暗網
——隱匿在互聯網下的幽靈

劉 通，喬向東，郭 云

（1.94981 部隊，南昌 330200；2.北京市海淀區復興路14 號10 分隊，北京 100843；3.江西建設職業技術學院，南昌 330200）

隨著利用暗網進行違法犯罪活動日益泛濫，暗網已經成為各個國家安全部門的重要關注領域。近日，美國國會研究服務局（CRS，Congressional Research Service）公布《暗網》報告，分析了暗網的前世今生。因為具有較好的隱匿性，暗網經常被不法分子用來進行非法活動，如何有效打擊非法利用網絡空間的惡意行為成為了關注的熱點，發現并識別隱匿服務以及身份查證識別技術成為網絡安全領域研究人員的重點方向。

1 暗網的由來

互聯網的深度遠遠超出了在搜索中可以輕松訪問的表面內容，我們日常所使用的互聯網僅僅是冰山一角，其他還沒有被傳統搜索引擎索引的內容統稱為深網。深網的最深處被稱為“暗網”（Dark Web）。暗網是由美國軍方發起的一個科研項目，并于2003年開始實施，就是著名的Tor（洋蔥路由器的簡稱）項目。其研發的主要目的就是為互聯網用戶提供隱藏自身身份的服務，正是由于這一特性，造成了暗網具有兩面性，一方面可以用于正常的保護互聯網用戶的隱私，另一方面也可以被不法分子用戶隱匿犯罪痕跡或者從事其他惡意行為。

圖1 互聯網示意圖

正常的互聯網訪問行為都是透明的，也就是說，用戶通過互聯網訪問服務器的訪問記錄都是可以回溯審查的，這也是公安、國安部門偵查互聯網犯罪的重要手段。例如，互聯網用戶A 通過互聯網訪問網站B，網站B 的服務器部署了流量監控程序，這樣就可以通過該程序找到用戶A 上網所使用的IP 地址，進而可以確定其上網終端的地址，從而找到用戶A 的真實身份以及藏身地點。然而Tor 的出現使這一切都變得復雜，Tor 的工作原理是在用戶A 訪問網站B 的路由要經過一系列中間節點加密傳輸，最終將網站B 的內容返回到用戶A，這樣一來，追蹤溯源就變得極為困難。

2 堅不可摧的暗網

暗網因其與生俱來的隱匿特性，現在被不法分子廣泛運用于網絡犯罪。從個人行為的網絡黑客竊密、數字貨幣交易、私售非法禁售物品到國家意志的間諜行動，都依托暗網的隱匿服務，因此暗網的存在對防范新型網絡、經濟、危害國家安全等犯罪行為提出了嚴峻挑戰，特別是公安、國安部門在查處犯罪時追蹤溯源方面提出了巨大的挑戰。暗網因其巨大的危害特性也被列為新型網絡威脅之一。

一是學習成本較低。暗網雖然其原理較為復雜，但是對于普通用戶來說，可以把暗網當成一個黑盒，不需要明白如何實現，只需在客戶端下載一個接入程序，傻瓜式的配置參數，就可以使用暗網。不需要用戶具備專業的電腦知識，只要會上網就能掌握接入方式，而且部分軟件還研發了基于智能手機的應用程序，使得暗網的受眾更廣，也正是暗網簡單的接入方式，才有現在暗網龐大的用戶群體。

二是交易支付安全。暗網之所以被網絡犯罪使用，主要是因為基于暗網的數字貨幣交易是完全隱匿在互聯網中的，交易支付的保密性、安全性可以媲美瑞士銀行。而且數字貨幣能夠兌換成各個國家的貨幣，是被世界公認的貨幣，也正是由于這一特性，使得敵對更加肆無忌憚的用暗網來實現其不可告人的非法勾當。而且其交易往來十分隱蔽，更加讓思想立場不堅定的人員“放心”的進行非法交易，泄露國家秘密，危害國家安全。

三是監控管理困難。針對暗網的監控管理比互聯網監控困難的多。即便是暗網項目的始作俑者美國要監管暗網的一個網站也是要耗費幾年的時間，對我國的網監部門而言更加是難上加難，因為作為執法部門，少數人員還存在著一些錯誤的看法，比如，“暗網的泛濫只是對美國而言的，美國是自作自受”“我國的網絡形勢暫時還沒有受到暗網的影響”等。這就使得我國針對暗網的監管在思想源頭上都還沒有重視起來。

3 暗網真的無所遁形嗎

目前針對暗網的攻擊技術根據是否需要利用暗網網絡協議內部的脆弱性，分為基于流量分析的攻擊技術和基于協議弱點的攻擊技術兩種類型?；诹髁糠治龅墓艏夹g是通過將暗網看作一個整體（黑盒），通過以被動監控的方式監控和分析路由流量信息或者以主動的方式在網絡數據流入暗網前加入水印標簽進行標記等技術，獲取匿名通信雙方的身份、IP 地址和通信路徑等信息；基于協議弱點的攻擊是利用暗網協議本身的脆弱性，進行有針對性的攻擊，以實現阻斷暗網的有效通信甚至直接攻擊致癱暗網系統的目的。

