东南大学许昱玮：揭秘暗网

文｜许昱玮

       东南大学网络空间安全学院副教授

“暗网”这个词大家并不陌生，经常出现在一些以互联网犯罪为题材的影视作品中。近年来，重大的个人信息库泄漏、跨国电信诈骗等事件或多或少也与暗网有关，人们将暗网与黑客、黑科技、黑市交易这些关键词语联系起来，形成一个既神秘又恐怖的印象。

那么，隐藏在大众认知表象下的暗网本质是什么？为什么暗网经常与网络犯罪联系在一起？它凭借的核心技术是什么？我们该如何看待暗网并对其进行治理呢？今天，就让我们来打开这个潘多拉魔盒，将上述问题一一道来。

为了弄清楚暗网的本质，首先需要了解两个基本概念：表面网与深网。全世界网络资源的访问方式可被分为表面网与深网两类。表面网，顾名思义，公开于互联网表面。用户能够通过百度等搜索引擎发现其站点并直接访问相关资源。与表面网对应，用户无法通过搜索引擎发现深网站点，也不能在未经授权的情况下访问。

从这个角度看，深网的概念并没有与违法犯罪直接联系在一起。因为出于保密的要求，无论是政府部门，还是企事业单位都会针对自身机密的数据来控制用户的访问。因此，一些调查报告指出，深网的规模占据了整个互联网的80%，而最高的评估结果甚至达到了96%。

既然表面网与深网已经覆盖了全世界所有的网络资源，那么暗网的位置又在哪里呢？事实上，暗网是深网中一个特殊的分支。

除了需要采用特殊的工具来访问之外，暗网还具备通信的匿名性与部署的去中心化这两个关键特征。

通信的匿名性是指在网络访问过程中，暗网的访问用户、服务提供者以及两者间的通信关系都是隐匿的，难以被追踪与关联。

去中心化是指暗网是构建在全球互联网之上的一个分布式系统。构成暗网的节点部署在不同的国家与地区，在提升系统鲁棒性的同时，也大幅提升了管理的难度。

正是由于上述两大特征，暗网也逐渐受到犯罪分子的关注，成为网络犯罪的频发地带。

下图用漂浮在海面上的冰山描述了表面网、深网、暗网三者之间的关系。表面网是冰山出现在海平面之上的部分，深网是位于水下的部分，而暗网则是冰山埋于海底深处的部分。

▲ 图1：表面网、深网与暗网

早在上世纪70年代，美国军方就提出了暗网的概念。此时，暗网只是不接入主干网的网络的统称。

90年代，美国海军实验室开发了一个浏览器系统，能够隐藏用户的IP地址。这使得军方卧底人员在网络上难以被追踪。

2000年，一名爱尔兰的软件开发者发布了名为Freenet的浏览器，允许用户在完全匿名的情况下浏览互联网以躲避追踪。

2002年，美国军方启动了名为Tor的项目，并于2004年发布了Tor的源代码。这使得Tor逐渐成为最流行的暗网实现技术。与此同时，I2P作为Freenet的一个分支项目于2003年被发布。

2007年，第一个面向暗网的搜索站点“隐藏维基百科”建立。随着2009年比特币的诞生，暗网逐渐成为网络非法交易的平台。

2011年，臭名昭著的网络黑市 “丝绸之路”正式在Tor上线。2019年，Evite的大量用户数据在暗网上被四处兜售，泄露了用户的隐私。此外，在全球瞩目的棱镜门事件中，斯诺登也通过Tor披露PRISM项目的相关信息。

近年来，伴随着互联网的普及，暗网的规模也在不断扩大。以最流行的Tor为例，目前其部署的节点数量已经超过1万，而用户数量维持在300万以上（如下图所示）。

▲ 图2：Tor用户数量统计

暗网是一个为保护用户身份信息与敏感数据而建立的隐匿网络。然而，这种隐匿性在帮助用户躲避追踪与监管的同时，也滋生了大量的违法犯罪活动，催生出一批黑色产业。暗网上典型的应用包括：非法论坛、隐私泄露、毒品交易、武器售卖。

1、非法论坛：犯罪分子在暗网上创建非法论坛，肆意传播犯罪经历、手段、工具等信息，并利用论坛进行非法交易。

在2017年震惊全网的章莹颖失踪案中，嫌犯克里斯滕森在实施绑架之前曾多次浏览暗网上一个名为“绑架101”的在线论坛。该论坛以分享绑架、诱拐、监禁题材的色情内容为主，是相关网络犯罪的滋生地。此外，因英国女模特绑架事件而名噪一时的Black Death组织就是在Tor上搭建论坛，进行人口贩卖。

▲ 图3：英国女模特克洛伊·艾琳

2、隐私泄露：虽然暗网的设计初衷是保护用户的隐私，但现在它已经成为用户隐私数据泄露的重灾区。在暗网上，私人照片、财务信息、医疗记录的售卖随处可见。每年暗网上的隐私数据泄露事件多达上万起，数据总量高达数十亿条，交易金额超十亿人民币。

