劉 通，喬向東，郭 云

（1.94981 部隊(duì)，南昌 330200；2.北京市海淀區(qū)復(fù)興路14 號(hào)10 分隊(duì)，北京 100843；3.江西建設(shè)職業(yè)技術(shù)學(xué)院，南昌 330200）

隨著利用暗網(wǎng)進(jìn)行違法犯罪活動(dòng)日益泛濫，暗網(wǎng)已經(jīng)成為各個(gè)國(guó)家安全部門的重要關(guān)注領(lǐng)域。近日，美國(guó)國(guó)會(huì)研究服務(wù)局（CRS，Congressional Research Service）公布《暗網(wǎng)》報(bào)告，分析了暗網(wǎng)的前世今生。因?yàn)榫哂休^好的隱匿性，暗網(wǎng)經(jīng)常被不法分子用來(lái)進(jìn)行非法活動(dòng)，如何有效打擊非法利用網(wǎng)絡(luò)空間的惡意行為成為了關(guān)注的熱點(diǎn)，發(fā)現(xiàn)并識(shí)別隱匿服務(wù)以及身份查證識(shí)別技術(shù)成為網(wǎng)絡(luò)安全領(lǐng)域研究人員的重點(diǎn)方向。

1 暗網(wǎng)的由來(lái)

互聯(lián)網(wǎng)的深度遠(yuǎn)遠(yuǎn)超出了在搜索中可以輕松訪問(wèn)的表面內(nèi)容，我們?nèi)粘Ｋ褂玫幕ヂ?lián)網(wǎng)僅僅是冰山一角，其他還沒(méi)有被傳統(tǒng)搜索引擎索引的內(nèi)容統(tǒng)稱為深網(wǎng)。深網(wǎng)的最深處被稱為“暗網(wǎng)”（Dark Web）。暗網(wǎng)是由美國(guó)軍方發(fā)起的一個(gè)科研項(xiàng)目，并于2003年開(kāi)始實(shí)施，就是著名的Tor（洋蔥路由器的簡(jiǎn)稱）項(xiàng)目。其研發(fā)的主要目的就是為互聯(lián)網(wǎng)用戶提供隱藏自身身份的服務(wù)，正是由于這一特性，造成了暗網(wǎng)具有兩面性，一方面可以用于正常的保護(hù)互聯(lián)網(wǎng)用戶的隱私，另一方面也可以被不法分子用戶隱匿犯罪痕跡或者從事其他惡意行為。

圖1 互聯(lián)網(wǎng)示意圖

正常的互聯(lián)網(wǎng)訪問(wèn)行為都是透明的，也就是說(shuō)，用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)服務(wù)器的訪問(wèn)記錄都是可以回溯審查的，這也是公安、國(guó)安部門偵查互聯(lián)網(wǎng)犯罪的重要手段。例如，互聯(lián)網(wǎng)用戶A 通過(guò)互聯(lián)網(wǎng)訪問(wèn)網(wǎng)站B，網(wǎng)站B 的服務(wù)器部署了流量監(jiān)控程序，這樣就可以通過(guò)該程序找到用戶A 上網(wǎng)所使用的IP 地址，進(jìn)而可以確定其上網(wǎng)終端的地址，從而找到用戶A 的真實(shí)身份以及藏身地點(diǎn)。然而Tor 的出現(xiàn)使這一切都變得復(fù)雜，Tor 的工作原理是在用戶A 訪問(wèn)網(wǎng)站B 的路由要經(jīng)過(guò)一系列中間節(jié)點(diǎn)加密傳輸，最終將網(wǎng)站B 的內(nèi)容返回到用戶A，這樣一來(lái)，追蹤溯源就變得極為困難。

2 堅(jiān)不可摧的暗網(wǎng)

