暗网技术

在推出隐私至关重要的应用和服务时，开发者希望确保每个数据包都只通过Tor网络。但是一次错误的代理设置，或SOCKS包装器之外的一次系统调用，都可能让数据突然暴露在Tor网络之外。 本月中旬，Tor项目宣布推出Oniux，这是一种新的小型命令行工具，可通过Tor网络安全地路由任何Linux应用程序，实现匿名网络连接。 与依赖用户空间的torsocks等传统工具不同，Oniux使用Linux命名空间为每个应用程序创建完全隔离的网络环境，即使应用程序是恶意的或配置错误的，也可以防止数据泄露。 Linux命名空间是Linux内核中一项隔离功能，它提供了一种安全的方式，将应用程序的某个部分与系统的其余部分隔离开来。命名空间有多种形式和形态。例如，网络命名空间、挂载命名空间、进程命名空间等等；每种命名空间都将一定量的系统资源与应用程序隔离开来。 Oniux使用Linux命名空间在内核级别隔离应用程序，因此所有流量都被迫通过Tor。与SOCKS不同，应用程序不会因为无法通过配置的SOCKS建立连接而意外泄露数据，而这种情况可能由于开发人员的错误而发生。 Tor的博客文章中写道：“我们很高兴推出oniux：一个小型命令行实用程序，为使用Linux命名空间的第三方应用程序提供Tor网络隔离。” Oniux基于Arti和onionmasq构建，可将任何Linux程序直接迁移到其自己的网络命名空间，并通过Tor进行路由，从而消除数据泄露的可能性。如果特定工作、行动或研究需要坚如磐石的流量隔离，Oniux可以满足需求。 它通过将每个应用程序放置在自己的网络命名空间中（无法访问主机的接口）来实现这一点，而是附加一个使用onionmasq通过Tor进行路由的虚拟接口（onion0）。 它还使用挂载命名空间为Tor-safe DNS注入自定义/etc/resolv.conf，并使用用户/PID命名空间以最小权限安全地设置环境。 此设置可确保任何Linux应用程序的防泄漏、内核强制Tor隔离。 而传统工具torsocks的工作原理是覆盖所有与网络相关的 libc 函数，以便通过Tor提供的 SOCKS 代理路由流量。虽然这种方法更具有跨平台性，但它有一个明显的缺点：不通过动态链接的libc进行系统调用的应用程序（无论是否出于恶意）都会泄露数据。 Torsocks通过使用“LD_PRELOAD”黑客来拦截动态链接的Linux应用程序中与网络相关的函数调用，并通过Tor SOCKS代理重定向它们。这种方法的问题在于，原始系统调用不会被Torsocks捕获，恶意应用程序可以避免使用libc函数来造成泄漏。 此外，Torsocks根本不能与静态二进制文件一起使用，并且不能提供真正的隔离，因为应用程序仍然可以访问主机的真实网络接口。 Tor项目发布了一个比较表，重点突出了两种解决方案之间的质量差异： oniuxtorsocks独立应用程序需要运行 Tor 守护进程使用 Linux 命名空间使用 ld.so 预加载 hack适用于所有应用程序仅适用于通过 libc 进行系统调用的应用程序恶意应用程序无法泄漏恶意应用程序可以通过原始汇编进行系统调用来泄漏仅限 Linux跨平台新的和实验性的经过 15 年多的实战检验使用 Arti 作为引擎使用 CTor 作为引擎用 Rust 编写用 C 语言编写 尽管Oniux具有明显的优势，但Tor强调该工具仍处于实验阶段，尚未在多种条件和场景下进行广泛测试，用户可以自行测试使用。 如何使用Oniux？🧅 首先，需要一个安装了Rust工具链的Linux系统。接着，可以使用以下命令安装Oniux： $ cargo install --git https://gitlab.torproject.org/tpo/core/oniux [email protected] 安装完成，就可以开始使用Oniux了！🙂 使用Oniux非常简单： # 使用 oniux 执行简单的 HTTPS 查询！ $ oniux curl https://icanhazip.com <A TOR EXIT NODE IP ADDRESS> # oniux 当然也支持 IPv6！ $ oniux curl -6 https://ipv6.

