写点什么

从全国首起暗网案件告破说起——暗网,超乎你想象

用户头像
石君
关注
发布于: 2020 年 05 月 08 日
从全国首起暗网案件告破说起——暗网,超乎你想象

今天环球时报发布以下新闻:“全国首起暗网平台案告破 搭建 yin 秽网站 注册会员已达 6 万多名”。



我们来看看报道对嫌疑人王某的描述,一方面能够体现王某的技术优越心理,另一方面也体现出暗网的技术特点,王某对其安全保密性有信心。


“据了解,王某在大学里学的是计算机类专业,也曾开办过一些网站,对于互联网十分精通。王某到案后,态度极其恶劣,未有悔罪表现,自恃所使用的是强加密系统,在‘暗网’查证无异于大海捞针,认为公安机关不可能掌握其犯罪事实,对涉案情节一概否认,抗拒审查。”


所以,究竟什么是暗网,究竟是什么样的技术竟被用于这样不堪的内容?


一、什么是暗网

  • “暗网”是指只能通过特殊软件对指定电脑进行授权、进行特别的配置才能访问的网络

  • 暗网里的服务器和数据传输都是“隐形”的,在暗网以外(称之为明网)的搜索引擎上无法检索到,googgle 也不行;

  • 暗网成员之间的通信有高轻度的隐蔽性、安全性,一般技术手段很难拦截,即使拦截到也难以破解、难以追溯。


正是基于这些特点,暗网天然成为了网络犯罪者的聚集地,交换赃物的集散地,如同专收、专售旧货的二手市场,暗网是专收、专售违法违禁物品、服务、数据的大市场。尽管相较于明网“暗网”仍然非常小,但从收售内容的恶劣程度、影响程度、交易金额这些方面考虑,这个“大”字一点也不为过。

二、暗网怎么进

1、暗网网站

我们先来看看几个在暗网界比较知名的搜索引擎:


从上表中不难发现这类网站的后缀不像我们经常见到的.cn 、.com,都是以.onion 结尾,他们能够检索和他们一样的、多数是以.onion 结尾的暗网网站。


如何进入暗网,访问“隐形”的搜索引擎和网站呢?


  1. 第一步,你需要一个叫 Tor(the onion router)的浏览器,中国称之为“洋葱路由”,它的标志就是一只切开的洋葱,它也的确像洋葱一样层层密封着并保护着数据。

  2. 第二步你需要在网络上找到网桥,你可以理解为一段可以帮你藏匿身份的数据,它也是不可或缺的。最后一步就是用 Virtual Private Network 远程访问,没错,就是 VPN。


Tor 不是网络匿名访问的唯一手段,但它是目前全世界最流行、最受欢迎的手段。这个免费、开源的程序可以给网络流量提供三重加密保护,并将用户流量在世界各地的电脑终端里跳跃传递。


安装完之后导航页类似这样,那些.onion 为后缀的网站就可以打开了——我们在这里看一下就可以了,不建议自己尝试,以免触碰红线:

2、暗网内容

至于这些网站是干嘛的?暗网里面有什么内容,在这里不能多讲,全是我们这些良好公民共同抵制的突破法律红线、道德底线的事物与数据,否则也没必要放到暗网里去讨论、去交易。黄赌毒的内容不提,说一下其中交易的非法数据的情况,下面两张图是 2019 年初 360 发布的暗网非法数据交易总结,涉及电话号码、证件号、行为记录、账号密码等大量个人信息,以及企业数据库密码等信息。单次数据交易量条数超过 1 个亿的不在少数。



三、暗网技术原理

Tor 至少使用了三种技术措施来保护网络传输的安全性、隐蔽性:

1、随机路径,增加追溯难度

Tor 客户端先与目录服务器通信获得全球活跃中继节点信息,然后再随机选择三个节点组成访问路径,用户流量跳跃这三个节点之后最终到达目标网站服务器。


这条路径会定时拆除并重新选择节点建立新路径,这使得第三方(如政府)难以通过拿下单个或少数节点来获取用户的完整访问记录,使得从节点入手的追溯变得极为困难。


2、三重匿名代理,增强隐蔽性

Tor 不仅仅是隐藏自己的 IP 地址这么简单,这只是一般代理工具能够实现的功能,Tor 比一般的一重代理要高明得多,它是一种多重代理。


用一重代理有一个坏处:如果一重代理本身是恶意的(想象一下你的 VPN 提供商是恶意的),那么它就可以知道你访问过什么网站。显然,这不能满足我们的“谁都不能知道是我访问了网站”的隐私需求。


Tor 的本质是一种“代理节点快速动态变化的加密三重代理”。我们还以上图为例,Bob 只知道数据请求来自节点 C,节点 C 只能知道有数据从节点 B 发送到了 Bob,节点 B 只能知道有数据从节点 A 发送到了节点 C,节点 A 只能知道 Alice 访问了节点 B。没有那个节点能像一重代理那样,知道全部访问的细节,每个节点都只知道访问的一部分。


3、三段式加密传输,提高传输安全

如果不加密,那么恶意节点就可以知道网络传送的内容是什么,从而就有可能知道是 Alice 访问了 Bob。为了避免这种情况的发生,Tor 采用了多重加密。这也正是 Tor 为什么叫洋葱路由的原因,因为真实数据被一层层加密,就好像洋葱一层一层的肉一样。