暗網(wǎng)因其與生俱來(lái)的隱匿特性，現(xiàn)在被不法分子廣泛運(yùn)用于網(wǎng)絡(luò)犯罪。從個(gè)人行為的網(wǎng)絡(luò)黑客竊密、數(shù)字貨幣交易、私售非法禁售物品到國(guó)家意志的間諜行動(dòng)，都依托暗網(wǎng)的隱匿服務(wù)，因此暗網(wǎng)的存在對(duì)防范新型網(wǎng)絡(luò)、經(jīng)濟(jì)、危害國(guó)家安全等犯罪行為提出了嚴(yán)峻挑戰(zhàn)，特別是公安、國(guó)安部門在查處犯罪時(shí)追蹤溯源方面提出了巨大的挑戰(zhàn)。暗網(wǎng)因其巨大的危害特性也被列為新型網(wǎng)絡(luò)威脅之一。

一是學(xué)習(xí)成本較低。暗網(wǎng)雖然其原理較為復(fù)雜，但是對(duì)于普通用戶來(lái)說(shuō)，可以把暗網(wǎng)當(dāng)成一個(gè)黑盒，不需要明白如何實(shí)現(xiàn)，只需在客戶端下載一個(gè)接入程序，傻瓜式的配置參數(shù)，就可以使用暗網(wǎng)。不需要用戶具備專業(yè)的電腦知識(shí)，只要會(huì)上網(wǎng)就能掌握接入方式，而且部分軟件還研發(fā)了基于智能手機(jī)的應(yīng)用程序，使得暗網(wǎng)的受眾更廣，也正是暗網(wǎng)簡(jiǎn)單的接入方式，才有現(xiàn)在暗網(wǎng)龐大的用戶群體。

二是交易支付安全。暗網(wǎng)之所以被網(wǎng)絡(luò)犯罪使用，主要是因?yàn)榛诎稻W(wǎng)的數(shù)字貨幣交易是完全隱匿在互聯(lián)網(wǎng)中的，交易支付的保密性、安全性可以媲美瑞士銀行。而且數(shù)字貨幣能夠兌換成各個(gè)國(guó)家的貨幣，是被世界公認(rèn)的貨幣，也正是由于這一特性，使得敵對(duì)更加肆無(wú)忌憚的用暗網(wǎng)來(lái)實(shí)現(xiàn)其不可告人的非法勾當(dāng)。而且其交易往來(lái)十分隱蔽，更加讓思想立場(chǎng)不堅(jiān)定的人員“放心”的進(jìn)行非法交易，泄露國(guó)家秘密，危害國(guó)家安全。

三是監(jiān)控管理困難。針對(duì)暗網(wǎng)的監(jiān)控管理比互聯(lián)網(wǎng)監(jiān)控困難的多。即便是暗網(wǎng)項(xiàng)目的始作俑者美國(guó)要監(jiān)管暗網(wǎng)的一個(gè)網(wǎng)站也是要耗費(fèi)幾年的時(shí)間，對(duì)我國(guó)的網(wǎng)監(jiān)部門而言更加是難上加難，因?yàn)樽鳛閳?zhí)法部門，少數(shù)人員還存在著一些錯(cuò)誤的看法，比如，“暗網(wǎng)的泛濫只是對(duì)美國(guó)而言的，美國(guó)是自作自受”“我國(guó)的網(wǎng)絡(luò)形勢(shì)暫時(shí)還沒(méi)有受到暗網(wǎng)的影響”等。這就使得我國(guó)針對(duì)暗網(wǎng)的監(jiān)管在思想源頭上都還沒(méi)有重視起來(lái)。

3 暗網(wǎng)真的無(wú)所遁形嗎

目前針對(duì)暗網(wǎng)的攻擊技術(shù)根據(jù)是否需要利用暗網(wǎng)網(wǎng)絡(luò)協(xié)議內(nèi)部的脆弱性，分為基于流量分析的攻擊技術(shù)和基于協(xié)議弱點(diǎn)的攻擊技術(shù)兩種類型?；诹髁糠治龅墓艏夹g(shù)是通過(guò)將暗網(wǎng)看作一個(gè)整體（黑盒），通過(guò)以被動(dòng)監(jiān)控的方式監(jiān)控和分析路由流量信息或者以主動(dòng)的方式在網(wǎng)絡(luò)數(shù)據(jù)流入暗網(wǎng)前加入水印標(biāo)簽進(jìn)行標(biāo)記等技術(shù)，獲取匿名通信雙方的身份、IP 地址和通信路徑等信息；基于協(xié)議弱點(diǎn)的攻擊是利用暗網(wǎng)協(xié)議本身的脆弱性，進(jìn)行有針對(duì)性的攻擊，以實(shí)現(xiàn)阻斷暗網(wǎng)的有效通信甚至直接攻擊致癱暗網(wǎng)系統(tǒng)的目的。

