Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
暗网是以隐私为中心的网络(即“暗网网络”)的组成部分。它隐藏在标准搜索引擎和 Web 浏览器之外,需要借助特殊工具和配置才能访问。虽然它以犯罪活动而闻名(例如窃取数据的市场),但其也有合法用途。
暗网承载着网页、消息传递渠道、文件共享网络和其他类似于常规或“公开”网络的服务。不同的是,暗网内容存在于暗网网络中,后者则是互联网中具备特定访问需求的匿名子区域。部分暗网网络采用邀请制。其他暗网网络则可通过正确的网络设置或软件(例如 Tor 浏览器)访问。
匿名是暗网的主要吸引力所在。暗网网络采用多层加密和间接路由等方法来隐藏用户的身份。访问暗网的用户和托管人身份都难以识别。
网络罪犯会利用这种匿名特性来掩盖其非法活动。记者、举报人和互联网日常用户可以利用暗网来避免自己被敌对政府、大企业、广告网络、预测算法和其他窥探者跟踪。
网络安全专业人士还会对暗网进行监控,将其作为威胁情报的重要来源。他们可以掌握黑客动向,及时了解网络攻击目标和技术,并跟踪新出现以及持续的数据泄露事件。
尽管暗网与非法活动和非法内容相关联,但在许多司法管辖区,访问暗网并非违法行为。
暗网网络是指支持用户访问暗网内容的网络基础设施(即互联计算机和其他设备)。
“暗网网络”和“暗网”这两个词常用作同义词,就像“互联网”和“网络”经常互换使用一样。但从技术层面来说,“互联网”是由相互连接的设备组成的网络,而“网络”则是用户可通过互联网访问的信息层(即网站、应用程序和其他服务)。
“暗网网络”和“暗网”也存在同样的区别。“暗网网络”是基础设施,暗网则是可通过该基础设施访问的内容。
暗网网络的形态多种多样,其中 Tor 网络的知名度最高。(如需了解更多信息,请参阅“什么是 Tor?”)其他暗网网络包括“隐形互联网计划” (I2P) 和 Hyphanet。
大多数暗网网络均为叠加网络,即存在于大型网络中的不同子网。这一大型网络通常是指互联网本身。
但暗网网络与公共互联网相互隔离,用户无法通过 Google Chrome、Mozilla Firefox 或 Microsoft Edge 轻松访问。用户需要借助特殊的软件、权限或配置,才能进入暗网网络。
许多暗网网络(如 Tor)都由志愿者和非营利组织运营,用户自愿捐赠其设备作为网络节点。其他暗网网络则是去中心化点对点网络或邀请制私有网络。
暗网网络与更广泛的互联网和其他叠加网络之间还存在另一项差异。暗网网络通过多层加密、洋葱路由和其他方法刻意隐藏用户的身份。
Tor 是“洋葱路由器”的缩写,它可以指代网络、浏览器和组织。
Tor 网络是一个特殊的暗网网络,它基于数千个由志愿者运营的节点运行。Tor 网络中的网站称为“隐藏服务”或“洋葱服务”,使用 .onion 域名。
Tor 浏览器是一款保护隐私的 Web 浏览器,可以访问 Tor 网络中的内容。Tor 浏览器还可以访问常规网页内容,同时增强用户匿名性。
Tor Project 是一个非营利组织,负责开发并维护 Tor 网络、Tor 浏览器和其他相关工具以及基础设施。
Tor 浏览器可能是最热门的暗网浏览器,但它并非访问暗网的唯一方式。Tor 网络也不是暗网内容的唯一网络。人们有时会将 Tor 和暗网混为一谈,但 Tor 只是众多暗网网络中的一个。
也就是说,了解 Tor 的运作原理有助于揭示暗网的一般运作方式。
Tor 网络的核心原则是洋葱路由,即 Tor 如何遮掩 IP 地址并保持用户匿名。洋葱路由最早由美国海军研究实验室于 1990 年代开发,对流量应用多层加密。这些层级赋予了该技术“洋葱”一名。
洋葱路由并非直接将用户路由至其目的地,而是先通过一系列中间节点进行传输。每个节点只能解密流量的单层加密,因此任何节点都无法掌握流量的完整传输过程。
即使是暗网网站的所有者也不知道其访客的来源,而访问者同样对这些网站的托管位置毫不知情。
暗网、深网和表层网络是网络的三个组成部分。表层网络是指用户可通过任意搜索引擎查找的内容。深网则隐藏在搜索引擎之外,但其中大部分内容均可通过任何浏览器以相应的身份验证方式访问。暗网内容则需要特殊设置。
什么是表层网络?
