劉 通，喬向東，郭 云

（1.94981 部隊，南昌 330200；2.北京市海淀區(qū)復(fù)興路14 號10 分隊，北京 100843；3.江西建設(shè)職業(yè)技術(shù)學(xué)院，南昌 330200）

隨著利用暗網(wǎng)進行違法犯罪活動日益泛濫，暗網(wǎng)已經(jīng)成為各個國家安全部門的重要關(guān)注領(lǐng)域。近日，美國國會研究服務(wù)局（CRS，Congressional Research Service）公布《暗網(wǎng)》報告，分析了暗網(wǎng)的前世今生。因為具有較好的隱匿性，暗網(wǎng)經(jīng)常被不法分子用來進行非法活動，如何有效打擊非法利用網(wǎng)絡(luò)空間的惡意行為成為了關(guān)注的熱點，發(fā)現(xiàn)并識別隱匿服務(wù)以及身份查證識別技術(shù)成為網(wǎng)絡(luò)安全領(lǐng)域研究人員的重點方向。

1 暗網(wǎng)的由來

互聯(lián)網(wǎng)的深度遠遠超出了在搜索中可以輕松訪問的表面內(nèi)容，我們?nèi)粘Ｋ褂玫幕ヂ?lián)網(wǎng)僅僅是冰山一角，其他還沒有被傳統(tǒng)搜索引擎索引的內(nèi)容統(tǒng)稱為深網(wǎng)。深網(wǎng)的最深處被稱為“暗網(wǎng)”（Dark Web）。暗網(wǎng)是由美國軍方發(fā)起的一個科研項目，并于2003年開始實施，就是著名的Tor（洋蔥路由器的簡稱）項目。其研發(fā)的主要目的就是為互聯(lián)網(wǎng)用戶提供隱藏自身身份的服務(wù)，正是由于這一特性，造成了暗網(wǎng)具有兩面性，一方面可以用于正常的保護互聯(lián)網(wǎng)用戶的隱私，另一方面也可以被不法分子用戶隱匿犯罪痕跡或者從事其他惡意行為。

圖1 互聯(lián)網(wǎng)示意圖

正常的互聯(lián)網(wǎng)訪問行為都是透明的，也就是說，用戶通過互聯(lián)網(wǎng)訪問服務(wù)器的訪問記錄都是可以回溯審查的，這也是公安、國安部門偵查互聯(lián)網(wǎng)犯罪的重要手段。例如，互聯(lián)網(wǎng)用戶A 通過互聯(lián)網(wǎng)訪問網(wǎng)站B，網(wǎng)站B 的服務(wù)器部署了流量監(jiān)控程序，這樣就可以通過該程序找到用戶A 上網(wǎng)所使用的IP 地址，進而可以確定其上網(wǎng)終端的地址，從而找到用戶A 的真實身份以及藏身地點。然而Tor 的出現(xiàn)使這一切都變得復(fù)雜，Tor 的工作原理是在用戶A 訪問網(wǎng)站B 的路由要經(jīng)過一系列中間節(jié)點加密傳輸，最終將網(wǎng)站B 的內(nèi)容返回到用戶A，這樣一來，追蹤溯源就變得極為困難。

2 堅不可摧的暗網(wǎng)

暗網(wǎng)因其與生俱來的隱匿特性，現(xiàn)在被不法分子廣泛運用于網(wǎng)絡(luò)犯罪。從個人行為的網(wǎng)絡(luò)黑客竊密、數(shù)字貨幣交易、私售非法禁售物品到國家意志的間諜行動，都依托暗網(wǎng)的隱匿服務(wù)，因此暗網(wǎng)的存在對防范新型網(wǎng)絡(luò)、經(jīng)濟、危害國家安全等犯罪行為提出了嚴峻挑戰(zhàn)，特別是公安、國安部門在查處犯罪時追蹤溯源方面提出了巨大的挑戰(zhàn)。暗網(wǎng)因其巨大的危害特性也被列為新型網(wǎng)絡(luò)威脅之一。

一是學(xué)習(xí)成本較低。暗網(wǎng)雖然其原理較為復(fù)雜，但是對于普通用戶來說，可以把暗網(wǎng)當成一個黑盒，不需要明白如何實現(xiàn)，只需在客戶端下載一個接入程序，傻瓜式的配置參數(shù)，就可以使用暗網(wǎng)。不需要用戶具備專業(yè)的電腦知識，只要會上網(wǎng)就能掌握接入方式，而且部分軟件還研發(fā)了基于智能手機的應(yīng)用程序，使得暗網(wǎng)的受眾更廣，也正是暗網(wǎng)簡單的接入方式，才有現(xiàn)在暗網(wǎng)龐大的用戶群體。