根据Privacyguides.org向Tor浏览器用户发出的警告，在不重启Tor浏览器的情况下切换安全级别，可能会使用户面临更高的指纹识别和漏洞利用风险。 A warning to Tor Browser users: switching security levels without restarting your browser could potentially put you at heightened risk of fingerprinting and exploits: https://t.co/E9IFypUBZi — Privacy Guides (@privacy_guides) May 2, 2025 Privacyguides表示，这是访问暗网的用户应该关注的一个安全问题，在Tor浏览器和Mullvad浏览器的“安全级别滑块“功能中存在的一个漏洞：在浏览器完全重启之前，浏览器宣传的所有保护措施并非都能正确启用。 Privacyguides社区的一位成员匿名报告了这个漏洞，Privacyguides已通过macOS上最新的Tor浏览器14.5.1版本以及Mullvad浏览器14.5.1版本确认了此漏洞。对于在Tor浏览器中完全应用安全设置之前是否需要采取额外操作，目前找不到任何文档或者相关GitLab提示，并且Tor浏览器的文档也没有指出需要重启，也没有提示用户在进行安全更改后需重启浏览器。 因此，对于那些为了保护自己免受浏览器漏洞攻击而在浏览过程中从”标准安全“设置切换到”更安全“设置的用户来说，这会带来很高的风险。 JavaScript测试 用户可以在自己的Tor浏览器中运行JavaScript基准测试（例如JetStream 2.2）来轻松演示其效果。这些基准测试依赖于一种名为即时（JIT）编译的技术来提升性能，但JIT与现代Web浏览器中的众多安全漏洞相关。“更安全”安全级别通常会完全禁用JIT以防止这些问题，但是，当用户将Tor浏览器切换到”更安全“级别（未重启Tor浏览器）并再次运行基准测试时，几乎不会看到任何性能影响，数值相差并不大（196与191）。”暗网下/AWX“在本地进行了测试，数值显示126。 虽然这两次运行的性能几乎相同，但在重新启动Tor浏览器并重新运行测试后，我们看到性能结果大幅下降（数值变为33），这与在正确禁用JIT的情况下所预期的结果一致。所以，这清楚地表明，在Tor浏览器重新启动之前，在安全模式下应该禁用的JavaScript技术仍然可以被网站访问，如果用户不了解保护自身安全所需的额外步骤，则可能会面临浏览器漏洞的威胁。 ”最安全“模式（Safest Mode） 目前尚未测试或验证所有需要重启浏览器的安全功能。虽然测试了切换到“更安全”模式后JIT是否仍然启用，因为这是最容易测试的功能。而“最安全”模式会完全禁用JavaScript，因此上述演示无法证明切换到“最安全”模式后仍存在此问题。 但是，其他一些通常被“最安全”模式禁用的功能可能会一直处于启用状态，直到用户重新启动浏览器为止。出于谨慎考虑，Privacyguides建议用户在更改此设置后务必重新启动浏览器，无论用户是切换到“更安全”模式还是“最安全”模式。 Privacyguides认为，虽然Tor项目宣传安全滑块可以方便地调整Tor浏览器提供的保护，但并未注明确保这些设置真正生效所需的额外步骤。从测试看来，如需确保用户的安全，在调整Tor浏览器的安全设置后务必彻底重启Tor浏览器。Privacyguides希望Tor浏览器在未来的更新中调整这些设置后能够提示或强制用户重新启动浏览器。 Tor项目给Privacyguides的声明 Tor项目在给Privacyguides的声明中表示，其已意识到此问题，并正在跟踪和积极解决。感兴趣的用户可以关注此处的讨论和进展：https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/42572。 除了重启提示之外，Tor项目还在探索对安全级别系统进行更广泛的改进，包括使其与Tor浏览器更新的威胁模型更加紧密地协调一致，并可能将更多后端委托给NoScript以增加灵活性。这些改进可能会成为即将到来的Tor浏览器15.0版本发布周期的一部分。

随着Microsoft Azure彻底禁止域前置，Tor项目在3周前从源代码库删除内置的meek azure网桥，它被另一个CDN77上的meek网桥替代。在2025年2月7日Tor浏览器14.0.6版本的更新公告中，Tor项目表示已经从内置网桥中删除了meek azure。域前置是什么技术？Tor官方为什么要删除meek azure网桥？“暗网下/AWX”搜索了一些技术资料，详解了域前置技术以及微软云政策变化带来的Tor项目的被动改变。 TLS存在主机名泄露的问题 TLS是SSL的后继者，是一种加密协议，旨在为应用程序之间提供完整性和隐私性。TLS最常见的用途是在HTTPS中，即TLS上的HTTP（或SSL）。借助TLS，两个端点可以通过互联网建立通信，从而防止窃听者观察、修改或伪造它们之间的消息。 TLS协议的最新版本是TLS 1.3，于2018年获得批准。TLS1.3包含非常重要的变化；最重要的是，它删除了2018年不应使用的旧的、弃用的和不安全的加密套件，并且还附带了加速功能，例如TLS False start和0-RTT。