初識暗網
"我們所熟知的互聯網,並不是我們所看見的樣子。"
在我們所觸及不到的角落,搜索引擎都無法捕捉的地方,有一個黑暗的平行世界—暗網。
那麼什麼是暗網呢?
暗網本質上是深網(Deep Web)的一個子集,屬於深網的一小部分,需要通過專門的工具、獲得專門的授權、對電腦進行專門的配置等特殊的方式才能訪問,區別於可以被標準搜索引擎索引到的表層網絡。
我們常說暗網是"比想象恐怖100倍的互聯網世界",毒品、軍火交易、綁架、殺人、身份造假等一系列非法交易在這裡肆意猖獗,瘋狂生長。
因為暗網的服務器地址和數據傳輸通常都是"隱身"的,難以通過常規技術手段查找檢索,"暗網"成員的相互聯絡具有極端私密性,一般技術手段很難攔截,即便攔截也難以破譯。因此對暗網世界中的非法交易、非法行為很難實施有效的打擊和阻止。
但是隨著暗網對社會和公眾安全的危害越來越嚴重,對暗網的取證需求也越來越迫切。
今天,我們就跟大家分享一些暗網取證的思路和方法,供大家參考。
一、暗網的技術架構
要介紹暗網取證思路,我們先來了解暗網的技術架構。
暗網大體可分為以下3個層次:
第一層:通過特定的網絡環境就能進入,內容多為黃賭毒和重口味的內容,例如著名的絲綢之路就存在該層;
第二層:只能通過特定的方式或邀請才能進入,如各種邪惡勢力和恐怖組織;
第三層:極少有人探索過,多為隱藏一些見不到光的政府機密文件。
訪問暗網有很多種方式,但主要是通過Tor來進行訪問。Tor是一個匿名性極其強烈的瀏覽器,因為Tor採用了洋蔥路由加密網絡技術。(洋蔥路由加密網絡的主要原理是該傳輸協議使用了大量的代理服務器和嚴格的加密方式,從而導致他人無法追蹤到用戶的具體位置,並且讓用戶在互聯網上有著絕對的匿名性)
那麼,暗網中的網絡連接和普通網站的網絡連接的區別有哪些?下面以Tor為例來簡要闡述。
一般情況下,客戶端匿名訪問普通網站的方式(如圖1)是首先通過本地網絡隨機選擇一個入口節點,入口節點隨機選擇一箇中間節點,中間節點隨機選擇一個出口節點,最後出口節點通過TCP 連接並以明文形式攜帶內容到目的服務器。入口節點知道用戶的IP地址,出口節點知道目的服務器的IP地址以及傳輸內容。但是每一個節點都不知道完整信息流向,從而保證通信的匿名性。
普通網絡訪問流程
在暗網情況下,客戶端匿名訪問暗網服務器的地址需要經過六個Tor節點(如圖2),客戶端和服務器各通過一個 Tor電路連接到一箇中繼Tor節點(稱為"會合點" ),這個會合點既不知道客戶端地址,也不知道服務器地址,從而保證通信雙方的匿名性。
暗網訪問流程
當然暗網中的Tor電路不僅增加了一個會合點,還增加了介紹點和目錄數據庫(如圖3),各個節點的作用如下:
客戶端:匿名訪問暗網服務器的用戶(瀏覽器);
暗網服務器:也叫隱藏的服務器,只能通過Tor網絡被訪問的目的服務器(網站);
目錄數據庫:存放暗網中的網站信息,用於客戶端查詢;
介紹點:用於與客戶端或暗網服務器通信的節點;
會合點:用於最終客戶端和暗網服務器端通信的節點。
暗網網絡結構
暗網中客戶端和服務器的通信在經過會合點和介紹點時都通過Tor電路連接,因此介紹點和會合點都不知道客戶端和服務器的具體位置,保證了通信雙方的匿名性,並且所有經過Tor 網絡的電路都是被TLS強加密的,Tor電路本身也有證書認證機制,防止了中間人攻擊。
二、 暗網的取證思路分析
暗網取證跟同其他網絡取證一樣,需在互聯網取證的方法框架內進行,具體取證步驟如下:
獲取信息(Obtain information)
制定方案(Strategize)
收集證據(Collect)
數據分析(Data Analyze )
出具報告(Report)
獲取信息
首先了解清楚取證任務的背景、需求、目的、網絡設備和環境。主要應包括案件發生的日期、事件、網絡拓撲、組織結構、通信系統、涉案的系統和數據、涉案的人員以及案件發生後的操作和處置流程等。
制定方案
在開展取證工作前,需要花費時間對此次取證工作進行評估,這是非常關鍵的一步。
