“暗网”是指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权等才能登录。由于“暗网”具有匿名性等特点,容易滋生以网络为勾联工具的各类违法犯罪,一些年轻人深陷其中。记者在中国裁判文书网上搜索显示,涉“暗网”的案件共有21例,涉及贩卖毒品、传播色情恐怖非法信息、侵害公民个人信息等犯罪行为。
我们日常使用的搜索引擎所无法寻找到的,仅能在电脑上进行一系列特殊的操作设置或在特殊软件的辅助之下又或对本机的特殊授权之后方能进入访问的一种网络——即称之为“暗网”。“暗网”之中的数据统统是以常规手段去检索难度极大的“隐身”的方式进行传输交流,服务器地址亦是如此。此外,极高的私密性是其中用户联系彼此的一大特点,对进行拦截的手段和网络技术的要求极高,并且破译拦截后的信息也是一大难题。暗网是深网的一个分支,目前可以通过“洋葱网络”或者“I2P网络”进行。统计数据表明,我们平时所能见的表层网络的域名数量仅仅占据暗网的1/400到1/500。 [5]
暗网因其与生俱来的隐匿特性,现在被不法分子广泛运用于网络犯罪。从个人行为的网络黑客窃密、数字货币交易、私售非法禁售物品到国家意志的间谍行动,都依托暗网的隐匿服务,因此暗网的存在对防范新型网络、经济、危害国家安全等犯罪行为提出了严峻挑战,特别是公安、国安部门在查处犯罪时追踪溯源方面提出了巨大的挑战。暗网因其巨大的危害特性也被列为新型网络威胁之一。 [6]
暗网示意图正常的互联网访问行为都是透明的,也就是说,用户通过互联网访问服务器的访问记录都是可以回溯审查的,这也是公安、国安部门侦查互联网犯罪的重要手段。例如,互联网用户A通过互联网访问网站B,网站B的服务器部署了流量监控程序,这样就可以通过该程序找到用户A上网所使用的IP地址,进而可以确定其上网终端的地址,从而找到用户A的真实身份以及藏身地点。然而Tor的出现使这一切都变得复杂,Tor的工作原理是在用户A访问网站B的路由要经过一系列中间节点加密传输,终将网站B的内容返回到用户A,这样一来,追踪溯源就变得极为困难。 [6]
只要你掌握了基本的“过墙”技术,隐匿身份访问“暗网”只需要对电脑进行简易设置同时下载并不大的软件。此外,“暗网”开发组织还在智能手机平台上发布了访问软件,方便“暗网”访问。 [5]
暗网虽然其原理较为复杂,但是对于普通用户来说,可以把暗网当成一个黑盒,不需要明白如何实现,只需在客户端下载一个接入程序,傻瓜式的配置参数,就可以使用暗网。不需要用户具备专业的电脑知识,只要会上网就能掌握接入方式,而且部分软件还研发了基于智能手机的应用程序,使得暗网的受众更广,也正是暗网简单的接入方式,才有现在暗网庞大的用户群体。 [6]
“暗网”非法交易的主要支付方式是“比特币”,这是一种虚拟电子货币,由具有关联的64位数字网络域名组成。比特币不需要买卖双方的个人信息,在技术层面兼顾了效率与安全,在保证了交易的便捷性的同时,又能够保证交易两方的身份保密性。 [5]
暗网之所以被网络犯罪使用,主要是因为基于暗网的数字货币交易是完全隐匿在互联网中的,交易支付的保密性、安全性可以媲美瑞士银行。而且数字货币能够兑换成各个国家的货币,是被世界公认的货币,也正是由于这一特性,使得敌对更加肆无忌惮的用暗网来实现其不可告人的非法勾当。而且其交易往来十分隐蔽,更加让思想立场不坚定的人员“放心”的进行非法交易,泄露国家秘密,危害国家安全。 [6]
“暗网”本身是由一群自由派和无政府主义者组建的,其中许多人是反对非自由主义或反对政府主义的人,除此之外美国政府刻意地地推波助澜更使得“暗网”的自由倾向非常明显。 [5]
针对暗网的监控管理比互联网监控困难的多。 [6]
刑事犯罪活动的温床
2006年,“农夫市场”诞生,标志着暗网中的非法活动正在朝着成熟化、商业化的方向发展,一大批暗网网站应运而生。2013年,有“暗黑淘宝”之称的“丝绸之路”被捣毁,其所经营的主要业务如毒品交易、军火贩卖,甚至是器官交易、人口交易等也开始被公众所了解。2017年7月,美国司法部宣布关闭全球最大的暗网交易市场“阿尔法湾”。截至网站关闭前,该平台中的卖家数量已高达4万人,买家数甚至超过20万人.据保守估计,自2014年该网站投入运营以来,其交易额可达10亿美元。 [2]
