下载掌阅APP,畅读海量书库
立即打开
(1)明网(Clearnet)是指可使用一般浏览器和搜索引擎查找,用域名可以对应到IP地址,并且可以通过运营商追踪到真实地理位置和通信人身份的网络,也就是一般的常用互联网。
(2)深网(Deep Web)是指不可见网、隐藏网,例如科研数据库、一些商业数据等不能被标准搜索引擎索引的非表面网络内容,只能通过特定搜查页面动态产生。
(3)暗网(Dark Web)比深网更进一层,需要特殊的软件、授权和设置,暗网的服务器地址和数据传输通常是匿名的,传输过程全程加密,一般人难以解析内容。
如果将明网比作海面上的冰山一角,那么深网就是隐藏在海底的冰川,网络中有96%的内容都在深网中,暗网则是海底冰川之下更深的海域,其中暗藏着许多网络犯罪行为。
我们来看一个典型的暗网匿名通信系统——Tor,这是基于洋葱路由(因其用类似于剥洋葱的思路对数据进行多层加密转发而得名)的技术搭建的网络,也是我以此为例说明暗网取证困难的原因。洋葱路由Tor项目起源于美国海军研究实验室,是由数学家保罗·赛弗森、计算机科学家迈克尔·里德和大卫·戈尔德施拉格等研究的一个保护美国在线情报通信安全的匿名通信技术,后于1997年交由美国国防高等研究计划署DARPA继续研究。所以从Tor项目的背景来看,保持匿名即其最初的使命。非营利组织Tor项目组成立于2006年,负责维护Tor的技术及升级,该组织也接受了许多相关机构的赞助。Tor主要的接入过程是:从客户端通过一个入口节点(guard relay)和一些中继节点(middle relay)到出口节点(exit relay),在此过程中随机跳转,且对跳转过程的每一层都进行加密,即如果经过三跳,那么这三跳都经过加密。以这样的方式访问暗网的网站,难以追踪到具体的访问者。而且网站本身也有其匿名的机制,Tor的节点(不论入口节点还是中继节点)都以自愿形式加入,呈现的是一个全分布式的架构、强加密式的通信。在这样多层加密、随机跳转的情形下,要溯及犯罪的源头取证极其困难,因此在访问暗网时,需要特殊的软件、配置或者认证。
暗网具有匿名性强、溯源难、动态性高的特点,其最初是为了保护互联网用户的通信隐私,而后演变为承载私密信息传输,因此其中存在大量违反法律、危害国家网络空间安全的敏感信息。在监管和侦听时,互联网服务提供商和网络运营商只能观察到用户连接至暗网网络以及传输的网络流量大小,看不到访问目的网站或者所涉及的数据内容。由于这样的特点,暗网中聚集了大量具备安全对抗背景的高级用户,形成了多个活跃的专业暗网用户社区,在其中进行的各种各样的非法交易,对网络空间和国家安全构成重大威胁。
暗网承载了多种犯罪类型——恐怖分子会使用Tor来隐藏自己的位置;犯罪分子也可能使用Tor作为散布谣言的工具。此外,当前的匿名网络中也存在着大量的非法隐藏服务,包括毒品、假币、护照、枪支交易等非法行为。从腾讯安全云鼎实验室发布的暗网主要市场商品类型分布中可以看到,毒品和药物占比过半,此外还有数据泄露、黑客等类型。总之,暗网中存在多种类型的违法交易。
如果抓捕暗网犯罪嫌疑人,就涉及国际合作,因其技术难度高,需要多国的长期协作。
传统网络空间虽然跨越的是物理世界的实体边界,但是网络空间边界依然存在。我们日常访问的公开的互联网域名都是在特定国家注册,域名和IP地址受互联网名称与数字地址分配机构(ICANN)分配管理,网站运营也由国家监管。然而,不同于传统网络的空间边界,暗网域名体系是一套私有的、自定义的协议,不受ICANN的管理,网站的IP地址是隐匿的。因此暗网空间本身存在域名管辖权、IP地址匿名、网站合法性判定等暗网空间边界模糊问题。
典型暗网通常构建于匿名网络(如Tor、I2P)或Friend-to-Friend网络之上,各个通信实体(节点)之间采用私有、加密协议,利用志愿者运行节点,采用分布式、自组织机制协同完成隐蔽、匿名通信,不存在可以被国家或政府监管的中心节点。所以,暗网空间存在通信实体的高动态性(节点可随机加入或退出)、网络结构异构(节点列表定期更新)、通信关系的弱关联性(随机而非固定选择下一跳节点)等资源要素隐匿问题,这也导致追踪溯源极其困难。
抗审查、匿名通信、分布式信任等暗网技术得到了欧美国家和地区政府、非政府组织(NGO)等组织机构资助,也吸引了大量国内外学者进行广泛深入的研究。因此,暗网空间的技术复杂多变、不断更新,且具有很强的对抗性。
暗网空间因其天然的强匿名、高虚拟性、分布式信任等特点,成为各国网络空间监管的盲区,实际上也充斥着大量涉及国家政治、经济、文化及社会安全的情报信息,犯罪密度极高。所以,暗网空间的侦测、取证相对于公开的互联网,价值密度更高。