二是交易支付安全。暗網(wǎng)之所以被網(wǎng)絡(luò)犯罪使用，主要是因為基于暗網(wǎng)的數(shù)字貨幣交易是完全隱匿在互聯(lián)網(wǎng)中的，交易支付的保密性、安全性可以媲美瑞士銀行。而且數(shù)字貨幣能夠兌換成各個國家的貨幣，是被世界公認的貨幣，也正是由于這一特性，使得敵對更加肆無忌憚的用暗網(wǎng)來實現(xiàn)其不可告人的非法勾當。而且其交易往來十分隱蔽，更加讓思想立場不堅定的人員“放心”的進行非法交易，泄露國家秘密，危害國家安全。

三是監(jiān)控管理困難。針對暗網(wǎng)的監(jiān)控管理比互聯(lián)網(wǎng)監(jiān)控困難的多。即便是暗網(wǎng)項目的始作俑者美國要監(jiān)管暗網(wǎng)的一個網(wǎng)站也是要耗費幾年的時間，對我國的網(wǎng)監(jiān)部門而言更加是難上加難，因為作為執(zhí)法部門，少數(shù)人員還存在著一些錯誤的看法，比如，“暗網(wǎng)的泛濫只是對美國而言的，美國是自作自受”“我國的網(wǎng)絡(luò)形勢暫時還沒有受到暗網(wǎng)的影響”等。這就使得我國針對暗網(wǎng)的監(jiān)管在思想源頭上都還沒有重視起來。

3 暗網(wǎng)真的無所遁形嗎

目前針對暗網(wǎng)的攻擊技術(shù)根據(jù)是否需要利用暗網(wǎng)網(wǎng)絡(luò)協(xié)議內(nèi)部的脆弱性，分為基于流量分析的攻擊技術(shù)和基于協(xié)議弱點的攻擊技術(shù)兩種類型?；诹髁糠治龅墓艏夹g(shù)是通過將暗網(wǎng)看作一個整體（黑盒），通過以被動監(jiān)控的方式監(jiān)控和分析路由流量信息或者以主動的方式在網(wǎng)絡(luò)數(shù)據(jù)流入暗網(wǎng)前加入水印標簽進行標記等技術(shù)，獲取匿名通信雙方的身份、IP 地址和通信路徑等信息；基于協(xié)議弱點的攻擊是利用暗網(wǎng)協(xié)議本身的脆弱性，進行有針對性的攻擊，以實現(xiàn)阻斷暗網(wǎng)的有效通信甚至直接攻擊致癱暗網(wǎng)系統(tǒng)的目的。

3.1 基于流量分析的攻擊技術(shù)

基于流量分析的攻擊技術(shù)可以分為主動與被動兩種，被動攻擊方式需要對通信數(shù)據(jù)流進行長時間的觀察并記錄大量的有效數(shù)據(jù)流，分析網(wǎng)絡(luò)數(shù)據(jù)特征，但是由于有效數(shù)據(jù)流的體量往往較為龐大，因此這種攻擊技術(shù)存在整體效率過低，耗時、耗力大分析效果差的問題，但由于采用的是被動監(jiān)聽的方式，該攻擊技術(shù)具有較高的隱蔽性。主動攻擊方式以水印攻擊為典型代表，其主要是通過主動改變網(wǎng)絡(luò)通信數(shù)據(jù)流特征的方式進行對比檢測，具有較高的攻擊效率，但是該攻擊行為易被發(fā)現(xiàn)。

3.1.1 主動攻擊技術(shù)

水印攻擊技術(shù)的核心思想是在客戶端和入口節(jié)點之間欄截流量，使用某種方式向用戶發(fā)送的數(shù)據(jù)中植入標記特征，然后在出口節(jié)點處對流量進行檢測。如果標記匹配，則可以確定發(fā)送者與接收者之間的關(guān)聯(lián)關(guān)系，如圖2所示。

圖2 主動水印攻擊示意圖

水印攻擊的本質(zhì)是通過調(diào)整流的特征來隱藏水印信息，與被動攻擊技術(shù)相比，犧牲了隱蔽性換取了對數(shù)據(jù)流實時檢測的能力。幾類流水印技術(shù)橫向相比，總的來說，為了提升水印容量與攻擊的隱蔽性，需要用水印控制更為復(fù)雜的數(shù)據(jù)流特征，因此引入了額外的時空開銷，進而降低了攻擊方法的實用性[1]。

3.1.2 被動攻擊技術(shù)