它还强制使用称为服务器名称指示(SNI)的扩展，这是RFC4366中最初提出的扩展之一，早在2006年就已编写。 确实有充分的理由说明为什么需要SNI，但SNI也有一个重大缺点。SNI会在建立每个TLS 1.3连接时泄露主机名。 域前置技术 域前置是一种混淆TLS连接的SNI字段的技术，可有效隐藏连接的目标域。它需要找到一个托管提供商或CDN，该提供商或CDN拥有支持多个目标域（称为SAN，主题备用名称）的证书。其中一个域将是客户端想要在SNI字段中建立连接时假装定位的常用域，另一个域是连接和后续HTTP请求的实际目标。 Tor项目的解释：域前置是一种可插入式传输，使用该技术后，Tor流量看似在与难以阻止的第三方（如Amazon或Google）通信，但实际上却是在与Tor中继通信。 可插拔传输：meek 2014年8月14日，Tor项目宣布发布Meek可插拔传输。Meek使用域前置将目标桥接中继隐藏在非常受欢迎的域后面。例如，它可以使用google.com作为xyz-meek-relay.appspot.com的掩护。 这样就可以在大型云（例如Google App Engine、Amazon CloudFront/EC2和Microsoft Azure）上创建温和桥接中继，将实际目标主机名隐藏在google.com、amazon.com或各种静态资产CDN等域后面。 对于某些高风险国家的Tor用户来说，域前置无异于一场革命。它使Tor流量看起来与正常的HTTPS完全相同。封锁meek的副作用对于大多数审查者来说都是代价高昂的，在一个国家部分或全部封锁Akamai/Amazon/Google并不是一个不会被忽视的行为。 域前置技术被滥用后云厂商选择封锁该功能 2017年3月27日，Mandiant/FireEye发布报告称，他们发现俄罗斯国家支持的APT29黑客组织至少两年来一直使用域名前置技术。在此期间，域名前置技术在网络安全社区中引起了广泛关注。 因此，谷歌悄悄地在其基础设施上关闭了域名前置功能。紧接着，亚马逊也效仿了这一做法，封锁了域名前置功能。Google和Amazon均关闭域名前置功能后，Tor的Meek网桥再也无法在这些CDN上使用，因此转向了微软的Azure云。 在亚马逊加入谷歌封锁域名前端的一周后，Tor项目发布了新的博文“域前置对开放网络至关重要”，这是一篇论述域前置技术对互联网隐私的重要性的论文，并详细介绍了向Microsoft Azure的转变。 Microsoft Azure彻底禁止域前置 微软在4年前也宣布他们对域前置的反对立场，声称“作为一家致力于为善提供技术的公司…支持支持自由和开放沟通的某些用例是一个重要的考虑因素。然而域前置也受到从事非法活动的不良行为者和威胁行为者的滥用…在某些情况下，不良行为者会配置他们的Azure服务来实现这一点…我们正在改变我们的政策，以确保在Azure中停止和阻止域前置。” 在多次通知和警告之后，达摩克利斯之剑终于落下。微软去年底通知用户，旧的Azure CDN将于2025年1月15日终止，建议用户迁移到类似Azure Front Door服务。在新的Azure Front Door服务下，用户只能得到唯一的专有域名，如snowflake-broker-hadmaqbnc4dmcffs.z03.azurefd.net，有效地阻止了利用域前置的可能性。 2024年2月1日，Azure CDN彻底停止域前置的工作。

Brave是一款免费的开源网络浏览器，它可以让你在不使用Tor浏览器的情况下浏览暗网。虽然这听起来像是进入暗网的一个方便的选择，但它并不是官方的、久经考验的方法的良好替代品。 一、Brave浏览器不是为了匿名而建的 Brave的桌面版本提供了一种通过“使用Tor的私人窗口”设置浏览暗网的方法。此功能会在浏览器中打开一个新窗口，让你能够通过Tor网络运行的代理访问暗网。 Brave是一款注重隐私的网络浏览器。而Tor浏览器则是为匿名浏览暗网而设计的。 隐私和匿名是两个经常混淆的术语，但它们是不同的。本质上，Tor通过删除数字指纹信息、加密数据并通过全球多个中继发送匿名互联网流量来掩盖用户的身份。但是，Brave默认不会删除用户的身份信息。因此，通过Brave中的Tor代理浏览暗网比仅仅使用Tor浏览器更引人注目。 虽然Brave非常适合大多数隐私爱好者使用，但与Tor浏览器相比，它在保持完全匿名方面做得并不好。 二、Brave浏览的Tor功能非常有限 Brave主要用于浏览明网（搜索引擎索引的公共、常规互联网部分）。其Tor模式是后来作为辅助功能推出的，但并非核心重点。过去，该浏览器曾出现过一个问题，即用户的暗网浏览历史会暴露给互联网服务提供商（ISP）。虽然这个问题早已解决，但还是建议用户使用Tor项目官方的Tor浏览器，以获得最大的安全性和隐私性。 Brave的指纹保护不如Tor浏览器有效。使用一款开源工具CreepJS（用于检查设备在网上的可识别程度）进行测试可以发现，在使用Tor浏览器的时候，该工具仅仅可以识别浏览器信息，并大致确定用户使用的操作系统，但几乎没有透露其他信息。但是，使用Brave的Tor私人窗口时，CreepJS发现了更多详细信息，包括用户所在的时区、确切的操作系统、GPU和屏幕分辨率。 虽然这些信息看起来可能不是很敏感，但恶意行为者可以结合这些信息在各个网站上进行跟踪，就像cookie的工作方式一样。