  1. Alice 为了访问 Bob,先访问 Tor 的目录服务器,获取一部分 Tor 节点的 IP 地址,并从中随机选择三个节点的 IP 地址 A、B、C。然后,Alice 和节点 A 通过 Curve25519 椭圆曲线(以前用 Diffie-Hellman 密钥交换算法)协商一个对称密钥 keyA。这是一种很神奇的可以在不安全的信道上建立共享的对称密钥的方法。之后,Alice 和节点 A 之间就会用这把对称密钥 keyA 进行加密通信。

  2. 然后,Alice 把 B 的 IP 地址和与 B 协商密钥所需的参数用对称密钥 keyA 加密后发送给 A。A 用 keyA 解密后,将 Alice 与 B 协商密钥所需的参数发送到 B 的 IP 地址。B 收到参数后产生了对称密钥 keyB,并将与 Alice 协商密钥所需的参数发还给 A。A 将参数通过 keyA 加密后发还给 Alice。Alice 通过算法计算出对称密钥 keyB。(通讯双方各自产生一些参数并发给对方,每一方都根据全部参数进行计算,这是一种常见的协商方式)。Alice 通过相同的方法和 C 协商出 keyC。至此,Alice 有了三把钥匙 keyA、keyB、keyC。

  3. Alice 往 Bob 发送数据包时,先将数据 Data 用 keyC 加密,再用 keyB 加密,再用 keyA 加密,就好像层层包裹一样,然后发往节点 A。节点 A 解开一层加密,发往节点 B。节点 B 解开一层加密,发往节点 C。节点 C 解开一层加密,得到 Alice 发往 Bob 的明文,发送给 Bob。


最后再强调一点,技术本身当然是中立的,作恶与否这完全取决于技术是由什么样的人使用的,以及用这项技术来做什么。作为一名信息安全人员,我们自然希望能够搞清楚 Tor 背后的技术原理,所谓“师夷长技以制夷”,把它用于计算机取证、作为明网中的安全防护措施也是没有问题的。


“Don't be evil.”


发布于: 2020 年 05 月 08 日阅读数: 5087
用户头像

石君

关注

与其更好,不如不同 2020.03.26 加入

分享孤独,成为故事,分享思考,成为思想。 做信息安全领域的探险家。

评论 (16 条评论)

发布
用户头像
那这么看来节点c是知道明文的,如果c是恶意代理,这个点如何把关
2020 年 07 月 23 日 17:51
回复
对,实际设计中这个C可以是Bob的,毕竟C一定会跟Bob通信,C本身是知道Bob的存在的。但放到一个特别长的链条中,要确保的是C之前的随机。
2020 年 08 月 10 日 13:54
回复
用户头像
A、B、C这些机器是肉鸡吗
2020 年 06 月 02 日 18:01
回复
不必是肉鸡,可以是商业网络
2020 年 06 月 02 日 19:37
回复
用户头像
keyB和keyC的参数都是通过A来传播的,B和C的ip也是通过A来传递的,这么看A是可以解密的啊
2020 年 06 月 02 日 17:51
回复
不是通过A传播,是b知道ac之间有通信,a知道b和alice之间有通信,但a c之间,不知道对方的存在。每一步都是通过身边的节点根据自己知道的信息转发。
2020 年 06 月 02 日 19:37
回复
哦,我明白了,虽然keyB的参数是通过A来传递的,但是Curve25519保证了A无法计算出keyB,而C的密钥参数和ip是通过KeyB加密了的,所以A是不知道B的下一跳是谁
2020 年 06 月 03 日 10:06
回复
用户头像
# typo

1. googgle也不行;=> google


2. 暗网成员之间的通信有高轻度的隐蔽性、安全性,=> 高度
2020 年 05 月 12 日 21:15
回复
noted
2020 年 05 月 12 日 23:35
回复
用户头像
看过程应该是利用社工破获的
2020 年 05 月 09 日 20:12
回复
用户头像
更想听听最后是怎么告破的?
2020 年 05 月 09 日 14:04
回复
报道原文如下:
专案组随即抽调多名骨干,不间断进行技术取证,获取嫌疑人租赁境外服务器搭建网站、注册购买域名以及境外账户资金交易等关键证据,形成完整证据链,证实了犯罪嫌疑人的全部犯罪行为。
检法部门认为:专案组获取的证据确凿、指向清晰、证据链完备,足以认定犯罪事实,可在“零口供”前提下对王某按涉嫌传播yh物品牟利罪予以提捕。
2020 年 05 月 09 日 14:57
回复
看来,国内信用卡交易记录才是重点.
2020 年 05 月 17 日 09:49
回复
多谢🙏
2020 年 05 月 18 日 20:09
回复
用户头像
同学,你可能讲的过于明白了... -_-#
2020 年 05 月 08 日 18:22
回复
前有被抓后有劝诫,字里行间看,这甚至是一篇劝人走正道的文章。
2020 年 05 月 08 日 19:15
回复
没有更多了
从全国首起暗网案件告破说起——暗网,超乎你想象