扭曲知識普及

呈現你所不知道的世界，這個世界你不知道還有很多，不被引導，不製造語言暴力，靠自己的認知和態度去判斷真理！

1 基本概念

1.1 Deep web／Dark web／Darknet

講述暗網之前，需要先了解“深網”(Deep web)、“暗網”(Dark web) 和“黑暗網絡”(Darknet) 這三個詞。雖然媒體可能經常交替使用它們，但實際上它們代表著截然不同而又相關的互聯網區段。

“深網”(Deep web) 是指服務器上可通過標準的網絡瀏覽器和連接方法訪問的頁面和服務，但主流搜索引擎不會收錄這些頁面和服務。搜索引擎之所以不會收錄深網，通常是因為網站或服務的配置錯誤、拒絕爬蟲爬取信息、需要付費查看、需要註冊查看或其他內容訪問限制。

“暗網”(Dark web) 是深網中相對較小的一部分，與被故意隱藏的 Web 服務和頁面有關。僅使用標準瀏覽器無法直接訪問這些服務和頁面，必須依靠使用覆蓋網絡 (Overlay Network)；而這種網絡需要特定訪問權限、代理配置、專用軟件或特殊網絡協議。

“黑暗網絡”(Darknet) 是在網絡層訪問受限的框架，例如 Tor 或 I2P。私有 VPN 和網狀網絡 (Mesh Network) 也屬於這個類別。通過這些框架的網絡流量會被屏蔽。當進行數據傳輸時，系統只會顯示您連接的黑暗網絡以及您傳輸了多少數據，而不一定會顯示您訪問的網站或所涉及數據的內容。與之相反的是，直接與明網（Clean Net）或與未加密的表網服務和深網服務交互。在這種情況下，您與所請求資源之間的互聯網服務提供商 (ISP) 和網絡運營商可以看到您傳輸的流量內容。

1.2 暗網 (Dark Web) 的組成

暗網只能通過Tor （The Onion Routing）和I2P（Invisible Internet Project）等網絡訪問。

Tor又名洋蔥網絡，是用於匿名通信的軟件，該名稱源自原始軟件項目名稱“The Onion Router”的首字母縮寫詞，Tor網絡由超過七千箇中繼節點組成，每個中繼節點都是由全球志願者免費提供，經過層層中繼節點的中轉，從而達到隱藏用戶真實地址、避免網絡監控及流量分析的目的。

I2P網絡是由I2P路由器以洋蔥路由方式組成的表層網絡，創建於其上的應用程序可以安全匿名的相互通信。它可以同時使用UDP及TCP協議，支持UPnP映射。其應用包括匿名上網、聊天、網站搭建和文件傳輸。

通過知道創宇“暗網雷達”的實時監測數據表明，Tor 網絡大約擁有12萬個獨立域名(onion address)，而I2P網絡公開地址薄大約只有8千個地址，體量相對 Tor 網絡要小得多。

2 暗網的現狀

2.1 Tor全球中繼節點分佈

截至2018年7月31日，我們統計了全球中繼節點的分佈狀況，全球總計有17635箇中繼節點，其中正在運行的有6386個，它們的平均帶寬為5.33MB/s，最大帶寬為99MB/s；相比其他區域而言，北美和歐洲的帶寬更大；大部分中繼節點分佈在北美和歐洲，中國香港只有6個。

因此可以得出結論，相比表網而言，暗網的規模要小的很多，Tor 網絡節點帶寬不足以支撐超大的網絡流量，網絡媒體關於暗網與表網的“冰山比喻”有些誇張了。

2.2 Tor 網絡數據統計

根據Tor官方項目的統計數據顯示，2018年上半年Tor暗網地址（onion addresses (version 2 only)）數量峰值為121078個。

Tor網絡來自中國用戶數量平均每天1159人，高峰期為2018年5月9日，達到3951人，絕大多數暗網中文用戶使用 Meet 類型的流量訪問Tor暗網。

針對約12萬左右的暗網域名，我們深入進行了研究，得出結論：

Onion域名每日存活量約1.2萬左右，只佔總數的10%；

Onion v2 類型的域名有121451個，v3類型的域名只有379個；

每日平均暗網新增數量為30個；

2.3 Tor暗網的主要類別

通過“暗網雷達”的監測，我們將暗網歸為12大類，通過對各類中獨立域名的標題進行整合分析，提取網站標題中關鍵字出現的頻率，生成詞雲：

商業類佔18.98%；其中包括交易市場，自營商店，第三方託管平臺（網站擔保）；交易品種大多是信用卡、槍支、毒品、護照、電子產品、偽鈔、歐元票據、亞馬遜禮品卡、解密服務、殺手服務、比特幣洗錢服務等；大多數網站使用比特幣進行交易。

