企业威胁情报平台建设之暗网监控

情报平台建设之暗网监控"/>

企业威胁情报平台建设之暗网监控

一、前言

相信大家对暗网这个概念并不陌生，众所周知，暗网藏着一个暗黑版的交易市场，违法工具、色情交易、毒品交易、枪械信息比比皆是，俨然一个网络犯罪分子聚集的“虎狼之穴”。我们使用Tor浏览器等可以轻松访问暗网中的浅层网，主要是黄赌毒和数据情报信息，如丝绸之路等。

对于企业而言，往往不免被黑客攻击而被获取大量的数据，而这些数据一般会优先在暗网售卖，如近年来的12306、各大互联网公司等的数据泄露事件。为了及时响应突发的数据泄露事件，企业需要一款实时监控暗网数据泄露的威胁情报平台，用来监控敏感数据泄露、薅羊毛、业务安全风险等事件。

二、代理服务器搭建

由于国内网络环境的原因，为了顺利访问暗网，我们需要一台海外服务器，系统版本是ubuntu 18.04(当然其他系统也可以，只是本文会把这个版本的系统作为例子)，同时需要在这台服务器上安装Tor与Privoxy用作访问代理服务器。

本文的系统版本：

root@536ef99cab94:/# cat /etc/issue
Ubuntu 18.04.2 LTS

2.1 整体架构

从图上可以看到，Privoxy作为一个中转代理，主要是把http协议转socks5协议，而Tor则负责把socks5转Tor协议。所以整个代理访问过程为：

1.用户输入后缀为onion的地址，由Privoxy暴露的8118端口访问http协议； 2.Privoxy把http协议转发给Tor，Tor获取该网站公钥进行加密，通过Tor通信链路发送信息给Tor节点，由该节点转发请求到.onion网站。

2.2 安装Tor

可能很多人一开始会直接执行这条命令：sudo apt-get install tor，从这个命令安装的Tor是v2版本的，不支持较新的加密算法，所以导致访问不到某些使用最新加密算法的暗网网址。

Tor v2到Tor v3的转变主要表现为如下几点：

1.签名算法从SHA1/DH/RSA1024升级到SHA3/ed25519/curve25519；2.改进的Tor directory protocol，安全性更高；3.更好的洋葱地址，换成sha3，可以提高枚举生成一样地址的难度；4.可拓展的交换协议。

参考官网的安装方法，安装最新版（v3版本）的Tor步骤如下：

1.在/etc/apt/sources.list添加如下源：

deb  bionic main
deb-src  bionic main

2.添加gpg密钥，执行如下命令：

curl /A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --import
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -

3.安装Tor：

apt update
apt install tor deb.torproject-keyring

4.查看安装好Tor的版本，可知本文安装的Tor版本为0.3.5.8：

root@536ef99cab94:/# tor -v
Jun 18 14:30:43.530 [notice] Tor 0.3.5.8 running on Linux with Libevent 2.1.8-stable, OpenSSL 1.1.1, Zlib 1.2.11, Liblzma 5.2.2, and Libzstd 1.3.3.
Jun 18 14:30:43.531 [notice] Tor can't help you if you