,如指纹。这个标识符可以在下面的客户端配置中使用,以允许您将流量导向一个特定的节点。

客户端配置

基于之前的分析和围绕控制入口和出口节点的评论,现在可以配置TOR浏览器捆绑在一个特定的国家、IP、或节点指纹上。

要做到这一点,只需编辑客户端安装位置的 torrc 文件。

Windows/Linux:如果在 Windows 或 Linux 上安装了Tor浏览器,torrc 文件是安装目录下的一个文件夹,看起来像这样 Tor Browser\Browser\TorBrowser\Data\Tor

Windows的例子

如果您使用的是macOS,应该能够找到 torrc 文件在 ~/Library/Application Support/TorBrowser-Data/Tor/Data 目录下(请注意:在撰写本文时无法确认这个位置)

Torrc 文件:打开 torrc 文件,只需要根据您想实现的目标添加以下几行:

连接到一个特定的IP:(用IP地址替换x的位置)

ExitNodes xxx.xxx.xxx.xxx

EntryNodes xxx.xxx.xxx.xxx

连接到一个特定的节点指纹: (用所需的节点替换指纹字符串)

ExitNodes 02E98BBE0B12570E4E2974E2A7472B297F8D9959

注:上面的指纹是一个来自现有中继的例子。您可以使用下面讲述的搜索方法找到您想要的中继。

只连接到一个特定的国家:

ExitNodes {us} StrictNodes 1

EntryNodes {us} StrictNodes 1

只需将 “us” 替换为所选择的 ISO 两位字母国家代码,其中大多数是显而易见的,但您可以在这里找到一个参考列表:https://en.wikipedia.org/wiki/List_of_ISO_3166_country_codes

如果您想让您的所有流量在美国出入,最终应该得到如下图所示的结果:

保存文件,然后连接到 TOR 并通过单击 TOR 浏览器中搜索栏左侧的图标来验证您的路线。下面是例子:

网络流量

Unchartered 建立了一个有用的地图和仪表盘来可视化TOR网络流量和带宽。有各种控件可帮您钻研信息,但它的数据也来自TOR项目指标网站的公共数据集。

最后,如果您想获得一份所有TOR出口节点的清单,以便输入SIEM,使用工具进行映射,或者整合到您正在建设的项目中,可以在这里查看:https://check.torproject.org/torbulkexitlist

还可以使用像 Bulk IP lookup 这样的工具,通过简单地复制和粘贴您想映射的IP(https://app.ipapi.co/bulk)来映射节点列表(限于1000个节点),或者用IP查询服务和API建立您自己的工具。

结论

通过了解TOR网络,您可以从中学到很多东西,并作为开源情报工作流程的一部分加以利用。无论是将地缘政治事件与活动高峰联系起来,这将有不同的相关性,这取决于你的任务,还是了解网络,以便您可以建立最佳的访问路由。此外,用受信任的TOR节点路由控制您的客户端配置,可能在您的威胁缓解策略中发挥作用,以避免威胁者占据在恶意节点上。⚪️

TOR Network

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据