對於網絡取證來說,存在很多潛在的數據源,其中一些是易失數據,沒有提取評估和制定有效的方案,很容易造成取證數據的遺失。
下面列出一些制定取證調查方案的一些技巧:
確定取證的目的和時間要求;
準備好取證所需的資源,包括:人員、設備和時間;
標識出所有可能的證據源,特別是易失性數據;
評估每項數據源的價值,以及所付出的代價;
標註出獲取證據源的優先級;
列出初步的分析和取證計劃;
確定定期溝通或通報的時間和方式;
預設可能會遇到狀況及對應的響應辦法;
當然在實際的取證過程中,還會遇到其他的問題,就需要對初期分析做出的方案進行調整,以便能獲取到更多的數據。
收集證據
在完成上一步的方案制定之後,按照制定的方案內容,開始逐一收集各個證據源的數據。在每次收集證據時需要完成以下三項內容:
記錄:記錄收集的證據源的時間、來源、收集方式、證據源的軟硬件信息等;
收集:使用工具或設備收集證據;
存儲:將收集的證據進行有效保存,並明確證據的監管保護措施。
數據分析
數據分析的過程一般多為非線性的,但是一些關鍵思路和步驟還是不可缺少的,這些元素包括:
相關性:網絡取證的一大特點就是會涉及到多個證據源,其中許多是帶有時間戳的,可以使用一些方法和工具進行證據數據的關聯;
時間線:在理清眾多證據源時,需要建立一條有效的時間線;
取證需求:從取證的需求或目標入手,首先將最關心的時間隔離開來分析,弄清事件發生的來龍去脈,然後在對其相關的證據源進行分析驗證,最後儘可能挖掘證據,有些證據源可能是之前從未檢查過的來源,直至整個事件被完全分析清楚。
出具報告
把取證過程和結果用非技術人員可以理解的方式呈現出來,同時還需要保持科學的嚴謹性和完整性。突出重點和在較高的層次上進行闡述是關鍵環節,還需要有易於為之辯護的細節作為支撐。
三、 暗網取證的難點
暗網取證難點
從上述闡述中可以知道,暗網取證的過程中存在很多挑戰,具體包括:
獲取:在暗網環境下,想定位指定的證據是極其困難的;
內容:與文件系統不一樣的是,暗網所需獲取的內容多為web站點的內容,沒有固定的格式和規則;
存儲:暗網網絡設備通常不會使用次級存儲介質或能在斷電後持久保存數據的不丟失的存儲介質,只會選擇性的存儲與執行操作相關的元數據,同時網絡傳輸數據是加密的。
四、暗網取證方法
因為暗網取證內容獲取和保存方面的難點,因此通過在線暗網取證就顯得尤為重要。
下面將給大家介紹在暗網環境下的在線取證步驟:配置網絡環境,鏈接暗網網站,爬取網絡數據,數據分析。
配置網絡環境
由於常規的網絡環境無法訪問暗網的服務器,所以需要對我們的常規的網絡環境進行配置,以便鏈接暗網站點。這裡需要使用的到的工具有Tor洋蔥路由器、I2P工具,當然國內的網絡環境還需要使用VPN,特別說明一點,進行暗網訪問時,最好配置一臺虛擬機進行訪問操作。
檢測暗網服務器
為了驗證上一步的網絡環境配置和確認服務器站點的地址正確與否,需要暗網服務器進行鏈接確認,保障後續的數據收集工作能夠順利進行。
爬取網絡數據
在正確鏈接到取證目標站點後,使用工具和方法對站點的數據進行爬取和收集,由於各個站點的數據內容和格式不完全相同,需針對特定的站點制定單獨的數據爬取規則和方法,並且其中涉及到的其他站點的數據也需要依次爬取和收集,並做好對應的操作記錄。
數據分析
對爬取和收集的數據進行數據分析、清洗、篩選,參照取證任務的目標進行數據分析研究,對數據進行歸類分析和處理。涉及到的數據類型包括:圖像文件、壓縮文件、文檔文件、音頻文件、視頻文件、可執行文件、腳本語言文件等。
以上就是暗網取證的思路、難點以及解決方法的分享。
在此,我們也希望大家來跟我們一起分享、交流、討論更多關於暗網取證的更多知識、思路、問題,促進暗網取證的技術研究和進步。
另外,上文中說到的方法也已經在效率源暗網取證工具FAW 暗網取證系統中得到了應用,對暗網取證有需求或者興趣的行業客戶可以來申請產品免費試用哦
閱讀更多 效率源 的文章
