暗網

我們日常使用的搜索引擎所無法尋找到的，僅能在電腦上進行一系列特殊的操作設置或在特殊軟件的輔助之下又或對本機的特殊授權之後方能進入訪問的一種網絡——即稱之為“暗網”。“暗網”之中的數據統統是以常規手段去檢索難度極大的“隱身”的方式進行傳輸交流，服務器地址亦是如此。此外，極高的私密性是其中用户聯繫彼此的一大特點，對進行攔截的手段和網絡技術的要求極高，並且破譯攔截後的信息也是一大難題。暗網是深網的一個分支，目前可以通過“洋葱網絡”或者“I2P網絡”進行。統計數據表明，我們平時所能見的表層網絡的域名數量僅僅佔據暗網的1/400到1/500。 ^[5] 

暗網因其與生俱來的隱匿特性，現在被不法分子廣泛運用於網絡犯罪。從個人行為的網絡黑客竊密、數字貨幣交易、私售非法禁售物品到國家意志的間諜行動，都依託暗網的隱匿服務，因此暗網的存在對防範新型網絡、經濟、危害國家安全等犯罪行為提出了嚴峻挑戰，特別是公安、國安部門在查處犯罪時追蹤溯源方面提出了巨大的挑戰。暗網因其巨大的危害特性也被列為新型網絡威脅之一。 ^[6] 

互聯網的深度遠遠超出了在搜索中可以輕鬆訪問的表面內容，我們日常所使用的互聯網僅僅是冰山一角，其他還沒有被傳統搜索引擎索引的內容統稱為深網。深網的深處被稱為“暗網”（Dark Web）。暗網是由美國軍方發起的一個科研項目，並於2003年開始實施，就是著名的Tor（洋葱路由器的簡稱）項目。其研發的主要目的就是為互聯網用户提供隱藏自身身份的服務，正是由於這一特性，造成了暗網具有兩面性，一方面可以用於正常的保護互聯網用户的隱私，另一方面也可以被不法分子用户隱匿犯罪痕跡或者從事其他惡意行為。 ^[6] 

正常的互聯網訪問行為都是透明的，也就是説，用户通過互聯網訪問服務器的訪問記錄都是可以回溯審查的，這也是公安、國安部門偵查互聯網犯罪的重要手段。例如，互聯網用户A通過互聯網訪問網站B，網站B的服務器部署了流量監控程序，這樣就可以通過該程序找到用户A上網所使用的IP地址，進而可以確定其上網終端的地址，從而找到用户A的真實身份以及藏身地點。然而Tor的出現使這一切都變得複雜，Tor的工作原理是在用户A訪問網站B的路由要經過一系列中間節點加密傳輸，終將網站B的內容返回到用户A，這樣一來，追蹤溯源就變得極為困難。 ^[6] 

只要你掌握了基本的“過牆”技術，隱匿身份訪問“暗網”只需要對電腦進行簡易設置同時下載並不大的軟件。此外，“暗網”開發組織還在智能手機平台上發佈了訪問軟件，方便“暗網”訪問。 ^[5] 

暗網雖然其原理較為複雜，但是對於普通用户來説，可以把暗網當成一個黑盒，不需要明白如何實現，只需在客户端下載一個接入程序，傻瓜式的配置參數，就可以使用暗網。不需要用户具備專業的電腦知識，只要會上網就能掌握接入方式，而且部分軟件還研發了基於智能手機的應用程序，使得暗網的受眾更廣，也正是暗網簡單的接入方式，才有現在暗網龐大的用户羣體。 ^[6] 

“暗網”使用分佈式、多節點數據訪問方法和多層數據加密來為每個數據包設計加密的IP地址以進行通信。要獲得“暗網”在線記錄，必須破解“暗網”使用的加密系統。 ^[5] 

“暗網”非法交易的主要支付方式是“比特幣”，這是一種虛擬電子貨幣，由具有關聯的64位數字網絡域名組成。比特幣不需要買賣雙方的個人信息，在技術層面兼顧了效率與安全，在保證了交易的便捷性的同時，又能夠保證交易兩方的身份保密性。 ^[5] 

