文章來源:中國信息雜誌
1 基本概念
1.1 Deep web/Dark web/Darknet
講述暗網之前,需要先了解「深網」(Deep web)、「暗網」(Dark web) 和「黑暗網絡」(Darknet) 這三個詞。雖然媒體可能經常交替使用它們,但實際上它們代表着截然不同而又相關的互聯網區段。
「深網」(Deep web) 是指服務器上可通過標準的網絡瀏覽器和連接方法訪問的頁面和服務,但主流搜索引擎不會收錄這些頁面和服務。搜索引擎之所以不會收錄深網,通常是因爲網站或服務的配置錯誤、拒絕爬蟲爬取信息、需要付費查看、需要註冊查看或其他內容訪問限制。
「暗網」(Dark web) 是深網中相對較小的一部分,與被故意隱藏的 Web 服務和頁面有關。僅使用標準瀏覽器無法直接訪問這些服務和頁面,必須依靠使用覆蓋網絡 (Overlay Network);而這種網絡需要特定訪問權限、代理配置、專用軟件或特殊網絡協議。
「黑暗網絡」(Darknet) 是在網絡層訪問受限的框架,例如 Tor 或 I2P。私有 VPN 和網狀網絡 (Mesh Network) 也屬於這個類別。通過這些框架的網絡流量會被屏蔽。當進行數據傳輸時,系統只會顯示您連接的黑暗網絡以及您傳輸了多少數據,而不一定會顯示您訪問的網站或所涉及數據的內容。與之相反的是,直接與明網(Clean Net)或與未加密的表網服務和深網服務交互。在這種情況下,您與所請求資源之間的互聯網服務提供商 (ISP) 和網絡運營商可以看到您傳輸的流量內容。
1.2 暗網 (Dark Web) 的組成
暗網只能通過 Tor (The Onion Routing)和 I2P (Invisible Internet Project)等網絡訪問。
Tor 又名洋蔥網絡,是用於匿名通信的軟件,該名稱源自原始軟件項目名稱「The Onion Router」的首字母縮寫詞,Tor 網絡由超過七千箇中繼節點組成,每個中繼節點都是由全球志願者免費提供,經過層層中繼節點的中轉,從而達到隱藏用戶真實地址、避免網絡監控及流量分析的目的。
I2P 網絡是由 I2P 路由器以洋蔥路由方式組成的表層網絡,創建於其上的應用程序可以安全匿名的相互通信。它可以同時使用 UDP 及 TCP 協議,支持 UPnP 映射。其應用包括匿名上網、聊天、網站搭建和文件傳輸。
通過知道創宇「暗網雷達」的實時監測數據表明,Tor 網絡大約擁有 12 萬個獨立域名 (onion address),而 I2P 網絡公開地址薄大約只有 8 千個地址,體量相對 Tor 網絡要小得多。
2 暗網的現狀
2.1 Tor 全球中繼節點分佈
截至 2018 年 7 月 31 日,我們統計了全球中繼節點的分佈狀況,全球總計有 17635 箇中繼節點,其中正在運行的有 6386 個,它們的平均帶寬爲 5.33MB/s,最大帶寬爲 99MB/s;相比其他區域而言,北美和歐洲的帶寬更大;大部分中繼節點分佈在北美和歐洲,中國香港只有 6 個。
因此可以得出結論,相比表網而言,暗網的規模要小的很多,Tor 網絡節點帶寬不足以支撐超大的網絡流量,網絡媒體關於暗網與表網的「冰山比喻」有些誇張了。
2.2 Tor 網絡數據統計
根據 Tor 官方項目的統計數據顯示,2018 年上半年 Tor 暗網地址(onion addresses (version 2 only))數量峯值爲 121078 個。
圖 2.2 暗網地址數量
Tor 網絡來自中國用戶數量平均每天 1159 人,高峯期爲 2018 年 5 月 9 日,達到 3951 人,絕大多數暗網中文用戶使用 Meet 類型的流量訪問 Tor 暗網。
圖 2.2. 暗網中國用戶數量統計
針對約 12 萬左右的暗網域名,我們深入進行了研究,得出結論:
- Onion 域名每日存活量約 1.2 萬左右,只佔總數的 10%;
- Onion v2 類型的域名有 121451 個,v3 類型的域名只有 379 個;
- 每日平均暗網新增數量爲 30 個;
2.3 Tor 暗網的主要類別