被動攻擊技術(shù)是指在不對暗網(wǎng)通信過程進行干擾的情況下，把暗網(wǎng)看作一個整體（黑盒），通過對暗網(wǎng)中的數(shù)據(jù)流進行分析比對，推斷出暗網(wǎng)中的各個節(jié)點之間的拓撲關(guān)系。被動攻擊技術(shù)包括揭露分析攻擊[2]（Disclosure Attack）、流量圖攻擊[3]（Traffic Sharp Attack）以及指紋分析攻擊[4]（Fingerprinting Attack）。

3.2 基于協(xié)議弱點的攻擊技術(shù)

基于協(xié)議弱點的攻擊技術(shù)，主要利用暗網(wǎng)網(wǎng)絡(luò)協(xié)議本身的脆弱性，對其發(fā)起有針對性的攻擊，典型的攻擊手段有：網(wǎng)橋發(fā)現(xiàn)攻擊、重放攻擊、中間人攻擊等。網(wǎng)橋發(fā)現(xiàn)攻擊的目標是暗網(wǎng)目錄服務(wù)器和網(wǎng)橋節(jié)點，重放攻擊的目標是加密機制，中間人攻擊的目標是出口節(jié)點與Web 服務(wù)器的關(guān)聯(lián)。

3.2.1 網(wǎng)橋發(fā)現(xiàn)攻擊

網(wǎng)橋機制是暗網(wǎng)用于提升自身隱蔽性及安全性的機制，將非公開的轉(zhuǎn)發(fā)節(jié)點作為用戶使用暗網(wǎng)的第一跳節(jié)點，以避免用戶的訪問被阻斷。隱藏網(wǎng)橋的地址信息在網(wǎng)絡(luò)中被分散存儲，通過郵件或暗網(wǎng)的加密服務(wù)器等形式進行發(fā)布，以避免地址信息被收集。但可以基于受控中間節(jié)點實施網(wǎng)橋發(fā)現(xiàn)攻擊[5]，利用受控制的中間節(jié)點，收集上一跳節(jié)點的信息，通過數(shù)據(jù)分析從中篩選出隱藏的網(wǎng)橋節(jié)點。

3.2.2 重放攻擊

重放攻擊通過對暗網(wǎng)采用的加密算法進行分析后，控制某個匿名通信節(jié)點，通過該節(jié)點復(fù)制、篡改、接入或刪除并重新發(fā)送匿名通信中被截取的數(shù)據(jù)包，從而干擾了暗網(wǎng)通信路徑的中間節(jié)點和出口節(jié)點的正常計數(shù)模式，導(dǎo)致暗網(wǎng)中出口節(jié)點解密失敗和無法識別數(shù)據(jù)包，達到干擾暗網(wǎng)正常通信的目的[6]。

3.2.3 中間人攻擊

利用暗網(wǎng)所使用的協(xié)議特征和匿名Web 瀏覽器的設(shè)計缺陷，可以使用中間人攻擊技術(shù)[7]。當暗網(wǎng)匿名通信連接中受控的惡意出口節(jié)點探測到用戶發(fā)送給某個服務(wù)器的Web 請求時，該節(jié)點將會返回一個嵌入了指定數(shù)量圖片標簽的特定網(wǎng)頁，從而使得用戶終端的瀏覽器通過暗網(wǎng)通信鏈路主動發(fā)出一個獲取相應(yīng)圖片鏈接。因此，暗網(wǎng)通信的入口節(jié)點將發(fā)現(xiàn)異常的數(shù)據(jù)流量模式，同時客戶端與服務(wù)器之間的路由鏈路關(guān)系也將被發(fā)現(xiàn)，從而實施有效攻擊。

4 攻擊技術(shù)展望

對于暗網(wǎng)的攻擊技術(shù)研究與暗網(wǎng)的不斷完善是密不可分，共同發(fā)展的。二者之間是一個零和博弈的關(guān)系，隨著研究人員對暗網(wǎng)完整性的不斷提升，之前的種種攻擊手段將不再奏效，但是暗網(wǎng)的應(yīng)用領(lǐng)域也在不斷的拓展，新的零日漏洞也將會出現(xiàn)并被利用在攻擊技術(shù)中。隨著大數(shù)據(jù)、云計算等技術(shù)的不斷發(fā)展與應(yīng)用，可以預(yù)測大數(shù)據(jù)挖掘、云平臺計算技術(shù)將在暗網(wǎng)攻擊中發(fā)揮著巨大的支撐作用，屆時基于流量分析的交集分析攻擊、流量圖攻擊等被動攻擊技術(shù)也將成為攻擊技術(shù)的研究熱點方向。