刘 通，乔向东，郭 云

（1.94981 部队，南昌 330200；2.北京市海淀区复兴路14 号10 分队，北京 100843；3.江西建设职业技术学院，南昌 330200）

随着利用暗网进行违法犯罪活动日益泛滥，暗网已经成为各个国家安全部门的重要关注领域。近日，美国国会研究服务局（CRS，Congressional Research Service）公布《暗网》报告，分析了暗网的前世今生。因为具有较好的隐匿性，暗网经常被不法分子用来进行非法活动，如何有效打击非法利用网络空间的恶意行为成为了关注的热点，发现并识别隐匿服务以及身份查证识别技术成为网络安全领域研究人员的重点方向。

1 暗网的由来

互联网的深度远远超出了在搜索中可以轻松访问的表面内容，我们日常所使用的互联网仅仅是冰山一角，其他还没有被传统搜索引擎索引的内容统称为深网。深网的最深处被称为“暗网”（Dark Web）。暗网是由美国军方发起的一个科研项目，并于2003年开始实施，就是著名的Tor（洋葱路由器的简称）项目。其研发的主要目的就是为互联网用户提供隐藏自身身份的服务，正是由于这一特性，造成了暗网具有两面性，一方面可以用于正常的保护互联网用户的隐私，另一方面也可以被不法分子用户隐匿犯罪痕迹或者从事其他恶意行为。

图1 互联网示意图

正常的互联网访问行为都是透明的，也就是说，用户通过互联网访问服务器的访问记录都是可以回溯审查的，这也是公安、国安部门侦查互联网犯罪的重要手段。例如，互联网用户A 通过互联网访问网站B，网站B 的服务器部署了流量监控程序，这样就可以通过该程序找到用户A 上网所使用的IP 地址，进而可以确定其上网终端的地址，从而找到用户A 的真实身份以及藏身地点。然而Tor 的出现使这一切都变得复杂，Tor 的工作原理是在用户A 访问网站B 的路由要经过一系列中间节点加密传输，最终将网站B 的内容返回到用户A，这样一来，追踪溯源就变得极为困难。

2 坚不可摧的暗网

暗网因其与生俱来的隐匿特性，现在被不法分子广泛运用于网络犯罪。从个人行为的网络黑客窃密、数字货币交易、私售非法禁售物品到国家意志的间谍行动，都依托暗网的隐匿服务，因此暗网的存在对防范新型网络、经济、危害国家安全等犯罪行为提出了严峻挑战，特别是公安、国安部门在查处犯罪时追踪溯源方面提出了巨大的挑战。暗网因其巨大的危害特性也被列为新型网络威胁之一。

一是学习成本较低。暗网虽然其原理较为复杂，但是对于普通用户来说，可以把暗网当成一个黑盒，不需要明白如何实现，只需在客户端下载一个接入程序，傻瓜式的配置参数，就可以使用暗网。不需要用户具备专业的电脑知识，只要会上网就能掌握接入方式，而且部分软件还研发了基于智能手机的应用程序，使得暗网的受众更广，也正是暗网简单的接入方式，才有现在暗网庞大的用户群体。

二是交易支付安全。暗网之所以被网络犯罪使用，主要是因为基于暗网的数字货币交易是完全隐匿在互联网中的，交易支付的保密性、安全性可以媲美瑞士银行。而且数字货币能够兑换成各个国家的货币，是被世界公认的货币，也正是由于这一特性，使得敌对更加肆无忌惮的用暗网来实现其不可告人的非法勾当。而且其交易往来十分隐蔽，更加让思想立场不坚定的人员“放心”的进行非法交易，泄露国家秘密，危害国家安全。

三是监控管理困难。针对暗网的监控管理比互联网监控困难的多。即便是暗网项目的始作俑者美国要监管暗网的一个网站也是要耗费几年的时间，对我国的网监部门而言更加是难上加难，因为作为执法部门，少数人员还存在着一些错误的看法，比如，“暗网的泛滥只是对美国而言的，美国是自作自受”“我国的网络形势暂时还没有受到暗网的影响”等。这就使得我国针对暗网的监管在思想源头上都还没有重视起来。

3 暗网真的无所遁形吗

目前针对暗网的攻击技术根据是否需要利用暗网网络协议内部的脆弱性，分为基于流量分析的攻击技术和基于协议弱点的攻击技术两种类型。基于流量分析的攻击技术是通过将暗网看作一个整体（黑盒），通过以被动监控的方式监控和分析路由流量信息或者以主动的方式在网络数据流入暗网前加入水印标签进行标记等技术，获取匿名通信双方的身份、IP 地址和通信路径等信息；基于协议弱点的攻击是利用暗网协议本身的脆弱性，进行有针对性的攻击，以实现阻断暗网的有效通信甚至直接攻击致瘫暗网系统的目的。

