下载掌阅APP,畅读海量书库
立即打开
网络取证的目标是把网络空间与物理世界进行关联并将关联性确定下来,与此类似,暗网取证的主要目标是将暗网空间与公开的互联网和人类社会的物理世界进行交叉验证。
暗网中的数千节点是随机的,其中的信息难以获取,而我们的目标在于将暗网中的信息与物理世界形成映射,因此除了具体的案件取证之外,还应该针对暗网整体展开处理和准备工作。实际上,若只有一个节点接入暗网,获取到信息内容的概率也许只有百亿分之一,所以很难通过单点获取信息,最好的做法就是构建从暗网虚拟世界到物理世界的映射。
构建从暗网虚拟世界到物理世界的映射,不仅限于单点的映射,还要从各个层面来构建——这是暗网取证重要的、基础的且必要的手段。具体而言,主要从以下几个层面进行。
(1)资源层,即组成暗网的各类节点资源。因其是随机的、自组织的、分布式的,所以掌握Tor的入口的接入点、路由节点、目录服务节点等类似的节点资源越多,对暗网中的信息发现就越有效。后续也可以利用节点资源对其地理位置行为、行为特性追踪溯源。
(2)服务层,大量恶意服务和非法服务架构在暗网层,因此要对架构在暗网上的各类通用服务、专用服务以及自定义服务等进行获取整理,发现服务类型、服务分布。
(3)内容层,不论是对犯罪行为还是信息发布的打击,都会涉及对于暗网中发布的信息内容的掌握,如暗网社交网络、交易市场、暗网论坛等。想要发现暗网内容的主题分布、发布数量,应进行宏观的、日常的整理和收集工作。
(4)用户层,该层是目标所在,即发现暗网用户,暗网信息发布者、暗网服务的运营者、暗网节点资源提供者,发现并关联暗网用户的人物行为、地理位置信息,最终构建起暗网世界到物理世界的映射。
流量探针是一种常见的网络流量数据的分析方法,是部署在互联网交换点、自治域软硬件设备,或植入匿名网络的内部节点,当流量流经节点时,就能监听到感兴趣的流量,获取暗网流量数据。因为Tor节点可随机加入,所以流量探针是相对简单的一种方法。但是需考虑准备收集的流量参数、减少数据采集对实际网络造成的影响,及部署探针的实际代价。
具体部署方法的代表之一是女巫攻击(Sybil Attack),其目标是以最少的探针节点部署获取最大的流经节点的数据量,由此将探针节点的部署问题,转化为有效的测量点的覆盖问题。如给定无向图中最小节点覆盖,即如何选择部署节点获取最多数据,这涉及数学的算法研究。此外,暗网针对探针部署的对抗机制会持续对抗数据获取的工作,因此还需要考虑如何绕过暗网的对抗机制。
在获取到流量之后,通过对数据流量进行分析和协议识别,以准确识别出每个流所使用的通信协议和应用协议。由于应用层协议使用各种混淆、加密变化机制,因此流分析与协议是各层面的流量分析必不可少的技术。
在大多数的网络流加密的情形下,深度流检测(DFI)可基于流的行为特征,通过与已建立的应用数据流的数据模型进行比对,判断该数据流的业务或应用类型,区分匿名协议,发现未知应用。但基于流的特征仅能检测出没有经过加密的协议,若要检测出经过混淆和加密的协议,一种尝试有效的方法是——基于机器学习和深度学习的网络流分析和协议识别,自动化建模和识别一些未知和加密的协议。
网络扫描可分为以下几类,各自具有不同特征。
(1)开放扫描:速度快,容易被检测到。
(2)隐蔽扫描:TCP FIN包扫描、TCP圣诞树扫描、TCP NULL包扫描,增加检测过滤难度。
(3)空闲扫描:高级且隐蔽的扫描,通过僵尸主机和欺骗封包完成扫描任务,需要一定前置条件。
暗网中的地址基于其自己的格式与变化,用日常搜索无法检索到,因此发现暗网中的地址是个较为复杂的问题,需要遵循相关匿名网络协议,部署相关网络节点,具有较大的资源消耗。发现地址受限于节点部署数量,关键技术有元搜索与网络爬虫。
元搜索是指选取特殊关键词作为查询入口,利用商业搜索引擎进行搜索,提取搜索结果页面中的隐藏服务地址,之后再进行迭代搜索。其目标是获得尽可能多的服务地址以突破搜索引擎的反爬虫机制,但时效性低。而网络爬虫可用于暗网网站内容分析,其采集的数据通常是静态的,无法分析动态行为。