Tor通过为所有用户标准化用户代理字符串、屏幕尺寸和字体来降低这种风险。如果每个人看起来都一模一样，就很难发现个人。 一般不建议使用Brave这样的单一浏览器同时进行明网和暗网活动。Brave的正常浏览窗口和Tor窗口看起来非常相似。可能会发生错误，并且有可能将敏感数据暴露给恶意行为者。 三、Brave浏览器官方也推荐使用Tor浏览器实现完全匿名 “暗网下/AWX”注意到，使用Tor浏览器而不是Brave浏览器的另一个主要原因可能是，Brave公司本身也向“个人安全取决于保持匿名”的用户推荐使用Tor浏览器。由于Brave不包含Tor浏览器的所有隐私保护，因此很难保证浏览器具有相同级别的匿名性。 因此，如果用户需要安全匿名地浏览暗网，强烈推荐使用Tor浏览器。它专注于保护用户的身份，用户的互联网活动（以及在暗网内的活动）完全被掩盖。它也是跨平台的、易于安装的，并且非常易于使用。 当然，如果用户不介意在浏览暗网时暴露一些身份信息，Brave仍是一个不错的选择。例如，如果只是在查看或研究某个暗网页面。但是，如果需要更多隐私和匿名，Tor浏览器是更好的选择。 如果一定要使用Brave浏览器，为了获得更多保护，请考虑在“设置”>“屏蔽”下打开“阻止指纹识别”，安装NoScript附加组件，并在Tor模式开启时使用其他浏览器进行明网访问。

11月6日，X用户Andrew Morris（@Andrew___Morris）发布推文称，有人正在攻击Tor，而且已经持续了几周。攻击者伪造了Tor出口和目录节点的IP地址，并在TCP/22端口上肆意发送TCP SYN数据包——这引发了托管服务提供商大量的滥用投诉，然后托管服务提供商就会临时屏蔽/禁止实际上并没有做错任何事的Tor基础设施。 Quick PSA: Someone is attacking Tor right now and has been for a few weeks. The attacker is spoofing the IPs of Tor Exit and Directory nodes, and blasting TCP SYN packets indiscriminately on 22/TCP- spurring a large amount of abuse complaints to hosting providers, which are… — Andrew Morris (@Andrew___Morris) November 6, 2024 目前，Andrew Morris建议所有主机提供商忽略“SSH 扫描”或 “22/TCP 端口扫描”并来自以下任何 IP 的滥用投诉：https://pastebin.com/idKU0agt。Andrew Morris表示这是一种巧妙的攻击，他正在与合作伙伴合作，以三角测量这些流量的真正来源，然后设法断开连接。他在推文后面提供了来自攻击者的奇怪网站：r00t[.]monster，并给出了社区报告的参考： https://gitlab.torproject.org/tpo/network-health/analysis/-/issues/85 https://archive.torproject.org/websites/lists.torproject.org/pipermail/tor-relays/2024-October/021953.html 11月8日，Tor官方在博客做出回复，称正在保卫Tor网络，号召社区共同努力，减少针对Tor的IP欺骗。 Tor官方称，10月底，Tor目录管理机构、中继运营者，甚至Tor项目系统管理团队都收到了来自其提供商的关于端口扫描的多项滥用投诉。这些投诉被追溯到一次有组织的IP欺骗攻击，攻击者欺骗非出口中继和其他Tor相关IP，以触发滥用报告，目的是破坏Tor项目和Tor网络。

2021年，德国当局通过对Tor用户进行去匿名化，捣毁了臭名昭著的CSAM暗网平台Boystown。随着执法部门打击暗网上的犯罪活动，这一突破引发了人们对Tor隐私的担忧。 根据NDR的报告，德国当局对Tor（一个专为匿名而设计的网络）用户的去匿名化能力在这次行动的成功中发挥了至关重要的作用。通过监视特定的Tor节点，他们识别了访问该网站的用户。 然而，尽管Tor项目坚称其网络仍然安全，但此类突破引发了人们对Tor匿名功能安全性的担忧。Tor项目在其博客文章中承认，他们已经注意到NDR报告中的说法。然而，该组织还表示，它尚未收到德国当局提供的概念验证（PoC）或独立验证这些说法的文件。 另外，德国新闻杂志节目《全景》（Panorama）和YouTube调查新闻频道STRG_F也报道称，德国联邦刑事警察局（BKA）和法兰克福总检察长办公室在进行网络监控后，成功识别出至少一名Tor用户。 报道提到，“时序分析”是识别Tor用户的关键。该报道指出”尽管Tor网络中的数据连接经过了多次加密，但通过对单个数据包进行计时分析，可以追溯到Tor用户的匿名连接。“——但遗憾的是，报道没有解释该技术的工作原理。 Tor通过将用户的流量路由到所谓的暗网节点，从而掩藏混淆连接的真实来源，最终为其网络用户提供增强的匿名性。发送到Tor的流量经过层层加密，首先到达一个“入口”或“守卫”节点。然后，流量通过随机选择的至少三台服务器（也称为“中继”）中跳转，然后通过“出口节点”返回公共网络或连接到.onion服务。