Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

黑暗网络:隐藏服务之地

2017 年 06 月 27 日
作者: Dave Piscitello

Dave Piscitello

除了 ICANN 官方语言版本以外,本内容还提供以下语言版本

null

Internet Live Stats 数据显示,2014 年万维网超过十亿网站基准,且目前仍徘徊于该数据附近。这十亿个网站的众多发布者竞相争夺搜索引擎相关性,并吸引近 36 亿互联网用户的关注。 然而,万维网还包括另一个组成部分,发布者和访客试图在此秘密浏览网站和开展商业交易。这个部分就是黑暗网络,它是隐藏服务之地,在搜索引擎排名和网络体验个性化方面十分重视不留痕迹和保持匿名。

黑暗网络

黑暗网络是互联网生态系统中的重要一环。它可以在网站发布和信息传播时不会泄露发布人的身份或位置。黑暗网络只能通过如 Tor 这样的服务来访问。许多使用 Tor 和类似服务的用户都是为了寻求言论自由、结社自由、信息获取自由和保护隐私权利。

深网

深网是所有无法通过搜索引擎索引的网站的集合。某些深网网站提供非传统市场,交易各种令人不安的产品或服务。你可以购买或销售非法药物、武器、假冒商品、被盗信用卡或违规获取的数据、数字货币、恶意软件、国家身份证或护照。你可以交易数字或犯罪服务,包括垃圾邮件活动或分布式拒绝服务 (DDoS) 攻击。新手可以购买电子书,学习如何攻击网站、窃取身份或通过其他方式从非法活动中获利。

但您可以使用深网在媒体上匿名分享信息,例如:《纽约时报 (New York Times)》《华盛顿邮报 (Washington Post)》《拦截 (The Intercept)》等等;或者,您可以在维护隐私的情况下使用搜索引擎,或参与合法的电子商务网站,例如:OpenBazaar

不留痕迹:黑暗网络的加密和逃避技术

许多互联网用户都使用加密技术保护互联网活动的隐私性,例如虚拟专用网络 (VPN)。VPN 连接在以下情况下通常遵守互联网路由的常规行为:(1) 确定从用户计算机到托管用户想访问内容的服务器的端对端路径,及 (2) 该路径上请求和响应流量的双向传输。然而,传统路由易受流量分析影响,流量分析是一种监控技术,能够显示流量来源、目的地,以及传输到第三方的次数。流量分析与元数据收集有关,我们已在之前的一篇博文中介绍过该主题。

Tor 网络是保持匿名和隐私性并阻止流量分析最常用的解决方案。哪些人可以使用 Tor?新闻记者、告密者、异议分子或者任何不希望第三方追踪其行为或利益的普通互联网用户。Tor 可用于许多有益的用途,但也可以吸引想要保持其活动或市场隐秘不被追踪的黑暗网络用户。

与 VPN 一样,Tor 网络采用虚拟通道,但与 VPN 的不同之处在于,这些通道不会直接连接客户端与服务器。相反,Tor 客户端通过 Tor 网络中的中继站创建电路。Tor 电路具有三大重要特性。

  • 所有中继站都无法识别电路端点之间的完整路径。
  • 中继站之间的每一个连接都进行独一无二的加密处理。
  • 所有连接均为短暂连接,以防止一段时间后行为被发现。

由于具有以上特性,Tor 专用网络路径可以阻止流量分析,并支持在不显示身份或位置的情况下发布内容。

黑暗网站的名称

与我们在浏览网站时习惯使用的可读域名不同,黑暗网站使用 Tor 隐藏服务的名称。它们通常为 16 个字符的数值,预先添加到 .onion 顶级域中。任何运行 Tor 软件的计算机都能够托管隐藏服务(例如,隐藏网络服务)。黑暗网络用户通常查找带外名称,例如,从粘贴箱或黑暗网络市场列表中查找。

在 Tor 主机上运行的 Tor 软件将创建一个本地文件目录,为服务分配一个端口号码,并在配置隐藏服务时生成一个公私密钥对。Tor 软件首先通过计算该密钥对的一个公开密钥散列,然后将该散列的前 80 位数从二进制值转换为 ASCII,创建一个 16 个字符的主机名,使生成的 16 个字符符合域名系统 (DNS) 协议的"字母、数字、连字符"要求。

黑暗网络访客并不使用公共 DNS 将 .onion 名称解析为互联网协议 (IP) 地址,相反,他们使用完全不同的 Tor 隐藏服务协议进行解析。该协议有助于服务被发现,有助于客户端发现服务,同时还能保持客户端和服务的匿名性和位置(IP 地址)。客户端和隐藏服务主机在此过程中都发挥了积极的作用。

首先,Tor 主机通过创建并向分布式目录服务发布服务描述符来"宣传"隐藏服务。该描述符含有隐藏服务公开密钥和一个将作为引点的 Tor 节点列表,引点是隐藏服务受信任的中间平台。之后,Tor 主机会创建与其所列引点的连接。此时,任何想要与隐藏服务连接的 Tor 客户端都可以通过这些引点做到这点。

为了与隐藏服务连接,Tor 客户端需要在目录服务中查询服务描述符。它会从服务描述符的列表中随机选取一个引点。随后,Tor 客户端会在 Tor 网络中随机选取一个汇聚点,通过该汇聚点匿名连接到所选的引点,并经由引点向隐藏服务传输信息。此信息包含采用隐藏服务公开密钥加密的汇聚点身份,以及开启加密"握手"所需的资料。隐藏服务还创建了一个返回该选定汇聚点的连接,并发送了一条信息完成加密握手。此时,客户端和隐藏服务已建立了阻止监控的专用网络路径,可匿名且秘密地交换数据。

为什么所有的黑暗网络都在 .onion 顶级域中?

.onion顶级域专为隐藏服务名称预留。与普遍误解相反的是,ICANN 并未从 DNS 的公开根中授权 .onion。互联网工程任务组 (IETF) 将 .onion 指定为特殊用途顶级域(参见 RFC 7686),用于执行具有高度保密特征的匿名服务,被视为"期望的新功能"(参见 RFC 6761)。

是否可以访问黑暗网络?是否应该访问?

您可能希望使用 Tor 来利用某些黑暗网络提供的服务。

即使您可能从黑暗网络的深度保密服务中获益,但这并不能成为您参与违法活动的借口。

在下一篇博文中,我将介绍如何为浏览黑暗网络做准备。我们将考虑你可能面临的风险,并讨论必须采取的自我保护措施。

Authors

Dave Piscitello

Dave Piscitello

您还可能喜欢