以上是日常涉及的研究暗网和对暗网进行资源测绘的技术,这些技术有利于对暗网进行基础资源的构建和整理,辅助具体的取证。此外,基于对Tor的分析认识,NSA(美国国家安全局)还提出了一些对Tor可能的攻击方法,即暗网取证攻击方法,主要体现在NSA的一篇名为“Tor Stinks”的文档中。具体包括以下几种。
(1)用户身份识别(反匿名):链路重构、Cookie窃取、节点生存周期识别以及时长模式推测。
(2)攻击Tor系统漏洞:Packet Injection实现的重定向攻击、客户端漏洞攻击、流量整形、Web服务器控制以及降级Tor服务质量。
(3)服务和节点发现:隐蔽服务发现和服务节点IP分配。
(4)节点植入:部署受控节点和带宽欺骗。
(1)主动侦测。
客户端连接目录服务器时会先搜索目录服务器、获取节点的列表,因此主动侦测发现节点时一般选择较为直接的方式——资源枚举、定向爬取和元搜索。
以Tor为例:资源发布方无法区别正常用户与伪装成正常用户的攻击者,因此非公开的网桥节点可以通过网页和电子邮件服务器的方式分发节点或者请求对方分发。例如向bridges@torproject.org发送请求桥节点邮件,或通过https://bridges.torproject.org模拟用户访问。此外,还可通过Censys和Shodan等扫描器和元搜索的方式获取到一定数量的节点。
(2)被动监听。
通过节点植入和流量识别,部署定制版本的中间路由节点,可实时监测连接到该中继节点的前一跳和后一跳。
隐藏服务的发现同样要遵循暗网地址的特点,暗网地址是由一串固定长度的随机字符串组成的,要发现隐藏服务的网页结构和内容等,先要知道隐藏服务的地址。但是Tor的隐藏服务会发布到一些目录服务的节点(HSDir)上,通过部署HSDir节点,可以收集隐藏服务发布的描述符,从而获取隐藏服务的地址信息。一方面,可以从forum.i2p和ugha.i2p等流行的门户网站上做定向爬取,这些门户网站包含了大量的地址并定期更新,可作为种子站点进行递归爬取;另一方面,通过分布式地址簿,可自动模拟并获取公共地址簿。
暗网取证的内容发现即如何连接暗网空间,解决的是公开网络和暗网之间的接入转换问题。其方式之一是从公开的互联网向暗网空间发起请求和访问,其方式之二是支持暗网自定义的域名解析,并连接到节点。不同层面的考虑要素存在区别——在应用层需考虑构建分布式暗网服务接入点;在节点层需考虑进行暗网节点服务评价,选择性能高、稳定性好的优质节点作为候选路由节点;而在链路层需考虑减少通信链路中路由节点个数,降低延迟。通过爬虫、分布式采集(采用Selenium、PhantonJS等无界面浏览器)的方式也可以采集到暗网中的服务内容。爬取到内容之后,还要进行关键词发现、网站分类等暗网内容的分析。
若要实现匿名追踪的目的,须进行流量关联,以应对加密流量及匿名通信中数据流追踪和定位问题,找到数据流的源头及发送的过程链。
一是通过比较入口和出口流量特征,识别匿名网中发送者匿名集合和接收者匿名集合中的通信链路,即通过主动或被动流分析技术找出匿名集,而后通过关联算法识别出匿名集合中的匿名流量来源。二是通过流量的关联攻击,即运行大量路由节点并记录流经这些节点的流量特征,控制或窃听自治系统或互联网交换点,增加流量可见性。三是主动攻击,即主动添加流量特征以增加流量的可识别性,对应到入口和出口,从而获知具体访问者及其访问的具体服务。主要是通过流水印(在流量流经的时候加入一定特征,经过匿名网络流到出口时再将特征还原,即能区分不同的数据流)、侧信道或协议缺陷的技术手段。此外,Web指纹(网络数据包特征对应网站指纹)也是一种实用的技术方法。
由暗网取证溯源引发的执法管辖困境主要体现在以下几个方面。
(1)全球性。暗网节点遍布全球,中间节点和目标节点都有可能位于全球任一国家,为执法管辖权带来挑战。
(2)未知性。中间节点和目标节点地理位置的未知性,为全球执法协作部署带来困难。
(3)攻击性。取证溯源的手段带有强烈攻击性,即“技术侦查”的特点,极易与网络攻击和网络战争混淆。