3.1 基于流量分析的攻擊技術(shù)

基于流量分析的攻擊技術(shù)可以分為主動(dòng)與被動(dòng)兩種，被動(dòng)攻擊方式需要對(duì)通信數(shù)據(jù)流進(jìn)行長(zhǎng)時(shí)間的觀察并記錄大量的有效數(shù)據(jù)流，分析網(wǎng)絡(luò)數(shù)據(jù)特征，但是由于有效數(shù)據(jù)流的體量往往較為龐大，因此這種攻擊技術(shù)存在整體效率過(guò)低，耗時(shí)、耗力大分析效果差的問(wèn)題，但由于采用的是被動(dòng)監(jiān)聽(tīng)的方式，該攻擊技術(shù)具有較高的隱蔽性。主動(dòng)攻擊方式以水印攻擊為典型代表，其主要是通過(guò)主動(dòng)改變網(wǎng)絡(luò)通信數(shù)據(jù)流特征的方式進(jìn)行對(duì)比檢測(cè)，具有較高的攻擊效率，但是該攻擊行為易被發(fā)現(xiàn)。

3.1.1 主動(dòng)攻擊技術(shù)

水印攻擊技術(shù)的核心思想是在客戶端和入口節(jié)點(diǎn)之間欄截流量，使用某種方式向用戶發(fā)送的數(shù)據(jù)中植入標(biāo)記特征，然后在出口節(jié)點(diǎn)處對(duì)流量進(jìn)行檢測(cè)。如果標(biāo)記匹配，則可以確定發(fā)送者與接收者之間的關(guān)聯(lián)關(guān)系，如圖2所示。

圖2 主動(dòng)水印攻擊示意圖

水印攻擊的本質(zhì)是通過(guò)調(diào)整流的特征來(lái)隱藏水印信息，與被動(dòng)攻擊技術(shù)相比，犧牲了隱蔽性換取了對(duì)數(shù)據(jù)流實(shí)時(shí)檢測(cè)的能力。幾類流水印技術(shù)橫向相比，總的來(lái)說(shuō)，為了提升水印容量與攻擊的隱蔽性，需要用水印控制更為復(fù)雜的數(shù)據(jù)流特征，因此引入了額外的時(shí)空開(kāi)銷，進(jìn)而降低了攻擊方法的實(shí)用性[1]。

3.1.2 被動(dòng)攻擊技術(shù)

被動(dòng)攻擊技術(shù)是指在不對(duì)暗網(wǎng)通信過(guò)程進(jìn)行干擾的情況下，把暗網(wǎng)看作一個(gè)整體（黑盒），通過(guò)對(duì)暗網(wǎng)中的數(shù)據(jù)流進(jìn)行分析比對(duì)，推斷出暗網(wǎng)中的各個(gè)節(jié)點(diǎn)之間的拓?fù)潢P(guān)系。被動(dòng)攻擊技術(shù)包括揭露分析攻擊[2]（Disclosure Attack）、流量圖攻擊[3]（Traffic Sharp Attack）以及指紋分析攻擊[4]（Fingerprinting Attack）。

3.2 基于協(xié)議弱點(diǎn)的攻擊技術(shù)

基于協(xié)議弱點(diǎn)的攻擊技術(shù)，主要利用暗網(wǎng)網(wǎng)絡(luò)協(xié)議本身的脆弱性，對(duì)其發(fā)起有針對(duì)性的攻擊，典型的攻擊手段有：網(wǎng)橋發(fā)現(xiàn)攻擊、重放攻擊、中間人攻擊等。網(wǎng)橋發(fā)現(xiàn)攻擊的目標(biāo)是暗網(wǎng)目錄服務(wù)器和網(wǎng)橋節(jié)點(diǎn)，重放攻擊的目標(biāo)是加密機(jī)制，中間人攻擊的目標(biāo)是出口節(jié)點(diǎn)與Web 服務(wù)器的關(guān)聯(lián)。

