Analiza ruchu Tor

Tor (The Onion Router) jest używany do anonimizacji ruchu sieciowego. Wykrycie jego użycia w Wireshark może być możliwe dzięki specyficznym schematom ruchu.

Metody wykrywania ruchu Tor:

• Rozpoznawanie adresów wejściowych węzłów Tor:
  ip.dst == 192.42.116.0/24
• Analiza ruchu TLS na porcie 9001 lub 9030:
  tcp.port == 9001 or tcp.port == 9030
• Długotrwałe sesje o dużym natężeniu szyfrowanego ruchu:
  frame.len > 1000 and tls