恐怖主义活动的新平台
2015年11月13日晚,法国巴黎的枪击爆炸事件发生后,有证据显示为了规避政府的大规模审查,策划这起事件的伊斯兰国恐怖分子迅速将其宣传机器——生活媒体中心转移到了暗网,并在Shamikh论坛上发布了新的暗网网址及访问方法。该网站后被证明是目前已知的第1个由恐怖组织使用的网站,这说明恐怖主义的犯罪触手已经触及到了暗网世界。更令人感到震惊的是,曾经规模最大的暗网交易市场“阿尔法湾”,不仅是重大的毒品交易聚集地,还是恐怖分子招兵买马、组织和策划恐怖袭击的秘密渠道,其活跃用户中不乏IS等全球闻名的恐怖组织。除此之外,恐怖分子还常采用备份表层网资源的手段,在暗网上形成镜像,当其在表层网中的宣传网站被关闭后,可以通过电子邮件、匿名论坛等方式发布其在暗网上的镜像网站,为其拥护者和追随者提供新的平台。 [2]
大国博弈、政治渗透颠覆的支撑工具
暗网中的意识形态是混乱不堪的,其建立者大都是无政府主义和自由主义的拥护者,这就导致大量意识形态混乱的暗网用户趋之若鹜。其中也不乏“民主国家”及极端组织别有用心,利用暗网对其他国家进行攻击甚至是对现有政权进行颠覆。 [2]
由此可见,暗网不法行为造成的恶劣影响并不仅仅局限于某个国家地区,还对全球的安全环境构成了巨大威胁。 [2]
目前典型的暗网技术包括洋葱路由(TOR)、隐形互联网计划(Invisible Internet Project,I2P)及自由网(freenet)等。这几类技术原理大抵类似,基本上都脱胎于20世纪九十年代中期美国海军研究实验室(NRL)及国防高等研究计划署(DARPA)开发的洋葱路由技术思路。 [7]
洋葱路由顾名思义,就是用类似于剥洋葱的思路对数据进行多层加密转发:发送者首先确定一组中继节点,然后将需要传输的数据报文和转发路由信息进行层层加密,将最后多层封装后的报文发送给中继链路上的第一个节点;中继节点收到报文后,就像剥洋葱一样拨开一层“洋葱皮”,使用自己的密钥解密报文,获得下一跳的地址和下一层的报文数据,再把数据转发给下一跳;直至最后出口路由节点获得最终的明文,以及转发的最终目的地,并将报文转发给最终目标。 [7]
NRL和DARPA研发洋葱路由这样的匿名网络技术,其初衷其实是为了满足情报人员安全隐秘传输数据的需要:情工人员身处敌对环境,必须假设其任何通信行为都可能被对手监听,同时也必须防止对手通过对通信元数据(目标在何时与何人发生了通信)的分析发现可疑的线索。这里洋葱路由的多层加密转发机制为用户提供的保护就是所谓的通信匿名性(Anonymity)。 [7]
匿名通信是一种通过采用数据转发、内容加密、流量混淆等措施来隐藏通信内容及关系的隐私保护技术。为了提高通信的匿名性,这些数据转发链路通常由多跳加密代理服务节点构成,而所有这些节点即构成了匿名通信系统(或称匿名通信网络)。匿名通信系统本质上是一种提供匿名通信服务的覆盖网络,可以向普通用户提供Internet匿名访问功能以掩盖其网络通信源和目标,向服务提供商提供隐藏服务机制以实现匿名化的网络服务部署。作为匿名通信系统的核心功能,隐藏服务机制通常利用多跳反向代理或通过资源共享存储来掩盖服务提供商的真实地址,可以保证匿名服务不可追踪和定位。 [8]
由于匿名通信系统具有节点发现难、服务定位难、用户监控难、通信关系确认难等特点,利用匿名通信系统隐藏真实身份从事恶意甚至于网络犯罪活动的匿名滥用现象层出不穷。由于用户必须通过特殊软件或进行特殊配置才能访问服务,隐藏服务机制更是被用于部署“丝绸之路”(silk road)、Alpha Bay等网络黑市,形成了潜藏于Internet中充斥着毒品枪支交易、人口贩卖、恐怖活动、反社会言论、谣言散布以及敲诈勒索等非法活动的暗网。 [8]
改进通信链路控制方法的研究
