又是平常的一天,世界上各个国家像往常一样遭受着其它国家的黑客攻击。
美国本土通常是最受欢迎的目标,在半分钟里往往可以遭受数十万到数百万次攻击;而西非外海上一个在地图上没有显示陆地的地方,居然也是黑客攻击的重点照顾对象,遭受的攻击总数能够达到美国的一半水平。
你不需要专业的网络知识和强大的工具,也能随时了解这世界上哪个国家发出了攻击另一个国家的指令。只需要登陆 Norse Attack Map 这个网页,就可以像专家一样实时观看全球暗网黑客战。
陆地上的国家们用蓝色的轮廓线表示,而地图上每发出一条射线,即代表一次攻击被侦测到。不同的射线颜色,代表不同的攻击方式,而 telnet 和 radmin 攻击是所有攻击方式中最受欢迎的。
目前,这个网站在国内还是处于可直接访问状态 —— 这是一件奇怪的事情,因为在随便一段时间内,发出最多次攻击的永远是中国。在地图上,经常能看到来源为湖北武汉或湖南衡阳的网络攻击发出,而美国,列支敦士登以及其他欧洲国家则会遭到中国常态性的攻击。就连西非海上的那个奇怪的,被标注为 Mil/Gov 的地方,也经常会被中国 “关照”。在网络上,你可以查到关于这个奇怪的地方有限的信息:美国人建造的庞大的海底数据中心。
还好,Norse Attack Map 上并没有反映最真实的全球网络黑客攻防战 —— 因为 Norse 这家公司目前还没有能力监控真实的攻击情况,而如果把真的数据都放上来,一般电脑的浏览器恐怕早就承受不住了……
Norse 的产品副总裁杰夫・哈瑞尔(Jeff Harrell)解释称,所有在地图上看到的攻击,其实是真实攻击情况的映射 —— 这家公司在全球 50 多个国家放置了超过 800 万个攻击传感器,它们伪装成 PC、Mac 电脑,或者 ATM 等最容易受到网络攻击的设备,当受到攻击的时候,数据就通过专用网络传回 Norse 公司后台,并映射在地图上。
很多人对于黑客攻击的固化印象就是坏人坐在电脑屏幕后前面,写下一行一行的代码:
其实绝大多数的单次攻击的发动者并不是黑客自己,而是被计算机病毒感染后可被黑客控制的 “肉鸡”。
搞定一只肉鸡也可以不需要病毒。比如,前段时间在网络上突然成名的 “大炮”(Great Cannon)就是一个非常高效的系统。它可以利用特定的机制,将外国访问中国站点的流量,或者中国访问外国特定站点的流量,重新定向到一个指定的网站。前段时间,程序员们喜爱的 GitHub 突然不能用了,据说就是 “大炮” 的杰作。
在地图上能看到的攻击,只有 Norse 实时收到攻击总数的 1% 不到。
浏览器突然卡了一下,原来是巴西和西班牙的网络对 Norse 公司设在美国圣路易斯的行政办公室发动了连续十几次大流量 telnet 和 http 代理攻击,时间持续了半分钟左右。在这之后,攻击来源的排名上西班牙和巴西以大优势超过了美国 —— 当然,距离中国还是相差甚远。
影视剧里面,我们总是能看到 “黑客” 们用的网络和我们的不一样,事实上的确如此。平时我们上网,最常用的就是谷歌、百度这种搜索引擎,事实上这些搜索引擎也是全互联网的表层网络里面。正常情况下,我们能浏览的所有网络,都是表层网络,而表层网络只占整个互联网的 10% 不到。与之对应的,还有一个暗网,也叫深度网络(deep web),那是搜不到的网络,那里有罪恶,那里是其它的 90%。
我们都在互联网的表层
通过互联网络,我们能访问很多网站:太多时候不知道具体域名网站,我们通过搜索引擎可以进一步的定向跳转到我们所需要的网站。但是很多人没有思索过一个问题:有没有搜索引擎搜不到的内容?有,并且对于互联网来说,我们所处的表层内容,其实只占有了整个互联网络的一部分。
可以说我们说处的网络,只是整个互联网络很小的一部分,而暗网上面的内容更多。但是这些信息都被保护、加密起来,不用一些手段,我们是看不到的。
暗网的内容有多少?这张图的统计认为我们表层网络,包括你现在看到的这个页面,大概有 800 亿左右,从数据量上,占到整个网络的 4%,而暗网的内容占整个网络的 96%,大约有 7.9ZB(1ZB=1 亿 TB),当然这是当时的数据,到今天肯定还在增长,而且也难以有个准确的统计。
- 暗网是什么?