这一过程隐藏了连接的来源，使得仅从特定用户的网络流量观察其上网行为变得更加困难。 正如“时序分析”方法所建议的那样，观察长期使用趋势可能会削弱Tor的效力，因为它会为观察者提供有关向网络发送流量的用户的线索。举例来说，从本质上讲，有人可以向Tor网络添加节点，并记录下观察到的数据包进入和看到的数据包流出的时间。一段时间后，这些时间可能会帮助找出谁在连接特定的.onion服务。 欧洲著名黑客组织”混沌计算机俱乐部“（CCC）的发言人马蒂亚斯·马克斯（Matthias Marx）向新闻媒体提供了现有证据（记者获得的文件和其他信息），证实了这一方法的可信度，“这些证据强烈表明，执法部门多年来曾多次并成功地对选定的Tor用户实施时序分析攻击，以查出他们的匿名身份。” Tor项目承认，尽管向记者索要了所有相关文件，但并未看到所有相关文件。Tor项目认为，德国警方之所以能够揭露Tor用户的身份，是因为该用户使用了过时的软件，而不是警方利用了一些未知的漏洞或类似的东西。 德国的报道称，在对一名名为“Andres G”的个人进行调查时使用了时序分析攻击，此人涉嫌运营名为”Boystown“的.onion暗网网站，该网站提供儿童性虐待材料（CSAM）。 据称，“Andres G”使用了匿名消息应用程序Ricochet，该应用程序通过Tor在发送者和接收者之间传递数据。更具体地说，据说他使用的聊天程序版本未能保护其Tor连接免受警方使用的基于时间的去匿名化方法攻击的影响。 报道称，德国当局获得了运营商西班牙电信公司（Telefónica）的合作支持，该公司提供了所有连接到已知Tor节点的O2用户的数据。通过将这些信息与Tor计时信息的观察结果相匹配，当局得以识别“Andres G”的真实身份，他于2022年在北莱茵-威斯特法伦州被捕、被指控、定罪并被判入狱多年。 Tor辩称，这种方法并不表明其服务存在缺陷。 该组织反而提出了一种理论，即“Andres G”使用不安全的Ricochet导致“守卫”节点被发现从而被抓获。简而言之，这意味着警察能够找出他用来通过Tor网络发送数据的入口或“守卫”节点。警方可以要求西班牙电信公司列出与该“守卫”节点连接的用户名单，并推断出Tor用户的身份。 Tor声称“Andres G”可能使用了旧版Ricochet，该版本不包含针对此类攻击的保护措施。Tor的文章指出：“自2022年6月发布3.0.12版以来，这种保护就存在于Ricochet-Refresh中，它是早已经不维护的Ricochet项目的一个维护分支。” EFF高级技术专家Bill Budington称：“为了对流量进行时序分析，你确实需要攻陷一个守卫节点，因为它是Tor网络中的第一个节点，可以看到用户的IP地址。”如果不能直接攻陷守卫节点，就可以获取网络时序来完成监视。 Tor用户担心网络可能会被警方控制的节点淹没，从而影响匿名性。但要做到这一点，所需的节点数量将非常庞大。Tor项目承认，出口节点的部署数量有所增加，最近已超过 2000 个，但声称这并不值得担心。 Tor公关总监Pavel Zoneff表示：“声称Tor网络‘不健康’的说法完全不是事实。” “网络健康团队已经实施了相关流程，以识别可能存在的、疑似由单一运营商和不良行为者管理的大型中继群组，并不允许它们加入网络。因此，它标记了大量需要清除的不良中继站，这些中继站随后被目录管理机构禁止。其中许多可能对用户没有真正的威胁。”他说。 Tor项目还呼吁帮助了解警方的具体做法。“我们需要有关此案的更多细节，”该团队表示。“在缺乏事实的情况下，我们很难向Tor社区、中继运营商和用户发布任何官方指导或负责任的披露。” 现在的信息是：“不要惊慌。” 德国当局捣毁了臭名昭著的CSAM暗网平台Boystown 德国当局与多家国际执法机构合作，成功捣毁了臭名昭著的暗网平台“Boystown”，该平台专门发布儿童性虐待内容（CSAM）。这件事发生在2021年4月，但直到现在才披露其细节。更疯狂的是，据德国媒体报道，当局成功使参与CSAM网站的Tor用户匿名化，并成功逮捕了他们。 该网站自2019年起运营，拥有超过40万注册用户，并实施了一些最严重的虐待行为，许多受害者都是男孩。德国联邦刑事警察局在欧洲刑警组织以及荷兰、美国、加拿大和其他几个国家的机构的支持下领导了这次行动。 Boystown的管理员三名德国男子被捕，第四名嫌疑人在巴拉圭被拘留，德国已要求引渡。这些人帮助用户逃避侦查，同时协助传播非法内容。 该平台于2021年4月被关闭，其聊天室也被拆除。这次国际行动对涉及CSAM的非法暗网活动进行了重大打击。

三天前，暗网论坛Dread的网友PM_ME_YOUR_APPLAUSES发布了一篇相当神奇、令人惊叹的帖子”A Summary of the Dark Web: 2008-2024“，这篇文章整理了暗网与加密货币的前世今生，总结了从2008年到2024年以来暗网的发展史，是名副其实的暗网简史。”暗网下/AWX“对该帖子进行了翻译整体，与公众分享。 2008年之前：暗网雏形 暗网的概念还很模糊，匿名网络（如 Tor）主要用于活动人士和记者之间交流，非法交易分散且原始。 尽管如此，一些私密的暗网论坛用于毒品买卖，这些论坛大多位于明网上，需要邀请和登录才能访问，是今天暗网市场的早期雏形。 这些论坛的用户招募主要通过公开的明网毒品讨论区进行，凸显了早期社区形成阶段的特征，这将定义暗网未来的基础设施。 