2018上半年暗網研究報告

新聞 01-19

1 基本概念

1.1 Deep web／Dark web／Darknet

講述暗網之前，需要先了解「深網」(Deep web)、「暗網」(Dark web) 和「黑暗網路」(Darknet) 這三個詞。雖然媒體可能經常交替使用它們，但實際上它們代表著截然不同而又相關的互聯網區段。

「深網」(Deep web) 是指伺服器上可通過標準的網路瀏覽器和連接方法訪問的頁面和服務，但主流搜索引擎不會收錄這些頁面和服務。搜索引擎之所以不會收錄深網，通常是因為網站或服務的配置錯誤、拒絕爬蟲爬取信息、需要付費查看、需要註冊查看或其他內容訪問限制。

「暗網」(Dark web) 是深網中相對較小的一部分，與被故意隱藏的 Web 服務和頁面有關。僅使用標準瀏覽器無法直接訪問這些服務和頁面，必須依靠使用覆蓋網路 (Overlay Network)；而這種網路需要特定訪問許可權、代理配置、專用軟體或特殊網路協議。

「黑暗網路」(Darknet) 是在網路層訪問受限的框架，例如 Tor 或 I2P。私有 VPN 和網狀網路 (Mesh Network) 也屬於這個類別。通過這些框架的網路流量會被屏蔽。當進行數據傳輸時，系統只會顯示您連接的黑暗網路以及您傳輸了多少數據，而不一定會顯示您訪問的網站或所涉及數據的內容。與之相反的是，直接與明網（Clean Net）或與未加密的表網服務和深網服務交互。在這種情況下，您與所請求資源之間的互聯網服務提供商 (ISP) 和網路運營商可以看到您傳輸的流量內容。

1.2 暗網 (Dark Web) 的組成

暗網只能通過Tor （The Onion Routing）和I2P（Invisible Internet Project）等網路訪問。

Tor又名洋蔥網路，是用於匿名通信的軟體，該名稱源自原始軟體項目名稱「The Onion Router」的首字母縮寫詞，Tor網路由超過七千個中繼節點組成，每個中繼節點都是由全球志願者免費提供，經過層層中繼節點的中轉，從而達到隱藏用戶真實地址、避免網路監控及流量分析的目的。

I2P網路是由I2P路由器以洋蔥路由方式組成的表層網路，創建於其上的應用程序可以安全匿名的相互通信。它可以同時使用UDP及TCP協議，支持UPnP映射。其應用包括匿名上網、聊天、網站搭建和文件傳輸。

通過知道創宇「暗網雷達」的實時監測數據表明，Tor 網路大約擁有12萬個獨立域名(onion address)，而I2P網路公開地址薄大約只有8千個地址，體量相對 Tor 網路要小得多。

2 暗網的現狀

2.1 Tor全球中繼節點分布

截至2018年7月31日，我們統計了全球中繼節點的分布狀況，全球總計有17635個中繼節點，其中正在運行的有6386個，它們的平均帶寬為5.33MB/s，最大帶寬為99MB/s；相比其他區域而言，北美和歐洲的帶寬更大；大部分中繼節點分布在北美和歐洲，中國香港只有6個。

因此可以得出結論，相比表網而言，暗網的規模要小的很多，Tor 網路節點帶寬不足以支撐超大的網路流量，網路媒體關於暗網與表網的「冰山比喻」有些誇張了。

2.2 Tor 網路數據統計

根據Tor官方項目的統計數據顯示，2018年上半年Tor暗網地址（onion addresses (version 2 only)）數量峰值為121078個。

圖2.2 暗網地址數量

Tor網路來自中國用戶數量平均每天1159人，高峰期為2018年5月9日，達到3951人，絕大多數暗網中文用戶使用 Meet 類型的流量訪問Tor暗網。

圖2.2. 暗網中國用戶數量統計

針對約12萬左右的暗網域名，我們深入進行了研究，得出結論：

·Onion域名每日存活量約1.2萬左右，只佔總數的10%；

·Onion v2 類型的域名有121451個，v3類型的域名只有379個；

·每日平均暗網新增數量為30個；

2.3 Tor暗網的主要類別

通過知道創宇「暗網雷達」的監測，我們將暗網歸為12大類，各類佔比如上圖所示；通過對各類中獨立域名的標題進行整合分析，提取網站標題中關鍵字出現的頻率，生成詞云：

商業類佔18.98%；其中包括交易市場，自營商店，第三方託管平台（網站擔保）；交易品種大多是信用卡、槍支、毒品、護照、電子產品、偽鈔、歐元票據、亞馬遜禮品卡、解密服務、殺手服務、比特幣洗錢服務等；大多數網站使用比特幣進行交易。

個人類佔5.90%；包括個人博客，頁面，書籍等。

社會類佔4.57%；包括論壇，暗網維基等。

其他語言（非英語）佔3.82%；

主機託管類佔3.05%；主要為暗網服務託管商的宣傳站，介紹其機器性能與架構。

成人類佔2.87%；

技術類佔2.74%；分享技術／出售黑客技術／售賣0day／漏洞利用

核心網站佔1.91%；包括暗網搜索引擎，暗網鏈接目錄等

通訊類佔1.79%；包括聊天室，郵件服務，暗網郵箱

政治與宗教類佔1.34%；包括暗網的新聞媒體機構，全球維基解密，政黨醜聞，激進主義言論，傳教等。

賭博類佔0.46%；網路賭場等。

其他類（藝術，音樂，需登陸的，無內容，被查封的，視頻等）佔52.57%；

可以看到」Freedom Hosting II - hacked」這幾個詞在各大類中都佔據很高的比例。原因是匿名者組織（Anonymous）攻擊了當時最大的Tor暗網託管服務提供商Freedom Hosting II，因為它向大量共享兒童色情圖片的網站提供主機託管服務。直接導致約20%的Tor網站關閉。

2.4 Tor暗網Web服務分布

我們統計了排名前20的Web伺服器，絕大多數暗網網站使用Nginx和Apache作為Web伺服器，約1%的暗網使用了Cloudflare作為其 DDoS防護措施。

2.5 Tor暗網開放埠分布

http 80埠佔69.55%；smtp 25埠佔比23.24%；https 443埠佔2.88%；ssh 22埠佔1.68%。

2.6 Tor暗網語種分布

通過機器學習分析網站的標題和內容，我們將暗網進行了語種歸類，Tor暗網語種總數有80種，英語依舊是暗網中最流行的語言，佔比高達82.02%；接著依次是俄語3.77%、丹麥語2.22%、德語1.73%、拉丁語1.26%、西班牙語1.26%、法語1.13%、葡萄牙語1.00%、漢語0.75%、義大利語0.60%。