2020年，我国5.38亿微博用户绑定的手机号在Tor上被公开售卖，其中1.72亿条数据有基本的账户信息。在这起规模巨大的隐私泄露事件中，犯罪分子利用暗网作为平台，通过比特币进行交易，以达到隐匿犯罪行为的目的。

▲图4： 工信部就新浪微博App数据泄露问题展开问询约谈

3、毒品交易：暗网的匿名性成为毒品交易最好的掩护。据统计，毒品的交易金额已位于Tor中所有非法交易金额中的首位。暗网上售卖的毒品种类丰富，既有海洛因、大麻等传统毒品，又有冰毒、摇头丸等合成类毒品。除了采用虚拟货币进行结算之外，暗网毒品交易模式与在互联网电商购物并无差别。

当前，世界各国政府已针对毒品交易的线下交付环节进行深入打击，比如快递物流的检查。然而，由于暗网设置的技术壁垒，难以对线上的交易环节进行定位、追踪与取证。

▲ 图5：暗网Silk Road上的毒品交易

4、武器贩卖：在暗网中，武器贩卖是位列毒品交易之后的又一规模巨大的非法交易。近年来，恐怖组织已经将暗网作为购买武器的重要来源，直接威胁着国家安全。

在2015年的巴黎恐怖袭击事件中，恐怖分子所持有的自动步枪被证实来自于暗网交易。在2016年的慕尼黑枪击案中，18岁的罪犯也是从暗网上购买的枪械。在俄乌战争爆发后，俄罗斯媒体甚至披露西方国家援乌的部分武器在暗网上被售卖。

暗网使得武器交易更加隐匿、便捷，破坏了各国政府对枪支的管控，对公共安全与国家安定造成极大的威胁。

▲ 图6：暗网Armory上的售卖的武器

近年来，随着技术的迭代与发展，暗网已形成向全世界普及之势。由于社会、经济、文化的差异，暗网在不同国家、地区的应用情况也不尽相同。

我国虽然严厉打击网络犯罪，但暗网交易仍屡禁不止。用户隐私数据的泄露是重灾区，通过暗网的毒品交易也已出现，而武器售卖却不常见。

欧美国家拥有的暗网节点多，用户数量多，因此成为暗网犯罪的集中地区。其中常见的非法应用包括：黑客论坛、毒品交易以及暗网犯罪服务交易等。俄罗斯的暗网规模约为美国的一半。由于对暗网非法交易设置了强有力的法律约束，俄罗斯的暗网应用多以黑客论坛为主。此外，暗网在亚洲、拉丁美洲等国家也呈现愈演愈烈之势头，相关应用涉及毒品交易、隐私泄露、儿童色情等非法领域。

暗网凭借其难追踪溯源、易躲避审查的特点，受到犯罪分子的青睐。在暗网中，访问用户、服务提供者以及通信双方的关系都是隐匿的，而匿名通信技术是支撑这一切的基础。以最流行的Tor为例，它的匿名通信技术就包括洋葱路由与隐藏服务。

1、洋葱路由：

洋葱路由的核心思想是对传输数据层层加密，在逐跳转发过程中依次解密。遍布世界各地的洋葱路由节点构成了一个Tor网络。

用户通过客户端访问Tor网络以获得信息与资源。对于每一次用户访问，Tor网络都会为其构建一条由三个或更多洋葱路由节点组成的通信链路。当用户发送信息时，会对传输数据进行多层加密。每一层加密的密钥只与链路上的某一个洋葱路由节点协商维护。

当加密后的数据包到达首个洋葱路由节点（即入口节点）时，该节点使用与客户端协商好的密钥进行解密。在解密后，入口节点能够获得下一跳节点的信息，并将解密后的数据包转发出去。由于数据仍被其它层所加密，因此能够保障后续传输过程的安全性。

当数据包到达第二跳节点后，该节点同样利用与客户端协商好的密钥进行解密，并按照新获得的下一跳节点信息将解密的数据包转发出去。

像这样，数据包每经过链路上的一个洋葱路由节点就被解密一次，直到被出口节点转发给最终的接收者。由于像一层层地剥洋葱一样，因此它被称作洋葱路由。

除了保证数据本身的安全之外，洋葱路由还能保证每一次转发的洋葱路由节点只掌握与其相邻的上一跳与下一跳节点的信息。在整条链路上，只有入口节点掌握用户客户端的信息，而只有出口节点掌握接收者的信息。

▲ 图7：洋葱路由原理

如果要获得洋葱路由过程中的所有信息，需要控制链路上的所有节点。然而，Tor针对每一次访问都会随机选择洋葱路由节点构建链路。

从原理上，控制Tor中的大量节点依然可能实现上述通信过程的去匿名化。然而，Tor是分布式部署的网络。数量过万的节点分布于世界各个国家与地区。因此，通过破解洋葱路由对暗网犯罪行为进行追踪十分困难。