暗網之所以被網絡犯罪使用，主要是因為基於暗網的數字貨幣交易是完全隱匿在互聯網中的，交易支付的保密性、安全性可以媲美瑞士銀行。而且數字貨幣能夠兑換成各個國家的貨幣，是被世界公認的貨幣，也正是由於這一特性，使得敵對更加肆無忌憚的用暗網來實現其不可告人的非法勾當。而且其交易往來十分隱蔽，更加讓思想立場不堅定的人員“放心”的進行非法交易，泄露國家秘密，危害國家安全。 ^[6] 

“暗網”本身是由一羣自由派和無政府主義者組建的，其中許多人是反對非自由主義或反對政府主義的人，除此之外美國政府刻意地地推波助瀾更使得“暗網”的自由傾向非常明顯。 ^[5] 

針對暗網的監控管理比互聯網監控困難的多。 ^[6] 

2006年，“農夫市場”誕生，標誌着暗網中的非法活動正在朝着成熟化、商業化的方向發展，一大批暗網網站應運而生。2013年，有“暗黑淘寶”之稱的“絲綢之路”被搗毀，其所經營的主要業務如毒品交易、軍火販賣，甚至是器官交易、人口交易等也開始被公眾所瞭解。2017年7月，美國司法部宣佈關閉全球最大的暗網交易市場“阿爾法灣”。截至網站關閉前，該平台中的賣家數量已高達4萬人，買家數甚至超過20萬人．據保守估計，自2014年該網站投入運營以來，其交易額可達10億美元。 ^[2] 

2015年11月13日晚，法國巴黎的槍擊爆炸事件發生後，有證據顯示為了規避政府的大規模審查，策劃這起事件的伊斯蘭國恐怖分子迅速將其宣傳機器——生活媒體中心轉移到了暗網，並在Shamikh論壇上發佈了新的暗網網址及訪問方法。該網站後被證明是目前已知的第1個由恐怖組織使用的網站，這説明恐怖主義的犯罪觸手已經觸及到了暗網世界。更令人感到震驚的是，曾經規模最大的暗網交易市場“阿爾法灣”，不僅是重大的毒品交易聚集地，還是恐怖分子招兵買馬、組織和策劃恐怖襲擊的秘密渠道，其活躍用户中不乏IS等全球聞名的恐怖組織。除此之外，恐怖分子還常採用備份表層網資源的手段，在暗網上形成鏡像，當其在表層網中的宣傳網站被關閉後，可以通過電子郵件、匿名論壇等方式發佈其在暗網上的鏡像網站，為其擁護者和追隨者提供新的平台。 ^[2] 

暗網中的意識形態是混亂不堪的，其建立者大都是無政府主義和自由主義的擁護者，這就導致大量意識形態混亂的暗網用户趨之若鶩。其中也不乏“民主國家”及極端組織別有用心，利用暗網對其他國家進行攻擊甚至是對現有政權進行顛覆。 ^[2] 

由此可見，暗網不法行為造成的惡劣影響並不僅僅侷限於某個國家地區，還對全球的安全環境構成了巨大威脅。 ^[2] 

目前典型的暗網技術包括洋葱路由（TOR）、隱形互聯網計劃（Invisible Internet Project，I2P）及自由網（freenet）等。這幾類技術原理大抵類似，基本上都脱胎於20世紀九十年代中期美國海軍研究實驗室（NRL）及國防高等研究計劃署（DARPA）開發的洋葱路由技術思路。 ^[7] 

洋葱路由顧名思義，就是用類似於剝洋葱的思路對數據進行多層加密轉發：發送者首先確定一組中繼節點，然後將需要傳輸的數據報文和轉發路由信息進行層層加密，將最後多層封裝後的報文發送給中繼鏈路上的第一個節點；中繼節點收到報文後，就像剝洋葱一樣撥開一層“洋葱皮”，使用自己的密鑰解密報文，獲得下一跳的地址和下一層的報文數據，再把數據轉發給下一跳；直至最後出口路由節點獲得最終的明文，以及轉發的最終目的地，並將報文轉發給最終目標。 ^[7] 

NRL和DARPA研發洋葱路由這樣的匿名網絡技術，其初衷其實是為了滿足情報人員安全隱秘傳輸數據的需要：情工人員身處敵對環境，必須假設其任何通信行為都可能被對手監聽，同時也必須防止對手通過對通信元數據（目標在何時與何人發生了通信）的分析發現可疑的線索。這裏洋葱路由的多層加密轉發機制為用户提供的保護就是所謂的通信匿名性（Anonymity）。 ^[7] 