2008年：潜力萌发 10月：中本聪（Satoshi Nakamoto）发表比特币白皮书。 1月：比特币网络上线，创世区块被挖出。 比特币的诞生，一种无法追踪的数字货币，结合 Tor 网络，奠定了暗网经济支柱的基础。早期采用者看到了其中的潜力，而大多数人只看到了混乱。在这一奠基之年，一些明网上的私人论坛开始运营，为特定社区提供毒品交易。这些论坛需要邀请和登录，是后来更加结构化的暗网市场的先驱。招募用户主要通过公开的毒品讨论区进行，凸显了早期隐蔽的网络构建，这将定义暗网的演变。 2009年：奠基与试验 1月：中本聪和哈尔·芬尼 (Hal Finney) 之间发生首次比特币交易。 12月：首个比特币交易所 – BitcoinMarket.com 成立。 密码学爱好者们开始尝试，构思隐藏的在线市场。论坛上充斥着各种理论，早期尝试匿名交易屡屡受挫，但每一次失败都带来了宝贵的经验教训。暗网的金融基础设施正在奠基，比特币逐渐引起数字隐私倡导者的关注。这一年标志着比特币发展的重要技术进步，为其未来成为暗网交易的主要货币奠定了基础。 2010年：接近关键时刻 5月： Laszlo Hanyecz 用 10,000 个比特币购买了两个披萨，这是首个现实世界中的比特币交易。 6月：丝绸之路 (Silk Road) 原型开始开发。 7月：维基解密 (WikiLeaks) 开始接受比特币捐赠。 2010年 – 2012 年： 农民市场 (The Farmers Market) 最初是一个明网论坛，后来转型为暗网洋葱服务 (onion service)。 2010 年： OVDB，一个带有供应商的公共暗网洋葱论坛创立了，但是很短命。 影响当时局势的因素包括评价毒品供应商的 feeder 网站、在线药房论坛和博客。在丝绸之路建立之前，比特币在这些圈子里不被广泛认可或信任，当时的支付方式包括以“数字黄金货币”为中心的中心化服务（例如 e-gold、Liberty Reserve 和 Pecunix），以及西联汇款、速汇金和现金邮寄。此外，GreenDot MoneyPak 也是一种流行的支付方式，直到监管法规的改变使其不再适用。比特币的潜力开始被更广泛地讨论，为其未来的突出地位奠定了基础。只有随着丝绸之路的出现，比特币才开始在暗网用户中获得关注，从一种鲜为人知的数字货币转变为暗网上进行匿名交易的首选方式。隐藏、安全的市场愿景进一步清晰化。暗网社区的试验暗示着即将到来的巨大颠覆。此外，“神奇花园” (The Majestic Garden) 论坛在这个环境中广为人知，这是一个半私密的平台，定期向新成员开放。它培养了一个喜欢迷幻剂 (LSD)、二甲基色胺 (DMT)、摇头丸 (MDMA)、蘑菇 和 杂草 等物质的精神探索者社区。它没有使用担保服务，完全依赖用户之间的信任，凸显了暗网社区构建的一个独特方面。

近日，有网友向“暗网下/AWX”表示，Tor浏览器的网桥WebTunnel存在被审查机构的流量识别的潜在问题，原因是： 一是传输的TLS是Go语言的crypto/tls库。通过测试发现，网桥的TLS Client Hello长度是317字节，而正常浏览器流量的长度是517-650字节。前者相比被普遍认为是正常流量的后者短很多，暴露了Go普遍使用的TLS库不规范的短板。 二是大多数用于WebTunnel网桥的服务器普遍使用Nginx。Nginx服务器未配置的情况下会出现默认页面，并没有任何伪装，很容易被识别。 Tor浏览器的网桥WebTunnel存在被审查机构的流量识别的潜在问题： 一、传输的TLS是Go语言的crypto/tls库。我们通过测试发现，网桥的TLS Client Hello长度是317字节，而正常浏览器流量的长度是517-650字节。前者相比被普遍认为是正常流量的后者短很多，暴露了Go普遍使用的TLS库不规范的短板。 […] pic.twitter.com/TCPjb8STmO — 稀神サグメ⭐️ @[email protected] (@kishinsagi) March 10, 2024 该网友建议的解决办法是换用比较规范的Rust，其TLS Client Hello长度达到517字节。或直接使用C语言的TLS库，如Chromium的tls.h，以达到伪装浏览器流量的目的。 该网友还建议将crypto/tls库替换为uTLS亦可缓解此TLS指纹。uTLS 是“crypto/tls”的一个分支，它提供了 ClientHello 指纹识别、握手的低级访问、伪造会话票证和一些其他功能。握手仍然由“crypto/tls”执行，该库仅更改其中的 ClientHello 部分并提供低级访问。 tls.go的代码： package tls import ( “crypto/tls” “errors” “net” ) type Config struct { ServerName string } func NewTLSTransport(config *Config) (Transport, error) { return Transport{kind: “tls”, serverName: config.ServerName}, nil } type Transport struct { kind string serverName string } func (t Transport) Client(conn net.