Deep Web 这个称呼开始并不是这样,由于普通的途径看不到,而对于有办法的人又能看到,所以最开始的称呼叫不可见网络,这个称呼不太准确,在 2001 年的时候,博格曼第一次用了 Deep Web 这个词来形容,中文一般来说叫暗网。
所谓的表层网络,包括中关村在线在内,他们都是可以被搜索引擎搜索到的。关于搜索引擎,目前普遍使用的是蜘蛛程序对某个目标 IP 段进行查询,看是否有新的内容。在得到之后进行关键字的索引。今天在表层网络,我们对搜索引擎这种入口非常依赖,Alexa 网站的全球流量排名,前五名当中,第一名的谷歌和第五名的百度都是搜索引擎,第三名的雅虎也有搜索的业务。
中关村在线有多受欢迎?根据 Alexa 的排名,zol.com.cn 在笔者写文章的时候,排名全球第 155 位,在中国的网站里面排名第 27,是中国 IT 垂直媒体里面的第一名。
搜不到不代表不存在,所以暗网广义上来说,搜索引擎搜不到或是不给力的地方,基本都可以定义为暗网,而狭义上,一般指的是 Tor 加密过的网络,这里我们就分别来介绍一下。
广义暗网:企业网
很多企业都有对外的官方网站。但是网站的内容,可就是一千人眼中有一千个哈姆雷特了。在我们很多人眼中,企业网站看起来就是一个宣传的页面,在里面我们可以找到产品介绍等等。
但是事实上并不这样。以微软为例,针对开发人员,通过购买可以获得微软的 MSDN 账号,登录之后就可以下载各种 MSDN 版本的软件,就是搜索引擎所找不到的,需要 MSDN 注册用户才可以。这种例子有很多。另外一方面是企业内部资源,需要用户通过 VPN 加密访问企业网站,来进行公网的穿透,进而访问企业内部资源,这种情况也很多。
当然,对于搜索引擎,并不是每个网站都很友好。比如我们都知道的淘宝网,它就屏蔽了来自百度的抓取,在淘宝网的 robots.txt 对百度的蜘蛛 disallow 了,所以我们百度无法抓取淘宝网的内容,这从某个角度讲,淘宝相对于搜索引擎百度,基本就是暗网的内容。如果网站的文件对所有蜘蛛都不允许,那这个网站即使可以通过 dns 解析到,它也可以看做暗网的一部分。
另类偏门:泄漏艳照的匿名网站
今年九月 iCloud 的泄露事件,让好莱坞一票女星艳照流出。这事情震惊的不仅仅是好莱坞。我们值得关注的是之后的处理:好莱坞要起诉谷歌,诉其删除艳照门事件的互联网搜索结果不力。你是不是和我一样觉得谷歌躺枪了?
事实也是如此。那么很多人会沿着这个逻辑继续追问:为何不起诉始作俑者?这就说来话长了。艳照的原始发布地址,是能搜索到的,名字叫做 4Chan。4Chan 国内的网友大概了解的人不多,但是我要说这里是暴走漫画的发祥地,可能就会拉近一些和 4Chan 的距离。
4Chan 是由最基本的互联网公告牌系统发展而来的,创始人网名叫 moot,现在 4Chan 的 Alexa 排名在全球前 1000 名以内。4Chan 也是一个搜索引擎能搜索到的网站,但它的机制非常特殊:完全匿名化。只要你愿意,你可以一直匿名发表信息,现在也从最开始就两个板块发展成了多个。当时源源不断的艳照就贴在 4Chan 上。
这种匿名机制下,好莱坞根本不知道是哪个人发布的,所以只能拿谷歌 “撒气”,所以在归类当中,4Chan 一般认为是水下的网站(水上为表层),只是很浅而已。 - 狭义暗网:Tor 是罪恶天堂吗?
Tor 直译过来是洋葱路由,是一个匿名、加密传输的暗网,这里都有什么呢?这其实是一个无所不包的网络,因为很难对其进行监管。而事实上我们在美剧、电影甚至新闻里面可以看到很多暗网的内容。而用户想一窥究竟的话,Tor 的技术门槛很低,这在表层网络上就有大量的教程。设置完成之后,现在其实就是用一个定制版的火狐浏览器来访问 Tor 网络。
比如丝绸之路(Tor 的网站域名都是.onion)。不要被名称迷惑,这是一个被欧美司法、国土安全等机构联合摧毁的地方,因为这里贩卖的是枪支和毒品等等非法的勾当,并且因为 “信誉良好” 而臭名昭著。丝绸之路之外,暗网上还有很多再比如一些贩卖非法信息,比如黑客得到的信用卡信息等等。有些网络内容甚至连黑客都无法容忍。
当然咯,暗网的特色导致这里的所谓 Tor 专用的搜索引擎非常不给力,和我们常用的百度谷歌必应不是一码事,很多网址都是小圈子内分享列表。一般来说其导航方式,还有点类似早期的互联网分类检索,最出名的就是 Hiddenwiki,可以通过这个网站的地址跳转到一些其它的暗网,搞笑的是暗网里面还有一个地方卖半价的苹果产品,比特币交易……
我坚信凡是能导航的,基本也就是暗网的表层,更深入的地址,笔者也没有比特币,没钱去买地址列表。相信偌大的 deep web,肯定不止能导航到的几个网站…… 我们写这篇文章的目的就是,作为一个中关村在线的读者,当别人问你影视剧里面提到的暗网是什么,不要犯傻,可以跟他夸夸其谈,如果能给你心仪的妹子答疑解惑,那我们的目的就达到了。
当然了,在最后我还是警告一下,不作死就不会死,Tor 暗网的东西五花八门,如果英文还可以,有些 Blog、讨论组的可读性颇高,充实一下自己还可以,千万别有其它想法,因为暗网里面的内容无论是参与买卖还是转载到表层网络,都是犯罪。
