Torを検証する

ウイルス配布の犯人がWebサイトへの投稿に使用した Torシステム を調べてみよう。 Torは、アクセスを匿名化するシステムである。概略を説明する。
  1. クライアントPC上にインストールされたTor専用ブラウザから、ターゲットURL(サーバA)にアクセスを試みる
  2. Tor専用ブラウザは実際には、サーバAではなく、Torサーバグループを構成するサーバBにSSLでアクセスする。Bはサーバグループの中からランダムに選ばれ、セッション毎に異なる
  3. さらに、サーバBは同じくTorサーバを構成するサーバCにSSLでアクセスする。サーバCもランダムに選ばれる
  4. サーバCはターゲットURL(サーバA)にアクセスする。これにより、サーバAからすればクライアントがサーバCであるように見える
実際にTor専用ブラウザを使って検証してみる。

Tor専用ブラウザのインストール

Linuxでの1例。
  1.  https://www.torproject.org/download/download-easy.html.en より、https://www.torproject.org/dist/torbrowser/linux/tor-browser-gnu-linux-x86_64-2.2.39-1-dev-en-US.tar.gz をダウンロード
  2. /opt に tor-browser_en-US を展開
  3. /opt/tor-browser_en-US/start-tor-browser をgnomeメニューなどに加えて起動
  4. コントロールパネルが出現し、自動的にTor用ネットワークを構築する(詳細は不明) Screenshot-Vidalia-Control-Panel-272x300
  5. 初期画面が出現 TorBrowser

弊社サイトへのアクセス

  1. Torブラウザでのアクセス
  2. 通常ブラウザでアクセス
  3. アクセスログを比較する
31.172.30.4 - - [15/Oct/2012:12:35:02 +0900] "GET / HTTP/1.1" 200 10578 "-"
 "Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0"
192.168.191.1 - - [15/Oct/2012:12:36:06 +0900] "GET / HTTP/1.1" 304 - "-"
 "Mozilla/5.0 (X11; Linux x86_64; rv:16.0) Gecko/20100101 Firefox/16.0"
198.96.155.3 - - [15/Oct/2012:14:27:15 +0900] "GET / HTTP/1.1" 200 10578 "-"
 "Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0"
アクセス情報を比較すると以下のようになる。アドレスが別のアドレスになり、OSとブラウザが詐称されていることが分かる。31.172.30.4 は tor21.anonymizer.ccc.de というFQDNのサーバで、Torサーバ群のひとつと推定できる。198.96.155.3 は、Tor接続を切断・再接続してから再度アクセスしたもので、IPアドレスが変わっていることが分かる。このサーバのFQDNは exit.tor.uwaterloo.ca であった。
実際のブラウザ IPアドレス OS 表示されたブラウザ
Torブラウザ1回目 31.172.30.4 Windows7 Firefox 10.0
Torブラウザ2回目 198.96.155.3 Windows7 Firefox 10.0
汎用ブラウザ(Firefox) 実際のローカルアドレス Linux Firefox 16.0

「Torを検証する」への1件のフィードバック

コメントは受け付けていません。