2、隐藏服务：

如果说洋葱路由实现了暗网通信的匿名性，那么隐藏服务则为在暗网上搭建各类应用服务提供了基础。类似于表面网上Web服务，隐藏服务部署在暗网中的服务器上，但这台服务器的IP地址是不公开的。

用户只有在专用的Tor浏览器上输入洋葱域名才能访问。洋葱域名不同于互联网域名，不具有可解释性。因此，那些非法黑市交易的站点都采用隐藏服务的方式部署于暗网之中。图8展示了隐藏服务的工作原理。提供隐藏服务的服务器选择一些洋葱路由节点作为引入点，并且公开这些引入点。

引入点作为用户客户端和服务器之间的中介。它与服务器之间都采用洋葱路由构建典型的三跳链路，以确保其无法掌握服务器的IP地址信息。客户端则需要通过洋葱域名才能连接上对应隐藏服务的引入点。

此外，客户端会在Tor中选择一个洋葱路由节点作为汇合点，并把其信息通过引入点告知服务器。

最后，客户端与服务器通过各自构建到汇合点的三跳链路，形成一条包含六个洋葱路由节点的访问链路。上述复杂步骤保障了客户端、服务器以及双方通信关系的匿名性，造成监管困难。

▲ 图8：隐藏服务原理

暗网的匿名性使其成为网络犯罪的高发地。为了治理暗网乱象，人们首先想到的是从技术上对暗网去匿名化。近年来，国内外的学者与网络安全从业人员开展了大量的相关研究，具体可分为五个方向：

1、协议漏洞分析，利用暗网自研协议的设计漏洞，来破坏其匿名性，进而获取用户的真实IP地址及其访问的资源。

2、浏览器漏洞分析，利用暗网专用浏览器的漏洞，来破坏其匿名性，进而获得用户访问的暗网资源信息。

3、调制追踪，通过在发送端调制嵌入水印，在接收端解调对应水印，来确认暗网中的通信关系。这是一种主动的去匿名化方法。

4、渗透追踪，采用网络渗透的方式进入并控制暗网节点，通过观测通信流量的变化挖掘通信关系，进而现实追踪溯源。

5、流量分析，利用大数据技术对暗网流量进行采集、存储、预处理，再利用人工智能技术对流量数据进行分析，进而实现对暗网流量不同粒度的识别。

随着暗网对自研协议与专用浏览器的更新，前两种基于漏洞的方法越来越难以适用。调制追踪与渗透追踪的方法不仅要求网络监管者加入到暗网当中，还需要掌握大量的节点资源。目前这两种方法仅停留在实验室试制阶段，难以应用于现实网络。

基于大数据与人工智能技术的流量分析是目前最具前景的研究方向。然而，暗网规模的扩大、种类的增多、版本的迭代仍然给流量分析研究带来了极大的挑战。

▲ 图9：面向暗网的流量分析技术

虽然研究对抗技术是治理暗网最直接的方式，但不是唯一的手段。正所谓“道高一尺，魔高一丈”，针对暗网的攻防博弈将长期进行下去。寄希望于某一“杀手锏”技术来彻底解决暗网问题是不现实的。

针对日益严重的暗网乱象，世界各国政府也纷纷颁布相关的法律法规。

我国颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》明确要求，任何个人不得自行建立或者使用其他信道进行国际联网。

2016年颁布的《中华人民共和国网络安全法》也明确指出，任何在互联网上从事非法经营活动的行为都构成违法犯罪。

俄罗斯对暗网采取封禁的政策，立法规定日访问量超过3000的网站都必须实名备案。欧美各国采取宽严相济的政策，在限制暗网使用的同时，加强对暗网的监听，深入打击网络交易中的犯罪行为。从法律法规的角度加强对暗网的监管与治理是技术方案的有效补充。

然而，目前的法律法规缺少针对暗网的具体条例，对网络犯罪的归制范围过于狭窄。随着暗网的快速发展，相关立法需要针对实践中出现的新问题不断完善。

当今社会正处于数字化的深刻变革之中，虚拟的网络空间与现实的社会生活正相互影响，不断交融。暗网并不是产生网络犯罪行为的根源，而是这些行为的催化剂与放大器。无论是毒品、军火交易，还是人口贩卖，这些不法行为早已成为世界各国面对的社会治理难题。暗网的出现只是给犯罪分子提供了一个更加隐匿的网络空间，增加了治理的难度。

因此，暗网治理不仅仅是技术问题、法律问题，根本上还是社会治理问题。面对暗网带来的巨大挑战，我们在技术创新、健全法制的同时，还需要直面社会生活中的难题，从多个方面提出综合的治理方案，从而保障社会生活的安定和谐与网络空间的天朗气清。

* 所刊专家文章并不代表本中心观点。

* 部分图片来源于网络，如有侵权，请联系我们删除。

【欢迎转载】

请注明“来源：数字社会发展与研究”。

 数字社会发展研究中心 

专注于数字技术发展及相应经济、社会、人文领域的新现象，新问题的公共性观察和研究。