本文源自“暗网下/AWX”官方Telegram群组成员@DepressedLeslieAlexander，从技术上介绍了Tor的实现原理、如何连接到Tor，以及访问暗网的注意事项与认知误区。 概述 Tor是实现匿名通信的自由软件，由美国非盈利组织The Tor Project, Inc开发与维护。其名源于“The Onion Router”（洋葱路由）的英语缩写。用户可透过Tor接达由全球志愿者免费提供，包含7500多个中继的覆盖网络，从而达至隐藏用户真实地址、避免网络监控及流量分析的目的。Tor用户的互联网活动（包括浏览在线网站、帖子以及即时消息等通信形式）相对较难追踪。Tor的设计原意在于保障用户的个人隐私，以及不受监控地进行秘密通信的自由和能力。 Tor通过一种叫做路径选择算法的方式自动在网络中选择3个Tor节点，这三个节点分别叫做入口节点（Guard relay）、中间节点（Middle relay）和出口节点（Exit relay）。在网络连接的应用层，数据以一种叫做洋葱路由的方式进行传输。数据首先在用户端连续加密三层，而三个中继各自解密一层，这样它们就能知道接下来把数据传送给谁。在这种情况下，数据就像剥洋葱一样被一层一层地解密，所以被称为“洋葱路由”。最后的出口节点会解密最内层的加密数据并得到真实的数据内容，并把它传送给目标地址。出口节点虽然知道真正的数据内容，但是它只知道上一个中继节点的地址，并不知道数据最初的发送者是谁，从而保证了数据发送者的安全。相对应地，入口节点仅知晓用户的IP地址而无法得知其访问的网站，而中间节点既无法得知IP地址也无法得知用户所访问的内容。 Tor 通过Tor浏览器来保护你的互联网活动 洋葱服务-暗网（Hidden Service） 在Tor的网络世界中，有一些以.onion顶级域名结尾的网址，这些网站就是我们所熟知的洋葱服务，也就是我们所熟知的暗网。这类网站通常只能通过Tor来进行访问，因此保证了访问者的匿名性。通常我们所熟知的暗网都是黑暗内容，例如色情、血腥暴力、恐怖主义、毒品交易、人口贩卖、黑客服务等违法信息，但Tor的设计初衷绝不是这样的，它的宗旨是保护普通人的隐私，例如为记者、政治活动家、以及追求安全匿名的用户提供服务。 Tor Tor 的使命是通过免费开源技术促进人权，使用户能够抵御大规模监视和互联网审查。 我们讨厌有人将 Tor 用于邪恶目的，我们谴责滥用和利用我们的技术进行犯罪活动。 重要的是要理解，犯罪意图在于个人，而不在于他们使用的工具。 就像其他广泛使用的技术一样，Tor 可能被有犯罪意图的个人使用。 而且由于他们可以使用其他选择，将 Tor 从世界上移除似乎不太可能阻止他们从事犯罪活动。 同时，Tor 和其他隐私措施可以打击身份盗用、跟踪等人身犯罪，并可供执法部门用来调查犯罪并帮助支持幸存者。 Tor Hidden Services 如何连接到Tor 通常情况下，你只需要前往官网（https://support.torproject.org/zh-CN）下载并安装基于Tor的Tor浏览器（Mozilla Firefox的分支），启动后点击连接即可连接至Tor网络。 审查 当然，许多国家对Tor网络进行封锁，例如俄罗斯、伊朗等国家，想在这些国家使用Tor，您可能需要进行额外的配置。您可能需要其他方法下载Tor浏览器并且需要为Tor添加可插拔传输层（网桥）。 其他下载Tor浏览器的方法 如果你无法通过我们的网站下载 Tor浏览器，你可以通过 GetTor 获取一份 Tor 浏览器的副本。 GetTor 是一项通过不同方式自动回复最新版 Tor 浏览器下载链接的服务。这些链接由不同处所托管，例如 Dropbox 、Google Drive 和 GitHub. 可以通过邮件或者 Telegram 自动程序https://t.me/gettor_bot请求。 可以从 https://tor.eff.org 或者 https://tor.calyxinstitute.org/下载 Tor 浏览器。 给 [email protected] 发送一封电子邮件 在邮件的正文中，写上你的操作系统的名称（如 Windows 、macOS 或 Linux）。 GetTor 将回复一封电子邮件，其中包含 Tor 浏览器的下载链接、加密签名（用于验证下载的文件）、用于签名的密钥指纹以及软件包的校验和。 你也许需要选择“32 位”或“64 位”版本：这和你的电脑有关，你可能需要查阅你电脑的说明书或与制造商联系来了解更多信息。