3.1 基于流量分析的攻擊技術

基于流量分析的攻擊技術可以分為主動與被動兩種，被動攻擊方式需要對通信數據流進行長時間的觀察并記錄大量的有效數據流，分析網絡數據特征，但是由于有效數據流的體量往往較為龐大，因此這種攻擊技術存在整體效率過低，耗時、耗力大分析效果差的問題，但由于采用的是被動監聽的方式，該攻擊技術具有較高的隱蔽性。主動攻擊方式以水印攻擊為典型代表，其主要是通過主動改變網絡通信數據流特征的方式進行對比檢測，具有較高的攻擊效率，但是該攻擊行為易被發現。

3.1.1 主動攻擊技術

水印攻擊技術的核心思想是在客戶端和入口節點之間欄截流量，使用某種方式向用戶發送的數據中植入標記特征，然后在出口節點處對流量進行檢測。如果標記匹配，則可以確定發送者與接收者之間的關聯關系，如圖2所示。

圖2 主動水印攻擊示意圖

水印攻擊的本質是通過調整流的特征來隱藏水印信息，與被動攻擊技術相比，犧牲了隱蔽性換取了對數據流實時檢測的能力。幾類流水印技術橫向相比，總的來說，為了提升水印容量與攻擊的隱蔽性，需要用水印控制更為復雜的數據流特征，因此引入了額外的時空開銷，進而降低了攻擊方法的實用性[1]。

3.1.2 被動攻擊技術

被動攻擊技術是指在不對暗網通信過程進行干擾的情況下，把暗網看作一個整體（黑盒），通過對暗網中的數據流進行分析比對，推斷出暗網中的各個節點之間的拓撲關系。被動攻擊技術包括揭露分析攻擊[2]（Disclosure Attack）、流量圖攻擊[3]（Traffic Sharp Attack）以及指紋分析攻擊[4]（Fingerprinting Attack）。

3.2 基于協議弱點的攻擊技術

基于協議弱點的攻擊技術，主要利用暗網網絡協議本身的脆弱性，對其發起有針對性的攻擊，典型的攻擊手段有：網橋發現攻擊、重放攻擊、中間人攻擊等。網橋發現攻擊的目標是暗網目錄服務器和網橋節點，重放攻擊的目標是加密機制，中間人攻擊的目標是出口節點與Web 服務器的關聯。

3.2.1 網橋發現攻擊

網橋機制是暗網用于提升自身隱蔽性及安全性的機制，將非公開的轉發節點作為用戶使用暗網的第一跳節點，以避免用戶的訪問被阻斷。隱藏網橋的地址信息在網絡中被分散存儲，通過郵件或暗網的加密服務器等形式進行發布，以避免地址信息被收集。但可以基于受控中間節點實施網橋發現攻擊[5]，利用受控制的中間節點，收集上一跳節點的信息，通過數據分析從中篩選出隱藏的網橋節點。

3.2.2 重放攻擊

重放攻擊通過對暗網采用的加密算法進行分析后，控制某個匿名通信節點，通過該節點復制、篡改、接入或刪除并重新發送匿名通信中被截取的數據包，從而干擾了暗網通信路徑的中間節點和出口節點的正常計數模式，導致暗網中出口節點解密失敗和無法識別數據包，達到干擾暗網正常通信的目的[6]。

3.2.3 中間人攻擊

利用暗網所使用的協議特征和匿名Web 瀏覽器的設計缺陷，可以使用中間人攻擊技術[7]。當暗網匿名通信連接中受控的惡意出口節點探測到用戶發送給某個服務器的Web 請求時，該節點將會返回一個嵌入了指定數量圖片標簽的特定網頁，從而使得用戶終端的瀏覽器通過暗網通信鏈路主動發出一個獲取相應圖片鏈接。因此，暗網通信的入口節點將發現異常的數據流量模式，同時客戶端與服務器之間的路由鏈路關系也將被發現，從而實施有效攻擊。

4 攻擊技術展望

對于暗網的攻擊技術研究與暗網的不斷完善是密不可分，共同發展的。二者之間是一個零和博弈的關系，隨著研究人員對暗網完整性的不斷提升，之前的種種攻擊手段將不再奏效，但是暗網的應用領域也在不斷的拓展，新的零日漏洞也將會出現并被利用在攻擊技術中。隨著大數據、云計算等技術的不斷發展與應用，可以預測大數據挖掘、云平臺計算技術將在暗網攻擊中發揮著巨大的支撐作用，屆時基于流量分析的交集分析攻擊、流量圖攻擊等被動攻擊技術也將成為攻擊技術的研究熱點方向。