约会节点作为整个暗网通信的核心中继节点、控制节点,同时也是存在于暗网通信链路中的脆弱节点,我们可以为易受攻击的约会节点提出一种改善控制暗网通讯链路的方法。首先要控制住约会的节点,并通过该节点进一步更改其到服务供应商的通讯路线结构。根据入口节点选择策略,从目录服务器中的入口节点列表中直接选择洋葱路由作为暗网用户的入口节点。因为入口处节点的信息列表一段时间才更换一次,所以可以设置与用户端的入口位置信息列表相同的嗅探攻击者。如此就可以通过分析来辨别网络中存在的暗网用户所传来的请求链接。如果暗网用户只用被控制的入口节点,那么就要准备探寻下一个节点的请求链接。一旦链接到正常使用的进入节点,那么就进行重置攻击该节点,如此用户就会与其链接断开然后重新随机寻找进入的节点,如此循环往复直到选到受控制的节点。在控制了进入节点后就可以得到中间位置节点的相应信息,断开受控节点和中间的正常节点之间的链接,再连接相应受控制的约会的节点。把约会节点的相应身份讯息传达到隐藏的服务后,它将从隐藏服务接收指令。以这种方式,受控约会节点立即识别出它是暗网中的数据通信的关键节点,并且清楚地知道发送指令的IP地址是隐藏服务的出口节点。然后,攻击者可以对出口节点进行拒绝服务攻击,使出口位置节点不能照常使用,进而导致断路重连。控制住出口处的节点后,可以辨别中间节点是否受控制。这样,可以完全掌握隐藏用户与隐藏服务的通信链路,暴露隐藏服务的身份信息,暗网的匿名功能消失。 [5]
目录服务
洋葱路由其暗网在本质上其实是分布式的网络,那么就肯定需要组织管理以及维护其分布式中的各个节点,这些任务就要由目录服务来达成。目录服务是指使用泛洪算法来跟踪网络状态的变化。为了减少网络碎片以及降低其传输的负载程度和网络状态不一致等,利用一部分空余的节点来实时跟进其网络拓扑以及节点情况的改变。当目录服务接收到节点自签名的状态信息时,首先要检验节点自带的身份秘钥,假如标识检测通过,则将其相应的信息增加到网络状况描述符中,如果不识别,则丢弃该信息。当新节点加入网络时,新节点必须将应用程序发送到目录服务的管理员,以此确保安全性。 [5]
信任评价机制
在基于洋葱路由的暗网通信中,我们不能确定中间节点所注册的信息是否有效,也无从确定匿名的服务具体什么节点提供的更好。无法确定哪些节点更可能被恶意对手控制。基于以上的原因,应该建立一个信任评价机制。通过信任评估机制,可以对提供服务的中继节点进行排序,并且可以按照排名来选定其作为中继节点,而不只是自主注册填入信息就可以作为中继节点。所以,要防备信道选择恶意节点作为中继节点,还能支持其供给更多计算或网络等优质资源给匿名通信,更好的服务于匿名通信。 [5]
抗恶意行为机制
目前,基于洋葱路由的暗网通信恶意作为的呼应体系是一个导出的策略,它准许出口端节点配置其阻拦访问的IP地址和结束的范围。所以出口端节点能成功阻止用户对某些功能进行恶意的访问。该策略能在一定程度上阻止发生恶意的行为。但其效果还不够。因此,基于洋葱路由的暗网通信需要系统完整的反恶意行为机制来应对用户的恶意使用。反恶意行为体系可以发挥出区分用户是否合法的作用,并阻拦非法用户进行访问,但是不会阻拦系统服务与IP地址,而是维护一个恶意行为用户的全局表,另外其中每一个中继节点都会针对性的维护一个非法用户的本地表。而匿名通道的尾节点会根据本地表和全局表进行阻拦对应用户。它将被所有节点阻止,而不是被一个或某种类型的出口节点阻止。 [5]
目前针对暗网的攻击技术根据是否需要利用暗网网络协议内部的脆弱性,分为基于流量分析的攻击技术和基于协议弱点的攻击技术两种类型。基于流量分析的攻击技术是通过将暗网看作一个整体(黑盒),通过以被动监控的方式监控和分析路由流量信息或者以主动的方式在网络数据流入暗网前加入水印标签进行标记等技术,获取匿名通信双方的身份、IP地址和通信路径等信息;基于协议弱点的攻击是利用暗网协议本身的脆弱性,进行有针对性的攻击,以实现阻断暗网的有效通信甚至直接攻击致瘫暗网系统的目的。 [6]