通過知道創宇「暗網雷達」的監測,我們將暗網歸爲 12 大類,各類佔比如上圖所示;通過對各類中獨立域名的標題進行整合分析,提取網站標題中關鍵字出現的頻率,生成詞雲:
● 商業類佔 18.98%;其中包括交易市場,自營商店,第三方託管平臺(網站擔保);交易品種大多是信用卡、槍支、毒品、護照、電子產品、僞鈔、歐元票據、亞馬遜禮品卡、解密服務、殺手服務、比特幣洗錢服務等;大多數網站使用比特幣進行交易。
● 個人類佔 5.90%;包括個人博客,頁面,書籍等。
● 社會類佔 4.57%;包括論壇,暗網維基等。
● 其他語言(非英語)佔 3.82%;
● 主機託管類佔 3.05%;主要爲暗網服務託管商的宣傳站,介紹其機器性能與架構。
● 成人類佔 2.87%;
● 技術類佔 2.74%;分享技術/出售黑客技術/售賣 0day/漏洞利用
● 核心網站佔 1.91%;包括暗網搜索引擎,暗網鏈接目錄等
● 通訊類佔 1.79%;包括聊天室,郵件服務,暗網郵箱
● 政治與宗教類佔 1.34%;包括暗網的新聞媒體機構,全球維基解密,政黨醜聞,激進主義言論,傳教等。
● 賭博類佔 0.46%;網絡賭場等。
● 其他類(藝術,音樂,需登陸的,無內容,被查封的,視頻等)佔 52.57%;
可以看到「Freedom Hosting II – hacked」這幾個詞在各大類中都佔據很高的比例。原因是匿名者組織(Anonymous)攻擊了當時最大的 Tor 暗網託管服務提供商 Freedom Hosting II,因爲它向大量共享兒童色情圖片的網站提供主機託管服務。直接導致約 20% 的 Tor 網站關閉。
2.4 Tor 暗網 Web 服務分佈
我們統計了排名前 20 的 Web 服務器, 絕大多數暗網網站使用 Nginx 和 Apache 作爲 Web 服務器,約 1% 的暗網使用了 Cloudflare 作爲其 DDoS 防護措施。
2.5 Tor 暗網開放端口分佈
http 80 端口占 69.55%;smtp 25 端口占比 23.24%;https 443 端口占 2.88%;ssh 22 端口占 1.68%。
2.6 Tor 暗網語種分佈
通過機器學習分析網站的標題和內容,我們將暗網進行了語種歸類,Tor 暗網語種總數有 80 種,英語依舊是暗網中最流行的語言,佔比高達 82.02%;接着依次是俄語 3.77%、丹麥語 2.22%、德語 1.73%、拉丁語 1.26%、西班牙語 1.26%、法語 1.13%、葡萄牙語 1.00%、漢語 0.75%、意大利語 0.60%。
3 暗網的威脅
由於暗網的匿名特性,暗網中充斥着大量欺詐,非法的交易,沒有限制的信息泄露,甚至是危害國家安全的犯罪等, 這些風險一直在威脅着社會,企業和國家的安全。2018 年上半年,中國互聯網就有大量的疑似數據泄露事件的信息在暗網傳播,例如:《某視頻網站內網權限及千萬條用戶數據庫暗網售賣事件》
- 2018 年 3 月 8 日,黑客在暗網論壇發佈某視頻網站 1500 萬一手用戶數據
- 2018 年 6 月 9 日,黑客在暗網論壇發佈某視頻網站 SHLL+內網權限並公佈了 300 條用戶數據
- 2018 年 6 月 13 日凌晨,某視頻網站官方發佈公告稱網站遭遇黑客攻擊,近千萬條用戶數據外泄,提醒用戶修改密碼
另外還有諸如
- 某省 1000 萬學籍信息在暗網出售
- 某快遞公司 10 億條快遞物流數據暗網出售
等一系列的隱私信息泄露的事件在中國互聯網引起廣泛傳播和關注。
暗網也成爲各種威脅情報信息的重要來源之一。
從我們監測的數據來看,暗網還在呈現緩慢增長的態勢,隨着暗網用戶的增多,黑市及加密數字貨幣的發展,更多的黑客在利益的的驅動下開展各種活動,把之前通過表網(互聯網)傳播的非法交易更多的轉移至暗網,通過各種技術手段躲避追蹤。對監管和調查造成了一定的困難。
面對日益增長的暗網威脅, 知道創宇 404 安全研究團隊會持續通過技術手段來測繪暗網,提供威脅情報,追蹤和對抗來自暗網的威脅,爲了更好更安全的互聯網。
繁體中文
简体中文
English
日本語
Español