表层网络(又称“公开网络”),是互联网中可由 Google 和 Bing 等常规搜索引擎索引的部分。社交媒体网站、YouTube 视频、公共博客和 Amazon 商品列表等内容均为表层网页内容的示例。
表层网络是网络中最小的组成部分之一,约占互联网内容的 5%。
什么是深网?
深网是指搜索引擎未将其编入索引的互联网部分,其中涵盖大多数网页内容。深网确实包括暗网,但大部分深网内容可通过具备默认配置的常规 Web 浏览器访问,如:受密码保护的网站、付费新闻文章和私人数据库。
虽然暗网是深网的组成部分,但二者存在关键差异。
暗网是存在于暗网网络中的深网的组成部分。因此,它只能通过暗网浏览器、正确配置的代理或其他方式访问。借助相应凭据,用户可以从公开互联网访问大多数深网内容。暗网刻意对用户进行匿名化处理,而深网则不然。
暗网与论坛、新闻网站、市场等公开网络极为相似。部分表层网站(例如 Facebook)甚至设有官方暗网版本。
暗网网站的附加功能通常比公开网站更少,部分原因是暗网网络的性能不太可靠。洋葱路由等技术可以保持匿名性,但其代价是连接速度迟缓。
IBM 高级 X-Force 威胁情报分析师 Robert Gates 表示,“您可以将暗网视为混乱无序的另类网络生态系统,它是互联网中常见电子商务网站的简化版本,包含产品页面、供应商和反馈。甚至还设有托管服务和评级系统,但这些系统经常被卖家操纵。”
暗网网站通常包含冗长复杂且难以记忆的 URL。要浏览暗网,用户通常会借助暗网搜索引擎或链接列表,例如 Hidden Wiki。
常见的暗网网站类型包括:
1. 市场
暗网市场出售各类商品。
恶意软件,比如信息窃取程序、加载程序、木马和勒索软件。许多网络罪犯采用恶意软件即服务 (MaaS) 模式。MaaS 团伙负责开发和维护恶意软件工具和基础设施,然后将其出售给其他黑客(即“加盟方”)。这些加盟方会利用恶意软件攻击受害者,且经常与 MaaS 团伙瓜分利益。勒索软件即服务 (RaaS) 备受欢迎。
访问权限。访问代理通常利用漏洞和植入后门来入侵网络,然后将这些访问点出售给其他网络罪犯。
被盗银行账户、信用卡信息、登录凭据等数据以及其他敏感信息,犯罪分子可能用其实施身份盗窃。
非法商品,包括伪造证件和非法药物。
大多数暗网市场交易使用比特币等加密货币,以保护买家和卖家的匿名身份。
Silk Road 成立于 2011 年,是第一个也是公认知名度至高的暗网市场。2013 年,FBI 将其查封并关闭。
2. 暗网论坛
职业网络罪犯和业余黑客聚集在暗网论坛中,他们在此分享技巧、新型漏洞以及潜在目标相关情报,并吹嘘其成就。
网络安全专业人士也会关注这些论坛,以及时了解网络威胁态势。
3. 数据泄露网站
泄密网站是黑客炫耀其在泄露事件中所窃取数据的场所。网络罪犯会发布其掌握的数据样本,并要求受害者支付赎金,否则他们就会公布剩余数据。
某些团伙还拥有专属泄密网站。其他团队则采用名为“勒索即服务”的模式,大型团队则支持加盟方和盟友在其网站中托管被盗数据。利用大型犯罪团伙的高知名度泄密网站,可以给受害者施加更大的压力,迫使其支付赎金。与其他“即服务”模式一样,大型团伙通常会从赎金中抽成。