互联网的一个隐藏部分被称为“暗网”，它不可见，也无法使用标准搜索引擎进行搜索。与互联网非常相似，暗网也是一个由商业网站和市场组成的生态系统。不同的是，这些网站通常销售非法、禁止或具有攻击性的产品和服务。 暗网起源 暗网的起源可以追溯到20世纪80年代末和90年代的前互联网时代，当时公告板系统（BBS）非常流行。BBS是一个在线论坛，用户社区可以在其中以匿名方式讨论一系列主题（从在线游戏、汽车、书籍和当地活动到色情和黑客服务）。 明网、深网和暗网 到21世纪初，互联网在社会中根深蒂固之后，人们开始区分明网、深网（深层网络）和暗网。明网（或表面）是开放的互联网，任何人都可以通过搜索引擎访问其内容。深网由在线论坛和个人网站、企业网站组成，这些网站要么没有索引，要么只能通过用户名和密码访问。 接着第三层网络也开始出现了，称为Tor（“洋葱路由器”），这项技术最初由美国海军研究实验室开发，用于确保互联网上的匿名通信。Tor向普通用户公开，在网上冲浪时提供匿名性和隐私性。接下来，Tor网络开始托管更多内容，从版权材料到私人电子邮件和消息系统，再到销售各种非法和违禁商品的商店，其中最著名的黑市是丝绸之路（silkroad）。 加密货币点燃暗网经济 一旦有犯罪倾向的个人在互联网上拥有安全的通信和匿名存在，这种地下经济的第三条腿就出现了，就像预先策划好的一样：区块链和加密货币。在出现大量代币和加密货币之前，曾出现过匿名数字货币，如自由储备（Liberty Reserve）。然而，调查人员能够通过追踪非法资金流向的最终目的地，成功逮捕了犯罪者。 加密货币交易记录在公共分类账（区块链）上，具有极高的匿名性，并且在没有联邦保险银行等任何管理机构的情况下是去中心化的。迄今为止，针对暗网上使用较多的门罗币（Monero，XMR），执法部门很难干预不可逆转的加密货币交易，也很难识别和逮捕参与非法交易和盗窃的人。 网络犯罪民主化 经验丰富的攻击者和网络犯罪集团意识到，他们可以通过提供平台、工具和专业知识来获得更多利润，从而催生了网络犯罪即服务模式。出现了专门的暗网服务提供商，例如僵尸网络管理员、初始访问经纪人、恶意软件开发人员、勒索组织附属机构、谈判代理人、洗钱者和人工智能专家。有些出售凭据，有些提供网络钓鱼工具包，有些提供模仿受害者环境的工具，等等。 如今，暗网是一个价值数十亿美元的地下市场，网络卡特尔、勒索软件团伙、黑客活动分子和民族国家背景的威胁行为者正在这里积极运作、发展和重塑自我。 如何提高对暗网威胁的防御能力 以下是企业可以采取的加强防御的一些建议： 1、采用网络安全系统，而不是孤立的产品。 网络安全事件不是一步发生的。这是攻击者成功入侵或渗透组织的一系列步骤的最终结果，许多都是通过“网络杀伤链”（Cyber Kill Chain）或MITRE ATT&CK一步一步地传达。每个步骤或足迹都是企业进行自我保护、防止网络钓鱼、阻止恶意软件执行或检测权限提升的机会。SASE或XDR等集成系统可以提供协调的防御响应。 2、利用人类威胁情报。 人类威胁情报并不意味着要像执法机构那样实际追踪威胁行为者。它是指登录地下论坛、建立个人档案并模仿威胁行为者的行为（而不犯罪），足以让他们相信你是他们中的一员。您想要充分了解他们在销售什么以及正在讨论什么，以便组织可以制定对策。如果恶意行为者渗透进来，请利用威胁情报更好地了解攻击情况，并识别被盗的数据或哪些计算机受到感染。 3、培训员工队伍。 人类的直觉很强大，尤其在早期发现网络攻击方面的力量不可低估。对员工进行安全意识培训有助于在网上交易时建立一种持怀疑态度的文化。必须让员工了解暗网的危险以及处理高风险数据和凭证的责任。部署零信任环境，以减轻内部威胁，并保证在凭证遭到泄露时，防止攻击者可以进行横向移动。 4、明确安全目标。 在与暗网威胁研究人员合作时，公司往往不清楚自己的安全目标。这意味着他们没有明确定义需要保护和监控哪些资产。因此，威胁研究人员经常采用黑盒方法，识别他们认为需要监控的重要资产，而不是从客户那里获得高价值资产的具体清单。公司必须向研究人员提供明确的指示，因为这样才能获得更多可操作的信息。可操作的信息越多，安全团队就越灵活、越高效。 最后的思考 已经2024年了，展望未来，暗网将不断发展，网络犯罪将愈演愈烈。然而，暗网也带来了机遇，尤其是对网络安全而言——一个研究威胁行为者并了解他们的活动、了解人工智能驱动的威胁并改进网络安全缓解措施的机会。