匿名通信是一種通過採用數據轉發、內容加密、流量混淆等措施來隱藏通信內容及關係的隱私保護技術。為了提高通信的匿名性，這些數據轉發鏈路通常由多跳加密代理服務節點構成，而所有這些節點即構成了匿名通信系統（或稱匿名通信網絡）。匿名通信系統本質上是一種提供匿名通信服務的覆蓋網絡，可以向普通用户提供Internet匿名訪問功能以掩蓋其網絡通信源和目標，向服務提供商提供隱藏服務機制以實現匿名化的網絡服務部署。作為匿名通信系統的核心功能，隱藏服務機制通常利用多跳反向代理或通過資源共享存儲來掩蓋服務提供商的真實地址，可以保證匿名服務不可追蹤和定位。 ^[8] 

由於匿名通信系統具有節點發現難、服務定位難、用户監控難、通信關係確認難等特點，利用匿名通信系統隱藏真實身份從事惡意甚至於網絡犯罪活動的匿名濫用現象層出不窮。由於用户必須通過特殊軟件或進行特殊配置才能訪問服務，隱藏服務機制更是被用於部署“絲綢之路”（silk road）、Alpha Bay等網絡黑市，形成了潛藏於Internet中充斥着毒品槍支交易、人口販賣、恐怖活動、反社會言論、謠言散佈以及敲詐勒索等非法活動的暗網。 ^[8] 

約會節點作為整個暗網通信的核心中繼節點、控制節點，同時也是存在於暗網通信鏈路中的脆弱節點，我們可以為易受攻擊的約會節點提出一種改善控制暗網通訊鏈路的方法。首先要控制住約會的節點，並通過該節點進一步更改其到服務供應商的通訊路線結構。根據入口節點選擇策略，從目錄服務器中的入口節點列表中直接選擇洋葱路由作為暗網用户的入口節點。因為入口處節點的信息列表一段時間才更換一次，所以可以設置與用户端的入口位置信息列表相同的嗅探攻擊者。如此就可以通過分析來辨別網絡中存在的暗網用户所傳來的請求鏈接。如果暗網用户只用被控制的入口節點，那麼就要準備探尋下一個節點的請求鏈接。一旦鏈接到正常使用的進入節點，那麼就進行重置攻擊該節點，如此用户就會與其鏈接斷開然後重新隨機尋找進入的節點，如此循環往復直到選到受控制的節點。在控制了進入節點後就可以得到中間位置節點的相應信息，斷開受控節點和中間的正常節點之間的鏈接，再連接相應受控制的約會的節點。把約會節點的相應身份訊息傳達到隱藏的服務後，它將從隱藏服務接收指令。以這種方式，受控約會節點立即識別出它是暗網中的數據通信的關鍵節點，並且清楚地知道發送指令的IP地址是隱藏服務的出口節點。然後，攻擊者可以對出口節點進行拒絕服務攻擊，使出口位置節點不能照常使用，進而導致斷路重連。控制住出口處的節點後，可以辨別中間節點是否受控制。這樣，可以完全掌握隱藏用户與隱藏服務的通信鏈路，暴露隱藏服務的身份信息，暗網的匿名功能消失。 ^[5] 

洋葱路由其暗網在本質上其實是分佈式的網絡，那麼就肯定需要組織管理以及維護其分佈式中的各個節點，這些任務就要由目錄服務來達成。目錄服務是指使用泛洪算法來跟蹤網絡狀態的變化。為了減少網絡碎片以及降低其傳輸的負載程度和網絡狀態不一致等，利用一部分空餘的節點來實時跟進其網絡拓撲以及節點情況的改變。當目錄服務接收到節點自簽名的狀態信息時，首先要檢驗節點自帶的身份秘鑰，假如標識檢測通過，則將其相應的信息增加到網絡狀況描述符中，如果不識別，則丟棄該信息。當新節點加入網絡時，新節點必須將應用程序發送到目錄服務的管理員，以此確保安全性。 ^[5] 