4. 合法的暗网网站
举报人——无论是举报企业、政府机构还是其他机构——通常利用暗网论坛和即时通讯服务向公众匿名发布信息。
同样,记者也经常使用暗网服务与需要匿名处理的消息来源联系。激进分子可以利用暗网来逃避政府的审查和监视。
其他暗网网站则颇为寻常——包括社交媒体网站、新闻网站和其他典型服务,这些网站会利用暗网帮助其所有者和用户摆脱跟踪。
暗网动态
在缺乏任何法律或监管约束、且所有用户均为匿名状态的网络中,暗网基于 Gates 所称的“声誉经济”运作。黑客和经销商会利用其过去的活动来建立信誉。许多市场设有评论系统,有的市场还提供托管服务,以确保用户能够获得报酬。
然而,这种声誉经济也促使网络罪犯诱骗其受害者和同伙。例如,他们可能会声称已窃取比实际规模更惊人的数据集,试图招揽生意、向受害者施压或彰显自身“实力”。
随着生成式 AI 的出现,网络罪犯得以编造更具说服力的谎言,通过伪造数据夸大泄露事件的严重程度。
Gates 解释道,“他们可以将自己拥有的文档和数据输入 AI,然后提示 AI,‘以此为基础扩展数据集,构建更庞大的集合。’很多数据都是假的,但您无法分辨。”
网络罪犯彼此之间也会毫不避讳地欺骗对方。
Gates 说:“我们已观察到类似案例,某个论坛的管理员采取某种退出策略,筹集足够的资金后,就消逝无踪。市场随即关闭,每个人都对发生的事情一无所知。”
这些肮脏交易和双重欺诈的结果是,暗网出现大量人员流失问题。网站和网络犯罪团伙时隐时现。部分原因是执法机构会将其取缔,但更常见的原因是双方相互“背刺”。
Gates 表示,“暗网中的力量平衡总是在不断变化。被解散的加盟方拆分出来,组建自己的企业。有的人会出现自尊心作祟的情况,或者相互之间发生某种人际冲突。”
暗网中的所有内容是否均为匿名状态?
虽然匿名是暗网的主要吸引力,但也有部分方法可以揭示用户的身份。例如,根据时间戳将某个用户发送到 Tor 网络的流量与特定网站的流量相关联,执法机构和安全专业人士就能在理论上确定该用户的行为。
“中毒”节点(即网络秘密监控其流量的受损节点)也可能在匿名性方面造成漏洞。用户还可能通过错误配置或违规使用暗网浏览器或网络来暴露自己的身份。
暗网监控是众多威胁情报工作的核心组成部分。通过关注暗网论坛和社交网络,威胁情报分析师可以及时了解最新的恶意软件、遭到广泛利用的漏洞及其他趋势。
网络安全专家还能利用犯罪团伙间的内讧作为契机,这些内讧往往会导致黑客相互篡改彼此的网站、出卖对方或泄露源代码。例如,2025 年 2 月,某个敌对帮派泄露了臭名昭著的 Lockbit 组织最新版本勒索软件的代码。
Gates 表示,“它为防御者创造了机会。大量山寨软件突然涌现,但不法分子的 OPSEC 或其对恶意软件本身运作原理的理解程度远不及软件开发人员。因此,他们或许无法正确使用这些软件。”
防御者可以借机获取源代码或其他泄露的信息,并自行开展研究。
密切关注暗网也可以帮助网络安全团队更快识别黑客攻击。组织越早知晓已发生的泄露事件,就能越快采取行动加以遏制。每一秒都至关重要,根据 IBM 数据泄露成本报告:识别和遏制一次泄露事件,平均需要 241 天。