3.2.1 網(wǎng)橋發(fā)現(xiàn)攻擊

網(wǎng)橋機(jī)制是暗網(wǎng)用于提升自身隱蔽性及安全性的機(jī)制，將非公開(kāi)的轉(zhuǎn)發(fā)節(jié)點(diǎn)作為用戶使用暗網(wǎng)的第一跳節(jié)點(diǎn)，以避免用戶的訪問(wèn)被阻斷。隱藏網(wǎng)橋的地址信息在網(wǎng)絡(luò)中被分散存儲(chǔ)，通過(guò)郵件或暗網(wǎng)的加密服務(wù)器等形式進(jìn)行發(fā)布，以避免地址信息被收集。但可以基于受控中間節(jié)點(diǎn)實(shí)施網(wǎng)橋發(fā)現(xiàn)攻擊[5]，利用受控制的中間節(jié)點(diǎn)，收集上一跳節(jié)點(diǎn)的信息，通過(guò)數(shù)據(jù)分析從中篩選出隱藏的網(wǎng)橋節(jié)點(diǎn)。

3.2.2 重放攻擊

重放攻擊通過(guò)對(duì)暗網(wǎng)采用的加密算法進(jìn)行分析后，控制某個(gè)匿名通信節(jié)點(diǎn)，通過(guò)該節(jié)點(diǎn)復(fù)制、篡改、接入或刪除并重新發(fā)送匿名通信中被截取的數(shù)據(jù)包，從而干擾了暗網(wǎng)通信路徑的中間節(jié)點(diǎn)和出口節(jié)點(diǎn)的正常計(jì)數(shù)模式，導(dǎo)致暗網(wǎng)中出口節(jié)點(diǎn)解密失敗和無(wú)法識(shí)別數(shù)據(jù)包，達(dá)到干擾暗網(wǎng)正常通信的目的[6]。

3.2.3 中間人攻擊

利用暗網(wǎng)所使用的協(xié)議特征和匿名Web 瀏覽器的設(shè)計(jì)缺陷，可以使用中間人攻擊技術(shù)[7]。當(dāng)暗網(wǎng)匿名通信連接中受控的惡意出口節(jié)點(diǎn)探測(cè)到用戶發(fā)送給某個(gè)服務(wù)器的Web 請(qǐng)求時(shí)，該節(jié)點(diǎn)將會(huì)返回一個(gè)嵌入了指定數(shù)量圖片標(biāo)簽的特定網(wǎng)頁(yè)，從而使得用戶終端的瀏覽器通過(guò)暗網(wǎng)通信鏈路主動(dòng)發(fā)出一個(gè)獲取相應(yīng)圖片鏈接。因此，暗網(wǎng)通信的入口節(jié)點(diǎn)將發(fā)現(xiàn)異常的數(shù)據(jù)流量模式，同時(shí)客戶端與服務(wù)器之間的路由鏈路關(guān)系也將被發(fā)現(xiàn)，從而實(shí)施有效攻擊。

4 攻擊技術(shù)展望

對(duì)于暗網(wǎng)的攻擊技術(shù)研究與暗網(wǎng)的不斷完善是密不可分，共同發(fā)展的。二者之間是一個(gè)零和博弈的關(guān)系，隨著研究人員對(duì)暗網(wǎng)完整性的不斷提升，之前的種種攻擊手段將不再奏效，但是暗網(wǎng)的應(yīng)用領(lǐng)域也在不斷的拓展，新的零日漏洞也將會(huì)出現(xiàn)并被利用在攻擊技術(shù)中。隨著大數(shù)據(jù)、云計(jì)算等技術(shù)的不斷發(fā)展與應(yīng)用，可以預(yù)測(cè)大數(shù)據(jù)挖掘、云平臺(tái)計(jì)算技術(shù)將在暗網(wǎng)攻擊中發(fā)揮著巨大的支撐作用，屆時(shí)基于流量分析的交集分析攻擊、流量圖攻擊等被動(dòng)攻擊技術(shù)也將成為攻擊技術(shù)的研究熱點(diǎn)方向。