3.1 基于流量分析的攻击技术

基于流量分析的攻击技术可以分为主动与被动两种，被动攻击方式需要对通信数据流进行长时间的观察并记录大量的有效数据流，分析网络数据特征，但是由于有效数据流的体量往往较为庞大，因此这种攻击技术存在整体效率过低，耗时、耗力大分析效果差的问题，但由于采用的是被动监听的方式，该攻击技术具有较高的隐蔽性。主动攻击方式以水印攻击为典型代表，其主要是通过主动改变网络通信数据流特征的方式进行对比检测，具有较高的攻击效率，但是该攻击行为易被发现。

3.1.1 主动攻击技术

水印攻击技术的核心思想是在客户端和入口节点之间栏截流量，使用某种方式向用户发送的数据中植入标记特征，然后在出口节点处对流量进行检测。如果标记匹配，则可以确定发送者与接收者之间的关联关系，如图2所示。

图2 主动水印攻击示意图

水印攻击的本质是通过调整流的特征来隐藏水印信息，与被动攻击技术相比，牺牲了隐蔽性换取了对数据流实时检测的能力。几类流水印技术横向相比，总的来说，为了提升水印容量与攻击的隐蔽性，需要用水印控制更为复杂的数据流特征，因此引入了额外的时空开销，进而降低了攻击方法的实用性[1]。

3.1.2 被动攻击技术

被动攻击技术是指在不对暗网通信过程进行干扰的情况下，把暗网看作一个整体（黑盒），通过对暗网中的数据流进行分析比对，推断出暗网中的各个节点之间的拓扑关系。被动攻击技术包括揭露分析攻击[2]（Disclosure Attack）、流量图攻击[3]（Traffic Sharp Attack）以及指纹分析攻击[4]（Fingerprinting Attack）。

3.2 基于协议弱点的攻击技术

基于协议弱点的攻击技术，主要利用暗网网络协议本身的脆弱性，对其发起有针对性的攻击，典型的攻击手段有：网桥发现攻击、重放攻击、中间人攻击等。网桥发现攻击的目标是暗网目录服务器和网桥节点，重放攻击的目标是加密机制，中间人攻击的目标是出口节点与Web 服务器的关联。

3.2.1 网桥发现攻击

网桥机制是暗网用于提升自身隐蔽性及安全性的机制，将非公开的转发节点作为用户使用暗网的第一跳节点，以避免用户的访问被阻断。隐藏网桥的地址信息在网络中被分散存储，通过邮件或暗网的加密服务器等形式进行发布，以避免地址信息被收集。但可以基于受控中间节点实施网桥发现攻击[5]，利用受控制的中间节点，收集上一跳节点的信息，通过数据分析从中筛选出隐藏的网桥节点。

3.2.2 重放攻击

重放攻击通过对暗网采用的加密算法进行分析后，控制某个匿名通信节点，通过该节点复制、篡改、接入或删除并重新发送匿名通信中被截取的数据包，从而干扰了暗网通信路径的中间节点和出口节点的正常计数模式，导致暗网中出口节点解密失败和无法识别数据包，达到干扰暗网正常通信的目的[6]。

3.2.3 中间人攻击

利用暗网所使用的协议特征和匿名Web 浏览器的设计缺陷，可以使用中间人攻击技术[7]。当暗网匿名通信连接中受控的恶意出口节点探测到用户发送给某个服务器的Web 请求时，该节点将会返回一个嵌入了指定数量图片标签的特定网页，从而使得用户终端的浏览器通过暗网通信链路主动发出一个获取相应图片链接。因此，暗网通信的入口节点将发现异常的数据流量模式，同时客户端与服务器之间的路由链路关系也将被发现，从而实施有效攻击。

4 攻击技术展望

对于暗网的攻击技术研究与暗网的不断完善是密不可分，共同发展的。二者之间是一个零和博弈的关系，随着研究人员对暗网完整性的不断提升，之前的种种攻击手段将不再奏效，但是暗网的应用领域也在不断的拓展，新的零日漏洞也将会出现并被利用在攻击技术中。随着大数据、云计算等技术的不断发展与应用，可以预测大数据挖掘、云平台计算技术将在暗网攻击中发挥着巨大的支撑作用，届时基于流量分析的交集分析攻击、流量图攻击等被动攻击技术也将成为攻击技术的研究热点方向。