2018年3月8日,某视频网站800余万用户数据在暗网销售
2018年8月1日,某省1000万学籍数据出现在暗网
2018年8月28日,某酒店集团5亿数据疑似在暗网出售
……
本年度最严重的几次数据泄漏,都指向了同一个词——「暗网」。在中文的语境里,这是一个犹如「月黑风高夜」般的词汇,透着诡秘和犯罪的气息。而与「暗网」关系最密切的另一个词,则非「黑客」莫属。「黑」与「暗」的组合,意味着高超的匿名和隐身技巧,令人忍不住想揭开它精巧的面纱。
暗网是什么
要解释暗网,先给整个互联网做一个简单的分层定义,如图:
表网(Surface Web)
通常认为,普通用户或者搜索引擎能直接访问的内容属于表网。表现形式为网页或者 APP 提供的内容。
深网(Deep Web)
指不能被标准搜索引擎检索到的网络数据。通常是存储在各公司或组织的数据库中,需要用专有的接口查询或干脆不对外查询,例如 Google 的后端数据库。深网数据量远大于表层网络,犹如海面和大海的关系。
暗网(Dark Web)
需要通过特殊的加密通道访问的网页或数据。暗网通常具有匿名的特性,既保证访问者的匿名,同时也保证服务提供者的匿名。因此,其中充斥着各种犯罪信息和违法交易(枪支、毒品、色情、暴恐、黑客等)。
暗网有多个不同的实现版本,下文我们说暗网特指「Tor 网络」。
网络上有些说法说暗网远大于表层网络,其实很不严谨,是把深网和暗网混为一谈了,真实的暗网只有一小部分人使用,远小于大众使用的表层网络。
暗网上的数据泄露
一个能保证访问者和服务提供者都匿名的网络,天生就是法外之地。
因此,各路违法信息交流充斥暗网,尤其是2011年后,由于比特币技术的兴起,暗网终于从「匿名的信息交流」进化到了「匿名的价值交换」阶段,这个颠覆性变革,随着「Silk Road」的建立(丝绸之路:可以理解为基于比特币的暗网淘宝),掀起了违法交易的高潮。当然,大概同时也掀起了 FBI 相关部门的加班高潮。
很巧的是,同样是2011年底,国内发生了一轮标志性的大规模的用户数据泄漏事件,之后各种数据泄漏就成为了每年的常态。早期此类数据交易往往是黑客私下交易,而近年来逐渐被搬到暗网进行交易。为此,腾讯安全云鼎实验室对暗网的主要交易平台进行了监测,并抽取了近几个月针对国内用户的数据泄漏的情况进行了统计。
可以看到,近期泄漏数据,主要以网购/物流/身份证/酒店/社交帐号数据为主。
暗网匿名原理
暗网最重要的作用是保证匿名,其匿名性体现在两个方面:
1、访问普通网站时,网站无法得知访问者 IP 地址。
2、提供暗网服务时,用户无法得知服务器 IP 地址。
两个能力加起来则保障了暗网用户访问暗网网站时,双方都无法得知对方 IP 地址,且中间节点也无法同时得知双方 IP 地址。
听起来挺科幻的,毕竟我们平时使用的 VPN 等科学上网技术只使用了一层跳板,而 Tor 技术使用了三层跳板。
关于 VPN 的原理,可以参考下图:
下面对暗网匿名原理进行详细解析:
➢ 访问普通网站
先来看一个真实访问普通网站的跳转情况:
从上图可以看到,我们使用浏览器访问 google.com,但中间经过了3点 IP 地址,分别在匈牙利、西班牙、德国,然后再访问到谷歌的服务器。
Tor 用户针对普通网站访问流程,如下图所示。Tor 网络中的每个节点都是随机选取,且每个节点看到的信息不超过一跳,所以通过网络流量监控嗅探到的 Tor 流量不能同时获取通信两端的 IP 信息;且每一个节点处都是加密形式。这里随机选取的三个节点的功能顺序是:入口节点、中间节点、出口节点;数据流方向为:客户端、入口节点、中间节点、出口节点、WEB 服务器。
Tor 网络有其特有的加密方式–三层密钥加密。三层密钥的建立是在网络请求的初始,当和下一个节点连接时创建一对非对称密钥,三个随机节点共创建了三对密钥并将公钥回传到客户端。数据经客户端三层密钥加密后,进行 Tor 网络的传输,每经过一个节点,便解开一层加密,顺序依次为:入口节点解开第一层加密,中间节点解开第二层加密,出口节点解开第三层加密。通过层层加密让流量监控无法嗅探明文数据。
下面的下次在分析,是时候去健身啦!
评论 在此处输入想要评论的文本。