在基於洋葱路由的暗網通信中，我們不能確定中間節點所註冊的信息是否有效，也無從確定匿名的服務具體什麼節點提供的更好。無法確定哪些節點更可能被惡意對手控制。基於以上的原因，應該建立一個信任評價機制。通過信任評估機制，可以對提供服務的中繼節點進行排序，並且可以按照排名來選定其作為中繼節點，而不只是自主註冊填入信息就可以作為中繼節點。所以，要防備信道選擇惡意節點作為中繼節點，還能支持其供給更多計算或網絡等優質資源給匿名通信，更好的服務於匿名通信。 ^[5] 

目前，基於洋葱路由的暗網通信惡意作為的呼應體系是一個導出的策略，它准許出口端節點配置其阻攔訪問的IP地址和結束的範圍。所以出口端節點能成功阻止用户對某些功能進行惡意的訪問。該策略能在一定程度上阻止發生惡意的行為。但其效果還不夠。因此，基於洋葱路由的暗網通信需要系統完整的反惡意行為機制來應對用户的惡意使用。反惡意行為體系可以發揮出區分用户是否合法的作用，並阻攔非法用户進行訪問，但是不會阻攔系統服務與IP地址，而是維護一個惡意行為用户的全局表，另外其中每一箇中繼節點都會針對性的維護一個非法用户的本地表。而匿名通道的尾節點會根據本地表和全局表進行阻攔對應用户。它將被所有節點阻止，而不是被一個或某種類型的出口節點阻止。 ^[5] 

目前針對暗網的攻擊技術根據是否需要利用暗網網絡協議內部的脆弱性，分為基於流量分析的攻擊技術和基於協議弱點的攻擊技術兩種類型。基於流量分析的攻擊技術是通過將暗網看作一個整體（黑盒），通過以被動監控的方式監控和分析路由流量信息或者以主動的方式在網絡數據流入暗網前加入水印標籤進行標記等技術，獲取匿名通信雙方的身份、IP地址和通信路徑等信息；基於協議弱點的攻擊是利用暗網協議本身的脆弱性，進行有針對性的攻擊，以實現阻斷暗網的有效通信甚至直接攻擊致癱暗網系統的目的。 ^[6] 

基於流量分析的攻擊技術可以分為主動與被動兩種，被動攻擊方式需要對通信數據流進行長時間的觀察並記錄大量的有效數據流，分析網絡數據特徵，但是由於有效數據流的體量往往較為龐大，因此這種攻擊技術存在整體效率過低，耗時、耗力大分析效果差的問題，但由於採用的是被動監聽的方式，該攻擊技術具有較高的隱蔽性。主動攻擊方式以水印攻擊為典型代表，其主要是通過主動改變網絡通信數據流特徵的方式進行對比檢測，具有較高的攻擊效率，但是該攻擊行為易被發現。 ^[6] 

基於協議弱點的攻擊技術，主要利用暗網網絡協議本身的脆弱性，對其發起有針對性的攻擊，典型的攻擊手段有：網橋發現攻擊、重放攻擊、中間人攻擊等。網橋發現攻擊的目標是暗網目錄服務器和網橋節點，重放攻擊的目標是加密機制，中間人攻擊的目標是出口節點與Web服務器的關聯。 ^[6] 

2019年11月14日，中國公安部在北京召開新聞發佈會，通報全國公安機關開展“淨網2019”專項行動工作情況及典型案例。2019年以來，全國共立“暗網”相關案件16起，抓獲從事涉“暗網”違法犯罪活動的犯罪嫌疑人25名。 ^[3] 

2021年1月，德國檢察機關12日説，搗毀了據信是全球最大的暗網交易平台，逮捕了運行這個非法交易平台的嫌疑人。交易平台先前出售各類違禁藥品、假幣、偷竊所得的信用卡信息、偽造信用卡信息和惡意軟件等。檢察機關説，“黑市”有將近50萬名使用者，超過2400名賣家，處理超過32萬起交易，價值超過1.4億歐元（約合11.1億元人民幣）。 ^[4] 

2023年5月，美國和歐洲多國聯手打擊一個“暗網”毒品銷售平台，逮捕近300名嫌疑人，並查獲大量資金、毒品和武器。這項跨國打擊行動由歐洲刑警組織牽頭，最終在美國逮捕153名犯罪嫌疑人，在英國和德國分別逮捕55人和52人。在荷蘭等國也有嫌疑人落網。此次打擊行動共查獲相當於5080萬歐元的現金和虛擬貨幣、850公斤毒品和117件武器。 ^[9]