可能聽過，但不曾接觸過的危險領域—暗網

　　網路是現代社會中非常重要的一部份，它深入我們的生活。從食衣住行、工作、娛樂到教育，我們幾乎可以在任何方面找到網路的存在。然而當我們只是使用瀏覽器查詢資料、逛線上購物商城或使用影音平台，我們所看到的這些內容在整個互聯網中卻只佔了其中的一小部分而已。

　　網路可以被區分為以下三個類別：

● 表層網路 (Surface Web)

　　又被稱為Visible Web或Clear Web，是指有建立索引、可以透過傳統瀏覽器與搜尋引擎直接查詢並瀏覽的內容，約佔整個互聯網的4%。更簡單的說，表層網路包含的是公開在網路上且任何人都能直接存取的資料，例如：社交平台、影音媒體、新聞媒體與網路購物平台。

● 深層網路 (Deep Web)

　　又被稱為Invisible Web或Hidden Web，與表層網路相反，是指因為需要登入、付費等限制無法直接存取也無法建立索引的內容。這些內容不開放給大眾，無法透過傳統瀏覽器或搜尋引擎直接查詢或瀏覽，約佔整個互聯網的96%。

　　雖然部分深層網路的內容可以直接透過URL或IP存取，但是會需要經過登入或其他安全資訊限制在確認身分或得到許可之後，才能查看實際的內容。深層網路的例子包括網路銀行、電子郵件、社群帳號等需要身分驗證的服務，也包括了不對外開放的文件、資料庫、局域網 (Intranet)等。

● 暗網 (Dark Web)

　　屬於深層網路的一部份，讓人能夠以匿名的方式共享資訊，並且不會經過任何形式的審查，分層的加密系統讓使用者的身分和位置可以保持隱蔽。

　　暗網是代管匿名網站的特定網路的集合，因為使用的域名不參與官方的域名系統(DNS）且經過加密而無法以常見的瀏覽器與搜尋引擎存取，只能透過特殊的軟體、授權或通訊標準存取，最著名是The Onion Router (Tor) 及I2P (Invisible Internet Project)，另外還有Freenet、Bitnet等。

　　訪問暗網的工具—瀏覽器：

1、Tor (The Onion Router)

　　Tor由美國的非營利組織Tor Project開發與維護，其設計原意在於保障使用者的個人隱私以及在不受監控的情況下，進行秘密通訊的自由與能力。Tor暗網可以稱為洋蔥區域 (onionland)，使用網路域名 .onion以及稱為洋蔥路由的匿名技術。

　　洋蔥路由的運作原理是將資訊使用非對稱加密一層一層包裝成洋蔥般的封包結構，並經由一系列的網路節點（洋蔥路由器）傳送。洋蔥封包的層數取決於到達目的地中間會經過的節點數，每經過一個節點會將封包的最外層解密取得下一個節點，直到到達目的地前的結點才能獲得原始訊息，並傳送到目的地。在傳輸的過程中，包括目的地的每一個網路節點都只能知道上一個節點的位址，無法知道整個傳輸路徑以及原傳送者的位址，以此增加傳送者的匿名效果。

　　雖然Tor因為其匿名性與安全性被廣泛使用，Tor本身還是有幾個缺點與弱點：

• 因為需要經過多個節點並且進行多次加解密的動作，存取速度非常慢。
• 在通訊的路徑建立之後，傳輸的路線不論來回都是固定的，並非完全匿名。
• 由於洋蔥路由需要從目錄節點（directory node/directory server）提供的列表中選出使用的網路節點組成傳送路徑，而目錄節點數量有限，許多網站或服務會對目錄節點及其提供的網路節點進行針對性的封鎖。
• 原始訊息在加密傳送後，會在經過節點時進行層層解密以獲取下個節點的資訊。然而在出口節點（目的地前的最後一個節點）時，原始訊息便會被解密出來再傳送至目的地。因此，若出口節點遭受攻擊或受到控制，原始訊息就會被攔截。

２、I2P（Invisible Internet Project）

　　不同於Tor，使用網路域名 .i2p的隱形網際網路計畫I2P使用的技術為洋蔥路由的變體—大蒜路由。

　　大蒜路由的運作原理是將要傳輸的多條資料進行加密並由多條路徑傳遞，資訊來回傳遞的路徑不同，使數據流量分析更加困難、增加了追蹤的難度，安全性與匿名性比Tor高。此外，I2P不需要從目錄節點取得網路節點訊息，每一台啟動I2P的主機都可以成為中繼的節點（類似P2P下載），因此不太可能利用防火牆將所有I2P的節點加入黑名單，進而影響服務或網站的存取。然而，速度依然是I2P的缺點。

　　常見的搜尋引擎：

1、DuckDuckGo

　　Tor瀏覽器的預設搜尋引擎，也適用於Chrome和Firefox等所有的常見瀏覽器。DuckDuckGo不會記錄用戶的網路活動與搜尋記錄，但是與其他搜尋引擎相比，搜尋結果中與暗網相關的搜尋結果相對較少。

2、Torch

　　最著名也最古老的搜尋引擎之一，每天都會爬取洋蔥網站並進行索引，是擁有最多洋蔥網站搜尋結果的搜尋引擎，載入速度也比較快。然而，Torch並不會對爬取的網站進行過濾，因此在搜尋時可能會偶然發現惡意或含有有害內容的網站。

3、Ahmia

　　Ahmia將自身定位為隱藏服務搜尋引擎，能幫助探索暗網並且會盡可能地過濾包含惡意內容、軟體或虛假、不安全的網站，也可以透過常見的瀏覽器進行深度網路搜尋。此外，Ahmia還可以查看有關Tor網路的統計資料、見解和新聞，並且對「濫用資料」有嚴格的限制，會阻止這類內容出現在搜尋結果中。

4、Haystack

　　Haystack可能是暗網搜尋引擎中所引最多的搜尋引擎，與DuckDuckGo相同，並不會記錄用戶的網路活動與搜尋記錄。

　　暗網建立的原意為保障用戶的隱私與言論自由，然而暗網也因為它的特性被用來隱藏非法的活動與交易、增加追查的難度。因為在暗網上架設網站的成本極低，暗網上充斥著許多詐騙、網路釣魚、惡理軟體與程式碼等，也有許多駭客在暗網中活動，發布招人、勒索的資訊。

探索暗網應該注意的事：

• 避免下載檔案，暗網中的檔案可能都含有惡意內容。
• 避免購買東西，畢竟大多數在暗網上售賣的東西是非法的。
• 不要以任何形式留下個人的相關資料。
• 設定瀏覽器的安全層級以及避免使用附加元件。
• 更新裝置、防毒軟體、瀏覽器。
• 保持警惕，避免點擊或回覆可疑的連結、彈出視窗、廣告、檔案、邀請。

　　儘管暗網中潛伏著許多危險，我們也可以善加利用暗網的優勢，從網路上的各種公共來源（表層網路、深層網路及暗網三個層面）收集、分析、解釋、傳播與網路攻擊相關的數據與情報，以了解攻擊者的動機、意圖與手法並預測未來的行為，這便是CTI（網路威脅情資）。

　　只要清楚如何使用、小心使用，暗網並不是可怕且不應碰觸的領域，而是能成為資安領域上幫助預防及對抗攻擊的利器，了解如何從深網及暗網中挖掘有利於我們的資訊，在資安領域中是一個重要的課題。

　　更多資安訊息及防護策略，歡迎與NEITHNET資安專家聯繫：info@neithnet.com。