基于流量分析的攻击技术可以分为主动与被动两种,被动攻击方式需要对通信数据流进行长时间的观察并记录大量的有效数据流,分析网络数据特征,但是由于有效数据流的体量往往较为庞大,因此这种攻击技术存在整体效率过低,耗时、耗力大分析效果差的问题,但由于采用的是被动监听的方式,该攻击技术具有较高的隐蔽性。主动攻击方式以水印攻击为典型代表,其主要是通过主动改变网络通信数据流特征的方式进行对比检测,具有较高的攻击效率,但是该攻击行为易被发现。 [6]
攻击分类 | 攻击技术 | 核心思想 |
|---|---|---|
主动攻击技术 | 水印攻击 | 在客户端和入口节点之间栏截流量,使用某种方式向用户发送的数据中植入标记特征,然后在出口节点处对流量进行检测。如果标记匹配,则可以确定发送者与接收者之间的关联关系,水印攻击的本质是通过调整流的特征来隐藏水印信息,与被动攻击技术相比,牺牲了隐蔽性换取了对数据流实时检测的能力。几类流水印技术横向相比,总的来说,为了提升水印容量与攻击的隐蔽性,需要用水印控制更为复杂的数据流特征,因此引入了额外的时空开销,进而降低了攻击方法的实用性。 [6] |
被动攻击技术 | 揭露分析攻击 | 在不对暗网通信过程进行干扰的情况下,把暗网看作一个整体(黑盒),通过对暗网中的数据流进行分析比对,推断出暗网中的各个节点之间的拓扑关系。 [6] |
流量图攻击 | ||
指纹分析攻击 |
基于协议弱点的攻击技术,主要利用暗网网络协议本身的脆弱性,对其发起有针对性的攻击,典型的攻击手段有:网桥发现攻击、重放攻击、中间人攻击等。网桥发现攻击的目标是暗网目录服务器和网桥节点,重放攻击的目标是加密机制,中间人攻击的目标是出口节点与Web服务器的关联。 [6]
攻击机制 | 描述 |
|---|---|
网桥发现攻击 | 网桥机制是暗网用于提升自身隐蔽性及安全性的机制,将非公开的转发节点作为用户使用暗网的第一跳节点,以避免用户的访问被阻断。隐藏网桥的地址信息在网络中被分散存储,通过邮件或暗网的加密服务器等形式进行发布,以避免地址信息被收集。但可以基于受控中间节点实施网桥发现攻击,利用受控制的中间节点,收集上一跳节点的信息,通过数据分析从中筛选出隐藏的网桥节点。 [6] |
重放攻击 | 重放攻击通过对暗网采用的加密算法进行分析后,控制某个匿名通信节点,通过该节点复制、篡改、接入或删除并重新发送匿名通信中被截取的数据包,从而干扰了暗网通信路径的中间节点和出口节点的正常计数模式,导致暗网中出口节点解密失败和无法识别数据包,达到干扰暗网正常通信的目的。 [6] |
中间人攻击 | 利用暗网所使用的协议特征和匿名Web浏览器的设计缺陷,可以使用中间人攻击技术。当暗网匿名通信连接中受控的恶意出口节点探测到用户发送给某个服务器的Web请求时,该节点将会返回一个嵌入了指定数量图片标签的特定网页,从而使得用户终端的浏览器通过暗网通信链路主动发出一个获取相应图片链接。因此,暗网通信的入口节点将发现异常的数据流量模式,同时客户端与服务器之间的路由链路关系也将被发现,从而实施有效攻击。 [6] |
2019年11月14日,中国公安部在北京召开新闻发布会,通报全国公安机关开展“净网2019”专项行动工作情况及典型案例。2019年以来,全国共立“暗网”相关案件16起,抓获从事涉“暗网”违法犯罪活动的犯罪嫌疑人25名。 [3]
2021年1月,德国检察机关12日说,捣毁了据信是全球最大的暗网交易平台,逮捕了运行这个非法交易平台的嫌疑人。交易平台先前出售各类违禁药品、假币、偷窃所得的信用卡信息、伪造信用卡信息和恶意软件等。检察机关说,“黑市”有将近50万名使用者,超过2400名卖家,处理超过32万起交易,价值超过1.4亿欧元(约合11.1亿元人民币)。 [4]
2023年5月,美国和欧洲多国联手打击一个“暗网”毒品销售平台,逮捕近300名嫌疑人,并查获大量资金、毒品和武器。这项跨国打击行动由欧洲刑警组织牵头,最终在美国逮捕153名犯罪嫌疑人,在英国和德国分别逮捕55人和52人。在荷兰等国也有嫌疑人落网。此次打击行动共查获相当于5080万欧元的现金和虚拟货币、850公斤毒品和117件武器。 [9]