個人類佔5.90%；包括個人博客，頁面，書籍等。

社會類佔4.57%；包括論壇，暗網維基等。

其他語言（非英語）佔3.82%；

主機託管類佔3.05%；主要為暗網服務託管商的宣傳站，介紹其機器性能與架構。

成人類佔2.87%；

技術類佔2.74%；分享技術／出售黑客技術／售賣0day／漏洞利用

核心網站佔1.91%；包括暗網搜索引擎，暗網鏈接目錄等

通訊類佔1.79%；包括聊天室，郵件服務，暗網郵箱

政治與宗教類佔1.34%；包括暗網的新聞媒體機構，全球維基解密，政黨醜聞，激進主義言論，傳教等。

賭博類佔0.46%；網絡賭場等。

其他類（藝術，音樂，需登陸的，無內容，被查封的，視頻等）佔52.57%；

可以看到”Freedom Hosting II - hacked”這幾個詞在各大類中都佔據很高的比例。原因是匿名者組織（Anonymous）攻擊了當時最大的Tor暗網託管服務提供商Freedom Hosting II，因為它向大量共享兒童色情圖片的網站提供主機託管服務。直接導致約20%的Tor網站關閉。

2.4 Tor暗網Web服務分佈

我們統計了排名前20的Web服務器， 絕大多數暗網網站使用Nginx和Apache作為Web服務器，約1%的暗網使用了Cloudflare作為其 DDoS防護措施。

2.5 Tor暗網開放端口分佈

http 80端口占69.55%；smtp 25端口占比23.24%；https 443端口占2.88%；ssh 22端口占1.68%。

2.6 Tor暗網語種分佈

通過機器學習分析網站的標題和內容，我們將暗網進行了語種歸類，Tor暗網語種總數有80種，英語依舊是暗網中最流行的語言，佔比高達82.02%；接著依次是俄語3.77%、丹麥語2.22%、德語1.73%、拉丁語1.26%、西班牙語1.26%、法語1.13%、葡萄牙語1.00%、漢語0.75%、意大利語0.60%。

3 暗網的威脅

由於暗網的匿名特性，暗網中充斥著大量欺詐，非法的交易，沒有限制的信息洩露，甚至是危害國家安全的犯罪等， 這些風險一直在威脅著社會，企業和國家的安全。2018年上半年，中國互聯網就有大量的疑似數據洩露事件的信息在暗網傳播，例如：《某視頻網站內網權限及千萬條用戶數據庫暗網售賣事件》

2018年3月8日，黑客在暗網論壇發佈某視頻網站1500萬一手用戶數據

2018年6月9日，黑客在暗網論壇發佈某視頻網站 SHLL+內網權限並公佈了300條用戶數據

2018年6月13日凌晨，某視頻網站官方發佈公告稱網站遭遇黑客攻擊，近千萬條用戶數據外洩，提醒用戶修改密碼

2018年8月28日，華住脫褲事件

另外還有某省1000萬學籍信息在暗網出售

某快遞公司10億條快遞物流數據暗網出售等一系列的隱私信息洩露的事件在中國互聯網引起廣泛傳播和關注。

暗網也成為各種威脅情報信息的重要來源之一。

從我們監測的數據來看，暗網還在呈現緩慢增長的態勢，隨著暗網用戶的增多，黑市及加密數字貨幣的發展，更多的黑客在利益的的驅動下開展各種活動，把之前通過表網（互聯網）傳播的非法交易更多的轉移至暗網，通過各種技術手段躲避追蹤。對監管和調查造成了一定的困難。